个人信息审计新规详解：从法案到工作流程的全景剖析

发布时间：2025-02-22 20:10

使用SWOT分析理解复杂问题：从四个方面全面剖析 #生活技巧# #学习技巧# #深度理解技巧#

近日，国家网信办公布《个人信息保护合规审计管理办法》，针对个人信息保护合规审计的法律性质、审计频次、审计模式、审计流程、审计专业机构以及审计指引等作出明确要求。本文对《审计办法》进行全面梳理和解读，为相关企业开展合规审计工作提供帮助和参考。

作者丨蔡鹏肖莆羚令高维钊

2025年2月14日，国家网信办公布《个人信息保护合规审计管理办法》（以下简称“《审计办法》”或“法案”），自2025年5月1日起施行。《审计办法》旨在进一步压实个人信息处理者在相关法律法规要求下的合规要求，并确保其得到妥善履行，进而保护个人信息主体的合法权益。《审计办法》的立法进程将近两年：在2023年8月，国家网信办曾就《审计办法》征求意见，2024年7月，全国网络安全标准化技术委员会（简称“全国网安标委”）亦发布了国家推荐标准《数据安全技术个人信息保护合规审计要求》（征求意见稿），可以看出，监管部门对于个人信息保护以及相关处理者责任的履行持续保持高度关注。《审计办法》的正式发布预示以合规审计来推动和促进个人信息处理者的全面合规正式启动。

《审计办法》针对个人信息保护合规审计的法律性质、审计频次、审计模式、审计流程、审计专业机构等作出明确要求，并提供附件《个人信息保护合规审计指引》（简称“《审计指引》”），明确了不同场景下的审计重点。本文将针对《审计办法》进行全面梳理和解读，以期为相关企业开展合规审计工作提供帮助和参考。

一、个人信息保护合规审计概述

（一）个人信息保护审计的特点

纵览《审计办法》，个人信息保护审计（简称“个保审计”）特点凸显为：专业性、独立性和全面性。

首先，从事个保审计的机构必须具有专业性，外部机构毋庸置疑，法案明确为专业机构。与征求意见时不同的是，《审计办法》避免行政权力滥用而删去了专业机构推荐目录的做法，值得赞赏。《审计办法》第七条1款对专业机构的能力、人员、场所、设施、资金等提出了要求，第2款提出鼓励相关专业机构通过认证。我们理解，《审计办法》第七条1款是对专业机构资格要求的底线，而第七条2款则是针对专业机构提出的更高要求。从个人信息处理者内部专业分工角度，上位法已经明确了个保审计的重点是个人信息处理者遵守法律行政法规的情况，这也就要求参与个保审计的内部相关人员在专业性上应当熟练掌握个人信息保护相关法律、行政法规、监管要求。《审计指引》二十二条第（一）项指明了个人信息保护负责人（简称“个保负责人”）的专业背景，其必须为熟悉法律法规的专业人士，能够准确判断被审计对象个保措施的合法性、有效性。

其次，个保审计必须突出审计的独立性。法案对专业机构的诚信、正直、公正和客观提出了职业要求，且以“不得连续三次审计同一对象”的方式建立了一种类似审计轮换（Audit Rotation）的制度安排，这种制度的立法逻辑在其他合规审计领域已有体现。关于个人信息处理者内部的个保负责人，法案从“赋权”的角度，对其独立性地位进行了确认：法案不仅赋予了企业个保负责人的“协调权”“决策权”，而且还有对不合规事项的“否决权”，极大拓展和提升了个保负责人工作的重要性与核心价值。同时，法案进一步以独立监督机构的模式，对重要个人信息处理者（重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者）的个保审计进行独立性的补强。

最后，无论法案本身还是《审计指引》通篇论述了个保审计的全面性，具体分析请见下文。

（二）个人信息保护合规审计的模式

《个人信息保护法》规定了两类个人信息保护合规审计场景，包括（1）个人信息处理者应当定期对其处理个人信息遵守情况进行合规审计（简称“内部审计”），（2）履行个人信息保护职责的部门（简称“保护部门”）在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计（简称“外部审计”）。

我们理解，外部审计是一种独立于内部自查的补充监管机制，其作用在于通过独立、客观的外部视角与内部自查形成互补，确保个人信息保护合规审计体系整体的有效性和公信力。《审计办法》针对外部审计提出了具体要求，一方面个人信息处理者应当按照保护部门的要求选择专业机构，保护部门对审计内容亦可能提出重点要求；另一方面，外部审计应当参照《审计指引》开展工作。一旦个人信息处理者触发外部审计，《审计指引》中相对应场景所列举的要点将会被全部审计，个人信息处理者应当高度关注《审计指引》。

（三）企业开展个人信息保护审计的频次和节点

对于内部审计，《审计办法》仅规定处理超过1000万人个人信息的个人信息处理者，应当每两年至少开展一次个人信息保护合规审计。对于未超过1000万人个人信息的个人信息处理者，《审计办法》并无频次要求。但是，这并不意味着相关企业可以不进行个保审计，而是应该根据实际情况或相关法律法规的要求，结合自身情况制定个保审计的频次。如根据《未成年人网络保护条例》，个人信息处理者应当自行或者委托专业机构每年对其处理未成年人个人信息的情况进行合规审计。

个人信息保护合规审计概况图

值得特别关注的是，《审计办法》相较于征求意见稿，对于个保审计的人数门槛和频次都进行了重大的“松绑”性调整（征求意见稿规定处理超过100万人个人信息的个人信息处理者每年至少开展一次合规审计，其他个人信息处理者至少每二年开展一次合规审计），极大地降低相关企业的合规成本。

对于外部审计，《审计办法》进一步明确了可以触发的三类情况，除对个人信息安全事件明确了具体的个人信息数量（100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损）外，对于个人信息权益影响的判断多以风险导向为原则，我们理解主要在于确保监管措施与实际风险相匹配，从而更有效地预防和控制信息安全事件。根据我们的经验，可能引发保护部门关注风险并启动“外部审计”缘由可能包括：

* 处理者被大量投诉，且已经被查实的；

* 企业被提起个人信息保护公益诉讼，且证据确凿的；

* 针对企业在履行其他法定义务（例如汽车数据年报、数据出境风险自评估报告、数据出境个人信息保护影响评估报告、网络产品安全漏洞报送）过程中，监管部门发现或企业主动向监管部门披露的个人信息处理活动包含较大安全风险的；

* 针对大平台企业或重点领域或行业的头部企业，监管部门抽检中发现的较大安全风险的；

* 基于保护部门（及所委托的技术检测机构）日常开展安全检测过程中，所了解到的个人信息保护存在较大安全风险等。

二、个人信息保护合规审计流程

《审计办法》并未针对合规审计流程提出细致的要求。国家推荐性标准《数据安全技术个人信息保护合规审计要求》（征求意见稿，简称“审计国标”）为个人信息保护合规审计的流程提供了非常细致的指引参考，包括审计计划、审计准备、审计实施、审计报告、问题整改以及归档管理阶段等。国家推荐性标准将作为《审计办法》的重要补充，可能将很快发布，以作为配套规则指引相关企业开展合规审计工作。

《审计办法》仅针对个保审计流程的事前、事中和事后提出了原则性合规要求，包括机构、人员、专业机构的要求以及报送整改等，尤其侧重对被动审计相关流程的要求。根据我们的项目经验并参考审计国标，我们针对不同模式的审计流程分析如下：

（一）事前准备：组建审计组织

1、内部审计的准备工作

对于内部审计，个人信息处理者可以自行根据实际情况确定内部审计的开展形式。在审计准备阶段，个人信息处理者可以重点准备如下工作：

* 审计频次：除了超过1000万人个人信息处理者之外，其他个人信息处理者均需以建章立制的形式确定审计频次，企业就此需要考虑的因素有：1）法律法规的规定；2）企业处理个人信息数量；3）企业处理个人信息的敏感程度；4）企业处理个人信息涉及的敏感场景；5）企业的发展和业务变化与数据处理的风险关联等。

* 审计小组的确定：审计小组既可以由企业内部人员或外部专业机构人员单独组成，也可以由内部+外部混合的方式组成。在内部人员的要求上，在保持独立性的基础上，应当确保人员具备个人信息保护专业知识，以能够准确识别合规风险，人员组成包括法务团队和/或安全团队等。

* 审计方案的确定：审计方案通常包括审计内容、审计对象、审计目标、审计范围、审计依据、审计方式（如现场、非现场）以及审计报告的要求等。如相关个人信息处理者无个保审计经验的，审计方案可以由专业机构根据企业个人信息保护情况为其量身定制。

* 资源协调：特别提醒相关企业注意的是，资源协调亦是保障审计实施的重要步骤，比如相关部门配合、相关系统访问权限、现场办公场地等。

2、外部审计的审计准备

我们理解，对于需要进行外部审计的个人信息处理者而言，准备阶段应主要专注于根据个保审计的法律特点选择合适的专业机构，在日常工作中可以对有能力开展个保审计工作的相关专业机构做好储备。对于外部审计的专业机构选择上，我们建议相关企业应当关注如下要点：

* 专业机构是否具有足够的专业能力，解决委托人的实际问题和风险，针对保护部门提出的风险事项进行有针对性的整改。

* 专业机构是否有足够的人员、资源和设施等，能够在保护部门限定的时间内完成审计。

* 审计过程中涉及大量敏感数据，企业需要确认专业机构具备完善的信息安全管理和保密制度。确保在审计前、中、后各阶段，数据都能得到严格保密和安全处理，并且能够及时删除，从而防止信息泄露或二次风险。

（二）事中管理：在限定时间内完成审计

1、内部审计的事中管理

内部审计的实施主要按照已经确定的审计方案开展，审计实施的步骤通常包括发送审计通知、收集审计证据、采信审计证据、撰写审计底稿、确认审计发现、异议解决以及撰写审计报告等。

根据我们的经验，在内部审计中，审计目标是否能够达成很大一部分因素包括相关被审计对象的配合程度，因此在内部审计过程中对与相关业务部门的沟通交流则至关重要，一方面需要确保在审计过程中以可获得的证据为符合审计要求的证据，另一方面能够在确认审计发现过程中，对审计的问题进行准确定性。如被审计对象在审计过程中通过不配合或者弄虚作假等方式影响审计结果，则最终内部审计的目标将难以实现。这就要求，个人信息处理者要从内部对于个保审计工作引起足够重视，比如将个保审计纳入日常经营管理或者考核评价的一部分，并做好内部个人信息保护管理制度贯彻和实施。

2、外部审计的事中管理

《审计办法》指出，对于外部审计，个人信息处理者应当为专业机构正常开展个人信息保护合规审计工作提供必要支持。《审计办法》并未明确必要支持的范围，而值得关注的是，征求意见稿曾界定了“必要支持”的范围，如文件和资料的支持、调取相关数据和信息等。我们理解，虽然《审计办法》删除了具体的规定，但是相关个人信息处理者仍不能对此掉以轻心。实践中因保护部门给予的审计周期不长，个人信息处理者的支持将变得尤为关键，如相关业务部门之间的配合和协调等。当然，如专业机构提出超过个保合规审计范围要求的，个人信息处理者亦可因不具备必要性而拒绝提供，以保护自身权益。

个人信息处理者应积极督促专业机构高效、专业的开展审计工作，以确保个保审计能够在限期内完成。同时，个人信息处理者需要注意，个人信息保护合规审计报告应当由专业机构主要负责人、合规审计负责人进行“双签”并加盖公章。因保护部门对于限定期限的要求，在外部审计中可能无法同内部审计一样按照设定的步骤开展，我们理解具体实施步骤需根据实际情况进行灵活调整。

（三）事后整改：留痕、报送与整改

无论是内部审计还是外部审计，相关企业均应高度关注审计结果，并依据这些结果执行相应的整改措施。

* 对于内部审计而言，审计小组应当对审计中发现的不合规事项进行跟踪，并督促相关方在规定期限内整改。对于无法完成整改的，应当按照内部相关管理制度采取相关手段或措施，以确保整改能够得到有效实施。同时，建议企业做好留痕归档，并做好内部合规培训等必备工作。

* 对于外部审计而言，需要出具两份报告：审计报告和整改报告。整改报告应当更加关注监管部门的要求，为更好的开展整改工作，相关企业可委托专业机构对于整改事项进行跟进，以确保整改工作能够满足保护部门的要求。

企业应保护部门要求开展外部审计工作流程概览图

三、个人信息保护合规审计要点清单

《审计指引》中提出了个人信息保护合规审计的参考要点，其制定依据包括《个人信息保护法》《网络数据安全管理条例》等法律、行政法规。但基于个人信息处理活动的复杂性、动态性、场景化等特征，仅依据法律、行政法规可能难以对合规审计工作提供较为具体的指引，因此在实践中有必要参考国家标准、监管部门发布的规范性文件等内容，如推荐性标准《数据安全技术个人信息保护合规审计要求（征求意见稿）》、GB/T-35273《信息安全技术个人信息安全规范》等。

我们对《审计指引》提出的二十六个合规审计参考要点进行了整理，具体如下。其中红色字体为容易被忽略的细节：

点击可查看大图

四、结语

随着法案的颁布，个保审计将逐渐成为企业内控体系重要组成部分。个保审计的落地旨在推动企业不断完善内部管理制度和技术防护措施，实现风险的早期识别和预防。对企业而言，这不仅是一场对数据治理与合规能力的深刻测评，更是一面映照自身治理智慧和责任担当的镜子；对监管者来说，这则是一次考验其执法标准与利益平衡智慧的严峻试炼。在数字时代，我们面临的不仅是技术与信息的革新，更是一个关于社会公正与个体尊严的深层次命题。构建一个全社会皆得信赖的数字生态环境，不仅能保障公共安全，更能守护每个公民的基本权益，这亦是时代赋予的庄严使命和不容推卸的责任。

作者简介

蔡鹏律师

北京办公室合伙人

业务领域：网络安全和数据保护，知识产权权利保护，合规和调查

行业领域：电信和互联网，信息和智能技术，医疗健康

肖莆羚令律师

北京办公室知识产权部

高维钊

北京办公室知识产权部

声明：本文来自中伦视界，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。

网址：个人信息审计新规详解：从法案到工作流程的全景剖析 https://www.yuejiaxmz.com/news/view/788905

上一篇：【科普知识】生活中的消防安全知识