要点简析：《个人信息保护合规审计管理办法》正式出台

2025年2月14日，国家互联网信息办公室正式发布《个人信息保护合规审计管理办法》（以下简称“《审计办法》”），自2025年5月1日起施行。《审计办法》的发布，标志着《个人信息保护法》（以下简称“《个保法》”）所设立的个人信息合规审计制度正式进入落地实施阶段。

下文中，我们将通过问答的形式简析《审计办法》的核心要点，为企业开展个人信息保护合规审计（以下简称“合规审计”）提供参考。

一、合规审计是企业必须开展的吗？

个人信息合规审计是所有在中国境内处理个人信息的企业应当履行的合规义务。该义务明确规定于《个保法》第54、第64条和《网络数据安全管理条例》第27条。

因此，所有在境内处理个人信息的企业都应定期开展合规审计，以对个人信息保护合规落实情况进行审查、评价和监督。

二、合规审计与企业日常合规管理工作有什么差别？

根据《审计办法》，个人信息保护合规审计，是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。因此，合规审计本质是监督工作，与企业日常开展的合规管理工作（例如个人信息保护影响评估、风险评测等）存在区别。

从制度逻辑上看，独立性是审计的核心特征。一般认为，合规审计独立于日常合规管理，并作为企业的最后一道风险管理防线。从内容上看，日常合规管理工作的执行情况和有效性是合规审计的对象，日常合规管理工作所形成的评估报告、评测结果、处理记录亦为合规审计提供了重要的证据。从开展形式上，日常合规工作往往针对特定项目或单个信息处理活动而启动，合规审计则是对企业的个人信息处理活动是否遵守法律、行政法规的情况进行的整体审查和评价。

三、企业应当在何时开展合规审计？

整体上，合规审计的开展分为两种情形：一是企业自行开展的合规审计，二是监管机关在特定情形下要求企业开展合规审计。

1. 企业自行开展的合规审计

对于企业自行开展的合规审计，《个保法》第54条及《网络数据安全管理条例》第27条仅要求合规审计应“定期”开展，但未明确具体开展的频率。《审计办法》根据个人信息处理者的处理活动规模，进一步要求处理超过1000万人个人信息的个人信息处理者，应当每两年至少开展一次个人信息保护合规审计。但对于处理个人信息数量低于1000万人的个人信息处理者，《审计办法》并未设置强制性的合规审计开展频率的要求。

对此，企业在判断自行开展合规审计的频率时，我们建议企业关注和考虑以下事项：

• “1000万人个人信息”的计算。《审计办法》并未明确“1000万人个人信息”的计算标准。我们理解，实践中，企业在不同的业务场景下可能有不同的数据处理身份，例如针对A场景构成个人信息处理者，而针对B场景构成受托处理者。就B场景中企业作为受托处理者所处理的个人信息规模是否要纳入“1000万人个人信息”的计算范围，有待监管部门的进一步澄清。

• 处理未成年人个人信息的特别审计要求。根据《未成年人网络保护条例》第37条，个人信息处理者应当自行或者委托专业机构每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计，并将审计情况及时报告网信等部门。因此，企业需要结合自身的业务模式和个人信息处理活动，评估是否触发未成年人个人信息的定期合规审计要求。

• 对于信息处理规模少于1000万人个人信息的企业，在确定合规审计的频率时，我们建议企业综合考虑：自身处理个人信息的规模和敏感程度、业务和个人信息处理活动的变化情况、集团的统一的合规安排、自身数据违规、安全及泄露的情况、面临的内外部环境相关情况（如立法执法趋势、已有的监管行动、行业自律行为、过往风险评估记录等），设置合理的审计计划安排和工作体系。

• 考虑到《个保法》已经生效实施3周年，我们建议企业可以考虑在《审计办法》生效后（即2025年5月1日后），根据自身的情况，考虑在适当的时间点进行首次审计，以满足《个保法》的合规审计要求。

2. 监管机关要求企业发起的合规审计

除了企业自行开展的合规审计，监管机关有权在发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。该等情形包括：（1）发现个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险的；（2）个人信息处理活动可能侵害众多个人的权益的；（3）发生个人信息安全事件，导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的。

在监管部门要求企业发起的合规审计中，按照《审计办法》的规定，企业应当：

(1) 协助配合审计：为专业机构正常开展个人信息保护合规审计工作提供必要支持，并承担审计费用。

(2) 按时完成审计：在限定时间内完成个人信息保护合规审计；情况复杂的，报保护部门批准后，可以适当延长。

(3) 开展整改：应当按照专业机构给出的整改建议进行整改。

(4) 成果报送：将专业机构出具的合规审计报告及整改情况报送履行个人信息保护职责的部门。

四、合规审计应当由谁来具体开展？

对于企业自行开展的合规审计，可以由企业内部，或者企业自行委托第三方专业机构来完成。但对于监管部门要求企业开展的合规审计，企业必须委托第三方专业机构开展审计。

另外，《审计办法》进一步规定，处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人，负责个人信息处理者的个人信息保护合规审计工作。由于此前《个保法》第52条仅规定“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人”而未明确规定数量，《审计办法》则明确了该等数量标准。就《个保法》关于个人信息保护负责人进一步规定的“个人信息处理者应当公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门”。后续如何执行则可待监管部门另行指引。

《审计办法》也规定了，对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，其应当成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督。在实践之中，哪些企业可能会认定为该类个人信息处理者，以及该等独立机构如何设立、监督方式，也是值得继续观察的问题。

如果企业内部自行开展合规审计，企业需要注意审计团队的独立性设置。参考国家标准《数据安全技术 个人信息保护合规审计要求（征求意见稿）》，就内部审计而言，内部机构审计人员应回避自身负责的业务内容，不应直接参与被审计对象的日常业务运营、个人信息安全保护工作；未设置专职个人信息保护合规审计团队的，应在保持独立原则的前提下，分别从内审团队、安全团队、法务团队等具有审计或个人信息保护相关专业能力的团队中选派人员，来自各团队的人员比例应保持在合理范围内，并由审计组长审批人员名单。

如果企业委托第三方专业机构开展合规审计，《审计办法》要求同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计，以保证合规审计工作的客观中立性。

五、合规审计中应当审查什么事项？

《审计办法》在其附件《个人信息保护合规审计指引》（以下简称“《审计指引》”）中详细列举了个人信息处理者或其委托的专业机构在开展合审计工作时应当重点审查的事项，涉及个人信息处理规则、个人信息跨境提供规则、个人信息主体权利保障、个人信息处理者的义务、大型互联网平台特殊责任五大模块，细分为二十七个方面的核查要求。

《审计指引》中的重点审查事项与《个保法》中各章节的具体规定相对应，同时纳入了《网络数据安全管理条例》、《未成年人网络保护条例》、《信息安全技术 个人信息安全规范》等法规和国家标准的要求。

六、合规审计工作应当如何具体开展？

《审计办法》并未对合规审计的具体流程、实施管理和人员要求、证据文件要求进行规定。

在《审计办法》正式出台前，全国网络安全标准化技术委员会于2024年7月12日发布了关于国家标准《数据安全技术 个人信息保护合规审计要求（征求意见稿）》（下称“《审计要求征求意见稿》”），在国家标准层面对个人信息保护合规审计的原则、要求、流程、审计内容和方法、审计证据进行规定，并提供了审计底稿模板和审计报告模板。虽然该国家标准目前尚未发布最终版本，但其中的细化规定和文本模板对审计工作的开展具有一定的参考价值。关于国家标准《审计要求征求意见稿》的主要内容的分析，请见《君合法评丨个人信息合规审计落地又进一步——国家标准发布征求意见》。

此外，根据公开报道，全国网络安全标准化技术委员会正在研制一批个人信息保护合规审计重点标准和实践指南。该等标准和指南也将《审计办法》的落地实施提供支撑¹。我们也会持续跟进相关进展。

[1] 范科峰，中国电子技术标准化研究院副院长：专家解读｜建立健全个人信息保护合规审计制度 筑牢维护个人信息安全铜壁铁墙，https://www.cac.gov.cn/2025-02/14/c_1741232815133352.htm