《个人隐私信息保护合规审计管理办法》及指引的重点解读

时间：2025-04-11 21:52:16     来源： wwwkaiyun.com

                                                                                            

  2025年2月14日，国家互联网信息办公室公布《个人隐私信息保护合规审计管理办法》（以下简称“合规审计办法”），并将于2025年5月1日起施行。“合规审计办法”的出台，是落实《中华人民共和国个人隐私信息保护法》《网络数据安全管理条例》中关于个人隐私信息保护合规审计的具体举措，为开展个人隐私信息保护合规审计的具体情形和方式方法等方面均提供了明确指引，对保护个人隐私信息权益具备极其重大意义和作用。

  如下图所示，“合规审计办法”对个人隐私信息保护合规审计的主体、合规审计的方式、个人隐私信息处理者和专业机构在合规审计中的义务等方面均作出具体规定。

  我们将对“合规审计的依据”“合规审计的主体”“合规审计的实施”“合规审计的重点审查内容”以及“合规审计办法”对企业和机构个人信息保护合规指引的意义等重点内容做分析。

  根据“合规审计办法”第二条，个人隐私信息保护合规审计是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况做审查和评价的监督活动。因此，个人信息保护合规审计的依据是法律及行政法规的规定，如《民法典》《个人信息保护法》《未成年保护法》《突发事件应对法》《网络安全法》《网络数据安全管理条例》《关键信息基础设施安全保护条例》等有关法律法规中关于个人信息保护的有关规定；个人信息保护合规审计的对象是个人信息处理活动，包括收集、使用、共享、存储等活动；个人信息保护合规审计的方式是进行审核检查和评价等。

  《个人隐私信息保护法》第五十四条规定，个人隐私信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

  第六十四条规定，履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈，或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。

  《网络数据安全管理条例》第二十七条规定，网络数据处理者应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计。

  “合规审计办法”中规定的进行个人信息保护合规审计的主体，是指个人信息处理者，根据“合规审计办法”的规定其中涉及的个人信息保护合规审计主体可以理解区分为两类：

  2、监管部门可以强制要求进行合规审计的个人信息处理者（即第五条的有关规定）。

  需说明的是，本“合规审计办法”中所明确的主动进行个人信息保护合规审计的主体存在个人信息处理人数及审计频次两方面的要求；同时，要求进行审查的审查对象，就同一事项不得要求重复审查，以上规定平衡了监管强度与企业合规成本等方面。

  “合规审计办法”对于个人信息保护合规审计的实施，从实施方式、相关主体义务、实施程序等方面要求进一步明确，为企业进一步提高了可操作性。

  “合规审计办法”与《网络数据安全管理条例》中对于合规审计的实施方式保持一致，即可以通过个人信息处理者内部机构或者委托专业机构两种方式进行审计。

  1、前文所述的强制审查的三类情形，监管机构可以要求委托专业机构进行合规审计。

  2、对合规审计专业机构的要求，即应当具备开展个人信息保护合规审计的能力，有与服务相适应的审计人员、场所、设施和资金等。

  因此，目前对于选择哪家专业机构并没有强制性要求，但明确规定了专业机构应当具备开展个人信息保护合规审计的能力，有与服务相适应的审计人员、场所、设施和资金等。结合“合规审计办法”第十二条对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督的要求。同时根据规定中对于专业机构履职公正、客观的工作要求，可以理解就个人信息保护合规审计监管部门对于合规审计报告的客观性、中立性存在要求，在此建议符合条件的个人信息处理者建立相应的独立机构以及聘请专业能力突出、市场认可度较高的专业机构进行履职。

  1、保障合规审计进行：个人信息处理者应监管要求进行合规审计的，应当按要求选定专业机构，并为专业机构正常开展合规审计工作提供必要支持、承担审计费用，以及在限定时间内完成合规审计，报送合规审计报告并进行整改。

  2、完善组织架构设计：处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人，负责个人信息处理者的个人信息保护合规审计工作。

  1、中立客观：应当遵守法律和法规，诚信正直，公正客观地作出合规审计职业判断。

  2、严格保密：对在履行个人隐私信息保护合规审计职责中获得的个人隐私信息、商业秘密、保密商务信息等依法予以保密，不得泄露或者非法向他人提供，在合规审计工作结束后及时删除相关信息。

  3、禁止规定：同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人隐私信息保护合规审计。不得转委托其他机构开展个人隐私信息保护合规审计。

  基于上述规定，个人隐私信息处理者应当完善相应的组织架构、保障合规审计的进行，选聘具备独立性、客观性、专业能力突出和严格履行保密责任的专业机构，以确保合规审计工作的有效性和合法性。

  需指出“合规审计办法”中明确了个人隐私信息保护合规审计的内容，个人隐私信息处理者、专业机构应当依据法律法规要求及《个人隐私信息保护合规审计指引》（以下简称“《指引》”）进行个人隐私信息保护合规审计，个人信息保护合规审计的审查重点如下图所示：

  根据《指引》的内容，可以区分为如图所示的3类情形、26种具体的审查情况要求，每一种审查情况项下《指引》明确了具体的需要合规审查的事项，企业和机构需结合自身业务情况、个人隐私信息处理活动等情况，根据《指引》开展个人隐私信息保护合规审计工作。

  “合规审计办法”规定进行合规审计的主体为境内的个人信息处理者。因此相关企业依法依规进行个人信息合规审计，不仅是履行法律义务的要求，也是企业应对监管、规避风险、提升竞争力的重要举措。其意义体现在以下方面：

  1、法律合规与风险防控的必然要求。通过个人信息保护合规审计，企业可系统性验证个人信息处理活动是否符合《个人信息保护法》《网络数据安全管理条例》等法律法规的要求，避免因未履行审计义务（如未定期审计、未委托专业机构等）导致的民事、行政或者刑事责任；通过个人信息保护合规审计，也能够识别企业现存问题，降低潜在的风险和隐患。

  2、优化企业形象与促进商业合作的有效举措。通过合规审计，企业可树立良好的合规形象，增强用户与市场信心。在对外合作时，审计报告可作为其个人信息处理活动的合法性证明之一，增强合作伙伴的信任。在上市、融资等场景中，审计报告可以作为监督管理的机构及投资者评估企业数据治理能力的重要依据。

  3、合法履职和勤勉尽职的证明。若发生数据安全事件，现存的合规审计报告可作为企业已履行勤勉义务的证据。

  综上，不论从保护个人隐私信息权益的管理视角，还是企业合规发展方面，将个人隐私信息保护合规审计纳入常态化管理，通过内部组织或聘请专业服务机构结合《指引》及时、有效地进行合规审计，不但能够强化对个人隐私信息权益的安全保障，也是企业和机构更好地履行法定义务和监管要求、加强风险防控、保障企业和机构发展利益的重要体现。

  张韬，德恒北京办公室合伙人、网络与数据研究中心主任，《电子商务法》起草专家，《“十四五”电子商务发展规划》专家编写组成员，《“十四五”国家知识产权保护和运用规划》编制指导专家，国家数据局数据流通合规指引课题组成员，北京产权交易所特聘专家，人民数据资产委员会专家委员，科技部服务业重大专项区块链课题组成员，数据安全推进计划智库专家，CCIA数据安全工作委员会专家，入选ALB首届China 15佳网络安全和数据保护律师、LEGABAND合规律师15强（2023），2023、2024连续入选中国顶级律师排行榜（合规领域）等，出版图书《数字化的经济治理与合规指引》（主编）、《数据合规实务指引》（副主编），长期为国家部委、央企、大型国企、科技公司提供合规体系建设、数据合规、知识产权等法律服务，在央国企数字化转型与发展方面有着非常丰富的法律实务经验。