《个人信息保护合规审计管理办法》要点解析及实务建议（上篇）

——立法背景、正式稿的重大变化与概念辨析及几个关联文件的关系解析

作者：中伦文德律师事务所 徐云飞律师团队

2025年2月14日，国家互联网信息办公室公布了《个人信息保护合规审计管理办法》（以下简称“《办法》”或“正式稿”）。《办法》自2025年5月1日起施行，目的是规范个人信息保护合规审计（以下简称“合规审计”）活动，保护个人信息权益。《办法》是《中华人民共和国个人信息保护法》（以下简称“《个保法》”）、《网络数据安全管理条例》（以下简称“《网数条例》”）、《未成年人网络保护条例》（以下简称“《未保条例》”）等法律法规中合规审计相关规定的配套法规，是合规审计制度落地的主要抓手。《办法》的出台，从制度层面完善了事后监管的体系，构成了个人信息保护法规标准体系的重要拼图，标志着我国个人信息保护法规体系从逻辑上基本构建完成。《办法》的施行不仅将推动个人信息处理者建立健全个人信息保护管理制度，加强内部审计和风险防控，提升个人信息保护水平，而且也标志着监管机关的执法思路开始由形式合规向实质合规过渡，即经过数年的过渡期，个人信息保护的执法即将向深水区发展。

我们提示涉及到个人信息处理的企业以及高管和担任信息安全官、合规官、法务官、个人信息保护负责人等职务的同仁高度重视《办法》的施行，并建议相关市场主体在《办法》生效后尽快推动个人信息保护合规审计工作的进行，避免在《办法》施行后因未及时履行该法定义务导致企业和个人受到重大损失。为前述目的，我们总结分析了《办法》的出台背景、主要内容以及合规建议，供相关市场主体及管理人员参考。

鉴于本文内容相对较长，为便于阅读，我们将把本篇文章分为上中下三篇陆续发布。在上篇中，在我们将重点解析以下三个方面的内容：

Ÿ   立法背景回顾，包括制度和实践层面的探索以及《办法》正式稿对《个人信息保护合规审计管理办法（征求意见稿）》（以下简称“《征求意见稿》”）（2023年8月3日国家互联网信息办公室发布征求意见稿向社会公开征求意见）的重大修改；

Ÿ   概念辨析：分析个人信息保护影响评估（以下简称“PIA”）和合规审计的关联与区别；

Ÿ   几个重要关联文件（《办法》、《个人信息保护合规审计指引》（以下简称“《审计指引》”）和《数据安全技术 个人信息保护合规审计要求（征求意见稿）》（以下简称“《审计要求（征求意见稿）》”）之间的关系。

一、立法背景

1、在制度和实践层面的探索

在《办法》正式出台前，我国已经有一系列的法规标准规定了合规审计相关制度。并且，为了推动合规审计制度的落地，相关机构也就此开展了一些有益的探索工作。

①. 在制度层面

《个保法》第54条、第64条在法律层面确立了合规审计制度，《网数条例》第27条在行政法规层面进一步明确规定了合规审计制度。

根据《个保法》第54条，个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计（以下简称“自行审计”）；根据《个保法》第64条，履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计（以下简称“监管审计”）。《网数条例》第27条规定网络数据处理者应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计。此外，在《办法》出台前，亦有若干其他领域的立法涉及到合规审计，如未成年人保护领域和若干行业领域，我们收集并整理了《办法》出台前我国涉及到合规审计的法规标准（按照文件出台时间顺序排列，已出正式稿的，不含征求意见稿），具体如下。

为了将合规审计制度落到实处，国家互联网信息办公室制定出台了《办法》，《办法》详细规定了个人信息保护合规审计活动的外延和内涵、合规审计参与方的角色定位、合规审计机构的选择、合规审计的频次等事宜，合规审计制度从此由原则性规定过渡到了实操层面。《办法》本身的法律性质为部门规章，但其上位法既包括作为法律的《个保法》，也包括作为行政法规的《网数条例》和《未保条例》。并且，《办法》出台前，在未成年人网络保护、电信和金融领域已呈现出一定程度的标准先行的态势。

而作为法律从业人员，从实务角度，我们更关注《办法》本身（包括作为《办法》附件的《审计指引》），以及作为《办法》配套标准的《审计要求（征求意见稿）》，该等文件将成为《办法》未来在实务中落地的主要抓手。但如果未来的相关业务涉及到未成年人或上表中提及的具体行业，则相关的法规标准也将成为重要的法律依据或参考。

②. 在实践层面

全国网络安全标准化技术委员会（以下简称“网安标委”）、中国信息通信研究院等机构牵头，在国家互联网信息办公室、工业和信息化部等主管机关的指导下，就合规审计开展了一系列探索工作。例如，中国信息通信研究院牵头发布了《关于推进个人信息保护合规审计的若干建议》，启动了个人信息保护合规审计领航计划，开启了合规审计的探索工作。网安标委针对《审计要求（征求意见稿）》牵头开展了合规审计的试点工作。试点工作选取了互联网、金融、交通、医疗、电信等重点行业及领域的36家单位，作为首批标准应用的先锋试点，试点工作为后续标准的完善和全国推广奠定了基础。

2、与《征求意见稿》相比较，《办法》正式稿的重大变化

（1）审计主体与频次的调整

• 征求意见稿：规定处理超过100万人个人信息的个人信息处理者，应当每年至少开展一次个人信息保护合规审计；其他个人信息处理者应当每二年至少开展一次。

• 正式稿：规定处理超过1000万人个人信息的个人信息处理者，应当每两年至少开展一次个人信息保护合规审计；对其他个人信息处理者不再有审计频次的要求，仅要求“定期”进行合规审计。正式稿提高了审计主体的门槛，仅对处理超过1000万人个人信息的个人信息处理者才有审计频次的要求，并且将审计频次从每年一次降低到了两年一次；对处理未超过1000万人个人信息的个人信息处理者则不再有审计频次的要求。正式稿的上述修改体现了监管机关集中力量办大事的思路。虽有前述规定，但我们提示相关主体，按照《个保法》的要求，虽然对处理未超过1000万人个人信息的个人信息处理者不再有审计频次的要求，但是其仍应进行定期审计，但法律将审计频次的决定权交给了个人信息处理者。

（2）审计触发条件的细化

• 征求意见稿：较为笼统地规定了个人信息处理者自行开展或按监管部门要求开展合规审计的情形。

• 正式稿：对个人信息处理者自行开展合规审计的触发条件仍然未做详细规定，但详细列举了监管审计的触发条件，如个人信息处理活动存在严重影响个人权益或严重缺乏安全措施等较大风险、可能侵害众多个人的权益、发生个人信息安全事件等。该等细化规定进一步明确了标准，提升了有关监管审计认知的确定性，有助于相关主体理解和遵守《办法》的相关要求。

（3）对审计机构的要求

• 征求意见稿：初步提出了对审计机构的要求，如保持独立性和客观性，不得转委托第三方等。

• 正式稿：进一步明确了审计机构应具备的能力条件，如有与服务相适应的审计人员、场所、设施和资金等，并鼓励相关专业机构通过认证。同时，强调了审计机构在审计过程中的保密义务和不得连续三次以上对同一审计对象开展审计的限制，以确保审计的独立性和公正性。

（4）对审计机构配合义务的要求

• 征求意见稿：对审计流程的描述相对简略。

• 正式稿：详细规定了个人信息处理者在审计过程中的配合义务，如为专业机构提供必要支持、承担审计费用、保证专业机构正常行使审计权限等。同时，明确了审计的完成时限和审计报告的报送要求，提高了审计流程的规范性和可操作性。

（5）对个人信息保护负责人和独立监督机构的要求

• 征求意见稿：未提及题述内容。

• 正式稿：明确规定处理100万人以上个人信息的处理者应当指定个人信息保护负责人；同时，对于提供重要互联网平台服务、用户数量巨大或业务类型复杂的处理者，还应成立主要由外部成员组成的独立监督机构，负责监督个人信息保护合规审计的执行情况。

（6）不适用本《办法》的情形

• 征求意见稿：无例外规定。

• 正式稿：明确排除了国家机关和法律、法规授权的具有管理公共事务职能的组织。这些组织往往涉及国家安全、公共利益等重要方面，其个人信息处理活动应受到更为严格的法律、法规约束和监管。《办法》中的一般性规定难以完全适用于这些组织，因此《办法》明确规定了对其不适用。

二、PIA和合规审计的关联与区别

PIA和合规审计是个人信息保护的重要工具，二者既存在密切的关联，又存在重大区别，在个人信息保护框架体系中处于不同的地位，均为个人信息保护框架体系中的重要组成部分。

1.核心关联

（1）共同目标：保障合规与风险管理

PIA与合规审计均为个人信息保护框架体系中的重要工具，它们的共同目标在于保障组织在处理个人信息时的合规性，进行风险管理。两者相辅相成，均为个人信息保护的关键环节，有助于维护个人权益，促进个人信息的合规利用，降低组织因不合规行为而面临的法律风险。

（2）流程衔接：事前预防与事后审查的结合

事前预防：PIA是在特定类型个人信息处理启动前应进行的重要工作，旨在事前评估风险，并提出合法、有效且与风险程度相适应的保护措施。

事后审查：合规审计则通常在个人信息处理过程中或完成后开展，以事后验证企业是否遵循了相关法律法规及PIA提出的建议。

例如，某款App在上线前会通过PIA来评估用户数据收集可能带来的风险，并在PIA中建议实施加密措施以保护用户数据安全；随后，审计团队会在App上线后检查这些加密措施是否得到了实际落实。

（3）风险管理：构成闭环并动态更新

常规的风险管理流程始于PIA，终于合规审计，并构成一个不断循环递进的过程。PIA阶段通过识别潜在风险并制定相应控制措施来奠定基础；实施阶段将控制措施付诸实践；合规审计阶段则对措施的执行情况进行严格检查，同时可能揭示新的风险点，从而进入下一个风险管理流程。单个的风险管理流程实际上是一个从PIA到实施、审计、反馈修正的闭环，但这个流程是动态变化并不断循环的，启动新的业务或发现新的风险后均有可能继续启动这个流程，从而在动态变化中确保个人信息处理活动的合规性与风险管理的持续优化。

（4）合规证据：交叉支持

PIA报告作为企业履行“合规义务”的重要证明，详细记录了个人信息保护影响评估的过程和结果，为合规性提供了有力支持。而审计报告则直接反映了组织在实际操作中是否达到了合规标准，通过对内部控制和执行情况的全面检查，进一步证明了合规状态。两者相辅相成，共同为监管机构提供了全面、可靠的审查依据，确保合规工作的有效性和透明度。

2.核心区别

PIA和合规审计均为个人信息保护的重要手段，但它们在对象、目的、实施时间和内容等方面存在诸多区别。

（1）对象

PIA：针对的是特定类型的个人信息处理。根据《个保法》第55条，个人信息处理者应对如下五种情形事前进行个人信息保护影响评估：处理敏感个人信息；利用个人信息进行自动化决策；委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；向境外提供个人信息；其他对个人权益有重大影响的个人信息处理活动。需要留意的是，虽然法律规定的是五种情形，但是第五种情形实际上是一个兜底条款，实质上需要进行PIA的情形并不止五种，实务中如有其他可能对个人权益有重大影响的个人信息处理活动，我们通常也会建议客户进行PIA。

合规审计：针对是个人信息处理者的全部个人信息处理活动。根据《办法》第2条，合规审计“是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动”。该定义并未区分特定情形，因此根据常规逻辑，合规审计应该是针对个人信息处理者的全部个人信息处理活动的。当然，实务处理的时候，我们理解可以针对业务的重要程度建立合规审计的优先顺序。

（2）目的

PIA：目的侧重于在特定类型个人信息处理活动实施前，前瞻性地识别潜在的个人信息保护风险，评估这些风险对个人权益的影响程度，以便提前采取措施降低风险，防患于未然，保障个人信息主体的合法权益。

合规审计：主要是对个人信息处理者已经开展的个人信息处理活动进行检查，判断其是否符合法律法规、标准规范等要求，发现已经存在的不合规问题，督促个人信息处理者进行整改，以确保其活动的合法性和规范性。

（3）实施时间

PIA：通常在特定类型个人信息处理活动规划阶段，当出现新的处理技术、业务流程变更等可能带来风险的情况时进行，是一种预防性的措施，是事前行为。

合规审计：一般在个人信息处理活动已经开展一段时间后进行，是对既定处理活动的回顾性检查，以验证是否合规，是事后行为。

（4）内容与重点

PIA：评估个人信息处理活动的目的、方式等是否合法、正当、必要；关注个人信息处理可能对个人权益造成的影响，如对个人的自由、安全、财产等方面的潜在风险；审查个人信息处理者采取的安全措施是否合法、有效并与风险程度相适应。

合规审计：审查个人信息处理者是否遵守法律法规，如《个保法》等相关法律的具体条款要求。审核个人信息处理者的管理制度和流程是否完善，包括是否建立了个人信息保护政策、内部审批流程等。核实个人信息处理者在数据收集、存储、使用、共享、删除等各个环节的操作是否符合规范。审查个人信息处理者对违规事件的处理和记录情况，是否及时报告和处理个人信息安全事件等。

三、《办法》、《审计指引》与《审计要求（征求意见稿）》之间的关系

《办法》、《审计指引》以及《审计要求（征求意见稿）》共同构成了合规审计落地的完整的法规体系。《办法》是由国家互联网信息办公室制定的政府规章，旨在实现《个保法》、《网数条例》等法律、行政法规中规定合规审计制度的落地，规定了合规审计的基本制度、审计机构的选择、审计频次、个人信息处理者和专业机构的义务等宏观要求。《审计指引》是《办法》的附件，提供了相对具体的审计要点及审计事项等操作性指导。《审计要求（征求意见稿）》则是网安标委针对《办法》同步制定的配套的推荐性国家标准，规定了合规审计的原则和具体的实施要求，提供了具体的操作规范和最佳实践指南；虽然《审计要求（征求意见稿）》目前尚处于征求意见阶段，但因其内容的可执行性，现阶段实际上也已经可以作为合规审计工作的重要参考了。