個(gè)人信息保護(hù)合規(guī)審計(jì)重磅解讀（一）——個(gè)人信息保護(hù)合規(guī)審計(jì)的背景“個(gè)人信息保護(hù)合規(guī)審計(jì)”概念***出現(xiàn)于《中華人民共和國個(gè)人信息保護(hù)法》，該法提出個(gè)人信息處理者應(yīng)當(dāng)定期進(jìn)行合規(guī)審計(jì)，以及相關(guān)監(jiān)管部門可依法要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)等，但并未明確個(gè)人信息保護(hù)合規(guī)審計(jì)的具體概念、方法、范圍等實(shí)施要點(diǎn)。

為進(jìn)一步細(xì)化與落實(shí)指導(dǎo)上述個(gè)人信息保護(hù)法規(guī)定的義務(wù)工作的開展執(zhí)行，2023年8月，國家網(wǎng)信辦制定并出臺(tái)了《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法(征求意見稿)》:2025年2月14日《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》正式發(fā)布，并將于2025年5月1日正式生效。

接下安言將通過以下三期為各位帶來*****的個(gè)人信息保護(hù)合規(guī)審計(jì)解讀

l 個(gè)人信息保護(hù)合規(guī)審計(jì)的背景

l 個(gè)人信息保護(hù)合規(guī)審核的開展

l 個(gè)人信息保護(hù)合規(guī)審計(jì)的實(shí)際及總結(jié)1. 個(gè)人信息保護(hù)的監(jiān)管環(huán)境近年來，隨著數(shù)字經(jīng)濟(jì)縱深發(fā)展，個(gè)人信息保護(hù)與數(shù)據(jù)利用的矛盾日益突出，全球監(jiān)管環(huán)境呈現(xiàn)明顯強(qiáng)化趨勢(shì)。我國個(gè)人信息保護(hù)合規(guī)審計(jì)制度以《個(gè)人信息保護(hù)法》為基石，經(jīng)歷從原則性規(guī)定到實(shí)施細(xì)則的演進(jìn)過程，形成了四級(jí)制度體系：法律-行政法規(guī)-部門規(guī)章-標(biāo)準(zhǔn)規(guī)范。

上圖為我國目前有關(guān)個(gè)人信息保護(hù)的發(fā)文

2021年《個(gè)人信息保護(hù)法》第五十四條***在法律層面確立個(gè)人信息處理者的合規(guī)審計(jì)義務(wù)，但當(dāng)時(shí)缺乏具體操作指引。這一空白在2025年得以填補(bǔ)——《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》《未成年人網(wǎng)絡(luò)保護(hù)條例》及《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》相繼開始實(shí)施，構(gòu)建了層次分明、覆蓋***的監(jiān)管框架。

原文參考：

《個(gè)人信息保護(hù)法》

第五十四條 個(gè)人信息處理者應(yīng)當(dāng)定期對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)。

第六十四條 履行個(gè)人信息保護(hù)職責(zé)的部門在履行職責(zé)中，發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件的，可以按照規(guī)定的權(quán)限和程序?qū)υ搨€(gè)人信息處理者的法定代表人或者主要負(fù)責(zé)人進(jìn)行約談，或者要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)。個(gè)人信息處理者應(yīng)當(dāng)按照要求采取措施，進(jìn)行整改，消除隱患。

《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》

第二十七條 網(wǎng)絡(luò)數(shù)據(jù)處理者應(yīng)當(dāng)定期自行或者委托專業(yè)機(jī)構(gòu)對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)。

《未成年人網(wǎng)絡(luò)保護(hù)條例》

第三十七條 個(gè)人信息處理者應(yīng)當(dāng)自行或者委托專業(yè)機(jī)構(gòu)每年對(duì)其處理未成年人個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)，并將審計(jì)情況及時(shí)報(bào)告網(wǎng)信等部門。

要點(diǎn)總結(jié)：

個(gè)人信息保護(hù)合規(guī)審計(jì)的兩種新式：

1. 個(gè)人信息處理者自行開展合規(guī)審計(jì)

2. 按照履行個(gè)人信息保護(hù)職責(zé)的部門要求，委托專業(yè)機(jī)構(gòu)開展合規(guī)審計(jì)2. ***政策發(fā)布——《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》中明確事項(xiàng)：

? 明確個(gè)人信息處理者自行開展合規(guī)審計(jì)和按照履行個(gè)人信息保護(hù)職責(zé)的部門要求委托專業(yè)機(jī)構(gòu)開展合規(guī)審計(jì)的條件，合規(guī)審計(jì)機(jī)構(gòu)的選擇和合規(guī)審計(jì)的頻次。

? 明確開展合規(guī)審計(jì)的個(gè)人信息處理者應(yīng)當(dāng)履行的義務(wù)，規(guī)定個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)的部門要求開展合規(guī)審計(jì)的，應(yīng)當(dāng)為專業(yè)機(jī)構(gòu)正常開展合規(guī)審計(jì)工作提供必要支持并承擔(dān)審計(jì)費(fèi)用，在限定時(shí)間內(nèi)完成合規(guī)審計(jì)，報(bào)送合規(guī)審計(jì)報(bào)告并進(jìn)行整改。

? 明確專業(yè)機(jī)構(gòu)在合規(guī)審計(jì)中的義務(wù)，規(guī)定專業(yè)機(jī)構(gòu)應(yīng)當(dāng)具備開展合規(guī)審計(jì)的能力，遵守法律法規(guī)，明確同一專業(yè)機(jī)構(gòu)及其關(guān)聯(lián)機(jī)構(gòu)、同一合規(guī)審計(jì)負(fù)責(zé)人不得連續(xù)三次以上對(duì)同一審計(jì)對(duì)象開展個(gè)人信息保護(hù)合規(guī)審計(jì)。

? 明確履行個(gè)人信息保護(hù)職責(zé)的部門對(duì)個(gè)人信息處理者開展合規(guī)審計(jì)情況進(jìn)行監(jiān)督檢查，任何組織、個(gè)人有權(quán)對(duì)合規(guī)審計(jì)中的違法活動(dòng)向履行個(gè)人信息保護(hù)職責(zé)的部門進(jìn)行投訴、舉報(bào)，并規(guī)定個(gè)人信息處理者、專業(yè)機(jī)構(gòu)違反《辦法》規(guī)定的法律責(zé)任。

《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》共20條，發(fā)布于2025年2月14日，自2025年5月1日開始執(zhí)行。

《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》——關(guān)鍵條款

第八條 個(gè)人信息處理者按照保護(hù)部門要求開展個(gè)人信息保護(hù)合規(guī)審計(jì)的，應(yīng)當(dāng)為專業(yè)機(jī)構(gòu)正常開展個(gè)人信息保護(hù)合規(guī)審計(jì)工作提供必要支持，并承擔(dān)審計(jì)費(fèi)用。

第九條 個(gè)人信息處理者按照保護(hù)部門要求開展個(gè)人信息保護(hù)合規(guī)審計(jì)的，應(yīng)當(dāng)按照保護(hù)部門要求選定專業(yè)機(jī)構(gòu)，在限定時(shí)間內(nèi)完成個(gè)人信息保護(hù)合規(guī)審計(jì)；情況復(fù)雜的，報(bào)保護(hù)部門批準(zhǔn)后，可以適當(dāng)延長(zhǎng)。

第十條 個(gè)人信息處理者按照保護(hù)部門要求開展個(gè)人信息保護(hù)合規(guī)審計(jì)的，在完成合規(guī)審計(jì)后，應(yīng)當(dāng)將專業(yè)機(jī)構(gòu)出具的個(gè)人信息保護(hù)合規(guī)審計(jì)報(bào)告報(bào)送保護(hù)部門。

個(gè)人信息保護(hù)合規(guī)審計(jì)報(bào)告應(yīng)當(dāng)由專業(yè)機(jī)構(gòu)主要負(fù)責(zé)人、合規(guī)審計(jì)負(fù)責(zé)人簽字并加蓋專業(yè)機(jī)構(gòu)公章。

第十一條 個(gè)人信息處理者按照保護(hù)部門要求開展個(gè)人信息保護(hù)合規(guī)審計(jì)的，應(yīng)當(dāng)按照保護(hù)部門要求對(duì)合規(guī)審計(jì)中發(fā)現(xiàn)的問題進(jìn)行整改。在整改完成后15個(gè)工作日內(nèi)，向保護(hù)部門報(bào)送整改情況報(bào)告。

第十二條 處理100萬人以上個(gè)人信息的個(gè)人信息處理者應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人，負(fù)責(zé)個(gè)人信息處理者的個(gè)人信息保護(hù)合規(guī)審計(jì)工作。

提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者，應(yīng)當(dāng)成立主要由外部成員組成的**機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)合規(guī)審計(jì)情況進(jìn)行監(jiān)督。3. 《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》——**邏輯原文參考：

《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》

第三條 個(gè)人信息處理者自行開展個(gè)人信息保護(hù)合規(guī)審計(jì)的，應(yīng)當(dāng)由個(gè)人信息處理者內(nèi)部機(jī)構(gòu)或者委托專業(yè)機(jī)構(gòu)定期對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)。

第四條 處理超過1000萬人個(gè)人信息的個(gè)人信息處理者，應(yīng)當(dāng)每?jī)赡曛辽匍_展一次個(gè)人信息保護(hù)合規(guī)審計(jì)。

第五條 個(gè)人信息處理者有以下情形之一的，國家網(wǎng)信部門和其他履行個(gè)人信息保護(hù)職責(zé)的部門（以下統(tǒng)稱為保護(hù)部門），可以要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對(duì)個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)：

（一）發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在嚴(yán)重影響個(gè)**益或者嚴(yán)重缺乏安全措施等較大風(fēng)險(xiǎn)的；

（二）個(gè)人信息處理活動(dòng)可能侵害眾多個(gè)人的權(quán)益的；

（三）發(fā)生個(gè)人信息安全事件，導(dǎo)致100萬人以上個(gè)人信息或者10萬人以上敏感個(gè)人信息泄露、篡改、丟失、毀損的。

對(duì)同一個(gè)人信息安全事件或者風(fēng)險(xiǎn)，不得重復(fù)要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)。

文章內(nèi)容提到的兩大**要點(diǎn)：

4. 附件《個(gè)人信息保護(hù)合規(guī)審計(jì)指引》《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》——附件《個(gè)人信息保護(hù)合規(guī)審計(jì)指引》

《個(gè)人信息保護(hù)合規(guī)審計(jì)辦法》中明確了個(gè)人信息保護(hù)合規(guī)審計(jì)的內(nèi)容，個(gè)人信息處理者、專業(yè)機(jī)構(gòu)應(yīng)當(dāng)依據(jù)法律法規(guī)要求及《個(gè)人信息保護(hù)合規(guī)審計(jì)指引》進(jìn)行個(gè)人信息保護(hù)合規(guī)審計(jì)，個(gè)人信息保護(hù)合規(guī)審計(jì)的審查重點(diǎn)如下圖所示：

附件《個(gè)人信息保護(hù)合規(guī)審計(jì)指引》——典型條款解析

附件《個(gè)人信息保護(hù)合規(guī)審計(jì)指引》原文參考：

十、對(duì)個(gè)人信息處理者基于個(gè)人同意公開個(gè)人信息進(jìn)行合規(guī)審計(jì)的，應(yīng)當(dāng)重點(diǎn)審查下列事項(xiàng)：

（一）個(gè)人信息處理者公開其處理的個(gè)人信息前是否取得個(gè)人單獨(dú)同意，該授權(quán)是否真實(shí)、有效，是否存在違背個(gè)人意愿將個(gè)人信息予以公開的情況；

（二）個(gè)人信息處理者公開個(gè)人信息前，是否進(jìn)行個(gè)人信息保護(hù)影響評(píng)估。

《個(gè)人信息保護(hù)法》對(duì)應(yīng)解讀：

第二十五條 個(gè)人信息處理者不得公開其處理的個(gè)人信息，取得個(gè)人單獨(dú)同意的除外。

第五十五條 有下列情形之一的，個(gè)人信息處理者應(yīng)當(dāng)事前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估，并對(duì)處理情況進(jìn)行記錄：

（一）處理敏感個(gè)人信息；

（二）利用個(gè)人信息進(jìn)行自動(dòng)化決策；

（三）委托處理個(gè)人信息、向其他個(gè)人信息處理者提供個(gè)人信息、公開個(gè)人信息；

（四）向境外提供個(gè)人信息；

（五）其他對(duì)個(gè)**益有重大影響的個(gè)人信息處理活動(dòng)。

附件《個(gè)人信息保護(hù)合規(guī)審計(jì)指引》原文參考：

十一、個(gè)人信息處理者在公共場(chǎng)所安裝圖像收集、個(gè)人身份識(shí)別設(shè)備的，應(yīng)當(dāng)重點(diǎn)對(duì)其安裝圖像收集、個(gè)人信息身份識(shí)別設(shè)備的合法性及所收集個(gè)人信息的用途進(jìn)行審查。審查內(nèi)容包括但不限于：

（一）是否為維護(hù)公共安全所必需，是否為商業(yè)目的處理所收集的個(gè)人信息；

（二）是否設(shè)置了***的提示標(biāo)識(shí)；

（三）個(gè)人信息處理者所收集的個(gè)人圖像、身份識(shí)別信息用于維護(hù)公共安全以外用途的，是否取得個(gè)人單獨(dú)同意。

《個(gè)人信息保護(hù)法》對(duì)應(yīng)解讀：

第二十六條 在公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備，應(yīng)當(dāng)為維護(hù)公共安全所必需，遵守國家有關(guān)規(guī)定，并設(shè)置***的提示標(biāo)識(shí)。所收集的個(gè)人圖像、身份識(shí)別信息只能用于維護(hù)公共安全的目的，不得用于其他目的；取得個(gè)人單獨(dú)同意的除外。

附件《個(gè)人信息保護(hù)合規(guī)審計(jì)指引》原文參考：

十二、對(duì)個(gè)人信息處理者處理已公開的個(gè)人信息進(jìn)行合規(guī)審計(jì)的，應(yīng)當(dāng)重點(diǎn)審查個(gè)人信息處理者是否存在下列違法違規(guī)行為：

（一）向已公開個(gè)人信息中的電子郵箱、手機(jī)號(hào)等發(fā)送與其公開目的無關(guān)的商業(yè)信息；

（二）利用已公開的個(gè)人信息從事網(wǎng)絡(luò)**、傳播網(wǎng)絡(luò)謠言和虛假信息等活動(dòng)；

（三）處理個(gè)人明確拒絕處理的已公開個(gè)人信息；

（四）對(duì)個(gè)**益有重大影響，未取得個(gè)人同意；

（五）收集、留存或處理已公開個(gè)人信息的規(guī)模、時(shí)間或使用目的超出合理范圍。

《個(gè)人信息保護(hù)法》對(duì)應(yīng)解讀：

第二十七條 個(gè)人信息處理者可以在合理的范圍內(nèi)處理個(gè)人自行公開或者其他已經(jīng)合法公開的個(gè)人信息；個(gè)人明確拒絕的除外。個(gè)人信息處理者處理已公開的個(gè)人信息，對(duì)個(gè)**益有重大影響的，應(yīng)當(dāng)依照本法規(guī)定取得個(gè)人同意。5. 國家標(biāo)準(zhǔn)要：《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——個(gè)人信息保護(hù)合規(guī)審計(jì)要求》

《數(shù)據(jù)安全技術(shù) 個(gè)人信息保護(hù)合規(guī)審計(jì)要求》征求意見稿于2024年6月完成

《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——個(gè)人信息保護(hù)合規(guī)審計(jì)要求》發(fā)布于2025年5月

標(biāo)準(zhǔn)定位：

u 支撐《個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》關(guān)于個(gè)人信息保護(hù)合規(guī)審計(jì)要求的落地實(shí)施。

u 支撐《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》

u 充分借鑒國內(nèi)外數(shù)據(jù)保護(hù)審計(jì)、企業(yè)內(nèi)部審計(jì)、個(gè)人信息保護(hù)工作等現(xiàn)狀。

u 明確開展個(gè)人信息保護(hù)合規(guī)審計(jì)時(shí)應(yīng)滿足的審計(jì)原則、審計(jì)內(nèi)容、方法等。

u 規(guī)范個(gè)人信息處理者開展個(gè)人信息保護(hù)合規(guī)審計(jì)的行為。

標(biāo)準(zhǔn)范圍：

u 本文件提出了個(gè)人信息保護(hù)合規(guī)審計(jì)原則，規(guī)定了個(gè)人信息保護(hù)合規(guī)審計(jì)的實(shí)施要求、內(nèi)容和方法。

u 本文件適用于個(gè)人信息處理者開展個(gè)人信息保護(hù)合規(guī)審計(jì)工作，也可為相關(guān)機(jī)構(gòu)對(duì)個(gè)人信息處理活動(dòng)進(jìn)行個(gè)人信息保護(hù)合規(guī)審計(jì)提供參考。

標(biāo)準(zhǔn)的內(nèi)容框架如下圖所示：

審計(jì)實(shí)施流程解析：

個(gè)人信息保護(hù)合規(guī)審計(jì)的流程包含：審計(jì)計(jì)劃、審計(jì)準(zhǔn)備、審計(jì)實(shí)施、審計(jì)報(bào)告、問題整改、歸檔管理，這六個(gè)階段。