《个人信息保护合规审计管理办法》要点与企业合规实践

序言

《中华人民共和国个人信息保护法》（以下称“个保法”）等法律文件的出台，确立了我国个人信息保护的法律框架。其中，个保法第54条规定，个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计，但用以细化个人信息合规审计的相关法律、行政法规在个保法实施后的一段时期内并未出台。而2025年2月12日，国家网信办公布了《个人信息保护合规审计管理办法》（以下称“办法”， “个人信息保护合规审计”简称“合规审计”）。办法将自2025年5月1日起施行。本次办法的公布与施行，为企业应如何履行个保法中规定的合规审计义务提供了具体指引。

此前，由于合规审计的相关规定并未落地，企业等个人信息处理者未实际履行合规审计义务的情况并不罕见。但是，由于企业发展的实际需求等，个人信息处理者已普遍开展了个人信息合规相关的梳理及自查工作。本文将基于我们的实务经验，在介绍合规审计相关内容要点的基础上，梳理个人信息处理者在履行合规审计义务时遇到的难点及注意事项，希望能够为个人信息处理者合规审计工作的开展提供帮助。

一、《个人信息保护合规审计管理办法》要点

（一）定期合规审计

根据上述序言部分提及的个保法第54条的规定，受到个保法适用的的个人信息处理者，无论处理个人信息的规模等，均需定期开展个人信息保护合规审计。这就意味着，不仅在中国境内处理自然人个人信息的企业等主体需遵守定期合规审计义务，在中国境外的处理者处理中国境内自然人个人信息的，若其处理活动以向境内自然人提供产品或者服务为目的，或存在分析、评估境内自然人的行为的，也必须定期开展个人信息保护合规审计工作。

对于“定期”究竟应为多长时间，2023年8月3日公布的《个人信息保护合规审计管理办法（征求意见稿）》（以下称“办法征求意见稿”）的第4条规定，处理超过100万人个人信息的个人信息处理者，应当每年至少开展一次个人信息保护合规审计；其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。而本次公布的办法第4条规定，处理超过1000万人个人信息的个人信息处理者，应当每两年至少开展一次个人信息保护合规审计。可见，正式公布实施的办法已大幅降低了对于合规审计频率的要求。

但对于处理1000万人以下个人信息的处理者应至少多久开展一次合规审计工作，办法并未进行明确规定。结合办法的答记者问中国家网信办相关负责人的回答，其他个人信息处理者根据自身情况合理确定定期开展个人信息保护合规审计的频次。结合这一回答，对于处理1000万人以下个人信息的处理者，应特别注意以下事项：

l  “定期”开展合规审计工作的必要性

办法虽然未规定“定期”的具体期限，但定期性仍是合规审计义务履行的要点之一，过长时间未开展合规审计工作或开展期限无法确定的，仍属于违法行为。这也要求处理者在个人信息保护管理规定等依法制定的内部文件中明确合规审计的期限或开展条件。

l  “定期”的合理性

根据答记者问中的相关回答，处理者应根据自身情况“合理”确定定期开展保护审计的频次。这也就意味着，若处理者受到相关执法检查，可能需要对合规审计频次的合理性进行解释说明。目前关于什么是“合理”，法律上并无明确的解释，需要处理者结合个人信息处理的具体情况及相关措施对个人信息的保障效果进行确定，该等频次和期限应该具有足够的说服力。此外，特别是结合办法第5条被动审计的触发条件也可以作为确定频次和期限的参考条件。例如，发生如下情况后建议及时开展合规审计工作，并将开展合规审计工作的期限缩短：

i)  发现个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险的；

ii) 个人信息处理活动可能侵害个人权益的；

iii)发生个人信息安全事件，导致较大量个人信息泄露、篡改、丢失、毁损的；

iv) 个人信息处理情况发生重大变化，可能对个人权益产生较大影响的。

（二）被动合规审计

办法第5条规定，个人信息处理者有以下情形之一的，国家网信部门和其他履行个人信息保护职责的部门（以下称“保护部门”），可以要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计：

l  发现个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险的；

l  个人信息处理活动可能侵害众多个人的权益的；

l  发生个人信息安全事件，导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的。

同时，应保护部门要求进行合规审计的，应当按照保护部门要求选定专业机构，在限定时间内完成个人信息保护合规审计；情况复杂的，报保护部门批准后，可以适当延长。合规审计过程中发现问题的，处理者应按照保护部门要求对合规审计中发现的问题进行整改，并在整改完成后15个工作日内，向保护部门报送整改情况报告。

（三）合规审计主要事项

根据办法附件指引中的要求，合规审计主要对如下事项进行审查：

l  合法性基础审查

原则上，基于同意的个人信息处理应基于向个人信息主体合法告知个人信息处理规则并取得其必要同意的合法性基础上进行。合规审计时，应梳理不同个人信息处理场景，确认相关处理是否应取得同意。需要取得同意的，应确认该同意是在充分知情的前提下自愿、明确作出的。此外，合规审计还需审查个人信息处理目的、处理方式、处理的个人信息种类发生变更时是否重新取得了个人同意等。

l  处理规则及告知的合规性

合规审计中应审查处理者向个人信息主体告知的处理规则是否真实、准确、完整，是否包含个人信息处理者的名称或姓名和联系方式、所收集的个人信息及其处理方式和种类等法定必要事项。此外，处理者还需确保个人信息的处理与处理目的直接相关，并采取对个人权益影响最小的方式等。

处理者在处理个人信息前，应以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理规则。处理者需确保告知文本的大小、字体和颜色便于个人完整阅读告知事项 。

l  共同处理个人信息、个人信息委托处理、第三方提供、跨境提供、公开等特殊处理的义务履行

对于法律法规中存在特殊义务规定的共同处理个人信息、个人信息委托处理、第三方提供、跨境提供、公开等特殊个人信息处理情况，合规审计应审查处理者的相关义务履行情况。包括是否已取得单独同意、是否已签订相关合同、是否已完成安全评估或SCCs备案等。

l  个人在个人信息处理活动中的权利保障情况

合规审计应审查处理者是否建立便捷的个人行使权利的申请受理机制和处理机制，是否及时响应个人行使权利的申请，是否及时、完整、准确告知处理意见或者执行结果等，以审查处理者是否依法保障个人在个人信息处理活动中的权利。

l  内部规则、技术措施、安全应急措施等安全保护义务履行情况

根据相关法律、行政法规的规定，处理者应制定内部管理制度和操作规程、采取适宜的去标识化、加密等安全技术措施、实施员工安全教育培训、指定个人信息保护负责人、开展保护影响评估、安全应急措施等，履行个人信息安全保护义务。合规审计应审查各项具体义务的履行情况是否符合法律法规的相关要求。

此外，对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，合规审计需要特别审计平台规则及个人信息保护社会责任报告的合规性。对于平台规则制定，除一般的合法性审查外，应特别留意是否已通过抽样等方式验证平台规则被有效执行也是审查要点之一；对于个人信息保护社会责任报告，应重点审查披露事项是否充分完整。

（四）法律责任

办法第18条规定，个人信息处理者、专业机构违反办法规定的，依照《中华人民共和国个人信息保护法》、《网络数据安全管理条例》等法律法规的规定处理；构成犯罪的，依法追究刑事责任。具体如下：

二、合规审计工作实践难点及注意事项

（一）处理者合规问题普遍存在

结合我们协助各类处理者进行合规自查的经验，从未进行合规自查及整改的处理者的个人信息处理情况普遍存在不符合法律法规相关要求的情况。甚至可以说，我们在个保法实施后的近四年实务经验中，处理者在首次自查时就能够基本符合相关法律法规要求的情况从未见到过。就这可能是由于个人信息保护相关的法律法规较多，相关规定中也存在非常多的细化要求，处理若相关经验不足，在业务开展时易出现违法处理个人信息的情况。从处理者利益的角度出发，为了避免未知的违法情况使自身面临严重的法律责任或个人信息泄露、侵权导致的商誉受损，处理者也应当自主开展合规审计工作。

（二）被动合规审计问题整改极难在规定期限内完成

应保护部门要求进行合规审计的，不仅合规审计本身应在规定期限内完成，合规审计中发现的问题也需要处理者进行整改并及时提交整改报告。在此前的个人信息相关执法检查案件中，已存在大量要求处理者限期完成整改的情况。例如，网信办等通报的APP违法违规情况中，要求处理者在通报发布之日起15个工作日内完成整改。我们多次协助客户应对相关整改要求，但实际上，由于存在需要对APP、服务器等进行技术调整、软硬件采购等的情况，在15个工作日内限期无法完成整改的可能性很高。因此，建议处理者事先自行进行合规审计，以避免出现意外情况被要求进行合规审计时难以达到保护部门的要求。

另外，对于有融资或上市需求的企业，触发被动合规审计并被要求整改可能影响融资及上市的进度。实务中，已完成整改的处理者也无法取得书面证明以确认整改已符合保护部门的要求，在上市合规过程中会成为难以补救的问题。因个人信息合规问题而导致融资受阻的案件也屡见不鲜。因此，对于该等企业，事先自行开展合规审计和整改工作尤为重要。

（三）合规审计工作团队组建

为了推进合规审计工作，处理者需要大量且详细收集内部各业务部门的个人信息处理相关信息。但对于业务线较多的处理者，若各部门的工作相互间较为独立，负责统筹协调合规审计工作的负责人员推进工作十分困难。同时，若相关负责人员的个人信息保护相关专业知识不足，难以确认各部门提供的信息是否存在重大错误或疏漏，将有可能影响审计结果及法律责任的承担。例如，同为处理者外的第三方可能获知处理者所处理的个人信息，“委托处理”及“向第三方提供”为不同的法律关系，处理者的义务内容完全不同。我们在实务中也曾发现客户技术部门并未通过关联性角度确认相关信息是否属于个人信息，在问卷反馈中仅列举了姓名、身份证号等可以识别主体身份的信息，未列举相关浏览使用记录等与已知自然人相关的信息。若存在此类情况，可能导致合规审计的效果无法达到预期，无法保障个人信息处理的合法性。因此，对于处理者定期自行进行合规审计的，建议组建审计工作团队时由具有相关专业知识和公司内部权限的负责人或部门主导，若有必要应当寻求外部专家的帮助。

结语

个人信息保护合规审计是个人信息保护合规体系中的关键一环。定期进行审计以确保个人信息处理活动的合法性、合规性不仅是对于相关法律法规的遵守，也是处理者相关业务有序开展、避免出现更大经济或商誉损失的有力保障。合规审计不仅是处理者可持续发展的坚实基础，还是对于社会责任承担的体现。建议高度重视并在专家的协助下积极开展个人信息保护合规审计工作，确保在数字化时代的健康稳定发展。