观韬解读 | 《个人信息保护合规审计管理办法》评析
作者:王渝伟 王敏 颜茜
前言:2025年2月14日,网信办公布了《个人信息保护合规审计管理办法》(以下简称“《管理办法》”)。这一规定的出台标志着《个人信息保护法》所设立的个人信息合规审计制度正式进入落地实施阶段。
《管理办法》自2025年5月1日起正式施行,全文共二十条,并有附件《个人信息保护合规审计指引》(以下简称“《指引》”)作为个人信息处理者开展个人信息保护合规审计参照,具体规范了合规审计应关注的重点事项。本文参照《征求意见稿》对《管理办法》的主要内容进行简要评析,为企业了解和落实合规审计工作提供参考:
一、《管理办法》相比《征求意见稿》的主要变化
《个人信息保护合规审计管理办法》 | 《个人信息保护合规审计管理办法(征求意见稿)》 |
第三条 个人信息处理者自行开展个人信息保护合规审计的,应当由个人信息处理者内部机构或者委托专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。 | 第五条 个人信息处理者自行开展个人信息保护合规审计,可根据实际情况,由本组织内部机构或者委托专业机构按照本办法要求开展。 |
评述:将“可根据实际情况”改为“应当”,强化自行开展个人信息保护合规审计的个人信息处理者的定期审计义务。 | |
第四条 处理超过1000万人个人信息的个人信息处理者,应当每两年至少开展一次个人信息保护合规审计。 | 第四条 处理超过100万人个人信息的个人信息处理者,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。 |
评述:将“处理超过100万人个人信息”改为“处理超过1000万人个人信息”,提高了触发审计的个人信息量级,并将“每年至少开展一次”改为“每两年至少开展一次”;且对于处理个人信息未超过1000万人的个人信息处理者,不再强制要求定期审计;在合规审计频次方面,减轻了个人信息处理者的合规义务。 | |
第五条 个人信息处理者有以下情形之一的,国家网信部门和其他履行个人信息保护职责的部门(以下统称为保护部门),可以要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计: (一)发现个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险的; (二)个人信息处理活动可能侵害众多个人的权益的; (三)发生个人信息安全事件,导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的。 对同一个人信息安全事件或者风险,不得重复要求个人信息处理者委托专业机构开展个人信息保护合规审计。 | 第六条 履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。 |
评述:对监管审计的触发条件,即“个人信息处理活动存在较大风险”“发生个人信息安全事件”进行了更为详细的解释说明,便于保护部门及个人信息处理者直接适用;增加了触发监管审计的条件“个人信息处理活动可能侵害众多个人的权益的”,对可能产生大范围影响的个人信息处理活动进行监管。同时,增加了“对同一个人信息安全事件或者风险”不得重复要求开展个人信息保护合规审计的规定,可提升合规审计效率,避免保护部门权力滥用。 | |
第六条 个人信息处理者自行开展或者按照保护部门要求委托专业机构开展个人信息保护合规审计的,应当参照本办法附件《个人信息保护合规审计指引》。 | 附件《个人信息保护合规审计参考要点》 第一条 本要点依据《中华人民共和国个人信息保护法》等法律、行政法规和国家标准的强制性要求制定,为开展个人信息保护合规审计提供参考。 |
评述:在附件效力方面,原《征求意见稿》附件《个人信息保护合规审计参考要点》(以下简称“《参考要点》”)仅“为开展个人信息保护合规审计提供参考”,现《管理办法》要求开展个人信息保护合规审计必须参照附件《指引》,《指引》适用具有强制性,提示个人信息处理者需更加关注《指引》中的重点审查事项。 | |
第七条 专业机构应当具备开展个人信息保护合规审计的能力,有与服务相适应的审计人员、场所、设施和资金等。 鼓励相关专业机构通过认证。专业机构的认证按照《中华人民共和国认证认可条例》的有关规定执行。 第八条 个人信息处理者按照保护部门要求开展个人信息保护合规审计的,应当为专业机构正常开展个人信息保护合规审计工作提供必要支持,并承担审计费用。 | 第八条 个人信息处理者按照履行个人信息保护职责的部门要求委托专业机构开展个人信息保护合规审计的,应当保证专业机构能够正常行使下列权限: (一)要求提供或者协助查阅相关文件或资料; (二)进入个人信息处理活动相关场所; (三)观察场所内发生的个人信息处理活动; (四)调查相关业务活动及所依赖的信息系统; (五)检查、测试个人信息处理活动相关设备设施; (六)调取、查阅个人信息处理活动相关数据或信息; (七)访谈与个人信息处理活动有关的人员; (八)就相关问题进行调查、质询和取证; (九)其他开展合规审计工作所必需的权限。 第十三条 国家网信部门会同公安机关等国务院有关部门按照统筹规划、合理布局、择优推荐的原则建立个人信息保护合规审计专业机构推荐目录,每年组织开展个人信息保护合规审计专业机构评估评价,并根据评估评价情况动态调整个人信息保护合规审计专业机构推荐目录。 鼓励个人信息处理者优先选择推荐目录中的专业机构开展个人信息保护合规审计活动。 |
评述:明确专业机构开展个人信息保护合规审计的能力。删除个人信息处理者保证专业机构正常行使八大权限的义务,仅要求“为专业机构正常开展个人信息保护合规审计工作提供必要支持,并承担审计费用”,减轻个人信息处理者协助支持义务。取消个人信息保护合规审计专业机构推荐目录制度,鼓励相关专业机构通过认证,避免因权力滥用导致推荐目录中的专业机构成为事实上的唯一选项,影响合规审计监管的中立性与独立性。 | |
第九条 个人信息处理者按照保护部门要求开展个人信息保护合规审计的,应当按照保护部门要求选定专业机构,在限定时间内完成个人信息保护合规审计;情况复杂的,报保护部门批准后,可以适当延长。 | 第七条 个人信息处理者按照履行个人信息保护职责的部门要求开展个人信息保护合规审计的,应当在收到通知后尽快按照要求选定专业机构进行个人信息保护合规审计。 第九条 个人信息处理者按照履行个人信息保护职责部门要求委托专业机构开展个人信息保护合规审计的,应当在90个工作日内完成个人信息保护合规审计;情况复杂的,报经履行个人信息保护职责的部门批准后可适当延长。 |
评述:删除了监管审计情形下选定专业机构的期限限制、时间起算点以及完成个人信息保护合规审计的具体期限限制,开展个人信息保护合规审计更加灵活,提升合规审计效率,减轻个人信息处理者合规负担。 | |
第十一条 个人信息处理者按照保护部门要求开展个人信息保护合规审计的,应当按照保护部门要求对合规审计中发现的问题进行整改。在整改完成后15个工作日内,向保护部门报送整改情况报告。 | 第十一条 个人信息处理者按照履行个人信息保护职责的部门要求委托专业机构开展个人信息保护合规审计的,应当按照专业机构给出的整改建议进行整改,经专业机构复核后将整改情况报送履行个人信息保护职责的部门。 |
评述:不再要求“按照专业机构给出的整改建议进行整改”并“经专业机构复核”,明确专业机构定位,避免不合理的权利范围扩大,改为“按照保护部门要求对合规审计中发现的问题进行整改”;增加对合规审计整改情况报送的期限限制,提示个人信息处理者及时报送。 | |
第十二条 处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人,负责个人信息处理者的个人信息保护合规审计工作。 提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督。 | / |
评述:第十二条为新增条款,要求处理100万人以上个人信息的个人信息处理者指定个人信息保护负责人,便于明确权责,落实个人信息保护合规审计工作;要求提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督,保证合规审计的公正客观,亦提示监管部门对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者的重点关注。 | |
第十三条 专业机构在从事个人信息保护合规审计活动时,应当遵守法律法规,诚信正直,公正客观地作出合规审计职业判断,对在履行个人信息保护合规审计职责中获得的个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供,在合规审计工作结束后及时删除相关信息。 第十四条 专业机构不得转委托其他机构开展个人信息保护合规审计。 第十五条 同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。 | 第十二条 执行个人信息保护合规审计的专业机构应当保持独立性和客观性,连续为同一审计对象开展个人信息保护合规审计不得超过三次。 第十四条 专业机构在从事个人信息保护合规审计活动时,应当诚信正直,公正客观地作出合规审计职业判断。 专业机构不得转包委托第三方开展个人信息保护合规审计。 专业机构在履行个人信息保护合规审计职责中获得的信息,只能用于个人信息保护合规审计的需要,不得用于其他用途;专业机构应当对获得的信息承担保密责任;专业机构应当采取相应技术措施和其他必要措施,保障数据安全。 专业机构在履行个人信息保护合规审计职责时不得恶意干扰个人信息处理者的正常经营活动。 专业机构有出具虚假、失实报告等违规行为的,个人信息处理者及相关方可向履行个人信息保护职责的部门进行投诉,经履行个人信息保护职责的部门核实的,永久禁止列入个人信息保护合规审计专业机构推荐目录。 |
评述:对专业机构的保密义务进行了具体说明,延续了对专业机构“诚信正直”“公正客观”地作出合规审计职业判断的要求,删除了专业机构的其他义务。延续了专业机构不得转委托其他机构开展个人信息保护合规审计的规定。将不得连续三次以上对同一审计对象开展个人信息保护合规审计的主体范围扩大至同一专业机构及其关联机构、同一合规审计负责人,减轻个人信息处理者合规负担,提升合规审计效率,保证合规审计公正客观性。 | |
第十七条 任何组织、个人有权对个人信息保护合规审计中的违法活动向保护部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报人。 | / |
评述:增加了任何组织、个人对个人信息保护合规审计中的违法活动的投诉举报权,增强了对个人信息保护合规审计的监督管理,保证合规审计公正客观性。 | |
第十九条 对国家机关和法律、法规授权的具有管理公共事务职能的组织的个人信息保护合规审计,不适用本办法。 | / |
评述:对《管理办法》的适用范围进行排除,对国家机关和法律、法规授权的具有管理公共事务职能的组织的个人信息保护合规审计不适用《管理办法》。 | |
二、《管理办法》的内容要点
《管理办法》为企业履行《个人信息保护法》中的合规审计义务提供了可落地的具体细则指引,在《征求意见稿》的基础上,对较为模糊的表述以及难以形成具体判断标准的部分规定展开了具体说明,减轻了个人信息处理者的合规负担,并通过重新划定权利义务范围,明确了专业机构在个人信息保护合规审计中的定位。
为帮助企业进一步了解《管理办法》,下文对其中的要点梳理如下:
(一)个人信息保护合规审计的触发条件:定期审计与监管审计
1. 定期审计
根据《管理办法》第四条,处理超过1000万人个人信息的个人信息处理者,应当每两年至少开展一次个人信息保护合规审计,我们理解首次审计最迟不能晚于2027年5月1日前完成。企业可依据自身业务复杂程度、个人信息规模、个人信息敏感程度等因素合理确定审计频率。
尽管《管理办法》并未对处理个人信息未超过1000万的个人信息处理者规定定期审计频次,但这些处理者仍需通过制定审计计划,并按照计划定期合规审计确保个人信息保护合规,避免触发监管审计,并持续关注相关新规定。
2. 监管审计
根据《管理办法》第五条,个人信息处理者有以下情形之一的,国家网信部门和其他履行个人信息保护职责的部门可以要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计:
·发现个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险的;
·个人信息处理活动可能侵害众多个人的权益的;
·发生个人信息安全事件,导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的。
企业作为个人信息处理者进行监管强制审计的,应当履行如下义务:
(1)在限定时间内完成个人信息保护合规审计。
(2)配合专业机构并为其提供必要协助。
(3)向监管部门报送个人信息保护合规审计报告。
(4)完成合规整改并在规定时间内报送保护部门。
(二)个人信息保护合规审计的开展形式:自行审计与委托专业机构审计
1. 自行审计
个人信息处理者组织内部可自行开展个人信息保护合规审计。对于企业而言,为了实现高效、有序的内部合规审计工作,可考虑制定内部个人信息保护合规审计制度,明确合规审计的具体开展流程和负责部门,制度化、体系化审计策略、审计操作方式、审计结果规范以及审计问题整改跟踪等内容。同时,《管理办法》第十二条明确,处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人,负责个人信息处理者的个人信息保护合规审计工作。
2. 委托专业机构审计
个人信息处理者可委托第三方专业机构开展合规审计。根据《个人信息保护法》第六十四条和《管理办法》第九条,保护部门在要求特定企业开展监管审计时,必须委托第三方专业机构。为保证专业机构的独立性与客观性,《管理办法》第十五条强调,同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。
(三)未履行个人信息保护合规审计的法律责任
《管理办法》第十八条规定,“个人信息处理者、专业机构违反本办法规定的,依照《中华人民共和国个人信息保护法》、《网络数据安全管理条例》等法律法规的规定处理;构成犯罪的,依法追究刑事责任。”
根据《个人信息保护法》第六十六条,企业未履行合规审计相关义务的,可能面临的法律责任包括责令改正,给予警告,没收违法所得、应用程序责令暂停或者终止提供服务、罚款、暂停相关业务或者停业整顿、吊销相关业务许可或者吊销营业执照等。对于相关人员,可能面临罚款,在一定期限禁止内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人等。
(四)对个人信息保护合规审计的监督
根据《管理办法》第十六条及第十七条,保护部门即国家网信部门和其他履行个人信息保护职责的部门,对个人信息处理者开展个人信息保护合规审计情况进行监督检查。任何组织、个人有权对个人信息保护合规审计中的违法活动向保护部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报人。《管理办法》明确了对个人信息保护合规审计情况进行监督检查的主体,并建立了全范围的对个人信息保护合规审计中的违法活动的投诉举报制度,加强了对合规审计公正客观性的监督。
此外,《管理办法》第十二条第二款特别指出,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督。
三、开展个人信息保护合规审计的重要审查事项
《管理办法》要求开展个人信息保护合规审计必须参照附件《指引》,《指引》适用具有强制性,个人信息处理者需更加关注《指引》中的重点审查事项。本次《管理办法》附件《指引》列明了个人信息保护合规审计的重要审查事项,涵盖了个人信息全生命周期各环节,与《征求意见稿》相比,在整体方向上没有进行较大改动,均涉及个人信息的收集(合法性基础、个人信息处理规则、告知义务履行情况等)、个人信息的使用(共同处理,委托处理,转移,提供,自动化决策,公开,安装图像收集、个人身份识别设备,处理已公开个人信息,涉及敏感个人信息,涉及未满十四周岁未成年人个人信息,出境等)、权利保障(删除权、保障机制建立、解释说明权等)、管理体系(管理制度与操作规程、安全技术措施、教育培训、个人信息保护负责人、个人信息保护影响评估落实、应急预案等)、提供重要“互联网+政务服务”、用户数量巨大、业务类型复杂的个人信息处理者的重要审查事项,但在具体事项上进行了调整,需要企业特别关注。
