一、引言

2月14日，国家互联网信息办公室（“国家网信办”）发布《个人信息保护合规审计管理办法》（“《办法》”），并制定《个人信息保护合规审计指引》（“《指引》”）作为附件。《办法》自2025年5月1日起施行。

二、 出台背景 

随着数字经济的快速发展，个人信息被广泛收集和使用，但同时也面临着过度收集、滥用和泄露等问题，严重侵害了个人权益。在此背景下，《中华人民共和国个人信息保护法》(“《个人信息保护法》”）《网络数据安全管理条例》等上位法虽已对个人信息处理者的合规审计义务作出原则性规定，但缺乏具体操作指引。为落实上位法要求，提升个人信息保护水平，推动数字经济健康发展，国家网信办出台《办法》。它不仅细化了合规审计的具体要求，明确了审计机制与责任，还借鉴了国际先进经验，进一步压实了企业的主体责任，为个人信息保护治理提供了更具操作性的“中国方案”。

三、要点解读

(一)  适用范围

1.适用活动：开展个人信息保护合规审计活动，指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。（第二条）

2.适用主体：在中华人民共和国境内开展个人信息保护合规审计的所有个人信息处理者。（第二条）

个人信息保护合规审计是所有个人信息处理者的法定义务。《个人信息保护法》第五十四条规定了个人信息处理者定期进行合规审计的义务；第六十四条规定了履行个人信息保护职责的部门（“保护部门”，《办法》第五条明确为国家网信部门和其他履行个人信息保护职责的部门）的监管责任，以及个人信息处理者的整改义务。《网络数据安全管理条例》第二十七条规定了个人信息处理者应当定期自行/委托专业机构进行审计的义务。本次《办法》的出台为个人信息处理者履行审计义务提供了重要的指引。

(二)  合规审计的触发情形与频次

1.法定开展合规审计：处理超过1000万人个人信息的个人信息处理者，应当每两年至少开展一次个人信息保护合规审计（第四条）。

2.依监管要求开展合规审计：即保护部门在履行职责中，发现严重影响个人权益、严重缺乏安全措施、可能侵害众多个人权益，或者发生个人信息安全事件（100万人以上个人信息或10万人以上敏感信息泄露）时，可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计（第五条）。

除以上两种情况外，其他个人信息处理者可根据自身情况合理确定开展个人信息保护合规审计的频次，既可以自行开展审计，也可以委托专业机构进行审计。若企业选择自行开展合规审计，应参照《指引》确定审计要点，并可参考国家标准《数据安全技术 个人信息保护合规审计要求（征求意见稿）》以及所在行业的行业标准，建立相对独立的内部审计团队。

(三)  个人信息处理者的义务

1.支持义务：为审计提供必要支持并承担费用（第八条）。

2.按时完成审计：应保护部门要求开展审计的，需在限定时间内完成个人信息保护合规审计，情况复杂的，报保护部门批准后，可以适当延长（第九条）。

3.报告与整改义务：应当将专业机构出具的个人信息保护合规审计报告报送保护部门（第十条），按照保护部门的要求对发现的问题进行整改，在整改完成后15个工作日内，向保护部门报送整改情况报告（第十一条）。

《办法》在上位法的基础上，细化了个人信息处理者的合规审计义务。企业需注意，在报送流程中，需要向保护部门报送两次不同的报告：完成审计——报送个人信息保护合规审计报告——进行整改——（整改完成后15个工作日内）报送整改情况报告。此外，对于审计限定时间，《办法》暂未规定，需参照其他法律法规以及保护部门的要求。

(四)  专业机构的要求与限制

《办法》对从事个人信息保护合规审计的机构有较为严格的资质要求，但个人信息保护合规审计不同于传统意义上的财务审计，个人信息保护合规审计机构应满足以下要求与限制：

1.资质要求：应当具备能力，如人员、场所、资金等（第七条）。

2.独立性与保密义务：应遵守法律法规，诚信正直，公正客观地作出合规审计，对获得的个人信息、商业秘密、保密商务信息等予以保密（第十三条）。

3.禁止转委托：不得转包审计任务（第十四条）。

4.轮换限制：同一机构或负责人不得连续三次审计同一对象（第十五条）。

企业若选择委托专业机构进行个人信息保护合规审计，建议选择人员具有相关资质和经验的机构，同时注意选择审计机构时的轮换要求，不要连续三次选择同一机构/负责人。此外，在与专业机构签订合同时，在合同中明确规定不得转包审计任务，并要求其提供主要审计人员的名单和资质证明。

(五)  对处理大量个人信息的处理者的强化要求

1.个人信息保护负责人：处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人，负责个人信息处理者的个人信息保护合规审计工作（第十二条）。

2.独立监督：提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督（第十二条）。

《办法》第十二条对处理100万人以上个人信息的个人信息处理者以及提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者提出了额外的要求，以上主体需格外关注。

(六)  监管与法律责任

1.监督检查：保护部门进行监督检查，公众有权进行投诉、举报（第十六、十七条）

2.违法后果：个人信息处理者或专业机构违反规定将承担相应法律责任，构成犯罪的，依法追究刑事责任。（第十八条）

(七)  审计内容与重点：

1.审计内容：《办法》规定，自行开展或者按照要求委托专业机构开展个人信息保护合规审计的，应当参照《指引》（第六条）。《指引》作为办法的附件，包括：一般规则、涉第三方个人信息处理者的情形、个人信息生命周期处理行为、个人信息处理者主体变动、特殊主体和情形的个人信息处理、个人信息权利保障、个人信息处理者、大型互联网平台运营者八大类，细分为二十六个方面的审查要求。

2.重点内容：企业在进行审计时，除了关注传统的重点场景，如涉及处理个人信息的合法性基础、个人信息处理规则、共同处理、委托处理、对外提供、自动化决策、未成年人、敏感个人信息等以外，随着新的法律法规的出台，还应格外关注涉及以下场景的审查要求：

1）在公共场所安装图像收集、个人身份识别设备（第十一条）：除了《指引》要求的审查项：是否为维护公共安全所必需，是否设置了显著标识、是否取得了个人的单独同意（用于维护公共安全以外用途时），在审计时，还需结合其他法律法规，例如《公共安全视频图像信息系统管理条例》（国务院2025年2月10日公布，2025年4月1日起施行）——需向所在地县级公安机关备案（《条例》第十四条）等要求。

2）向境外提供个人信息（第十五条）：《指引》将该场景下的个人信息处理者分为关键信息基础设施运营者（CIIO）和关键信息基础设施以外的运营者，其中，CIIO企业需审查是否通过国家网信部门安全评估。非CIIO企业根据当年1月1日起，累计处理的个人信息量级分为两类：向境外提供100万人以上个人信息（不含敏感个人信息）或者1万人以上敏感个人信息，需审查是否通过国家网信部门安全评估；向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息，需评估是否经个人信息保护认证/标准合同备案。

3）个人信息安全事件应急预案及应急响应处理情况（第二十四、第二十五条）：《指引》要求对个人信息安全风险、应急和支持措施、员工应急预案培训及演练、防止危害扩大措施、通报渠道等方面作出评估。根据《个人信息保护法》第五十一条，应急预案是覆盖所有个人信息处理者的普遍性义务。此外，2024年10月29日工业和信息化部发布了《工业和信息化领域数据安全事件应急预案（试行）》（“《应急预案》”），其中明确了工业和信息化领域数据处理者责任：负责本单位数据安全事件预防、监测、应急处置、报告等工作，应当根据应对数据安全事件的需要，制定本单位数据安全事件应急预案。此外，《应急预案》还要求地方通信管理局和无线电管理机构分别制定本地区和本领域的数据安全事件应急预案，建议工业和信息化领域的企业在审计时，关注业务涉及的地方行业监管部门发布的应急预案的要求——例如：北京市通信管理局已经于2025年1月13日发布了《北京地区电信领域数据安全事件应急预案和处置规范（试行）》。

4）提供重要互联网平台服务、用户数量巨大、业务类型复杂（第二十五、第二十六条）：《指引》对其平台规则和个人信息保护社会责任报告规定了详细的审查要求。此外，对于大型网络平台，还需审查其是否符合《网络数据安全管理条例》的要求，例如应当每年度发布个人信息保护社会责任报告，报告内容包括但不限于个人信息保护措施和成效、个人行使权利的申请受理情况、主要由外部成员组成的个人信息保护监督机构履行职责情况等。

四、总结

《办法》的颁布实施标志着我国个人信息保护监管体系的进一步完善，为个人信息处理者提供了明确的合规指引，同时也为监管部门的执法提供了有力依据。《办法》在借鉴国际经验的基础上，进一步强化了审计的独立性和专业性，明确了审计机构的资质要求、独立性限制以及审计的触发条件和频次，同时，通过详细的个人信息处理场景的区分，帮助个人信息处理者进一步理清所涉处理场景下的审计要点，避免了合规审计的形式化，切实有效地提高了我国个人信息保护水平。企业在履行个人信息审计的法定义务时，需着重参考《办法》及《指引》的规定，完善审计内容及流程。

参考资料

[1] 《个人信息保护合规审计管理办法》答记者问，https://www.gov.cn/zhengce/202502/content_7003769.htm

[2] 专家解读｜出台《个人信息保护合规审计管理办法》 为数字经济持续健康发展保驾护航，

https://www.cac.gov.cn/2025-02/14/c_1741233516860773.htm

[3] 专家解读｜促进与规范合规审计 提升个人信息保护水平，

https://www.cac.gov.cn/2025-02/14/c_1741232815413367.htm

[4] 关于国家标准《数据安全技术 个人信息保护合规审计要求》征求意见稿征求意见的通知,

https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20240712162705&norm_id=20231220163619&recode_id=55772

[5] 《公共安全视频图像信息系统管理条例》,

https://www.gov.cn/zhengce/content/202502/content_7003024.htm

[6] 《工业和信息化领域数据安全事件应急预案（试行）》,

https://www.gov.cn/zhengce/zhengceku/202411/content_6984322.htm

[7] 《北京地区电信领域数据安全事件应急预案和处置规范（试行）》,

https://bjca.miit.gov.cn/zwgk/zcwj/bmgzjgfxwj/art/2025/art_91493a7cc44c4b3faf9ee32a635209c2.html

[8] 《网络数据安全管理条例》,

https://www.gov.cn/zhengce/zhengceku/202409/content_6977767.htm

特别声明

本文仅供参考，不构成律师的正式意见，不应被看作是采取任何法律行动或进行法律决策的依据。文中所述仅代表作者个人观点，并不反映作者所服务的任何机构或客户的立场。