企业合规风险提示与预警信息（深度研究1）【总第141期】

个人信息保护合规审计路径研究

　　随着数字经济的高速发展，个人信息保护已成为全球关注的焦点。我国近年来在个人信息保护领域持续加强立法，国家互联网信息办公室根据《中华人民共和国个人信息保护法》（以下简称《个保法》）和《网络数据安全管理条例》（以下简称《网数条例》）制定了《个人信息保护合规审计管理办法》（以下简称《办法》）及附件《个人信息保护合规审计指引》（以下简称《指引》），于２０２５年２月１２日正式发布，于２０２５年５月１日起施行。

　　个人信息保护合规审计，是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。该《办法》旨在规范个人信息处理者的合规审计活动，强化对个人信息权益的保护，标志着我国个人信息保护从原则性规定逐步转向可落地的实操要求，监管体系进一步迈向精细化、常态化。

　　本文从适用主体、触发条件、对企业开展个人信息保护审计的建议，以及如何开展个人信息保护合规审计四个方面解读《办法》核心内容，帮助企业理解合规审计的具体要求，明确责任与义务，有效开展合规审计工作，保障个人信息安全。

　　一、开展个人信息保护合规审计的主体

　　《办法》出台之前，我国《个保法》《网数条例》《未成年人网络保护条例》等法律法规已经对个人信息保护合规审计作出了部分规定：根据《个保法》第３条和第５４条，所有在中国境内开展个人信息处理活动的个人信息处理者及符合《个保法》第三条第二款规定的境外个人信息处理者均应定期开展个保合规审计，这意味着主动开展个保合规“定期审计”是企业的法定义务，但在《个保法》中并未明确“定期”的具体期限及审计操作流程及要点。出于对未成年人个人信息的特殊保护，《未成年人网络保护条例》第３７条规定了处理未成年人个人信息的个人信息处理者应当每年开展合规审计的要求。

　　本次《办法》对合规审计的适用主体作了进一步明确，即：对前述主体在中华人民共和国境内开展个人信息保护合规审计的，适用《办法》规定。对国家机关和法律、法规授权的具有管理公共事务职能的组织的个人信息保护合规审计，不适用《办法》规定。

　　二、开展个人信息保护合规审计的情形

　　根据《办法》，个人信息保护合规审计分为“强制审计”与“自主审计”两种情形：

　　１．强制审计

　　（１）类型一：处理超过１０００万人个人信息的个人信息处理者的合规审计

　　根据《网数条例》，处理超过１０００万人个人信息的个人信息处理者较其他个人信息处理者存在一定特殊性，在特定法律义务的承担上甚至等同于重要数据处理者（《网数条例》第２８条）。本次《办法》延续了《网数条例》对该类个人信息处理者的监管思路，明确要求该类处理者应当每两年至少开展一次个人信息保护合规审计，将《个保法》中不甚明确的“定期审计”直接细化到了审计频次层面，大幅提升了合规审计活动的确定性。应注意的是，该类强制审计仅指对特定处理者审计频次的强制，并未限制审计方式、审计内容等方面。

　　（２）类型二：监管部门要求个人信息处理者进行的合规审计

　　根据《办法》第５条，当个人信息处理者有以下三类情形之一的，监管部门（即国家网信部门和其他履行个人信息保护职责的部门）可以要求个人信息处理者开展合规审计：ａ．处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险的；ｂ．处理活动可能侵害众多个人的权益的；ｃ．发生涉及１００万人以上个人信息或１０万人以上敏感个人信息的安全事件的。此类审计并不完全区分个人信息处理者处理个人信息的数量，主要是从影响／侵害个人权益或缺乏安全措施等情形的风险程度出发，若个人信息处理活动落入《办法》前述三类情形之一，且监管部门要求个人信息处理者开展合规审计的，个人信息处理者就应当响应监管部门的要求，委托专业机构在限定时间内完成合规审计，并向监管部门报送审计报告。

　　２．自主审计

　　非强制审计情形下，根据《办法》第３条，个人信息处理者可通过委托（１）外部专业机构或（２）内部机构等形式定期开展合规审计活动。

　　三、如何开展个人信息保护合规审计

　　首先，在触发应当开展个人信息保护合规审计的条件后，企业首先应当确认开展审计的方式。

　　•　自行开展审计——由企业内部具备相关能力的机构进行审计；

　　•　委托专业机构开展审计——由具备开展个人信息保护合规审计的能力且有与服务相适应的审计人员、场所、设施和资金等的机构开展审计。

　　其次，应当确认审计内容与重点。《办法》附件《个人信息保护合规审计指引》明确了各场景下的审查重点。企业可以关注以下通用审查重点，并根据自身业务场景调整关注项：

　　•　合法性基础——是否就个人信息处理取得个人有效同意（如未成年人监护人同意、敏感个人信息处理的单独同意）；

　　•　透明度义务——隐私政策是否形式合规、内容完整准确；

　　•　委托处理——委托处理个人信息前，是否开展个人信息保护影响评估、是否约定委托处理的目的／期限／方式／个人信息的种类／保护措施／双方的权利义务、是否定期开展监督；

　　•　向他人提供——提供个人信息前，是否开展个人信息保护影响评估、是否取得个人的单独知情同意；

　　•　向境外提供——是否符合出境安全评估申报、认证或备案要求；

　　•　技术措施——安全技术措施是否有效、与个人信息规模／类型相适应；

　　•　并购重组——是否向个人告知接收方的名称及联系方式；

　　•　自动化决策——是否开展个人信息保护影响评估、是否提供透明化说明及拒绝选项、是否有效防止不合理的差别待遇；

　　•　权利响应——权利行使是否便捷、是否及时／完整／准确处理权利申请；

　　•　内部管理——是否建立完善的个人信息保护内部管理制度、操作规程、培训机制；

　　•　事件处置——应急预案是否安全／有效／可执行、应急处置是否及时有效降低风险。

　　最后，审计流程应规范透明。企业应当设定审计的具体步骤，例如：

　　•　编制审计计划——明确审计的目标与范围、审计依据与重点；

　　•　审计准备——包括组建审计团队，开展审前调查（例如摸排个人信息处理活动及所涉系统、个人信息保护组织架构／管理制度／技术措施），编制审计方案等；

　　•　审计实施——收集和采信审计证据（例如个人信息处理规则／处理记录／相关认证／影响评估），撰写审计底稿，确认审计发现；

　　•　审计报告——全面评估企业在个人信息保护方面的合规性，编写及交付审计报告，并提出改进建议；

　　•　整改与跟踪——针对审计过程中发现的合规问题制定整改措施，并开展跟踪审计，确保个人信息保护机制持续优化。

　　四、对企业开展个人信息保护审计的建议

　　总体来说，《办法》对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者影响较大，不仅对他们施加了强制审计义务，且提出了很多特殊审计要求，如审计平台规则的合法性、有效性及执行情况，以及发布个人信息保护社会责任报告、第三方独立监督等。建议这类企业对照《办法》及附件《指引》制定详细的定期审计方案并执行。

　　不属于《办法》规定的强制审计主体的企业，如果已经建立了较完善的个人信息保护合规管理体系，例如，已按照《办法》要求指定个人信息保护负责人，成立了专业部门负责个人信息保护合规审计工作等，如未接到国内监管机构的审计要求，宜依照《办法》按需开展自主审计。此类企业可以根据自身业务特点，例如针对敏感个人信息处理、未成年人保护、新技术使用、数据跨境传输等重点场景，开展专项合规审计。

　　同时，根据《办法》传递出的监管细化信号，企业后续的个人信息保护管理工作应对照《办法》的附件《指引》开展差距分析，通过技术和管理措施强化确保个人信息保护制度落实。

　　【声明】

　　１．本文作者为中兴通讯全球法律政策研究院徐敏、梅傲婷、郭漂洋、张丹妍，转载请联系获取授权并注明作者信息；

　　２．本期信息仅做分享与交流之用，不构成深圳市司法局的任何法律意见或决策建议，同时并不保证将会在载明日期后继续对有关内容进行更新；

　　３．不建议读者仅依赖于本文中的全部或部分内容而进行任何决策，因此造成的后果将由行为人自行负责，如您需要法律意见或者其他专家意见，建议您向具有相关资格的专业人士寻求专业帮助。