随着信息技术的飞速发展，个人信息被企业、机构甚至个人广泛收集使用，其在为社会带来便利的同时，也引发了诸多问题，如个人信息泄露、滥用等，导致个人权益受到侵害，个人信息保护与利用之间的矛盾日益凸显。

《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）《网络数据安全管理条例》等法律法规对个人信息处理者开展合规审计作出了规定。为有效落实以上法律法规的要求，国家互联网信息办公室（以下简称“网信办”）在今年2月12日发布了《个人信息保护合规审计管理办法》（以下简称《办法》）（自2025年5月1日起施行），旨在细化《个人信息保护法》的合规要求，强化企业主体责任，推动形成可操作的审计监督机制。本文结合实务经验，从出台背景、重点规定、案例分析及合规建议等方面展开分析。

一、出台背景

《办法》的出台是对《个人信息保护法》第五十四条、第六十四条关于“定期合规审计”要求的落地响应，亦是应对现实需求的必然之举。此前，企业对“如何开展审计”“审计范围与标准”缺乏统一指引，导致合规成本较高且效果不明显。同时，近年来个人信息泄露、滥用事件频发，监管部门也需通过审计手段对企业数据治理全流程跟踪，以提升执法效能。随着全球数据跨境流动规则趋严（如欧盟GDPR审计机制），《办法》的出台也为我国企业参与国际竞争提供了合规对标依据。

二、重点规定

（一）审计主体与责任划分

1. 强制审计主体。

根据《办法》第四条的规定，负有审计义务的对象为处理超过1000万人个人信息的个人信息处理者，审计频次为每两年至少开展一次个人信息保护合规审计。

个人信息处理者既可以自行审计，也可以依要求审计。根据《办法》第五条的规定，依要求审计的情形包括个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险、个人信息处理活动可能侵害众多个人的权益、发生导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的个人信息安全事件等三类情形。

2. 审计机构资质。

根据《办法》第七条的规定，专业机构应当具备开展个人信息保护合规审计的能力，有与服务相适应的审计人员、场所、设施和资金等。实践中，该专业机构可能是具备网络安全、数据合规专业能力的律师事务所、会计师事务所等第三方机构。

根据《办法》第十三条至第十五条的规定，并结合有关行业规范可知，专业机构需遵守法律法规，诚信正直，公正客观地作出合规审计职业判断，对履职中获得的个人信息、商业秘密、保密商务信息等依法予以保密，不得泄露或非法向他人提供，并在合规审计工作结束后及时删除相关信息。同时，不得转委托其他机构开展个人信息保护合规审计，同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。

（二）审计内容与流程标准化

1.审计流程与报告。

个人信息处理者应参照《办法》的附件《个人信息保护合规审计指引》（以下简称《指引》）开展合规审计，该指引对个人信息保护相关法律、行政法规的关键要点作了梳理，从合规审计的角度进行细化。

个人信息处理者按照要求开展合规审计后，需将专业机构出具的合规审计报告报送国家网信部门和其他履行个人信息保护职责的部门（以下统称为保护部门），并按照要求对发现的问题进行整改，在整改完成后15个工作日内向保护部门报送整改情况报告。

2.审计重点。

根据《指引》内容，笔者将合规审计的重点概括如下：

（1）合法性基础审查。确保个人同意是自愿、明确且在充分知情的前提下作出，处理目的或方式变更时需重新取得同意。未取得同意时，需符合法定豁免情形。

（2）处理规则告知义务。需以显著、易懂的方式告知处理规则（如名称、联系方式、信息种类、处理方法等）。线上线下告知需便于理解，规则变更应及时通知。

（3）共同处理与委托处理。共同处理需明确各方权利义务、安全机制及事件报告流程。委托处理需签订合同约定目的、保护措施，并定期监督受托方。

（4）自动化决策与公开信息。自动化决策需透明、公平，提供拒绝机制，防止歧视性待遇。公开个人信息需单独同意，并评估潜在影响。

（5）敏感信息与未成年人保护。处理生物识别、医疗健康等敏感信息需取得个人同意，未成年人信息需监护人同意。处理目的应合法、必要，并提前进行影响评估。

（6）跨境传输与删除权。跨境传输需通过安全评估、认证或签订标准合同，并符合网信部门备案要求。删除权需在目的达成、期限届满、撤回同意等情形下及时执行。

（7）个人权利保障。提供便捷的申请受理机制，及时响应查阅、复制、删除等权利请求。拒绝请求需说明理由，并对处理规则提供通俗化解释。

（8）技术措施与内部管理。应采取加密、去标识化等技术保障数据安全。建立内部管理制度，包括分类管理、应急预案、教育培训、投诉处理等。

（9）应急响应与平台责任。制定全面应急预案并定期演练，安全事件需及时响应和通报。大型平台要确保规则合法，合理界定责任，并通过社会责任报告披露保护成效。

3.强化监督管理。

根据《办法》第十六条和第十七条的规定，保护部门对个人信息处理者开展合规审计情况进行监督检查，任何组织、个人有权对合规审计中的违法活动向履行个人信息保护职责的部门进行投诉、举报，相关部门应当依法及时处理，并将处理结果告知投诉、举报人。同时，《办法》第十八条明确了个人信息处理者、专业机构违反《办法》规定的法律责任。

三、合规建议

结合《办法》要求及实务经验，企业应从以下层面应对，构建常态化审计体系。

制度层面，建立审计内控机制。个人信息处理者应依照法律法规制定内部管理制度和操作规程，明确组织架构、岗位职责，建立工作流程、完善内控制度，保障个人信息处理合规与安全。例如，制定个人信息保护工作的方针、目标、原则，确保其符合法律、行政法规规定；根据个人信息的种类、来源、敏感程度、用途等，对个人信息进行分类管理；加强人员培训与教育，按计划对管理人员、技术人员、操作人员、全员开展相应的安全教育和培训，并对相应人员的个人信息保护意识和技能进行考核，确保其具备足够的专业知识和能力，以应对个人信息保护合规审计的要求。

技术层面，嵌入合规审计工具。部署自动化审计系统，实时监控个人信息处理活动（如数据流向日志、权限变更记录）；对高风险场景（如跨境传输、生物识别信息处理）设置专项审计模块。同时，对于涉及敏感个人信息、未成年人个人信息、向境外提供个人信息等特殊情形，个人信息处理者应严格遵守相关法律法规的规定，采取严格的技术保护措施，并在合规审计中重点关注这些方面的合规性。

合作层面，严控第三方风险，合理选择专业机构。一是在与供应商、合作方的协议中增设“审计协助条款”，明确其配合提供数据、系统访问权限的义务；对第三方处理个人信息活动开展“穿透式审计”，避免责任转嫁。二是在需要委托专业机构进行合规审计时，个人信息处理者应综合考虑专业机构的能力、信誉、经验等因素，选择具备相应资质和能力的机构，并在委托过程中明确双方的权利义务，确保审计工作的顺利开展。

应对层面，积极配合审计，善用审计结果减免责。个人信息处理者应为专业机构正常开展合规审计工作提供必要支持，如提供相关资料、配合调查等，并按照要求承担审计费用。对于审计中发现的问题应及时进行整改，并在规定时间内向保护部门报送整改情况报告。根据《中华人民共和国行政处罚法》第三十二条以及《中央企业合规管理指引（试行）》等相关规定，通过审计报告主动披露合规瑕疵并及时整改，或可作为减轻、从轻处罚的情节。在数据安全事件应对中，审计记录可作为已履行勤勉义务的证明降低其法律风险。

《办法》的出台标志着我国个人信息保护合规从“原则性要求”迈入“可验证实施”阶段。企业需以审计为抓手，将合规要求嵌入业务全链条，方能实现可持续发展。

【作者：谢佳超，北京天驰君泰（杭州）律师事务所】

【责任编辑：王丽】