March 27, 2025
個人信息保護合規審計管理辦法簡介(中國大陸)
國家互聯網信息辦公室於2025年2月12日發布
《個人信息保護合規審計管理辦法》(以下簡稱《辦法》),該《辦法》自2025年5月1日起施行。《辦法》對合規審計活動的開展、合規審計機構的選擇、合規審計的頻次等作出細化規定,旨在為個人信息處理者開展個人信息保護合規審計提供系統性、針對性、可操作性的規範,提升個人信息處理活動合法合規水平,保護個人信息權益。
《辦法》明確了開展合規審計的兩種情形及審計頻次。一是自行審計,個人信息處理者可自行或委託專業機構定期合規審計。二是外部審計:履行個人信息保護職責的部門發現個人信息處理活動存在較大風險、可能侵害眾多個人的權益或者發生一定程度以上的個人信息安全事件的,可以要求個人信息處理者委託專業機構對個人信息處理活動進行合規審計。需注意的是,處理超過1000萬人個人信息的處理者,每兩年至少開展一次審計。
《辦法》明確了專業審計機構的要求。一是具備開展合規審計的能力,有與服務相適應的審計人員、場所、設施和資金等。二是遵守法律法規,在開展合規審計時保持獨立性和客觀性,並對工作中知悉的信息予以保密且審計工作結束後進行刪除。三是禁止轉委託,不得將合規審計工作轉委託至其他機構。四是同一專業機構及其關聯機構、同一合規審計負責人不得連續三次以上對同一審計對象開展個人信息保護合規審計。
《辦法》明確了個人信息處理者應當履行之義務。規定個人信息處理者按照履行個人信息保護職責的部門要求開展合規審計的,應當協助配合、提供必要支持並承擔審計費用,在限定時間內完成合規審計,報送合規審計報告並按要求進行整改。
《辦法》以附件形式提供了《個人信息保護合規審計指引》,提出了個人信息保護合規審計的參考要點。個人信息處理者自行開展或者按照個人信息保護職責的部門要求委託專業機構開展個人信息保護合規審計時,應當參照《個人信息保護合規審計指引》。《辦法》的出臺將促使企業完善個人信息處理活動,提請各企業注意依據《辦法》相關規定結合自身企業特點加強對個人信息處理活動的風險評估、制定企業內部個人信息合規審計制度。
《辦法》明確了開展合規審計的兩種情形及審計頻次。一是自行審計,個人信息處理者可自行或委託專業機構定期合規審計。二是外部審計:履行個人信息保護職責的部門發現個人信息處理活動存在較大風險、可能侵害眾多個人的權益或者發生一定程度以上的個人信息安全事件的,可以要求個人信息處理者委託專業機構對個人信息處理活動進行合規審計。需注意的是,處理超過1000萬人個人信息的處理者,每兩年至少開展一次審計。
《辦法》明確了專業審計機構的要求。一是具備開展合規審計的能力,有與服務相適應的審計人員、場所、設施和資金等。二是遵守法律法規,在開展合規審計時保持獨立性和客觀性,並對工作中知悉的信息予以保密且審計工作結束後進行刪除。三是禁止轉委託,不得將合規審計工作轉委託至其他機構。四是同一專業機構及其關聯機構、同一合規審計負責人不得連續三次以上對同一審計對象開展個人信息保護合規審計。
《辦法》明確了個人信息處理者應當履行之義務。規定個人信息處理者按照履行個人信息保護職責的部門要求開展合規審計的,應當協助配合、提供必要支持並承擔審計費用,在限定時間內完成合規審計,報送合規審計報告並按要求進行整改。
《辦法》以附件形式提供了《個人信息保護合規審計指引》,提出了個人信息保護合規審計的參考要點。個人信息處理者自行開展或者按照個人信息保護職責的部門要求委託專業機構開展個人信息保護合規審計時,應當參照《個人信息保護合規審計指引》。《辦法》的出臺將促使企業完善個人信息處理活動,提請各企業注意依據《辦法》相關規定結合自身企業特點加強對個人信息處理活動的風險評估、制定企業內部個人信息合規審計制度。
