文 | 万波 张月勤
导读:为何需要一部合规审计管理办法?
2025年2月14日,国家互联网信息办公室正式发布《个人信息保护合规审计管理办法》(以下简称《办法》),标志着我国个人信息保护制度体系进一步完善。《办法》自2025年5月1日起施行,旨在通过规范合规审计活动,压实个人信息处理者的主体责任,解决个人信息保护与利用之间的矛盾,提升数据安全治理能力。
此前,《个人信息保护法》和《网络数据安全管理条例》虽提出合规审计要求,但缺乏具体操作指引。《办法》的出台填补了这一空白,通过细化审计流程、频次、责任等核心问题,为企业提供了系统性、可落地的合规路径,同时也强化了监管部门的监督抓手。
法规要点:核心规则解析
1、明确审计触发情形与频次要求
《办法》规定了个人信息处理者开展合规审计的两种核心场景:
自主审计:所有处理者需定期自行或委托专业机构审计其个人信息处理活动的合法性,其中处理超1000万人信息的机构必须每两年至少审计一次。其他处理者可自行确定审计频次。
强制审计:若监管部门发现处理活动存在较大风险(如安全措施严重不足)、可能侵害众多个体权益,或发生涉及100万人以上个人信息或10万人以上敏感个人信息泄露的安全事件,可要求处理者委托专业机构审计。
相较于征求意见稿,正式稿从个人信息处理规模及审计频次两个维度重新调整了个人信息处理者自主审计义务的触发条件,从100万人放宽至1000万人,从每年一次调整为每两年一次。此外,正式稿删除了未达特定规模的其他个人信息处理者进行自主审计的频次要求,处理人数未达1000万人的其他个人信息处理者可根据自身个人信息处理的具体情况灵活确定审计频率,自愿开展合规审计。
就强制审计的触发条件而言,《办法》从“严重影响个人权益”以及“严重缺乏安全措施”两个维度作为个人信息处理活动存在“较大风险”的示例。
2、审计主体选择与独立性保障
自主审计时处理者可选择内部机构或外部专业机构开展审计,强制审计则必须委托第三方专业机构进行。
相较于整齐意见稿,《办法》正式稿删除了国家有关部门建立专业机构推荐目录的相关条款,鼓励市场充分竞争。但同时也对专业机构提出严格要求。审计机构需具备开展个人信息保护合规审计的能力,包括专业的技术人员、法律专家、审计人员等,并拥有与服务相适应的场所、设施和资金,并鼓励相关专业机构通过认证。
此外,针对强制审计,同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展审计,以确保审计的独立性和客观性。
3、审计范围与内容
《办法》附件《个人信息保护合规审计指引》细化了27项审查重点,涵盖:
个人信息处理的合法性基础:审查个人信息处理活动是否基于合法的基础,如个人同意、履行合同必要、履行法定义务等。
个人信息处理规则:审查处理规则的形式与内容,是否履行告知义务。
特殊情形的个人信息处理活动:包括共同处理个人信息、委托处理个人信息、对外提供个人信息、个人信息转移、自动化决策处理个人信息、公开个人信息、处理敏感个人信息、处理未满十四岁未成年人的个人信息、向境外提供个人信息等。
个人信息主体权利的保障:审查具体权利的保障措施及对权利要求的响应。
个人信息保护制度和组织架构:审查制度和组织架构的完善程度。
技术措施:审查所采取的技术措施是否符合要求。
个人信息安全事件的应对:审查应急预案及响应情况。
与征求意见稿相比,《审计指引》在充分考量相关法规的更新以及广泛吸纳各方意见后,此次也做了诸多调整,例如鉴于《促进和规范数据跨境流动规定》的正式出台,对个人信息出境合规审计的关键审查要点进行了相应更新,以此做好有效衔接。
此外,在个人信息外部流转的场景下,《审计指引》将对接收方的审查事项予以全部删除。我们理解,鉴于在个人信息处理者委托处理、转移或者向其他个人信息处理者提供个人信息等情形下,个人信息处理者对接收方实施审计存在现实中的诸多困难,经综合考虑后正式稿删除了对接收方的审查事项,以此提高合规审计的可操作性。
4、处理者义务:从支持审计到整改闭环
被要求审计的处理者需承担多项义务:
支持义务:提供必要的工作条件并承担审计费用;
时限要求:在监管部门规定时间内完成审计并提交报告,复杂情况可申请延期;
整改责任:收到报告后需在15个工作日内提交整改方案,并落实后续措施。
5、明确个人信息保护负责人的设立门槛与职责
《个人信息保护法》第五十二条提出了处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人的要求,本次《办法》正式稿新增第十二条第一款,明确了处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人。
《办法》附件的《审计指引》侧面规定了个人信息保护负责人的任职条件和职责权限等事项,包括个人信息保护负责人需具备相关的工作经历和专业知识,熟悉个人信息保护相关法律、行政法规,并在个人信息处理重大事项决策前有权提出相关意见和建议,对内部不合规操作进行制止和纠正等。
第二款规定“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”设立独立的个人信息保护监督机构。何为“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”,参照《网络数据安全管理条例》对“大型网络平台”的定义,即“注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台”。
6、法律责任衔接既有法规
违规处理者将依据《个人信息保护法》等承担民事、行政乃至刑事责任,而专业机构若失职(如泄露信息或出具虚假报告),同样面临行业禁入、吊销资质等处罚。
实务问答:企业合规应对
Q1:企业如何判断是否需要每两年审计一次?
根据《办法》,所有在中国境内处理个人信息的企业都应进行合规审计。具体频次如下:处理超过 1000 万人个人信息的企业,每两年至少进行一次审计;处理未成年人个人信息的企业,每年进行一次审计;其他企业可自行确定审计频次,但建议尽快进行首次审计。
Q2:选择内部审计还是外部机构更优?
内部审计成本低但专业性受限,建议高风险企业(如金融、医疗)优先委托第三方机构;小型企业可结合成本自选。
选择第三方专业机构时,应考虑以下因素:
机构是否具备开展个人信息保护合规审计的能力,包括专业人员、场所、设施和资金等;
机构是否具备相关资质,如注册信息系统审计师(CISA)、个人信息保护合规审计师(CCRC-PIPCA)等;
机构是否具备良好的行业口碑和项目经验。
Q3:审计报告需要提交给官方吗?
强制审计的审计报告需报送监管部门,并在整改完成后 15 个工作日内向监管部门报送整改情况报告。非强制审计的审计报告则由企业自行保存,无需提交监管部门,但建议留存相关记录以备监管监察。
Q4:如何建立合规审计的长效机制?
建议企业采取体系化措施,如:
成立以高层领导为核心的专项工作领导小组,统筹安排内部各部门的协同工作;
指定个人信息保护负责人,负责个人信息保护合规审计工作;
建立跨部门协同机制,确保各部门在信息采集、处理、存储、传输等环节的职责明确;
定期开展内部风险评估和自查,及时发现并整改问题;
加强全员培训,提升员工的个人信息保护意识和能力。
Q5:审计报告有什么作用?
强制审计的审计报告需报送监管部门,并在整改完成后 15 个工作日内向监管部门报送整改情况报告。非强制审计的审计报告则由企业自行保存,无需提交监管部门,但建议留存相关记录以备监管监察。
Q6:如何处理历史遗留的合规问题?
首先,对审计过程中识别出的历史遗留问题进行风险评估,确定其对当前合规状况的影响程度,例如是否可能导致个人信息泄露、是否侵害了个人权益、是否违反了相关法律法规等。根据风险评估的结果,制定详细的整改计划。对于历史遗留问题,可能需要采取特殊的整改措施,如数据清理、系统升级、流程优化等。建议企业参照《指引》全面梳理存量数据,通过匿名化、补正授权等方式降低风险。
结语
《办法》的落地标志着我国个人信息保护从原则性立法迈向精细化实施。对企业而言,合规审计不再是“可选项”,而是生存发展的“必答题”。通过构建“自主+强制”的审计框架、引入多方监督、细化审查标准,该法规将推动形成更透明、可信的数据处理生态。未来,企业需尽快建立常态化合规机制,将审计要求嵌入业务流程,方能在数字时代行稳致远。
附:《办法》正式稿与征求意见稿对比
wanbo@boss-young.com
zhangyueqin@boss-young.com
caotianming@boss-young.com
曹律师主要执业领域为金融科技供应链金融、融资租赁、保理以及相关商事诉讼、仲裁等争议解决业务,也从事网络与软件相关知识产权、数据合规与数字化转型相关法律服务,如云存储与云计算、软件许可、数据跨境安全评估和 SCC 备案、为企业提供个人信息合规审计、数据产品挂牌与交易等法律专业专项服务。
Boss & Young Since 1995
法治兴邦·知行于信·大道向阳
使 命:让律师成为法治社会的重要助推
愿 景:法治天下·诗意栖居
价值观:可靠、高效、富有创造力,守正、相与、永葆进取心
来源:邦信阳律师事务所
编辑:鱼仔
责任编辑:高兴、陈默
声明:本文仅代表作者本人观点,不得视为邦信阳律师事务所及律师出具的正式法律意见或建议。转载请注明来自“邦信阳律师事务所”公众号。如您有意就相关议题进一步交流或探讨,欢迎与我们联系,电话:+8621 23169090,邮箱:shanghai@boss-young.com
点击“阅读原文”,登录邦信阳律师事务所官网了解更多资讯。
