《个人信息保护合规审计管理办法》要点解析及实务建议（下篇）

——合规审计业务中的审计内容、审查证据和审查方法

2025年2月14日，国家互联网信息办公室公布了《个人信息保护合规审计管理办法》（以下简称“《办法》”或“正式稿”）。《办法》自2025年5月1日起施行，目的是规范个人信息保护合规审计（以下简称“合规审计”）活动，保护个人信息权益。《办法》是《中华人民共和国个人信息保护法》（以下简称“《个保法》”）、《网络数据安全管理条例》（以下简称“《网数条例》”）、《未成年人网络保护条例》（以下简称“《未保条例》”）等法律法规中合规审计相关规定的配套法规，是合规审计制度落地的主要抓手。

《办法》的出台，从制度层面完善了事后监管的体系，构成了个人信息保护法规标准体系的重要拼图，标志着我国个人信息保护法规体系从逻辑上基本构建完成。《办法》的施行不仅将推动个人信息处理者建立健全个人信息保护管理制度，加强内部审计和风险防控，提升个人信息保护水平，而且也标志着监管机关的执法思路开始由形式合规向实质合规过渡，即经过数年的过渡期，个人信息保护的执法即将向深水区发展。

我们提示涉及到个人信息处理的企业以及高管和担任信息安全官、合规官、法务官、个人信息保护负责人等职务的同仁高度重视《办法》的施行，并建议相关市场主体在《办法》生效后尽快推动个人信息保护合规审计工作的进行，避免在《办法》施行后因未及时履行该法定义务导致企业和个人受到重大损失。为前述目的，我们总结分析了《办法》的出台背景、主要内容以及合规建议，供相关市场主体及管理人员参考。

鉴于本文内容相对较长，为便于阅读，我们将把本篇文章分为上中下三篇陆续发布。上篇为溯源篇，中篇为规则篇，本篇为下篇实操篇。本篇依托《审计指引》和《审计要求（征求意见稿）》，综合分析并总结了合规审计业务的审计内容、审查证据和审查方法，希望能够对相关业内人士的具体业务起到一定的参考作用。本篇章节以《审计指引》中的26项审查内容为纲，经归类总结而成，具体如下：

Ÿ   针对合法性基础的合规审查；

Ÿ   针对个人信息权利保障的合规审查；

Ÿ   针对告知义务履行情况的合规审查；

Ÿ   针对多方数据处理的合规审查；

Ÿ   针对利用自动化决策处理个人信息的合规审查；

Ÿ   针对敏感个人信息处理的合规审查；

Ÿ   针对个人信息出境的合规审查；

Ÿ   针对内部措施的合规审查；

Ÿ   针对PIA的合规审查；

Ÿ   针对安全事件及其应对的合规审查；

Ÿ   针对重要互联网平台的合规审查。

但是由于实操的内容仍然过于庞杂，所以我们不会对每种类型的合规审查的审查证据和审查方法均做全面的介绍，仅会在每种类型中选择一两项做示范性说明，但我们会尽量以表格的形式将审查内容罗列出来，以便参考。

一、    针对合法性基础的合规审查

针对合法性基础的合规审查，《审计指引》规定了多项审查内容，但是原则上可以区分为基于同意的合法性基础和非基于同意的合法型基础。

所属类型、《审计指引》对应条文及审计内容如下表所示：

就审计证据和审计方法，我们在基于同意的合法性基础和非基于同意的合法性基础中各选择一项作为示例进行说明：基于同意的合法性基础中我们选择了“二、对合法性基础进行审计的”项下的“个人同意是否是在个人充分知情的前提下明确、自愿做出的”；非基于同意的合法性基础中我们选择了“十一、对在公共场所安装图像收集、个人身份识别设备进行审计的”项下的“是否设置了显著的提示标识”两种情形作为示例进行说明。具体如下：

关于个人同意是否是在个人充分知情的前提下明确、自愿做出的。审计证据通常包括隐私政策/个人信息保护政策、企业提供的有关征得个人同意机制的说明以及取得个人同意的具体记录文本。审计方法上，通常应充分审查取得个人同意的相关文件内容，如隐私政策、同意函等，审查其内容说明是否充分，是否足以保障个人充分了解该等文件的内容，审查是否存在默认同意、强制同意、欺骗诱导等行为，并应审查取得同意的实例记录，以验证其真实性。

关于是否设置了显著的提示标识。审计证据通常为显著提示标志。审计方法上，通常应充分审查是否为公共场所的图像采集和身份识别设备设置了显著的提示标志；审查提示标志的内容、大小、位置和可见度，确保公众可以轻易注意到；审查图像采集、身份识别设备本身是否清晰可见。

二、    针对告知义务履行情况的合规审查

对于告知义务的履行情况，审计过程中应重点审查两大核心场景，分别为针对内容的审查和针对程序的审查。针对内容的审查指针对个人信息处理规则自身内容的真实性、完备性和准确性进行的审查，针对程序的审查指针对个人信息处理者就个人信息处理规则是否充分履行了告知的程序义务的审查。前者侧重审查个人信息处理规则内容的合规性，即个人信息处理规则是否涵盖了《个保法》及相关配套法规标准要求的所有关键信息；后者侧重审查个人信息处理者在履行告知义务时所采取的方式的合规性，即所采取的方式是否足以确保个人能够在充分知情的前提下自愿做出同意（包括个人信息处理者认为不需要告知个人的判断依据是否合规等）。

《审计指引》对应条文及审计内容如下表所示：

就审计证据和审计方法，我们选择“是否以清单等便于查看的形式列明所收集的个人信息及其处理方式和种类”及“个人信息处理规则发生变更的，是否将变更内容及时告知个人”两种情形作为示例进行说明。具体如下：

关于是否以清单形式列明所收集的个人信息及其处理方式和种类。审计证据通常应包括个人信息处理清单、个人信息处理记录、个人信息处理技术文档。审计方法上，通常应充分审查是否有个人信息处理清单；查阅个人信息处理清单等材料，验证是否以表格等清单形式明确列明了所有业务收集和处理的个人信息种类、处理目的、方式和范围等，是否具体明确而非笼统描述；审查个人信息处理记录、处理个人信息的技术文档，验证收集和处理个人信息的目的、方式、范围是否与告知的个人信息处理清单一致。

关于个人信息处理规则发生变更的，是否将变更内容及时告知个人。审计证据通常包括隐私政策变更机制、重新告知方式、告知文案、重新告知的实例记录。审计方法上，通常应查验隐私政策更新机制，能否保障在个人信息处理规则发生变更时及时更新隐私政策，变更包括但不限于个人信息处理目的、方式、种类、保存期限、个人行使其权利的方式和程序等个人信息处理规则；查验重新告知的方式，能否在隐私政策发生变更时，及时将变更内容告知个人。审查重新告知的实例记录，是否实现了及时告知个人信息处理规则。

三、    针对多方数据处理的合规审查

对于多方数据处理，《审计指引》明确提出了对四种关键情形的严格审查要求，这些情形分别是：共同处理个人信息、委托处理个人信息、对外提供个人信息以及个人信息的转移。就共同处理，审计重点关注是否厘清了各参与方的具体权责，是否有效保护个人信息等；就委托处理，审计重点关注是否签订了数据处理协议并约定了法定事项，是否开展了PIA等；就对外提供，审计重点关注是否履行了取得个人单独同意及法定告知义务，是否开展了PIA等；就个人信息的转移，审计重点关注是否履行了告知义务。

《审计指引》对应条文及审计内容如下表所示：

就审计证据和审计方法，我们选择“五、对共同处理个人信息进行审计的”项下的“个人信息权益保护机制”和“六、对委托处理个人信息进行审计的”项下的“个人信息处理者在委托处理个人信息前，是否开展PIA”两种情形作为示例进行说明。具体如下：

关于个人信息权益保护机制。审计证据通常包括共同处理个人信息情况说明、个人信息共同处理合同或协议、个人信息保护管理制度。审计方法上，通常应充分审查共同处理个人信息情况说明，验证有哪些共同处理者；查验双方的个人信息共同处理合同或协议，是否约定个人信息权益保护机制；查阅个人信息保护管理制度，验证是否明确针对共同处理个人信息的个人信息权益保护机制；审查个人信息权益保护机制，通过穿行测试等方式验证是否有效。

关于个人信息处理者在委托处理个人信息前，是否开展PIA。审计证据通常为个人信息委托处理情况说明、PIA报告。审计方法上，通常应查阅个人信息委托处理情况说明，验证有哪些委托处理个人信息情形；查阅个人信息处理者在委托处理个人信息前开展PIA的记录；以及查验个人信息处理者在委托处理个人信息前是否开展了PIA。

四、    针对利用自动化决策处理个人信息的合规审查

针对利用自动化决策处理个人信息的合规审查，结合了《个保法》第24条对个人信息处理者利用个人信息实施自动化决策的基准要求，《个保法》第55条PIA的要求，以及《互联网信息服务算法推荐管理规定》（以下简称“《算法推荐管理规定》”）和《科技伦理审查办法（试行）》（以下简称“《科技伦理审查办法》”）的部分要求。

《审计指引》对应条文及审计内容如下表所示：

就审计证据和审计方法，我们选择“是否事前进行PIA”和“是否采取了有效措施，防止自动化决策根据消费者的偏好、交易习惯等对个人在交易条件上实行不合理的差别待遇”两项审查内容作为示例进行说明。具体如下：

关于“是否事前进行PIA”。审计证据通常应包括自动化决策情况说明、个人信息保护管理制度、PIA报告。审计方法上，通常应审阅自动化决策情况说明，确认企业开展了哪些涉及个人信息的自动化决策活动，审阅个人信息保护管理制度，确认是否在制度上确立了PIA，最后应对PIA报告进行审阅，评估该报告的内容是否完整覆盖了基于个人信息进行自动化决策的全过程以及该报告的内容是否符合《个保法》第56条的要求以及质量程度等。

关于“是否采取了有效措施，防止自动化决策根据消费者的偏好、交易习惯等对个人在交易条件上实行不合理的差别待遇”。审计证据通常包括自动化决策情况说明、自动化决策机制说明、PIA报告。审计方法上，通常应审阅自动化决策情况说明，确认企业开展了哪些涉及个人信息的自动化决策活动，是否涉及到自动化决策的交易条件（包括交易价格、交易机会等）；审阅自动化决策机制说明，确认是否根据消费者的偏好、交易习惯等交易条件实施自动化决策；审阅PIA报告，确认是否针对自动化决策可能导致个人在交易条件上遭受不合理的差别待遇进行了评估并根据评估结果采取了有效措施，避免了出现交易上的不合理差别待遇。

五、    针对敏感个人信息处理的合规审查

对敏感个人信息处理的合规审查，包括对处理敏感个人信息的审查和对处理不满十四周岁未成年人个人信息的审查。虽然按照《个保法》，不满十四周岁未成年人的个人信息亦为敏感个人信息，但是由于《个保法》、《未保法》等法律法规均针对未成年人个人信息的保护制定了高于其他敏感个人信息的特殊规则，因此在做合规审计的时候需要将未成年人个人信息与其他敏感个人信息区分开，按照各自适用的合规要求进行审查。

对于敏感个人信息的审查，主要是为了防范其泄露或非法使用可能带来的严重风险。这类信息一旦泄露，可能导致自然人的人格尊严受到侵害，或人身、财产安全受到危害。对于处理不满十四周岁未成年人个人信息的审查，则更加关注未成年人的权益保护，当然风险防范也是题中应有之义。由于未成年人缺乏完全民事行为能力，他们的个人信息更容易受到侵害。因此，审计指引要求审查是否取得了未成年人父母或其他监护人的同意，是否制定了专门的未成年人个人信息处理规则，以及是否采取了额外的技术保障措施来确保未成年人的个人信息安全。

《审计指引》对应条文及审计内容如下表所示：

就审计证据和审计方法，我们选择“十三、对处理敏感个人信息进行审计的”项下的“处理敏感个人信息的目的、方式是否合法、正当、必要”和“十四、处理不满十四周岁未成年人个人信息”项下的“是否制定专门的未成年人个人信息处理规则”两种情形作为示例进行说明。具体如下：

关于处理敏感个人信息的目的、方式是否合法、正当、必要。审计证据通常包括敏感个人信息处理记录、PIA报告。审计方法上，通常应充分审查处理敏感个人信息的情况说明，确认存在哪些处理敏感个人信息的情况；审阅PIA报告，确认是否完整覆盖处理敏感个人信息情况，是否对处理敏感个人信息的目的、方式是否合法、正当、必要进行了评估；审查处理的敏感个人信息，结合法律要求和商业基本逻辑分析其处理目的、方式是否合法、正当、必要。

关于是否制定专门的未成年人个人信息处理规则情形。审计证据通常为未成年人个人信息保护政策/隐私政策。审计方法上，通常应查验个人信息处理者的隐私政策和产品是否有制定专门的未成年人个人信息处理规则和用户协议，是否制定专门的未成年人个人信息处理规则并予以发布。

六、    针对个人信息出境的合规审查

《个保法》《网络安全法》《数据安全法》确立了我国数据出境的基本规则，即以安全评估、标准合同备案和认证三项制度为主，以法律法规另有规定（目前包括跨境司法行政协助和出口管制清单两种类型）为辅的框架体系。审计时需严格审查这些跨境传输是否符合法定条件，评估个人信息出境活动的风险，确保个人信息处理的合法、正当、必要性，同时核实境外接收方的数据保护能力和水平。此外，个人信息处理者还需在开展PIA的基础上，向个人充分告知相关情况并取得其同意，严格遵守处理敏感个人信息的限制性规定，确保个人信息在跨境传输中得到充分保护。

《审计指引》对应条文及审计内容如下表所示：

就审计证据和审计方法，我们选择“关键信息基础设施运营者向境外提供个人信息”和“向外国司法或者执法机构提供存储于中华人民共和国境内个人信息”两种情形作为示例进行说明。具体如下：

关于关键信息基础设施运营者向境外提供个人信息。审计证据通常包括数据出境安全评估报告、评估结果通知以及平台系统处理记录。审计方法上，通常应充分审查数据出境安全评估报告的相关事项，如处理的个人信息规模，是否经过安全评估，是否取得评估结果通知书，评估程序是否符合规定，如评估期限要求、评估记录保存时限要求，以及是否有整改记录等。

关于向外国司法或者执法机构提供存储于中华人民共和国境内个人信息情形。审计证据通常包括访谈记录、主管机关批准文件和平台系统处理记录。审计方法上，通常应首先在访谈中确认是否存在该等情形，如存在则进一步审查是否有书面批准文件，核查平台系统的个人信息提供记录，确认是否存在上述情形。

七、    针对个人信息权利保障的合规审查

《个保法》第四章规定了个人在个人信息处理活动中的权利，其中也包括了删除权和要求解释说明权。《审计指引》明确规定了针对保障个人权利情况进行审计时的审计内容，并基于删除权行使的特殊复杂性和要求解释说明权在逻辑上的独立性，进一步单独针对删除权和要求解释说明权的保障情况规定了独立的审计内容。

《审计指引》对应条文及审计内容如下表所示：

就审计证据和审计方法，我们选择“十六、针对个人删除权保障情况进行审计的”项下的个人信息处理者“停止提供产品或者服务，或者个人注销账号，是否删除或匿名化处理个人信息”（此处《审计指引》的内容和《审计要求（征求意见稿）》的内容略有差异，但是不构成实质性影响）和“十七、针对保障个人权利情况进行审计的”项下的“是否建立个人行使权利的申请受理机制”两种情形作为示例进行说明。具体如下：

关于停止提供产品或者服务，或者个人注销账号，是否删除或匿名化处理个人信息。审计证据通常包括个人信息删除或匿名化处理的管理制度、个人信息删除或匿名化机制、个人信息删除或匿名化处理的记录、系统日志。审计方法上，通常应充分审查是否建立个人信息删除或匿名化机制；审查内部规范中关于个人信息删除或匿名化处理机制的相关规则是否有覆盖停止提供产品或者服务或者个人注销账号的情形；审查个人信息删除或匿名化记录或系统日志；审查个人信息处理者停止提供产品或者服务后，或者个人注销账号后，是否删除或匿名化处理个人信息。

关于是否建立个人行使权利的申请受理机制。审计证据通常包括客服电话、在线客服、个人信息保护负责人/机构联系方式、申请处理机制、客服答复记录、隐私政策、包含申请处理机制的管理制度等。审计方法上，通常应审查是否通过客服电话、在线客服、个人信息保护负责人/机构联系方式、包含申请处理机制的管理制度等建立个人行使权利的申请受理机制；通过拨打客服电话、向在线客服申请、或联系个人信息保护负责人/机构、等方式审查客服话术、客服流程等个人行权申请处理机制是否足够受理个人行权申请；抽查客服电话、在线客服、个人信息保护负责人/机构联系方式、客服答复记录，是否足够受理个人行权申请。

八、    针对内部措施的合规审查

本项审计内容是《个保法》项下个人信息处理者义务在合规审计中的主要体现，也是个人信息处理者能够通过合规审计的前提。如果个人信息处理者在开展合规审计前已经建立起了相对完善的数据合规管理体系，则通常能够以较小的成本通过合规审计；但是如果个人信息处理者在开展合规审计前尚未建立起数据合规管理体系，则通常需要进行补课，相应的合规成本也就会比较高。

前述数据合规管理体系实际上主要就是指内部措施，包括管理措施和技术措施。管理措施如建立健全的管理体系、内部管理制度和操作规程，开展有效的培训等；技术措施是指以防范个人信息泄露和滥用为目的的安全技术措施，包括但不限于加密、去标识化、隐私计算等等。

《审计指引》对应条文及审计内容如下表所示：

就审计证据和审计方法，我们选择“十九、对个人信息保护内部管理制度和操作规程进行审查的”项下的“个人信息保护工作的方针、目标、原则是否符合法律、行政法规规定”和“二十、对安全技术措施及其有效性进行审查的”项下的“是否参照有关国家标准或者技术要求，采取相应安全技术措施实现个人信息的保密性、完整性、可用性”两种情形作为示例进行说明。具体如下：

关于个人信息保护工作的方针、目标、原则是否符合法律、行政法规规定。审计证据通常包括个人信息保护管理制度、操作规程。审计方法上，通常应充分审查个人信息保护的有关管理制度和操作规程；查验是否符合法律、行政法规和有关强制性要求的情况，是否明确个人信息保护工作的方针、目标、原则等；访谈个人信息保护工作有关负责人，是否了解有关规定要求，对个人信息保护工作的方针、目标、原则等做出清晰的解释。

关于是否参照有关国家标准或者技术要求，采取相应安全技术措施实现个人信息的保密性、完整性、可用性情形。审计证据通常包括技术方案、检测评估报告、技术测试报告、风险评估报告。审计方法上，通常应审查技术方案、检测报告和结果，是否按照国家或行业规定开展系统和设备的安全检测，是否对重大风险和问题进行记录。选取可能影响个人信息安全的未整改问题，进行技术检测，是否仍存在高危漏洞或严重安全风险。

九、    针对PIA的合规审查

如前所述，PIA与合规审计一样，均为保障个人权利的重要工具。《个保法》第55条、第56条规定了应当事前进行PIA的情形及评估内容等。《审计指引》进一步落实了《个保法》的前述要求。

《审计指引》对应条文及审计内容如下表所示：

就审计证据和审计方法，我们选择“是否依照法律、行政法规的规定，在进行对个人权益具有重大影响的个人信息处理活动前通过PIA”和“是否对所采取的保护措施的合法性、有效性、适应性进行了分析评估”两种情形作为示例进行说明。具体如下：

关于是否依照法律、行政法规的规定，在进行对个人权益具有重大影响的个人信息处理活动前通过PIA。审计证据通常包括PIA制度、PIA报告。审计方法上，通常应充分审查PIA制度，是否规定在处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息、向境外提供个人信息前，开展PIA。查验PIA报告，是否在相应个人信息处理活动前开展PIA并形成相应的PIA报告。

关于是否对所采取的保护措施的合法性、有效性、适应性进行了分析评估情形。审计证据通常包括PIA报告和处理记录。审计方法上，通常应审查PIA报告和处理记录，是否分析了所采取的保护措施，是否对所采取的保护措施的合法性、有效性、适应性进行了分析评估。

十、    针对安全事件及其应对的合规审查

制定并实施个人信息安全事件预案实际上是内部措施的一个组成部分。但是由于应急预案本身既有制度层面的要求，又有执行层面的要求，《审计指引》对此专门设置了两项审计内容，即对应急预案本身内容的审查、以及对应急响应处置情况的审查。

《审计指引》对应条文及审计内容如下表所示：

就审计证据和审计方法，我们选择“二十四、对个人信息安全事件应急预案进行审计的”项下的“是否结合业务实际，对面临的个人信息安全风险作出了系统评估和预测”和“二十五、个人信息安全事件应急响应处置”项下的“是否按照应急预案、操作规程及时查明个人信息安全事件的影响、范围和可能造成的危害，分析、确定事件发生的原因，提出防止危害扩大的措施方案”两种情形作为示例进行说明。具体如下：

关于是否结合业务实际，对面临的个人信息安全风险作出了系统评估和预测。审计证据通常为个人信息安全事件应急预案、个人信息安全事件应急预案管理制度。审计方法上，通常应充分审查个人信息安全事件应急预案、个人信息安全事件应急预案管理制度，确认个人信息处理者是否结合业务实际，对业务所面临的个人信息安全风险进行了风险场景梳理、风险评估与排查，对可能发生的风险进行预测。

关于是否按照应急预案、操作规程及时查明个人信息安全事件的影响、范围和可能造成的危害，分析、确定事件发生的原因，提出防止危害扩大的措施方案情形。审计证据通常包括个人信息安全事件应急响应处置制度、个人信息安全事件应急响应处置记录。审计方法上，通常应审查个人信息安全事件处置记录，确认是否包含判断个人信息安全事件的影响、范围和可能造成的危害，分析、确定事件发生的原因，提出防止危害扩大的措施方案等内容；审阅个人信息处理者个人信息安全事件应急响应处置制度规范，确认是否具备应急响应处置及同步机制，包括但不限于：处置流程、处置团队成员、应急模式、处置时效、同步范围、升级通知规则、延期处置情形等。

十一、  针对重要互联网平台的合规审查

《个保法》第58条规定了提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者（以下简称“大型互联网平台”）的义务。《审计指引》重点关注对平台规则的审查和对社会责任报告的审查。虽然《审计指引》表面上仅重点关注了前述两项内容，但是从审计内容看，实际上覆盖了《个保法》第58条所列举的全部义务。

《审计指引》对应条文及审计内容如下表所示：

就审计证据和审计方法，我们选择“二十六、对大型互联网平台规则的审查”项下的“是否定期审核平台内产品或者服务提供者个人信息处理规则的合法性、合理性”和“二十七、对大型互联网平台个人信息保护社会责任报告的审查”项下的“每年发布个人信息保护社会责任报告”两种情形作为示例进行说明。具体如下：

关于是否定期审核平台内产品或者服务提供者个人信息处理规则的合法性、合理性。审计证据通常为平台内产品或者服务提供者个人信息处理规则的审核机制和记录。审计方法上，通常应充分审查平台内产品或者服务提供者个人信息处理规则的审核机制，确认该机制能否正常运行并审核平台内产品或者服务提供者个人信息处理规则的合法性、合理性；审查平台内产品或者服务提供者个人信息处理规则的审核记录，能否有效对平台内产品或者服务提供者个人信息处理规则的合法性、合理性进行审核；以及审查平台内产品或者服务提供者个人信息处理规则的审核记录，是否准确记录产品或者服务提供者个人信息处理规则通过或不通过的情况。

关于每年发布个人信息保护社会责任报告。审计证据通常应包括个人信息保护社会责任报告编制和发布机制、个人信息保护社会责任报告。审计方法上，通常应审查个人信息保护社会责任报告的编制和发布机制能否保证每年发布个人信息保护社会责任报告；审查个人信息保护社会责任报告是否按照相应机制编制并正式发布；以及审查是否能够通过公开渠道获取个人信息保护社会责任报告。