“个人信息保护合规审计”概念首次出现于《中华人民共和国个人信息保护法》,该法提出个人信息处理者应当定期进行合规审计,以及相关监管部门可依法要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计等,但并未明确个人信息保护合规审计的具体概念、方法、范围等实施要点。

为进一步细化与落实指导上述个人信息保护法规定的义务工作的开展执行,2023年8月,国家网信办制定并出台了《个人信息保护合规审计管理办法(征求意见稿)》:2025年2月14日《个人信息保护合规审计管理办法》正式发布,并将于2025年5月1日正式生效。

接下安言将通过以下三期为各位带来最全面的个人信息保护合规审计解读

个人信息保护合规审计的背景

个人信息保护合规审核的开展

个人信息保护合规审计的实际及总结

个人信息保护的监管环境

近年来,随着数字经济纵深发展,个人信息保护与数据利用的矛盾日益突出,全球监管环境呈现明显强化趋势。我国个人信息保护合规审计制度以《个人信息保护法》为基石,经历从原则性规定到实施细则的演进过程,形成了四级制度体系:法律-行政法规-部门规章-标准规范。

上图为我国目前有关个人信息保护的发文

2021年《个人信息保护法》第五十四条首次在法律层面确立个人信息处理者的合规审计义务,但当时缺乏具体操作指引。这一空白在2025年得以填补——《网络数据安全管理条例》《未成年人网络保护条例》及《个人信息保护合规审计管理办法》相继开始实施,构建了层次分明、覆盖全面的监管框架。

原文参考:

《个人信息保护法》

第五十四条 个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

第六十四条 履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施,进行整改,消除隐患。

《网络数据安全管理条例》

第二十七条网络数据处理者应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计。

《未成年人网络保护条例》

第三十七条个人信息处理者应当自行或者委托专业机构每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计,并将审计情况及时报告网信等部门。

要点总结:

个人信息保护合规审计的两种新式:

个人信息处理者自行开展合规审计

按照履行个人信息保护职责的部门要求,委托专业机构开展合规审计

最新政策发布——《个人信息保护合规审计管理办法》

《个人信息保护合规审计管理办法》中明确事项:

明确个人信息处理者自行开展合规审计和按照履行个人信息保护职责的部门要求委托专业机构开展合规审计的条件,合规审计机构的选择和合规审计的频次。

明确开展合规审计的个人信息处理者应当履行的义务,规定个人信息处理者按照履行个人信息保护职责的部门要求开展合规审计的,应当为专业机构正常开展合规审计工作提供必要支持并承担审计费用,在限定时间内完成合规审计,报送合规审计报告并进行整改。

明确专业机构在合规审计中的义务,规定专业机构应当具备开展合规审计的能力,遵守法律法规,明确同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。

明确履行个人信息保护职责的部门对个人信息处理者开展合规审计情况进行监督检查,任何组织、个人有权对合规审计中的违法活动向履行个人信息保护职责的部门进行投诉、举报,并规定个人信息处理者、专业机构违反《办法》规定的法律责任。

《个人信息保护合规审计管理办法》共20条,发布于2025年2月14日,自2025年5月1日开始执行。

《个人信息保护合规审计管理办法》——关键条款

第八条 个人信息处理者按照保护部门要求开展个人信息保护合规审计的,应当为专业机构正常开展个人信息保护合规审计工作提供必要支持,并承担审计费用。

第九条个人信息处理者按照保护部门要求开展个人信息保护合规审计的,应当按照保护部门要求选定专业机构,在限定时间内完成个人信息保护合规审计;情况复杂的,报保护部门批准后,可以适当延长。

第十条个人信息处理者按照保护部门要求开展个人信息保护合规审计的,在完成合规审计后,应当将专业机构出具的个人信息保护合规审计报告报送保护部门。

个人信息保护合规审计报告应当由专业机构主要负责人、合规审计负责人签字并加盖专业机构公章。

第十一条个人信息处理者按照保护部门要求开展个人信息保护合规审计的,应当按照保护部门要求对合规审计中发现的问题进行整改。在整改完成后15个工作日内,向保护部门报送整改情况报告。

第十二条处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人,负责个人信息处理者的个人信息保护合规审计工作。

提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督。

《个人信息保护合规审计管理办法》——核心逻辑

原文参考:

《个人信息保护合规审计管理办法》

第三条个人信息处理者自行开展个人信息保护合规审计的,应当由个人信息处理者内部机构或者委托专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

第四条 处理超过1000万人个人信息的个人信息处理者,应当每两年至少开展一次个人信息保护合规审计。

第五条个人信息处理者有以下情形之一的,国家网信部门和其他履行个人信息保护职责的部门(以下统称为保护部门),可以要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计:

(一)发现个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险的;

(二)个人信息处理活动可能侵害众多个人的权益的;

(三)发生个人信息安全事件,导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的。

对同一个人信息安全事件或者风险,不得重复要求个人信息处理者委托专业机构开展个人信息保护合规审计。

文章内容提到的两大核心要点:

        附件《个人信息保护合规审计指引》

《个人信息保护合规审计管理办法》——附件《个人信息保护合规审计指引》

《个人信息保护合规审计办法》中明确了个人信息保护合规审计的内容,个人信息处理者、专业机构应当依据法律法规要求及《个人信息保护合规审计指引》进行个人信息保护合规审计,个人信息保护合规审计的审查重点如下图所示:

附件《个人信息保护合规审计指引》——典型条款解析

附件《个人信息保护合规审计指引》原文参考:

十、对个人信息处理者基于个人同意公开个人信息进行合规审计的,应当重点审查下列事项:

(一)个人信息处理者公开其处理的个人信息前是否取得个人单独同意,该授权是否真实、有效,是否存在违背个人意愿将个人信息予以公开的情况;

(二)个人信息处理者公开个人信息前,是否进行个人信息保护影响评估。

《个人信息保护法》对应解读:

第二十五条 个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。

第五十五条 有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:

(一)处理敏感个人信息;

(二)利用个人信息进行自动化决策;

(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;

(四)向境外提供个人信息;

(五)其他对个人权益有重大影响的个人信息处理活动。

附件《个人信息保护合规审计指引》原文参考:

十一、个人信息处理者在公共场所安装图像收集、个人身份识别设备的,应当重点对其安装图像收集、个人信息身份识别设备的合法性及所收集个人信息的用途进行审查。审查内容包括但不限于:

(一)是否为维护公共安全所必需,是否为商业目的处理所收集的个人信息;

(二)是否设置了显著的提示标识;

(三)个人信息处理者所收集的个人图像、身份识别信息用于维护公共安全以外用途的,是否取得个人单独同意。

《个人信息保护法》对应解读:

第二十六条 在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。

附件《个人信息保护合规审计指引》原文参考:

十二、对个人信息处理者处理已公开的个人信息进行合规审计的,应当重点审查个人信息处理者是否存在下列违法违规行为:

(一)向已公开个人信息中的电子邮箱、手机号等发送与其公开目的无关的商业信息;

(二)利用已公开的个人信息从事网络暴力、传播网络谣言和虚假信息等活动;

(三)处理个人明确拒绝处理的已公开个人信息;

(四)对个人权益有重大影响,未取得个人同意;

(五)收集、留存或处理已公开个人信息的规模、时间或使用目的超出合理范围。

《个人信息保护法》对应解读:

第二十七条 个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。

国家标准要:《网络安全标准实践指南——个人信息保护合规审计要求》

《数据安全技术 个人信息保护合规审计要求》征求意见稿于2024年6月完成

《网络安全标准实践指南——个人信息保护合规审计要求》发布于2025年5月

标准定位:

支撑《个人信息保护法》《网络数据安全管理条例》关于个人信息保护合规审计要求的落地实施。

支撑《个人信息保护合规审计管理办法》

充分借鉴国内外数据保护审计、企业内部审计、个人信息保护工作等现状。

明确开展个人信息保护合规审计时应满足的审计原则、审计内容、方法等。

规范个人信息处理者开展个人信息保护合规审计的行为。

标准范围:

本文件提出了个人信息保护合规审计原则,规定了个人信息保护合规审计的实施要求、内容和方法。

本文件适用于个人信息处理者开展个人信息保护合规审计工作,也可为相关机构对个人信息处理活动进行个人信息保护合规审计提供参考。

标准的内容框架如下图所示:

审计实施流程解析:

个人信息保护合规审计的流程包含:审计计划、审计准备、审计实施、审计报告、问题整改、归档管理,这六个阶段。