《个人信息保护合规审计管理办法》要点解析及实务建议（中篇）

——核心要点解析及合规审计的具体流程

2025年2月14日，国家互联网信息办公室公布了《个人信息保护合规审计管理办法》（以下简称“《办法》”或“正式稿”）。《办法》自2025年5月1日起施行，目的是规范个人信息保护合规审计（以下简称“合规审计”）活动，保护个人信息权益。《办法》是《中华人民共和国个人信息保护法》（以下简称“《个保法》”）、《网络数据安全管理条例》（以下简称“《网数条例》”）、《未成年人网络保护条例》（以下简称“《未保条例》”）等法律法规中合规审计相关规定的配套法规，是合规审计制度落地的主要抓手。

《办法》的出台，从制度层面完善了事后监管的体系，构成了个人信息保护法规标准体系的重要拼图，标志着我国个人信息保护法规体系从逻辑上基本构建完成。《办法》的施行不仅将推动个人信息处理者建立健全个人信息保护管理制度，加强内部审计和风险防控，提升个人信息保护水平，而且也标志着监管机关的执法思路开始由形式合规向实质合规过渡，即经过数年的过渡期，个人信息保护的执法即将向深水区发展。

我们提示涉及到个人信息处理的企业以及高管和担任信息安全官、合规官、法务官、个人信息保护负责人等职务的同仁高度重视《办法》的施行，并建议相关市场主体在《办法》生效后尽快推动个人信息保护合规审计工作的进行，避免在《办法》施行后因未及时履行该法定义务导致企业和个人受到重大损失。为前述目的，我们总结分析了《办法》的出台背景、主要内容以及合规建议，供相关市场主体及管理人员参考。

鉴于本文内容相对较长，为便于阅读，我们将把本篇文章分为上中下三篇陆续发布。上篇主要是溯源，本篇为中篇（规则篇），将集中对办法构建的合规审计制度及合规审计流程进行解析，具体包括：

Ÿ   合规审计制度核心要点解析；

Ø  合规审计中的角色

Ø  合规审计的标的

Ø  合规审计的类型与触发条件等

Ø  针对专业机构的具体要求

Ø  两项重要的制度性补充

Ø  合规审计审查内容与审查事项

Ÿ   合规审计的具体流程；

Ø  审计准备

Ø  审计实施

Ø  审计报告

Ø  问题整改

Ø  归档管理

一、合规审计制度核心要点解析

1.合规审计中的角色

合规审计中的涉及到的主要角色为监管机关、合规审计的义务主体和受托执行主体（如第三方专业机构等）。

（1）监管机关

鉴于合规审计的立法依据为《个保法》，因此合规审计的监管机关同样应为《个保法》项下的监管机关，即履行个人信息保护职能职责的部门（以下简称“保护部门”，指国家网信部门和其他履行个人信息保护职责的部门），《办法》第5条支持了此观点。

根据《办法》，保护部门有权对个人信息处理者开展个人信息保护合规审计情况进行监督检查。在监管审计的情形下，保护部门可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计；个人信息处理者按照保护部门要求开展合规审计后，应提交合规审计报告；保护部门有权对这些报告进行审核，确保审计活动的真实性和有效性；保护部门还有权对个人信息处理者整改情况进行监督，确保其按照要求对合规审计中发现的问题进行整改。对于个人信息处理者、专业机构在合规审计中违反《办法》规定的行为，保护部门有权依照相关法律法规进行处理。

（2）合规审计的义务主体

如前文所述，我们将合规审计区分为自行审计和监管审计两种类型。就自行审计，《个保法》第54条规定“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计”；就监管审计，《个保法》第64条第1款规定，保护部门发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以“要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计”。据此，无论是自行审计还是监管审计，其义务主体均为个人信息处理者。在自行审计的情况下，个人信息处理者有义务建立合规审计的相关制度和管理体系，确定审计频次、审计方式、审计流程等问题；在监管审计的情况下，个人信息处理者应按照监管机关的要求委托专业机构进行合规审计。

需要留意的是，根据《办法》第19条，“对国家机关和法律、法规授权的具有管理公共事务职能的组织的个人信息保护合规审计，不适用本办法”。即，如果个人信息处理者是前述组织，则其不会成为《办法》项下合规审计行为的义务主体。

（3）受托执行主体

根据《办法》第3条，自行审计应当“由个人信息处理者内部机构或者委托专业机构”定期进行合规审计。因此，在自行审计的情形下，受托执行主体既包括个人信息处理者的内部机构（如法务团队、信息安全团队、数据保护专员等，此时该受托处理机构不具有独立主体的地位），也可以是外部的专业机构。根据《办法》第5条，监管审计的情形下，保护部门可以要求个人信息处理者“委托专业机构”进行合规审计。因此，在监管审计的情形下，受托执行主体只能是外部的专业机构。

虽有前述区别，但因为外部专业机构具有专业性强、独立性高等特征，所以其审计结论相较个人信息处理者内部机构出具的结论通常更容易被监管机关采信。因此，实务中，即便是自行审计，我们通常也会建议客户尽可能采用外部专业机构的方式进行合规审计。

2.合规审计的标的

关于合规审计的标的，根据《办法》第2条第2款，应为“个人信息处理者的个人信息处理活动”。由于《办法》未对合规审计的标的做进一步的详细区分，因此理论上合规审计应为全面审计，相应地合规审计的标的应包括个人信息处理者的所有个人信息处理活动。

虽然如此，但是个人信息处理者的具体情形千差万别，对于规模较小、业务场景较为简单、合规体系相对完善的个人信息处理者，进行全面审计可能难度不是那么大，但是对于规模较大、业务场景较为复杂、合规体系不够完善的个人信息处理者，开展全面审计可能存在较大困难。因此，我们认为，在现阶段，针对短期内很难完成全面审计的个人信息处理者，可以考虑对其个人信息处理场景进行优先级排序并优先针对核心业务涉及的个人信息处理活动尽快完成合规审计。

当然，虽有前述建议，但我们必须提示大家，依据《个保法》、《网数条例》、《未保条例》等法律法规，定期开展个人信息保护合规审计是个人信息处理者必须履行的法定义务。

3.合规审计的类型与触发条件等

如上篇所述，根据《个保法》和《网数条例》，我们将合规审计区分为自行审计和监管审计两种类型。《办法》进一步明确了这两种分类并规定了更加明确及可执行的制度。

（1）自行审计

依据《个保法》第54条及《网数条例》第27条，个人信息处理者或网络数据处理者应定期对其个人信息处理活动遵守法律法规的情况进行合规审计，定期进行合规审计因此成为了个人信息处理者必须履行的、普遍性的法定义务。《办法》第3条重申了上述规定，并在第4条中进一步明确了针对规模以上的个人信息处理者的审计频次要求。

①. 自主审计

《办法》第3条规定，个人信息处理者“自行开展个人信息保护合规审计的，应当由个人信息处理者内部机构或者委托专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计”。结合《个保法》、《网数条例》的相关规定，并依据《办法》的前述规定，我们理解，个人信息处理者均应履行定期合规审计的义务，具体的方式为可以由自身内部机构执行审计，也可以委托具备专业能力的外部机构进行。但该条款未明确规定“定期”审计的具体时间间隔，因此赋予了个人信息处理者较大的自主权，使其更具灵活性、自主性，在一定程度上可以降低企业尤其是中小微企业的合规成本。在自主审计的情形下，法律并未规定明确的触发条件，但由于定期进行合规审计为个人信息处理者的法定义务，因此我们认为处理个人信息即构成进行自主审计的触发条件。

②. 强制审计

《办法》第4条规定，“处理超过1000万人个人信息的个人信息处理者，应当每两年至少开展一次个人信息保护合规审计”。《办法》第3条为一般要求，《办法》第4条为特殊要求。个人信息处理者首先应遵守《办法》第3条的要求，即应“定期”进行合规审计，然后在满足了“处理超过1000万人个人信息”的条件后，还应遵守《办法》第4条关于审计频次的进一步要求，即必须至少每两年进行一次个人信息保护合规审计。

在自行审计范畴内，无论企业是否达到处理1000万人个人信息的规模，均可选择由内部机构或委托具备专业能力的外部机构执行合规审计。

（2）监管审计

依据《个保法》第64条及《网数条例》第27条，保护部门在履行职责中，“发现个人信息处理活动存在较大风险或者发生个人信息安全事件的”，可以“要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计”。《办法》第5条进一步明确了监管审计的触发条件以及监管审计的具体执行要求。

①. 监管审计的触发条件

根据《办法》第5条，个人信息处理者有以下三种情形之一的，保护部门有权要求个人信息处理者委托专业机构进行合规审计：

l  个人信息处理活动存在严重影响个人权益或安全措施严重不足等较大风险；

l  个人信息处理活动可能侵害大量个人的合法权益；

l  发生个人信息安全事件，导致100万人以上的个人信息或10万人以上的敏感个人信息泄露、篡改、丢失或毁损。

在上述情况下，个人信息处理者必须委托专业机构进行合规审计，而不能由企业内部机构自行执行，以确保审计的专业性和独立性。

②. 监管审计的具体执行要求

鉴于监管审计的特殊性和重要性，《办法》第8条、第9条、第10条、第11条规定了监管审计的具体流程和一系列的具体执行要求。

A.   专业机构选定

个人信息处理者应按照保护部门的要求选定具备开展个人信息保护合规审计能力（参加下文“4.针对专业机构的具体要求”部分）的专业机构，应为专业机构正常开展个人信息保护合规审计工作提供必要支持，并承担审计费用。

B.   实施审计

专业机构应参照《审计指引》的要求，对个人信息处理者的个人信息处理活动进行全面审查和评价。个人信息处理者需在限定时间内完成个人信息保护合规审计，情况复杂的可报保护部门批准后适当延长。

C.   提交报告

专业机构完成合规审计后，应当出具“个人信息保护合规审计报告”，并将报告提交给个人信息处理者，个人信息处理者应将报告报送保护部门。该报告应由专业机构主要负责人、合规审计负责人签字并加盖专业机构公章，内容应真实、准确、完整。

D.   问题整改

个人信息处理者应当按照保护部门要求对合规审计中发现的问题进行整改，并在整改完成后15个工作日内向保护部门报送整改情况报告。

4.针对专业机构的具体要求

为确保专业机构的专业性和中立性，《办法》明确规定了专业机构应具备的能力，并提出了若干禁止性要求，具体如下：

（1）专业机构应具备的能力及职业操守

根据《办法》第7条，“专业机构应当具备开展个人信息保护合规审计的能力，有与服务相适应的审计人员、场所、设施和资金等。鼓励相关专业机构通过认证。专业机构的认证按照《中华人民共和国认证认可条例》的有关规定执行”。即，现阶段，法律仅对专业机构做出原则性的要求，关于“审计人员、场所、设施和资金”等的具体要求须待监管机关未来进一步澄清。但同时，监管机关鼓励专业机构通过认证，认证由认证机构按照《中华人民共和国认证认可条例》的有关规定执行，认证机构负责对申请个人信息保护合规审计服务能力的专业机构进行认证。通过认证，可以在一定程度上证明专业机构在个人信息保护合规审计方面的专业性和可靠性。但是，需要特别注意的是，《办法》仅鼓励专业机构通过认证，并未强制要求专业机构一定要通过认证。因此，我们认为，即使未通过认证的专业机构，只要具备“开展个人信息保护合规审计的能力，有与服务相适应的审计人员、场所、设施和资金等”，即可开展个人信息保护合规审计业务，该等专业机构可以包括律师事务所、会计师事务所、咨询公司等第三方服务机构。

（2）针对专业机构的禁止性规定

为了保障专业机构能够客观、公正、专业地开展合规审计工作，同时切实保障个人信息处理者及相关方的合法利益，《办法》针对专业机构规定了多项禁止性规定，具体如下表所示。

5. 两项重要的制度性补充

（1）个人信息保护负责人的设置标准

根据《办法》第12条第1款，“处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人，负责个人信息处理者的个人信息保护合规审计工作。提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督”。

《个保法》第52条第1款虽然规定了处理个人信息达到国家网信部门规定数量的组织应指定个人信息保护负责人，但关于什么是“达到国家网信部门规定数量”的问题长期未得到解答。《办法》第12条从合规审计的角度回应了此问题。虽然此回应是从合规审计的角度进行的，但鉴于立法层面关于此问题的解答长期阙如，我们理解《办法》确立的此项标准在实务中将成为判断个人信息处理者是否需要设置个人信息保护负责人的主要依据，具有重要意义。

（2）合规审计中的“守门人”制度

根据《办法》第12条第2款，“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督”。

此项制度实际上是《个保法》第58条在《办法》中的延伸或反映。针对“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”，按照《个保法》第58条的要求本就应设立“主要由外部成员组成的独立机构”（以下简称“守门人”）对该等个人信息处理者的“个人信息保护情况进行监督”，显然对合规审计情况进行监督也是题中应有之义。但是截至目前尚未解决的问题是，对于什么是“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”目前尚无清晰地的界定，也需要待监管机关在相关立法或执法中予以进一步澄清。但我们认为，现阶段实务中如需对此做出判断，则可以参考《网数条例》第62条项下“大型网络平台”的定义。

6.合规审计审查内容与审查事项

《办法》后附的《审计指引》通过系统梳理个人信息保护相关法律和行政法规的关键要点，并从合规审计的视角深入细化，总结概括了合规审计主要审查内容及重点审查事项。该等主要审查内容共26项，涵盖了个人信息处理合法性基础、自动化决策的透明度、敏感信息的处理规范等个人信息保护的关键问题，旨在为企业提供全面的合规审计指导。结合《审计指引》与《审计要求》（征求意见稿），我们可以对合规审计形成体系性的认知。鉴于篇幅关系，此部分内容不在本篇展开，我们将在下篇进行解析。

二、合规审计的具体流程

《办法》虽然构建了合规审计的制度框架，并在后附的《审计指引》中规定了合规审计的主要审计内容和重点审查事项，但是并未明确合规审计的具体流程。但作为《办法》配套标准的《审计要求》（征求意见稿）在其附录中为合规审计的流程提供了非常详细的指引。根据《审计要求》（征求意见稿），合规审计的具体流程通常应包括审计准备、审计实施、审计报告、问题整改以及归档管理阶段等。以下我们简要总结了此部分内容，供大家参考。

（1）step 1:审计准备

建立审计组：企业可以选择内部审计或者外部审计。内部审计由公司内部的专业团队进行，通常包括法务团队、信息安全团队、数据保护专员等。这些团队对公司的业务流程、个人信息处理活动以及相关政策有深入的了解，能够更准确地评估合规性。外部审计聘请具备专业资质和独立性的第三方审计机构进行。外部审计机构通常拥有更广泛的行业经验和专业知识，能够提供更客观、全面的审计结果，并帮助公司发现潜在的风险和漏洞。

开展审前调查：企业应当收集相关资料，包括公司的个人信息处理政策、流程图、操作规程、培训记录、投诉与举报处理情况等。并与公司相关部门进行沟通，了解个人信息处理的具体流程、关键环节以及存在的风险点。基于收集到的资料和业务流程分析，初步评估个人信息处理活动的风险等级，确定审计的重点和范围。

编制与确定审计方案：根据审前调查的结果，明确审计的具体目标，如评估个人信息处理的合规性、发现风险点、提出改进建议等。将审计方案提交给相关领导或审计委员会进行审批，确保审计工作的合法性和有效性。

（2）step 2：审计实施

在审计实施的过程中，确保审计工作的有效性和合规性至关重要，审计实施的步骤包括但不限于下发审计通知、审计现场首次会、收集审计证据、采信审计证据、撰写审计底稿、确认审计发现、审计现场末次会。需要注意的是，在审计通知中，应清晰说明审计的目的、范围、时间安排以及需要被审计单位准备的材料等问题，以便被审计单位能够充分理解并配合审计工作。收集审计证据时，应注重证据的多样性，包括书面文件、电子数据、访谈记录等，以确保证据的全面性和客观性。不得侵犯他人的合法权益，如隐私权、商业秘密等。在确认审计发现前，应与被审计单位进行沟通，听取其意见和解释，确保审计发现的准确性和客观性。

审计实施过程中应撰写并留存审计底稿，审计底稿应内容完整、记录清晰、结论明确，客观反映审计方案的编制及实施情况，以及与形成审计结论、意见和建议有关的所有重要事项。审计人员应对取得的审计证据进行评价分析、对发现的问题进行定性并形成审计发现。

在审计底稿完成后，审计人员应及时将底稿发送给个人信息处理者管理层，并邀请他们提出反馈意见和异议。如个人信息处理者有异议的，则应就异议点进行深入讨论，必要时可要求提供额外的证据或解释。如果异议合理且证据充分，则审计人员应对审计结论进行调整。如果异议不合理或缺乏充分证据支持，则审计人员应维持原审计结论并予以记录。审计完成后需要被审计方对审计问题进行正式确认。

（3）step 3:审计报告

在审计报告阶段，需要执行两个关键项目：一是进行异议解决，确保所有反馈意见均得到有效的沟通处理，并应将沟通结果和审计结论归档保存；二是撰写并交付审计报告，以正式记录审计结果和建议。《审计要求》（征求意见稿）附录E提供了“个人信息保护合规审计报告模板”，为审计人员提供了明确、统一的报告撰写指南。审计报告的内容应包括但不限于：审计概况、审计依据、审计结论、审计发现、审计意见、审计建议等。审计报告完成应由审计机构的负责人完成报告提交工作：内部审计的，由审计组长签字并提交给组织负责人或个人信息保护负责人；外部审计的，由审计组长、专业机构负责人签字并加盖公章后，在商定的时间内容提交给委托方。

（4）step 4:问题整改

此阶段的核心任务是根据审计报告中详细列出的问题清单和提出的改进建议，被审计单位需要深入分析问题根源，制定出一套全面、具体且可行的整改计划，并立即着手实施。整改过程中，不仅要确保所有问题得到逐一解决，还要建立起一套有效的跟踪审计机制，通过定期的检查、评估和报告，持续监测整改措施的执行情况和问题的改善进度，确保整改工作不仅停留在纸面上，而是真正转化为实际行动和成果。

（5）step 5:归档管理

要求对所有在审计过程中产生的文件、报告、证据材料、整改记录以及与审计相关的往来函件等档案资料，进行系统化、规范化的收集和整理。归档管理不仅要确保这些资料的物理安全，防止丢失或损坏，还要利用现代信息技术手段，如电子档案管理系统，实现资料的数字化存储和高效检索，以便于未来可能的审计复查、内部审查、法律诉讼或知识传承等需求。此外，归档管理还涉及到对档案资料的保密处理，确保敏感信息不被泄露，维护公司和个人隐私的安全。