《个人信息保护合规审计管理办法》：个人信息保护的“安全阀”与“风向标”

标签：合规业务-网络安全与数据合规，数字经济，电信、传媒、娱乐与高科技-数据及隐私权保护

引言

2025年2月14日，国家互联网信息办公室正式发布《个人信息保护合规审计管理办法》（以下简称“《审计办法》”）及其附件《个人信息保护合规审计指引》（以下简称“《审计指引》”），自2025年5月1日起施行。《审计办法》的发布，标志着《个人信息保护法》（以下简称“《个保法》”）及《网络数据安全管理条例》（以下简称“《网数条例》”）所设立的个人信息保护合规审计制度正式进入落地实施阶段。本文将立足于法律实践角度，深入解读其中对个人信息处理者的合规工作方向和趋势，以供社会各界参考。

一、出台背景与意义

个人信息保护合规审计制度是合规审计制度在数字化时代进行延伸与拓展的必然结果，其核心目的是分析判断个人信息权益在数字化时代中受到保护的状况与效果，并同时对个人信息保护合规的监管资源进行有效补充，为监管部门的治理活动提供抓手与支撑[1]。《审计办法》及《审计指引》的渊源扎根于我国日益完善的数据保护法律体系之中。具体而言，基于《个保法》第五十四条和六十四条的规定，个人信息处理者肩负着定期开展合规审计法定义务，且在“有较大风险”或“发生安全事件”的特定情况触发时，还需依照监管部门的要求，委托专业机构进行审计，前述规定确立了合规审计在个人信息保护领域的地位。与此同时，《网数条例》细化了个人信息处理活动的要求，进一步强调了个人信息处理活动中“大型网络平台服务提供者”作为“网络数据处理者”的合规审计义务。上述上位法为《审计办法》及《审计指引》的应运而生提供了坚实的法律依据，使得《审计办法》及《审计指引》得以在整体法律框架下顺势延伸，并得以具体实施，为后续的实践操作铺就了法治之路。

《审计办法》及《审计指引》是一套规范个人信息保护合规审计工作的制度性文件。其中，合规审计是对个人信息处理者的个人信息处理活动是否遵守法律、行政法规情况进行审查和评价的监督活动。落地个人信息处理者的审计义务，包括履行自行审计的要求以及在特定情形下按监管部门要求进行审计的情形，同时，《审计办法》亦对审计机构的选择与管理、审计报告与整改要求等作出了规定。《审计指引》则进一步为个人信息处理者提供了细化的重点审查事项参考，涉及包括但不限于个人信息处理的合法性基础与处理规则、敏感个人信息与未满14周岁未成年人个人信息处理、个人信息跨境传输、个人信息安全保障措施以及个人信息主体权利保障等方面的审查要点，为个人信息处理者实践合规审计工作提供了具体、可操作的指引，协助企业更加有效地开展数据合规风险防控前置工作。

二、核心规则要点剖析与解读

1. 个人信息处理者是否必须至少每两年一次开展合规审计？

从实践角度出发，参考《审计办法》及其出台背景和渊源，当前《审计办法》配套了全面且层次分明的个人信息保护审计体系。首先，个人信息保护的合规审计为《个保法》《网数条例》规定的个人信息处理者的法定义务。《审计办法》虽然以处理超过1000万人个人信息的标准作为强制定期（每两年至少一次）开展合规审计的主体数量门槛，但对于未超过处理1000万人个人信息的处理者而言，《审计办法》对相关个人信息处理者提供了一定的自主空间，未规定审计频次的最低标准，但相关个人信息处理者，仍应依据自身实际情况或相关法律法规的要求制定审计计划，以切实履行个人信息保护义务。同时，我们注意到上述理解通过《审计办法》中提出的、有关处理100万人以上个人信息的个人信息处理者需指定“个人信息保护负责人”开展个人信息保护合规审计工作的要求中也得到进一步印证和强化。

目前《审计办法》并未设置明确的个人信息主体数量的作为合规审计门槛，因此合规审计对于个人信息处理者而言是履行个人信息保护的法定义务的普适性要求。就处理超过 1000 万人个人信息的处理者而言，因其数据体量庞大、存在一定潜在风险，《审计办法》予以至少每年两一次的最低频次要求作为监督检查标准，协助相关个人信息处理者及时发现并遏制可能出现的大规模信息泄露等合规问题。就未达到处理1000万人门槛的个人信息处理者而言，则可以自行确定合理的合规审计周期。考虑计划审计周期时，建议除了横向考虑全量业务场景、运营场景，同时可以纵向考虑业务发展和数据量规模的增长情况综合安排审计频率。

2. 个人信息处理者应如何判断自身适用的审计情形

《审计办法》就被动触发合规审计的情形进行了明确，具体而言，首先，《审计办法》以风险导向原则规定，将存在严重影响个人权益、严重缺乏安全措施的或可能侵害一定范围的众多个人信息主体权益的个人信息处理活动纳入了被动开展合规审计的情形；其次，就涉及个人信息安全事件的情形，《审计办法》明确了具体的个人信息数量，即导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的个人信息处理活动也可以被国家网信部门和其他履行个人信息保护职责的部门（以下简称“保护部门”）要求由外部专业机构开展合规审计。关于《审计办法》所确定的审计类型、审计方式、审计主体及实施要点与意义请见下方总结：

基于上述论述，我们理解保护部门可以根据具体的个人信息处理活动的具体情况要求被动审计的企业委托独立审计机构开展合规审计工作。但实践中不排除个人信息处理者触发被动审计的三种情形，但保护部门合理评估后仍可以采取内部审计的可能。

此外，值得注意的是，就“发生个人信息安全事件，导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的”的被动审计情形而言，我们理解，如果在前述情形导致个人信息主体的权益产生损害后果的，根据《网络安全法》与《个保法》的规定，相关个人信息处理者及其直接负责的主管人员可能直接面临责令改正、警告、没收违法所得、处以罚款等行政处罚措施。但是，此次《审计办法》对于此种情形所提出的赋权保护部门要求个人信息处理者进行合规审计、报送审计合规报告与进行整改的内容，或许可以被视为一种在违规行为与行政处罚之间所构建的“及时止损”的缓冲措施，换言之，或许我们可以合理期待的是，违规企业如妥善根据保护部门的要求完成了相关个人信息保护合规审计与整改工作，导致个人信息主体的权益免受损害的，企业或有望免去后续可能涉及的进一步行政处罚措施。

3. 合规审计范畴

（1）保护部门范畴的扩大是否可能对企业合规工作带来进一步的压力？

从监管部门层面而言，我们注意到个人信息保护合规审计的监管部门从《个人信息保护合规审计管理办法（征求意见稿）》中的《审计办法》中的监管部门从原征求意见稿中的“国家互联网信息办公室”调整扩充为《审计办法》中规定的“保护部门”，后者涵盖了国家网信部门和其他履行个人信息保护职责的多部门。这一转变适应了当前更加顺应了个人信息保护工作跨领域、多维度与监管部门多元化的特性。我们初步理解，其他履行个人信息保护职责的部门应包含工信部、公安部等监管部门，其中，工信部在通信网络数据管理方面具备专业优势，能有效监管信息传输过程中的安全问题；而公安部门则可能对于涉嫌犯罪的个人信息处理活动在此发挥监管职权。最终地，例如工信部门可以发挥通信网络数据管理方面专业优势，有效监管信息传输过程中的安全问题。我们理解，当前《审计办法》通过多部门协同监管的局面可以实现从数据源头收集、网络传输到最终使用环节的全链条覆盖的监管合力，一定程度上提升监管效能，为个人信息安全筑牢防线，亦为相关个人信息处理者的合规审计情况的评估工作提供更加专业的帮助。

（2）个人信息处理者具体应如何安排内部机构或委托第三方专业机构或二者协同开展合规审计工作？

• 就个人信息处理者的内部机构而言，《审计办法》就“处理100万人以上个人信息”的明确了指定个人信息保护负责人和部分处理者应成立主要由外部成员组成的独立机构的要求。基于此，自行开展合规审计的个人信息处理者组织和成立合规审计工作组存在一定的必要性。首先，从工作协调性角度，如可以调用个人信息处理活动全链条的工作部门参与审计工作可以提高对相关个人信息处理方式、范围理解度准确性，保障全面审计之前提。其次，从提升内部合规审计的独立性角度，实践中的个人信息处理活动，通常由个人信息处理的业务前端和合规后端协同完成。同理，在自查的合规审计中，协同个人信息处理者内部全链条工作部门亦可以发挥各个部门之间相互监督、独立和促进的作用，在保证审计效率的同时，为审计结果的独立性、专业性及全面性打好基础。
• 就专业机构而言，《审计办法》例举了可以由保护部门要求委托专业机构开展审计工作的三种情形，并就“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”提出应当成立主要由外部成员构成的独立审计机构，一定程度上把控潜在个人信息保护风险较为不稳定的情形，也是进一步强调了合规审计机构的独立性。同时，我们注意到《审计办法》鼓励相关专业机构通过一定的认证程序，明确了具备专业合规审计能力的专业机构，即配有与服务相适应的审计人员、场所、设施及资金的关键要素专业机构可以出具合规审计报告。参考审计项目的一般实践经验，在个人信息处理者开展合规审计前可以列定审计计划，充分考虑审计内容和自身业务实践后，基于自身情况评估和委托项目所需的第三方专业机构或其他中介。

4. 合规审计内容调整背后的权衡与挑战

（1）个人信息处理者应如何把握合规审计的范围？

《审计办法》聚焦于个人信息处理者这一核心主体在履行个人信息保护合规义务的情况，对个人信息受托处理人、信息接收方、转移方履行合规义务并未提出直接审计的要求，减轻了企业负担。但同时，在实际操作中，这些主体与个人信息处理者往往紧密关联，个人信息流转合作方审计的情况也可能引发新的合规挑战。例如，个人信息处理者委托第三方进行数据处理，虽处理者需监督受托方，但审计时缺乏对受托方直接审查，可能导致受托方违规处理信息却难以及时发现。这可能进一步提高了个人信息处理者需要强化内部管理，建立更严格的受托方筛选、监督和责任追溯机制，确保个人信息流转全流程合规的标准。同时，保护部门可能将在未来探索间接的监督方式以待平衡个人信息处理流程中的合规压力。

其次，如本文前述所示，合规审计独立机构监督方式在本次发布的《审计办法》中也有所转变，同时我们注意到《审计办法》对审计过程及情况的合规性提出更高的要求。个人信息处理者需要在审计成果中如实、详细地展示独立监督机构的工作情况，包括监督措施、发现问题及整改结果等，并接受公众监督。对于大型互联网平台企业，这有助于增强公众信任，但也对企业信息披露的真实性和完整性提出了挑战。

（2）合规审计的结论是否可以作为有证明效力的依据？

我们初步理解，个人信息处理者开展合规审计取得成果的作用可能具有一定的局限性。专业机构和其他中介作为独立第三方开展合规审计，运用其专业知识、技能和经验对个人信息处理活动进行审计并发表专业意见，旨在提高审计报告的可信赖程度。然而，由于合规审计标准存在一定的固有限制，例如：合规审计的依据可能大多是说服性的而非结论性的依据；或基于审计目标的需要和成本效益原则，可能存在选择性审计测试。因此，合规审计工作并不能对最终审计报告整体不存在重大错报提供绝对保证。仅能取决于专业机构及专业审计人员系统、专业的评估及相对充分且适当的证明材料对个人信息处理者的合规水平提供合理保证。虽然个人信息处理者可以根据审计意见对自身合规方案及合规效果作出某种判断或作为一定的合规依据，但审计结果并不能为个人信息处理者的合规效果及能力提供保证。面对合规审计潜在的报错风险时，个人信息处理者仍需参考行业合规水位保持相对独立及警觉的态度，采取多角度、方面论证的方式重新调查。

5. 个人信息保护合规实践的参考思路

本次出台的《审计办法》及《审计指引》就部分个人信息保护合规义务的履行提出了更为细化的实施要求，间接为个人信息处理者提供了可参考的合规参考思路。例如，就个人信息处理规则的告知要求而言，《审计指引》提出了颗粒度更细的审计要求，包括但不限于从告知文本的大小、字体与颜色评估是否便于个人完整阅读告知事项，以及通过线下告知是否通过标注、说明等多种方式评估向个人履行告知义务的合规情况，我们理解，前述要求可以侧面为企业事先履行告知义务提出参考依据。再例如，对个人信息处理者处理已公开的个人信息进行合规审计的，《审计指引》提出了数种审计的负面情形，如是否向已公开个人信息中的电子邮箱、手机号等发送与其公开目的无关的商业信息，以及是否利用已公开的个人信息从事网络暴力、传播网络谣言和虚假信息等活动等，该等负面情形实际上也为企业提供了关于“在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”的判断依据。我们理解，诸如此类《审计办法》中的合规审计事项其实可以侧面为企业就如何事先履行相关个人信息保护合规义务提供参考意见。但与此同时，我们理解《审计指引》中也同样存在需要进一步分析或待监管部门澄清的审查内容，例如在对向境外提供个人信息进行合规审计过程中，判断“是否向被列入限制或者禁止个人信息提供清单的组织和个人提供个人信息”这一内容所需依据的标准与规定还有待进一步释义。

三、应对策略与合规工作方向

聚焦本次所出台的《审计办法》，我们理解，企业应当从如下方面应对《审计办法》所提出的各项审计义务。

1. 盘点全部个人信息处理活动场景与甄别特殊个人信息处理活动内容。《审计办法》适用个人信息处理者所开展的全部个人信息处理活动，换言之，《审计办法》并未提出有关个人信息审计义务的豁免场景。因此，我们理解，实践中企业应当盘点业务开展与内部管理过程中所涉及的、针对不同个人信息主体的全部个人信息处理活动场景，包括但不限于：在对外开展业务的过程中所涉及的用户个人信息处理活动，对内经营过程中所涉及的员工个人信息处理活动或合作伙伴联系人个人信息处理活动等，从而避免在审计活动开展的过程中遗漏相关个人信息处理活动。此外，鉴于《审计指引》细化规定了不同个人信息保护的审计事项，且尤其就共同处理个人信息、委托处理个人信息、转移个人信息、利用个人信息开展自动化决策、处理公开个人信息等特殊的个人信息处理活动分别提出了重点审查事项，我们理解企业应尤其注意甄别不同个人信息处理场景下所涉及的特殊种类个人信息处理活动内容，从而进一步明确自身所需履行的审计义务所聚焦的范围。

2. 组建个人信息保护合规审计内部机构。企业应当组建事先组建自行开展审计活动的内部机构并明确其组成成员，尤其地，对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者而言，还需要根据《审计办法》的要求专门组建外部独立机构。但无论是内部机构或外部独立机构，在选拔组成人员的过程中，企业均应当注意从如下方面进行考虑：首先，关注相关组成人员的在个人信息保护方面的法律与合规专业知识与技能，也即是否熟悉我们有关个人信息保护的相关合规要求，以及具备一定的信息技术知识可以评判个人信息保护技术措施的有效性。其次，应当注意相关组成人员在履行职责过程中是否能够具备高度的独立性与客观性，换言之，审计人员应当保持与被审计对象的独立性，如不应参与被审计个人信息处理活动所涉及的业务规划或日常业务运营活动、不应与相关业务活动存在法律纠纷，从而避免产生利益冲突所产生的审计结果偏差，从这个角度而言，我们理解个人信息保护合规审计工作的内部组织构成可能具有一定流动性与灵活性，需根据被审计对象的实际情况对人员构成予以动态调整，但企业至少可以实现确定好内部机构的组成框架，如至少包括法律与合规人员、信息技术人员、业务负责人等。第三，相关组成人员应当负有对于审计工作内容的保密义务，其需确保开展审计工作中所知悉的个人信息与企业商业秘密等关键信息具有完整性与秘密性。对此，我们建议企业与内部机构组成人员签署相关保密协议，并对比较关键的任职人员事先开展背景调查。

3. 制定自行与被动开展个人信息审计活动的内部管理制度。《审计办法》的实施意味着个人信息保护合规审计工作将成为企业内部的一项主动性的、常规化与系统化的合规事项，我们理解企业有必要事先考虑以制定相关内部管理制度与机制的形式内化《审计办法》所提出的各项审计要求，并分别就自行开展与被动开展两种情形下的审计活动制定工作流程或应对措施。具体而言，首先，企业应当明确该制度的适用范围（如是否适用于子公司等分支机构、所涵盖的业务范围）、开展个人信息保护合规审计工作的原则性要求、相关内部机构的组织架构及其所应当承担的职能（例如合法性基础审查与评价工作是否归属法务合规人员、技术措施有效性评价工作是否归属于信息安全人员等），并根据《审计指引》的内容明确开展审计工作的目标、内容、频率、形成审计报告的要求与内部汇报的机制。值得注意的是，就被动审计而言，虽然企业在该情形下需要委托外部第三方机构开展具体的审计工作，但企业亦有必要事先以内部管理机制的方式明确被动审计下企业与保护部门进行沟通对接的相关要求，包括明确与保护部门进行对接、上传下达保护部门的指导意见、执行保护部门的整改意见的部门及负责人、向保护部门进行报告整改情况的对象与时间要求等，从而积极配合与有效执行保护部门的审计要求。

4. 制定第三方专业审计机构的筛选与管理流程。一方面，《审计办法》对于委托外部专业机构进行个人信息保护合规审计提出了一定资质条件，如要求专业机构应当具备开展个人信息保护合规审计的能力，有与服务相适应的审计人员、场所、设施和资金等，并鼓励相关专业机构通过认证等；另一方面，由于专业机构所出具的审计意见与过程记录对于公司具有较大的自证合规的价值，因此，我们建议企业就专业机构的选拔、甄别同样制定内部筛选流程。首先，企业应当明确筛选与确认专业管理机构的内部责任部门，如选任专业机构时，需同时经法务合规部门、内部审计部门与采购部门提供审批意见。其次，在甄选过程中，企业应当优先选择诸如国家网信部门会同相关部门建立的个人信息保护合规审计专业机构推荐目录中的机构（如有）、具备相关资质认证、具有较高的市场声誉的专业机构。第三，在合作过程中，企业应当在与相关专业机构签署合作协议时注意要求专业机构遵守法律法规，诚信正直，公正客观地作出合规审计职业判断，对在履行个人信息保护合规审计职责中获得的企业的个人信息、商业秘密、保密商务信息等应当依法予以保密，不得泄露或者非法向他人提供，要求专业机构在合规审计工作结束后及时删除相关信息，并提出不得转委托其他机构开展个人信息保护合规审计等合作要求。最后，在管理层面，由于《审计办法》规定同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计，所以企业应当要求负责专业机构合作的内部部门持续关注与专业机构的合作情况，并注意及时更换专业机构。

5. 完善与个人信息保护合规审计工作密切相关的其他内部机制，如个人信息保护影响评估机制、个人权利响应内部处理流程、任命个人信息保护负责人。我们注意到，在《审计指引》所列出的各项重点审查事项中，部分内容再次向企业就《个保法》下所涉及的合规要求的履行情况敲响了警钟。例如，首先，是否在法定场景下开展个人信息保护影响评估是审计活动中所关注的重点内容，但是根据我们的经验，个人信息保护影响评估工作在实践当中还存在尚未被大多数企业完全落地执行的现实情形，此处《审计办法》的出台再一次就企业开展个人信息保护影响评估工作的要求敲响警钟。其次，《审计办法》要求在对个人权利保护情况进行审计的过程中，提出了审查“是否建立便捷的个人行使权利的申请受理机制和处理机制”的要求，同样，根据我们的观察，实践中大多数企业通过在隐私政策中明确个人行权受理机制等向个人提供了形式个人信息保护权利的方式与渠道，但是内部尚未形成系统化的个人信息权利响应处理机制，对此，我们理解企业有必要回顾自身构建该权利响应处理机制的实践情况，尽快形成或完善该权利响应内部处理机制，明确接收、响应、处理、反馈个人权利主张的相关部门及其职责，以及预备设计相关应对话术，确保主张权利的个人能够在法律规定的时间内获得妥善的处理结果或有效的解释说明。最后，实践中，企业通常会关注自身是否满足需要任命个人信息保护负责人的条件，本次《审计指引》明确提出，处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人，我们理解，该规定为企业提供了十分明确的判断标准，满足该个人信息处理阈值的企业宜尽快任命个人信息保护负责人，并将负责个人信息保护合规审计等工作要求列入其职责范围。

结语

中国实施个人信息保护合规审计的核心目的在于通过系统性监督确保个人信息处理活动的合法性与安全性，其意义则体现在平衡数据利用与权益保护、推动数字经济可持续发展。作为中国在数字化浪潮中构建治理框架的又一关键抓手，其价值不仅在于监督检查或纠错惩处，更在于通过制度化约束引导技术向善，最终服务于国家治理现代化与高质量发展目标。

扫码订阅“金杜律师事务所”，了解更多业务资讯