个人信息保护合规审计管理办法简介（中国大陆）

国家互联网信息办公室于2025年2月12日发布《个人信息保护合规审计管理办法》（以下简称《办法》），该《办法》自2025年5月1日起施行。《办法》对合规审计活动的开展、合规审计机构的选择、合规审计的频次等作出细化规定，旨在为个人信息处理者开展个人信息保护合规审计提供系统性、针对性、可操作性的规范，提升个人信息处理活动合法合规水平，保护个人信息权益。

《办法》明确了开展合规审计的两种情形及审计频次。一是自行审计，个人信息处理者可自行或委托专业机构定期合规审计。二是外部审计：履行个人信息保护职责的部门发现个人信息处理活动存在较大风险、可能侵害众多个人的权益或者发生一定程度以上的个人信息安全事件的，可以要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计。需注意的是，处理超过1000万人个人信息的处理者，每两年至少开展一次审计。

《办法》明确了专业审计机构的要求。一是具备开展合规审计的能力，有与服务相适应的审计人员、场所、设施和资金等。二是遵守法律法规，在开展合规审计时保持独立性和客观性，并对工作中知悉的信息予以保密且审计工作结束后进行删除。三是禁止转委托，不得将合规审计工作转委托至其他机构。四是同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。

《办法》明确了个人信息处理者应当履行之义务。规定个人信息处理者按照履行个人信息保护职责的部门要求开展合规审计的，应当协助配合、提供必要支持并承担审计费用，在限定时间内完成合规审计，报送合规审计报告并按要求进行整改。

《办法》以附件形式提供了《个人信息保护合规审计指引》，提出了个人信息保护合规审计的参考要点。个人信息处理者自行开展或者按照个人信息保护职责的部门要求委托专业机构开展个人信息保护合规审计时，应当参照《个人信息保护合规审计指引》。《办法》的出台将促使企业完善个人信息处理活动，提请各企业注意依据《办法》相关规定结合自身企业特点加强对个人信息处理活动的风险评估、制定企业内部个人信息合规审计制度。