随着数字经济深入发展,个人信息保护已成为企业合规管理的核心命题。2025 年5月1日,《个人信息保护合规审计管理办法》正式实施,这也标志着我国个人信息保护合规审计制度进入全面落地阶段。对于即将迎来合规“大考”的企业而言,如何理解审计要求、明确自身义务、高效开展内部准备?本文以快问快答的方式从法律依据、适用主体、审计流程、实操建议等维度展开解析,助您快速掌握合规要点,从容应对新规落地。
一、为什么要做个人信息保护合规审计? 01 相关规定:《个人信息保护合规审计管理办法》(以下简称“办法”)于2025年5月1日实施。 《个人信息保护法》、《网络数据安全管理条例》等法律、行政法规也要求处理大量个人信息的企业必须要做个人信息合规审计。 02 外部投资,重大业务,外部融资,IPO等都会用到《个人信息合规审计报告》(以下简称“《审计报告》”) 随着企业合规的规范化程度越来越高,以后企业在获得外部投资、重大项目投标及IPO项目中都将会要求企业出具《审计报告》,以证明企业的管理规范及管理能力。 03 不做合规审计,面临法律法规的处罚 依照《个人信息保护法》、《网络数据安全管理条例》等法律法规的规定处理;若构成犯罪的,将依法追究刑事责任。 其中《个人信息保护法》第六十六条规定:违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。 二、哪些企业要做合规审计? 企业处理超过1000万人个人信息的或者网信等监管机关要求企业审计的这些企业都自主审计及监管机关要求审计。 《办法》第四条 处理超过1000万人个人信息的个人信息处理者,应当每两年至少开展一次个人信息保护合规审计。 第五条 个人信息处理者有以下情形之一的,国家网信部门和其他履行个人信息保护职责的部门(以下统称为保护部门),可以要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计: (一)发现个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险的; (二)个人信息处理活动可能侵害众多个人的权益的; (三)发生个人信息安全事件,导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的。对同一个人信息安全事件或者风险,不得重复要求个人信息处理者委托专业机构开展个人信息保护合规审计。 详见下图: 三、“合规审计”一定要请第三方专业机构开展吗 如果是企业自主审计可以自行开展,也可以请第三方专业机构开展; 但如果是监管机构要求则一定要请第三方专业机构实施。 四、多长时间做一次合规审计? 企业自主审计要求每两年做一次。 五、企业做了个人信息影响评估还需要做合规审计吗?他们有什么不同? 需要!但,有效期内的PIA可以做为重要审计证据,及审计项目,有些数据处理活动如敏感数据处理,未实施PIA,则可能会被审计报告列为违反法律规定。 同异:两者都服务于个人信息保护的整体目标,共同致力于确保个人信息的安全与隐私得到合理)合法的保护。 但合规审计关注既有措施的执行与合规状态;PIA侧重于新项目或变更前的风险预测与对策研究。 合规审计可以在任何时间进行,通常会在特定周期或有重大风险时安排;PIA通常在项目启动或关键设计变更阶段进行。 合规审计是对既定措施的验证与纠偏;PIA则更多是为了预防未来可能出现的隐私保护风险。 六、企业可以一直请一家审计单位做合规审计吗? 不能,同一家审计单位给同一家公司审计不得连续超过三次。《办法》第六条明确“同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计”。 七、作为门户网站的平台型互联网公司,有什么特别规定吗? 提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督。 八、如果企业自主审计,需要怎么做? 一般审计流程如下: 第一,编制审计计划; 第二,组织架构应当组建起内部审计团队,一定要保证该团队的组织支持,资金支持,保证该审计团队的独立性; 第三,编制审计方案; 第四,审计的实施:综合运用访谈交流、文件检查、现场检查、日志分析、穿行检测、控制测试等; 第五,编制审计报告,注意审计证据的保存及归档管理; 第六,问题整改及跟踪审计。 详见下图: 九、审计计划包括哪些内容? 个人信息处理者应当每年编制本组织个人信息保护合规审计计划,评估个人信息保护合规风险,确定年度个人信息保护合规审计目标、审计范围、审计依据、审计重点、审计事项等,明确职责分工、工作安排经费预算等内容。 审计计划应包括下列基本内容: 1、审计工作目标; 2、需要的审计资源; 3、审计实施时间; 4、后续审计安排等。 十、审计方案包括哪些内容? 针对大部分常规审计活动可制定通用的审计方案,针对特殊场景可根据具体情况制定单独的审计方案。应当包含下列内容: 1、被审计单位、审计对象的名称; 2、审计目标和范围; 3、审计依据和内容; 4、审计流程和方法; 5、审计组成员的组成及分工; 6、审计起止日期; 7、审计进度安排; 8、对专家和外部审计工作结果的利用; 9、审计实施所需资源; 10、审计风险管理措施; 11、其他有关内容。 十一、合规审计审计的范围有哪些? 第六条 个人信息处理者自行开展或者按照保护部门要求委托专业机构开展个人信息保护合规审计的,应当参照本办法附件《个人信息保护合规审计指引》(详见本文附件)。 十二、5月1日到了,应对个人信息保护合规审计企业需要做些什么准备? 考虑到请外部第三方审计机构的费用成本较高,我们建议企业可以做内部审计自主合规审计: 1、企业应当做好人、财、物及外部专家的准备,组建企业内部的个人信息保护审计小组; 2、对组建好的审计小组工作人员进行培训; 3、对企业的个人信息制度及版块进行新的梳理等。 君伦数字经济法律研究中心拟于5月举办《企业内部个人信息保护合规审计实务指引》专题培训,由高级合伙人、个人信息保护合规审计师李萍律师主讲。本次培训将结合新规要点与实操案例,系统解析企业内部审计流程、风险排查方法及制度建设路径,助力企业构建合规管理体系。诚邀关注个人信息保护合规的企业/单位持续留意后续活动信息,参与交流。 李萍 律师 李萍律师,君伦高级合伙人,企业出海法律服务中心主任、数字经济法律研究中心主任,个人信息保护合规审计师,擅长企业出海、涉外商事、数据跨境流动,数据资产、数据合规、数字经济等相关领域,以及跨境并购、海外上市等法律服务。李律师同时还是中科院中国产业云研究院法律专家、中国信通院个人信息审计计划成员、上海市工商联女企法律部部长、上海市律协数字科技与人工智能专业委员会委员、上海市互联网协会会员、浦东校企科技成果转化促进会法工委主任以及上海市人民政府信访接待律师。曾主导编撰《上海市通信与互联网行业反电信网络诈骗合规指南》《互联网企业个人信息保护合规指南》《上海市移动互联网应用程序个人信息和用户权益保护合规指南》等重要文献。 数字经济法律研究中心 Legal Research Center for Digital Economy 君伦数字经济法律研究中心是君伦内设的从事数字经济法律研究和服务的专业部门,致力于为数字经济领域的各主体提供最优商业解决方案。 君伦是上海区块链技术协会的理事单位,担任上海长三角区块链产业促进中心的法律顾问单位,上海数据交易所和深圳数据交易所的首批数据合规评估服务商。长期深耕区块链法律服务,连获《商法》China Business Law Journal“金融科技及区块链”行业领域2022年度、2023年度卓越律所大奖,上海区块链技术协会“2020年度协会工作贡献奖”,以及第二届区块链法治高峰论坛的“区块链法治优秀服务奖”。 凭借深耕各数字经济领域的专业经验和对行业实务的深刻理解,为区块链、元宇宙、数字版权等领域,数据确权、流通、跨境等领域,新媒体、互联网、人工智能等领域以及个人信息的保护、跨境传输、企业管理体系的搭建和隐私保护领域提供全流程、全方位的法律服务。服务内容包括但不限于数据资产管理(数据资产入表和资本化)、企业常规法律合规服务,主体架构搭建、交易结构设计、个人信息安全评估等法律服务,主体设立、营销、商业合作等法律服务以及交易税务筹划、尽职调查、投融资、政策分析、争议解决等专项法律服务。 附件 个人信息保护合规审计指引 一、本指引根据《中华人民共和国个人信息保护法》、《网络数据安全管理条例》等法律、行政法规制定。 二、对个人信息处理活动的合法性基础进行合规审计的,应当重点审查下列事项: (一)基于个人同意处理个人信息的,是否取得个人同意,该同意是否由个人在充分知情的前提下自愿、明确作出; (二)基于个人同意处理个人信息的,个人信息的处理目的、处理方式、处理的个人信息种类发生变更的,是否重新取得个人同意; (三)基于个人同意处理个人信息的,是否依照法律、行政法规取得个人单独同意或者书面同意; (四)处理个人信息未取得个人同意的,是否属于法律、行政法规规定不需要取得个人同意的情形。 三、对个人信息处理规则进行合规审计的,应当重点审查下列事项: (一)是否真实、准确、完整地告知个人信息处理者的名称或者姓名和联系方式; (二)是否以清单等便于查看的形式列明所收集的个人信息及其处理方式和种类; (三)是否与处理目的直接相关,采取对个人权益影响最小的方式; (四)是否明确个人信息保存期限或者保存期限的确定方法、到期后的处理方式,以及确定保存期限为实现处理目的所必要的最短时间; (五)是否明确个人查阅、复制、转移、更正、补充、删除、限制处理个人信息以及注销账号、撤回同意的途径和方法。 四、对个人信息处理者履行告知个人信息处理规则义务进行合规审计的,应当重点审查下列事项: (一)个人信息处理者在处理个人信息前,是否以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理规则; (二)告知文本的大小、字体和颜色是否便于个人完整阅读告知事项; (三)线下告知是否通过标注、说明等多种方式向个人履行告知义务; (四)在线告知是否提供文本信息或者通过适当方式向个人履行告知义务; (五)个人信息处理规则发生变更的,是否将变更内容及时告知个人; (六)处理个人信息不需要告知的,是否属于法律、行政法规规定应当保密或者不需要告知的情形。 五、对个人信息处理者与其他个人信息处理者共同处理个人信息进行合规审计的,应当重点审查下列事项: (一)是否约定各自的权利义务; (二)个人信息权益保护机制; (三)个人信息安全事件报告机制; (四)其他法律、行政法规规定需要约定的权利和义务。 六、对个人信息处理者委托处理个人信息进行合规审计的,应当重点审查下列事项: (一)个人信息处理者在委托处理个人信息前,是否开展个人信息保护影响评估; (二)个人信息处理者与受托人签订的合同,是否与受托人约定了委托处理的目的、期限、方式、个人信息的种类、保护措施以及双方的权利义务等; (三)个人信息处理者是否采取定期检查等方式,对受托人的个人信息处理活动进行监督。 七、个人信息处理者存在因合并、重组、分立、解散、被宣告破产等原因需要转移个人信息情形的,应当重点审查个人信息处理者是否向个人告知接收方的名称或者姓名和联系方式。 八、对个人信息处理者向其他个人信息处理者提供其处理的个人信息进行合规审计的,应当重点审查下列事项: (一)基于个人同意处理个人信息的,是否取得个人的单独同意; (二)是否向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,法律、行政法规规定应当保密或者不需要告知的除外; (三)是否事前进行个人信息保护影响评估。 九、对个人信息处理者利用自动化决策处理个人信息进行合规审计的,应当重点审查下列事项: (一)自动化决策的透明度,以及自动化决策的结果是否公平、公正; (二)是否事前告知个人自动化决策处理个人信息的种类及可能带来的影响; (三)是否事前进行个人信息保护影响评估; (四)是否向用户提供保障机制,以便个人通过便捷方式拒绝通过自动化决策方式作出对个人权益有重大影响的决定,并要求个人信息处理者就通过自动化决策方式作出对用户个人权益有重大影响的决定予以说明; (五)向个人进行信息推送、商业营销的,是否同时提供不针对个人特征的选项,或者提供便捷的拒绝自动化决策服务的方式; (六)是否采取了有效措施,防止自动化决策根据消费者的偏好、交易习惯等对个人在交易条件上实行不合理的差别待遇; (七)其他可能影响自动化决策的透明度和结果公平、公正的事项。 十、对个人信息处理者基于个人同意公开个人信息进行合规审计的,应当重点审查下列事项: (一)个人信息处理者公开其处理的个人信息前是否取得个人单独同意,该授权是否真实、有效,是否存在违背个人意愿将个人信息予以公开的情况; (二)个人信息处理者公开个人信息前,是否进行个人信息保护影响评估。 十一、个人信息处理者在公共场所安装图像收集、个人身份识别设备的,应当重点对其安装图像收集、个人信息身份识别设备的合法性及所收集个人信息的用途进行审查。审查内容包括但不限于: (一)是否为维护公共安全所必需,是否为商业目的处理所收集的个人信息; (二)是否设置了显著的提示标识; (三)个人信息处理者所收集的个人图像、身份识别信息用于维护公共安全以外用途的,是否取得个人单独同意。 十二、对个人信息处理者处理已公开的个人信息进行合规审计的,应当重点审查个人信息处理者是否存在下列违法违规行为: (一)向已公开个人信息中的电子邮箱、手机号等发送与其公开目的无关的商业信息; (二)利用已公开的个人信息从事网络暴力、传播网络谣言和虚假信息等活动; (三)处理个人明确拒绝处理的已公开个人信息;(四)对个人权益有重大影响,未取得个人同意; (五)收集、留存或处理已公开个人信息的规模、时间或使用目的超出合理范围。 十三、对个人信息处理者处理敏感个人信息进行合规审计的,应当重点审查下列事项: (一)基于个人同意处理个人信息的,处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息,是否事前取得个人的单独同意; (二)基于个人同意处理个人信息的,处理不满十四周岁未成年人的个人信息,是否事前取得未成年人的父母或者其他监护人的同意; (三)处理敏感个人信息的目的、方式、范围是否合法、正当、必要; (四)是否在事前进行个人信息保护影响评估; (五)是否向个人告知处理敏感个人信息的必要性以及对个人权益的影响,法律、行政法规规定应当保密或者不需要告知的除外; (六)法律、行政法规规定应当取得书面同意的,是否取得书面同意; (七)是否遵守法律、行政法规对处理敏感个人信息的限制性规定。 十四、对个人信息处理者处理不满十四周岁未成年人个人信息进行合规审计的,应当重点审查下列事项: (一)是否制定专门的个人信息处理规则; (二)是否向未成年人及其监护人告知未成年人个人信息的处理目的、处理方式、处理必要性,以及处理个人信息的种类、所采取的保护措施等,法律、行政法规规定不需要告知的除外; (三)基于个人同意处理个人信息,是否存在强制要求未成年人或者其监护人同意处理非必要个人信息的行为。 十五、对个人信息处理者向境外提供个人信息进行合规审计的,应当重点审查下列事项: (一)关键信息基础设施运营者向境外提供个人信息是否经过国家网信部门组织的安全评估,法律、行政法规、国家网信部门另有规定的,从其规定; (二)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息是否经过国家网信部门组织的安全评估,法律、行政法规、国家网信部门另有规定的,从其规定; (三)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,是否按照国家网信部门的规定,经个人信息保护认证或者按照国家网信部门制定的标准合同与境外接收方签订合同并向所在地省级网信部门备案,或者符合法律、行政法规、国家网信部门规定的其他条件; (四)存在向外国司法或者执法机构提供存储于中华人民共和国境内个人信息情形的,是否经过中华人民共和国主管机关批准; (五)是否向被列入限制或者禁止个人信息提供清单的组织和个人提供个人信息。 十六、对个人信息删除权保障情况进行合规审计的,应当重点审查下列事项: (一)个人信息处理目的是否已实现、无法实现或者为实现处理目的不再必要; (二)个人信息处理者是否停止提供产品或者服务,或者个人是否已注销账号; (三)保存期限是否已届满; (四)个人是否撤回同意; (五)个人信息处理者是否违反法律、行政法规或者违反约定处理个人信息; (六)应当删除个人信息,但法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者是否停止除存储和采取必要的安全措施之外的处理。 十七、对个人信息处理者保障个人在个人信息处理活动中的权利情况进行合规审计的,应当重点审查下列事项: (一)是否建立便捷的个人行使权利的申请受理机制和处理机制; (二)是否及时响应个人行使权利的申请,是否及时、完整、准确告知处理意见或者执行结果; (三)拒绝个人行使权利请求的,是否向个人说明理由。 十八、个人信息处理者应当响应个人申请,对其个人信息处理规则进行解释说明,合规审计时应当重点对下列内容进行评价: (一)个人信息处理者是否提供便捷的方式和途径,接受、处理个人关于个人信息处理规则解释说明的要求; (二)接到个人的要求后,个人信息处理者是否在合理的时间内,使用通俗易懂的语言对其个人信息处理规则作出解释说明。 十九、个人信息处理者应当依照法律、行政法规的规定制定内部管理制度和操作规程,明确组织架构、岗位职责,建立工作流程、完善内控制度,保障个人信息处理合规与安全。合规审计时,应当重点对个人信息处理者个人信息保护内部管理制度和操作规程进行审查,包括但不限于: (一)个人信息保护工作的方针、目标、原则是否符合法律、行政法规规定; (二)个人信息保护组织架构、人员配备、行为规范、管理责任是否与应当履行的个人信息保护责任相适应; (三)是否根据个人信息的种类、来源、敏感程度、用途等,对个人信息进行分类; (四)是否建立个人信息安全事件应急响应机制; (五)是否建立个人信息保护影响评估制度、合规审计制度; (六)是否建立畅通的个人信息保护投诉举报受理流程; (七)是否合理制定个人信息处理操作权限; (八)是否制定实施个人信息保护安全教育和培训计划; (九)是否建立个人信息保护负责人及相关人员履职评价制度; (十)是否建立个人信息违法处理责任制度; (十一)法律、行政法规规定的其他事项。 二十、个人信息处理者应当采取与所处理个人信息规模、类型相适应的安全技术措施,并对个人信息处理者采取的技术措施的有效性进行评价,评价内容包括但不限于: (一)是否采取相应安全技术措施实现个人信息的保密性、完整性、可用性; (二)是否采取加密、去标识化等安全技术措施,确保在不借助额外信息的情况下,消除或者降低个人信息的可识别性; (三)采取的安全技术措施能否合理确定有关人员查阅、复制、传输个人信息等的操作权限,减少个人信息在处理过程中未经授权的访问和滥用风险。 二十一、对个人信息处理者教育培训计划的制定和实施情况进行合规审计时,应当重点对下列事项进行评价: (一)是否按计划对管理人员、技术人员、操作人员、全员开展相应的安全教育和培训,是否对相应人员的个人信息保护意识和技能进行考核; (二)培训内容、方式、对象、频率等能否满足个人信息保护需要。 二十二、对个人信息处理者指定的个人信息保护负责人履职情况进行合规审计的,应当重点审查下列事项: (一)个人信息保护负责人是否具有相关的工作经历和专业知识,熟悉个人信息保护相关法律、行政法规; (二)个人信息保护负责人是否具有明确清晰的职责,是否被赋予充分的权限协调个人信息处理者内部相关部门与人员; (三)个人信息保护负责人在个人信息处理重大事项决策前是否有权提出相关意见和建议; (四)个人信息保护负责人是否有权对个人信息处理者内部个人信息处理的不合规操作进行制止和采取必要的纠正措施; (五)个人信息处理者是否公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送保护部门。 二十三、对个人信息处理者开展个人信息保护影响评估情况进行合规审计时,应当重点对影响评估开展情况和评估内容进行审查: (一)是否依照法律、行政法规的规定,在进行对个人权益具有重大影响的个人信息处理活动前进行个人信息保护影响评估; (二)是否对个人信息的处理目的、处理方式等进行合法、正当、必要评估; (三)是否对个人权益的影响及安全风险进行评估; (四)是否对所采取的保护措施的合法性、有效性,以及与风险程度的适应性进行评估。 二十四、个人信息处理者应当制定个人信息安全事件应急预案。合规审计时,应当对应急预案的全面性、有效性、可执行性作出评价,包括但不限于下列内容: (一)是否结合业务实际,对面临的个人信息安全风险作出系统评估和预测; (二)总体要求、基本策略,组织机构、人员,技术、物资保障,指挥处置程序,应急和支持措施等是否足以应对预测的风险; (三)是否对相关人员进行应急预案培训,定期对应急预案进行演练。 二十五、对个人信息处理者个人信息安全事件应急响应处置情况进行合规审计的,应当重点审查下列事项: (一)是否按照应急预案、操作规程及时查明个人信息安全事件的影响、范围和可能造成的危害,分析、确定事件发生的原因,提出防止危害扩大的措施方案; (二)是否建立通报渠道,在安全事件发生后按照相关规定及时通知保护部门和个人; (三)是否采取相应措施将个人信息安全事件可能造成的损失和可能产生的危害风险降低到最小。 二十六、对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者制定的平台规则进行合规审计的,应当重点审查下列事项:(一)平台规则是否与法律、行政法规相抵触; (二)平台规则个人信息保护条款的有效性,是否合理界定了平台、平台内产品或者服务提供者的个人信息保护权利和义务; (三)平台规则的执行情况,是否通过抽样等方式验证平台规则被有效执行。 二十七、对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者发布的个人信息保护社会责任报告进行合规审计的,应当重点审查社会责任报告披露下列内容的情况: (一)个人信息保护组织架构和内部管理情况; (二)个人信息保护能力建设情况; (三)个人信息保护措施和成效; (四)个人行使权利的申请受理情况; (五)独立监督机构履职情况; (六)重大个人信息安全事件处理情况; (七)促进个人信息保护社会共治的科普宣传、公益活动情况; (八)法律、行政法规规定的其他事项。
