全国网络安全标准化技术委员会发布《网络安全标准实践指南——个人信息保护合规审计要求》

　　【合规资讯】

　　2025年5月26日，全国网络安全标准化技术委员会发布《网络安全标准实践指南——个人信息保护合规审计要求》（以下简称《指南》），旨在指导个人信息处理者及专业机构开展合规审计活动，保护个人信息权益。《指南》明确了个人信息保护合规审计原则，规定了总体要求、实施流程、审计内容与方法，适用于各类个人信息处理主体及专业审计机构开展相关合规审计工作，为规范个人信息保护合规审计活动提供了具体标准指引。（资讯分类：境内，信息传输、软件和信息技术服务业，数据和隐私保护；资讯来源：全国网络安全标准化技术委员会）

　　【合规提示】

　　建议企业：一是依据处理个人信息的规模建立适配的审计体系：处理100万人以上信息的企业应指定个人信息保护负责人，处理1000万人以上信息的企业需配备至少10名审计人员（含1名高级、3名中级资质人员）。审计团队需保持独立性，内部审计人员不得参与被审计对象的管理决策，外部专业机构不得连续三次以上对同一企业开展审计。二是审计需贯穿个人信息收集、使用、存储、跨境等全流程。重点核查知情同意机制（如敏感信息单独同意、未成年人监护人同意）、处理规则规范性（如收集清单明确性、保存期限合理性）、自动化决策透明性（如提供非个性化选项、解释说明机制）。三是加强审计结果应用与持续改进机制。将合规审计结果纳入企业高层决策与风险管理流程，作为评估数据合规管理体系有效性的重要依据；同时结合监管动态与技术发展，持续优化审计标准与防护措施，提升整体数据治理能力。

[ 期号：20250516-20250531]