简评《个人信息保护合规审计管理办法》

作者:admin 发布时间:2025-07-10

作者：安国良、张晴

为落实《中华人民共和国个人信息保护法》、《网络数据安全管理条例》对个人信息处理者开展合规审计的要求，国家互联网信息办公室于2024年5月20日第15次审议通过《个人信息保护合规审计管理办法》（以下简称《办法》），并于2025年2月12日公布，自2025年5月1日起施行。《办法》对个人信息保护合规审计活动的开展、合规审计机构的选择、合规审计的频次、个人信息处理者和专业机构在合规审计中的义务等作出细化规定，旨在为个人信息处理者开展个人信息保护合规审计提供系统性、针对性、可操作性的规范，提升个人信息处理活动合法合规水平，保护个人信息权益。

一、谁需要做

只要是涉及到个人信息的收集、存储、使用、加工、传输、提供、公开、删除等处理行为的个人信息处理者，均需要按照《办法》进行合规审计。具体而言，又分为自行开展和按照要求开展。

（一）自行开展

个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。合规审计是通过系统化的检查和评估，确保企业或组织在运营中严格遵守相关法律法规、行业标准及内部管理制度的过程。其核心目标是发现和纠正违规行为，降低法律风险，保障业务合法合规运行。就好比人定期进行健康体检，合规审计是对企业“健康状态”的检查，确保其“不违法、不越界”，守护企业生命线。

处理超过1000万人个人信息的个人信息处理者，应当每两年至少开展一次个人信息保护合规审计。与《办法》的征求意见稿100万人的审计门槛和每年一次的审计频率相比，明显减低了监管强度和标准。

（二）按照要求开展

保护部门发现个人信息处理活动存在较大风险、可能侵害众多个人的权益或者发生个人信息安全事件的，可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。在专业机构的选择上，《办法》并没有强制性的要求，我们建议，可以从审计机构资质和信誉、业务经验和专业领域、服务质量和价格，以及审计人员的专业水平及从业经历等方面综合考虑。

二、如何落地

《办法》在其附件中制定了《个人信息保护合规审计指引》（以下简称《指引》），《指引》从二十六个方面对个人信息保护相关法律、行政法规的关键要点作了梳理，从合规审计的角度进行了细化，以便于个人信息处理者对个人信息处理活动是否遵守法律、行政法规要求进行审查和评价。

根据我们此前项目的经验，如何将《办法》及《指引》的要求结合企业自身情况落地，发现审计风险，提出适宜的审计建议，是一项复杂且具有挑战的工作。首先，需要有一个合规审计“抓手”。通常来说，由企业的个人信息保护部门或者个人信息保护负责人来牵头，把控个人信息保护合规审计工作，搭建内部合规审计团队或聘请外部审计机构，推动审计工作有序开展。对于没有专门设置相关部门或人员的企业，建议从合规团队、信息安全团队、法务团队选派合适人选。其次，由承办合规审计的部门或机构开展审计前工作准备。前期工作的细致程度影响甚至决定着合规审计的效率和成果。比如，基于初步了解制作审计调查清单，制定访谈计划及访谈大纲，收集公开渠道获取的信息和材料等。再次，根据前期准备的情况开展合规审计。通常我们会采取现场和非现场相结合的方式开展，提高审计工作质量。最后，收集审计底稿，编制审计报告。审计报告是发表审计意见的书面文件，应包括但不限于审计概况、审计依据、审计结论、审计发现、审计意见、审计建议等。

三、重点关注哪些问题

（一）涉及个人信息处理的企业建议尽快开展一次合规审计

自《中华人民共和国个人信息保护法》生效实施以来，合规审计从制度框架性要求逐步落地到具体可操作，《办法》提供了操作性较强的合规审计指引，很显然合规审计将不再是一句“口号”。因此，我们建议，凡是涉及到个人信息处理的企业，应当结合《办法》的具体要求，尽快开展一次合规审计，守住个人信息保护合规生命线。

（二）合规审计应当贯穿个人信息全生命周期管理

个人信息的收集、存储、使用、共享、传输到删除的每一个环节，均需通过合规审计验证其合法性与安全性，也符合“事前预防、事中控制、事后追责”的全程监管思路。企业应当结合自身业务发展，细化前置合规审计要求，为长远规范发展做好铺垫。

（三）需注意特殊领域或处理者的特殊要求

比如，在金融领域，《银行保险机构数据安全管理办法》第六十六条规定，银行保险机构应当每年开展一次数据安全风险评估。审计部门应当每三年至少开展一次数据安全全面审计，发生重大数据安全事件后应当开展专项审计。再比如，对国家机关和法律、法规授权的具有管理公共事务职能的组织的个人信息保护合规审计，不适用《办法》。因此，在合规审计的具体操作过程中，要结合企业或组织的特殊性加以判断实施标准。

上一篇：企业进入破产程序后的环境责任问题的实务探究
下一篇：企业搬迁中劳动风险的“未雨绸缪”与“临急处置”