《个人信息保护合规审计管理办法》公布，两种情形应开展审计

2月14日晚，国家互联网信息办公室公布《个人信息保护合规审计管理办法》（以下简称《办法》），自2025年5月1日起施行。同时，《办法》以附件形式提供了《个人信息保护合规审计指引》，对个人信息保护相关法律、行政法规的关键要点作了梳理，从合规审计的角度进行了细化。

旨在提供个保合规审计规范

国家互联网信息办公室有关负责人表示，当前，个人信息被企业、机构甚至个人广泛收集使用，个人信息保护和个人信息利用的矛盾日益突出。为压实个人信息处理者个人信息保护主体责任，加强个人信息处理活动风险控制和监督，《中华人民共和国个人信息保护法》《网络数据安全管理条例》对个人信息处理者开展合规审计作了规定。为有效落实法律法规要求，国家互联网信息办公室制定出台《办法》，对个人信息保护合规审计活动的开展、合规审计机构的选择、合规审计的频次、个人信息处理者和专业机构在合规审计中的义务等作出细化规定，旨在为个人信息处理者开展个人信息保护合规审计提供系统性、针对性、可操作性的规范，提升个人信息处理活动合法合规水平，保护个人信息权益。

处理超千万人个人信息， 每两年至少开展一次审计

《办法》明确了个人信息处理者开展合规审计的两种情形。

一是个人信息处理者自行开展合规审计的，应当由个人信息处理者内部机构或者委托专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。处理超过1000万人个人信息的个人信息处理者，应当每两年至少开展一次个人信息保护合规审计。

二是履行个人信息保护职责的部门发现个人信息处理活动存在较大风险、可能侵害众多个人的权益或者发生个人信息安全事件的，可以要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计。

个人信息处理者 可内部自行开展审计

国家互联网信息办公室有关负责人表示，个人信息处理者自行开展合规审计时，可以选择由内部机构自行开展，也可以委托专业机构开展。《办法》对采取何种审计方式、是否选择专业机构，以及选择哪家专业机构没有强制性要求。个人信息处理活动存在较大风险、可能侵害众多个人的权益或者发生个人信息安全事件时，履行个人信息保护职责的部门可以要求个人信息处理者委托专业机构开展个人信息保护合规审计。

同时，《办法》明确了开展合规审计的个人信息处理者应当履行的义务。规定个人信息处理者按照履行个人信息保护职责的部门要求开展合规审计的，应当为专业机构正常开展合规审计工作提供必要支持并承担审计费用，在限定时间内完成合规审计，报送合规审计报告并进行整改。

同一机构不得连续三次 对同一对象开展审计

《办法》明确了专业机构在合规审计中的义务。

一是应当具备开展个人信息保护合规审计的能力，有与服务相适应的审计人员、场所、设施和资金等。

二是应当遵守法律法规，诚信正直，公正客观地作出合规审计职业判断，对履职中知悉的个人信息、商业秘密、保密商务信息等依法予以保密。

三是不得转委托其他机构开展个人信息保护合规审计。

四是同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。

专业机构可自愿申请认证

《办法》遵循自愿性、市场化的原则，通过认证认可方式对专业机构进行监督管理。专业机构的认证按照《中华人民共和国认证认可条例》的有关规定执行。具备开展个人信息保护合规审计能力，有与服务相适应的审计人员、场所、设施和资金的专业机构，可以自愿申请相关服务能力认证。

可参照附件指引梳理关键要点

《办法》以附件形式提供了《个人信息保护合规审计指引》，对个人信息保护相关法律、行政法规的关键要点作了梳理，从合规审计的角度进行了细化。个人信息处理者自行开展或者按照履行个人信息保护职责的部门要求委托专业机构开展个人信息保护合规审计，应当参照《个人信息保护合规审计指引》。

《办法》同时对履行个人信息保护职责的部门的监督管理责任和个人信息处理者、专业机构违反《办法》规定的法律责任等作出了规定。

出品：南都大数据研究院

采写：南都研究员 李伟锋