解析《个人信息保护合规审计管理办法》

2025年2月14日，国家网信办公布《个人信息保护合规审计管理办法》（以下简称“《办法》”），自2025年5月1日起施行。本文将对《办法》的重点内容进行解析。

一、什么是“个人信息保护合规审计”？

个人信息保护合规审计，是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。

个人信息保护合规审计的要求并非《办法》首创。

我国《个人信息保护法》第五十四条规定，个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。第六十四条规定，履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。

《网络数据安全管理条例》第二十七条规定，网络数据处理者应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计。

此外，国家网信办曾在2023年8月3日发布了《个人信息保护合规审计管理办法（征求意见稿）》（以下简称“《征求意见稿》”），就个人信息保护合规审计活动的相关要求向社会公众征求意见。

本次发布的《办法》对个人信息保护合规审计活动的开展、合规审计机构的选择、合规审计的频次、企业在合规审计中的义务等作出了细化规定，在《个人信息保护法》《网络数据安全管理条例》的基础上进一步为个人信息保护合规审计活动提供了落地操作指引。

二、哪些情况下需要开展个人信息保护合规审计？

个人信息处理者开展个人信息保护合规审计包括两种情形：

一是自行审计，《办法》规定处理超过1000万人个人信息的个人信息处理者，应当每两年至少开展一次个人信息保护合规审计。其他个人信息处理者则无强制审计频次要求，可根据自身情况合理确定定期开展个人信息保护合规审计的频次。

二是监管审计，个人信息处理者有以下三类情形之一的，监管部门可要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计：

1、发现个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险的；

2、个人信息处理活动可能侵害众多个人的权益的；

3、发生个人信息安全事件，导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的。

就自行审计的审计频次，原《征求意见稿》规定“处理超过100万人个人信息的个人信息处理者，应当每年至少开展一次个人信息保护合规审计；其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计”。《办法》相比较《征求意见稿》的规定，一是将有明确审计频次要求的数量标准由“100万人”调高为“1000万人”，审计频次则由“每年至少开展一次”调整为“每两年至少开展一次”。二是对于处理个人信息数量相对较少的“其他个人信息处理者”，取消了“每二年至少开展一次”的要求，其可根据自身情况合理确定审计频次。以上两点调整均有利于减轻个人信息处理者开展合规审计工作的负担。

就监管审计，原《征求意见稿》规定的触发情形为“发现个人信息处理活动存在较大风险或者发生个人信息安全事件的” ，《办法》将触发情形扩张为三类，且进一步细化了触发情形的具体要求，包括“发生个人信息安全事件”的标准明确为“导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损”。

三、如何开展个人信息合规审计？

对于自行审计，个人信息处理者可以选择由自身内部机构进行审计，也可以委托外部专业机构开展审计。

对于监管审计，个人信息处理者则只能按照监管部门要求委托外部专业机构开展合规审计。

关于合规审计的具体流程、审计方法、审计证据、审计底稿、审计报告等要求，《办法》未作进一步明确规定。全国网安标委曾在2024年7月12日发布国家标准《数据安全技术 个人信息保护合规审计要求（征求意见稿）》，对前述审计流程等相关内容作出了规定，企业开展个人信息合规审计活动时也可参考执行。

四、如何确定开展个人信息保护合规审计的“内部机构”？

《办法》第十二条规定了处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人，负责个人信息保护合规审计工作。但对于实操中具体开展工作的“内部机构”并未作明确规定。

《数据安全技术 个人信息保护合规审计要求（征求意见稿）》中规定“组织内未设置专职个人信息保护合规审计团队的，应在保持独立原则的前提下，分别从内审团队、安全团队、法务团队等具有审计或个人信息保护相关专业能力的团队中选派人员”组建审计组，开展合规审计工作。企业若无法合理确定开展合规审计工作的“内部机构”，也可考虑参考该国标要求，组建由个人信息保护负责人牵头，多部门人员参与的“审计组”开展合规审计。

此外，《办法》该条还规定了“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督”。

《办法》该条规定的另一重要意义在于，此前《个人信息保护法》第五十二条仅规定“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人”，但未进一步明确该“规定数量”的具体标准。本次《办法》明确了“处理100万人以上个人信息”的个人信息处理者应当指定个人信息保护负责人，一定程度上填补了《个人信息保护法》五十二条在数量规定上的空白。

五、如何选择外部专业机构进行合规审计？

《办法》对选择哪家专业机构没有具体的强制性要求。原《征求意见稿》曾规定由国家网信部门会同有关部门建立“个人信息保护合规审计专业机构推荐目录”。本次《办法》删除了该等专业机构推荐目录的规定，而是重点从独立性和专业性两方面入手对专业机构进行了规定，包括：

1、专业性上，要求专业机构应当具备开展个人信息保护合规审计的能力，有与服务相适应的审计人员、场所、设施和资金等，且不得转委托其他机构开展个人信息保护合规审计。专业机构可以自愿申请相关服务能力认证。

2、独立性上，要求同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。

企业可按照上述原则性要求选择合适的外部专业机构开展合规审计工作。

六、合规审计需要在多长时间内完成？

对于自行审计，《办法》并未规定每次合规审计的具体完成时间。

对于监管审计，原《征求意见稿》曾规定“应当在90个工作日内完成个人信息保护合规审计”。本次《办法》则删除了该“90个工作日”的时间要求，而是规定“在限定时间内”完成合规审计，情况复杂的，报监管部门批准后，可以适当延长。因此，后续监管审计的时限要求可能更多结合具体情况一事一议。

七、合规审计的审查要点内容包括哪些？

《办法》以附件形式提供了《个人信息保护合规审计指引》，对个人信息保护相关法律、行政法规的关键要点作了梳理，列举了包括“个人信息处理活动的合法性基础”“个人信息处理规则”等二十六项审计要点。企业开展个人信息保护合规审计，应当参照该指引列举的要点内容进行审计。

总体来看，该等审计要点对应的合规要求基本在《个人信息保护法》等法律法规、规范性文件的要求当中已有所体现，且相比较《征求意见稿》的规定，审计要点内容上总体有所简化，有利于减轻企业的合规审计负担。

相比较《征求意见稿》的规定，本次《办法》中的《个人信息保护合规审计指引》列举的审计要点内容的重点变化包括：

1、对于个人信息处理活动的合法性基础的审查，删除了审查个人同意的操作记录的要求，以及删除审查“是否存在以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务的情况”。

2、对于个人信息处理规则的审查，增加审查“是否与处理目的直接相关，采取对个人权益影响最小的方式”。

3、对于共同处理个人信息的审查，删除审查“各方采取的个人信息保护措施”、“侵害个人信息权益造成损害的，各方应当承担的责任”。

4、对于委托处理个人信息、个人信息转移以及对外提供个人信息的审查，均删除了涉及外部第三方的审查事项，如对于委托处理个人信息的审查，删除了对受托人的审查事项，包括受托人是否按约定处理个人信息等。对外部第三方进行审查，显然相当困难，删除该等审查项增加了审计的可操作性。

5、对于自动化决策的审查，删除了对算法模型的审查要求，以及删除审查用户标签功能。

6、对于处理公开个人信息的审查，增加审查是否存在“收集、留存或处理已公开个人信息的规模、时间或使用目的超出合理范围”的违规行为。

7、对于处理敏感个人信息的审查，删除审查“敏感个人信息处理是否与提供商品或者服务、履行法定职责或者法定义务等特定的目的密切相关，是否以非必要不处理为原则”。该条本身也无必要列举，其所体现的合规要求已包含在对“处理敏感个人信息的目的、方式、范围是否合法、正当、必要”该项的审查当中。

8、对于个人信息出境的审查，总体按照2024年3月发布的《促进和规范数据跨境流动规定》的内容进行调整，此外，删除了对境外接收方监督措施的审查要求。

9、对个人信息删除权的审查，删除审查“因使用自动化采集技术等，无法避免采集到非必要个人信息或者未经同意的个人信息”时个人信息删除的情况。该要求在《网络数据安全管理条例》中有所体现，《网络数据安全管理条例》规定该等情况下，网络数据处理者应当删除个人信息或者进行匿名化处理。

10、对保障个人信息权利的审查，增加审查“拒绝个人行使权利请求的，是否向个人说明理由”。

11、对个人信息处理者内部管理的审查，删除了笼统的履行主体责任情况的审查事项，增加审查“是否合理制定个人信息处理操作权限”。此外，对个人信息分类的审查，删除审查“采取有针对性的管理或者安全技术措施”。

12、对个人信息保护负责人履职情况的审查，删除审查“个人信息保护负责人是否有权提名个人信息保护团队负责人，并与其保持顺畅的沟通和联系”。

13、对个人信息保护影响评估的审查，删除审查“是否存在过度收集个人信息的情况”，以及删除了“个人信息保护影响评估报告和处理记录是否至少保存三年”的审查事项。

14、对个人信息安全事件应急响应的审查，删除了“72小时内通知履行个人信息保护职责的部门和个人”，修改为“在安全事件发生后按照相关规定及时通知保护部门和个人”。

15、对大型互联网平台的审查，在审查要求上总体简化，删除了对大型互联网平台独立机构的独立性、履职能力、监督作用的审查以及大型互联网平台对其平台内产品或者服务提供者的个人信息处理活动进行监督的审查事项。对大型互联网平台个人信息保护社会责任报告的审查，其中报告披露内容增加“促进个人信息保护社会共治的科普宣传、公益活动情况”。

八、合规审计报告如何签署？是否需报送监管部门？

对于自行审计，《办法》并未明确合规审计报告的签署要求，也未要求合规审计报告需要报送给监管部门。但不排除后续监管检查过程中，可能要求提供个人信息保护合规审计报告的可能性。

对于监管审计，《办法》规定在完成合规审计后，应当将专业机构出具的个人信息保护合规审计报告报送保护部门。合规审计报告应当由专业机构主要负责人、合规审计负责人签字并加盖专业机构公章。

此外，对于监管审计，《办法》还规定了整改报告的报送要求。企业应当按照监管部门要求对合规审计中发现的问题进行整改。在整改完成后15个工作日内，向监管报送整改情况报告。

九、未履行合规审计义务的法律责任是什么？

《办法》规定，监管部门对个人信息处理者开展个人信息保护合规审计情况进行监督检查，任何组织、个人有权对个人信息保护合规审计中的违法活动向监管部门进行投诉、举报，个人信息处理者违反个人信息保护合规审计规定的，依照《个人信息保护法》、《网络数据安全管理条例》等法律法规的规定处理；构成犯罪的，依法追究刑事责任。

对企业的建议

个人信息保护合规审计终于落地，从审计频次及审计内容上看，要求虽总体有所放松，但对于企业而言，合规审计仍然会是一项耗时耗力的工作。建议企业尽早规划开展合规审计工作，尤其考虑如果企业希望得到一份相对清洁的合规审计意见，事先的合规梳理及整改工作必不可少，时不我待，抓紧行动。

来源：CyberTalking
作者：陈嘉伟 张功俐
本文仅作分享，作品版权归原作者及机构所有，如有侵权请联系，我们立即更正/删除