国家互联网信息办公室于近日发布了《个人信息保护合规审计管理办法》（以下简称《办法》），该《办法》将于2025年5月1日正式生效。《办法》详细规定了个人信息保护法中关于个人信息保护合规审计的具体执行细则，涉及合规审计活动的开展方式、合规审计机构的选择标准、审计的频次以及个人信息处理者和专业机构在合规审计过程中应承担的责任等方面。

第一条 为了规范个人信息保护合规审计活动，保障个人信息权益，根据《中华人民共和国个人信息保护法》和《网络数据安全管理条例》等相关法律法规，特制定本办法。

解读：根据《中华人民共和国个人信息保护法》第五十四条，个人信息处理者需定期对其处理个人信息的活动是否符合法律法规进行合规审计；第六十四条规定，当履行个人信息保护职责的部门发现个人信息处理活动存在较大风险或发生个人信息安全事件时，可要求个人信息处理者委托专业机构进行合规审计。《网络数据安全管理条例》第二十七条也要求网络数据处理者定期自行或委托专业机构进行合规审计。

第二条 在中华人民共和国境内开展的个人信息保护合规审计活动，适用本《办法》。所谓个人信息保护合规审计，是指对个人信息处理者的个人信息处理活动是否符合法律法规的要求进行审查和评价的监督过程。

解读：个人信息保护合规审计的对象是个人信息处理者的个人信息处理活动；审计的标准为现行的法律法规，其结果应反映个人信息处理者是否遵守了相关法律法规的规定。审计得出的结论是与法律法规要求相比较是否“符合/满足”的意见。

第三条 个人信息处理者自行开展个人信息保护合规审计时，应当由内部机构或委托的专业机构定期对其处理个人信息的活动是否符合法律法规进行合规审计。

第四条 处理超过1000万人个人信息的个人信息处理者，应至少每两年开展一次个人信息保护合规审计。

第五条 在以下情形之一时，国家网信部门和其他履行个人信息保护职责的部门（以下简称保护部门）可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计：

（一）发现个人信息处理活动存在严重影响个人权益或严重缺乏安全措施等较大风险的；

（二）个人信息处理活动可能侵害众多个人权益的；

（三）发生导致100万人以上个人信息或10万人以上敏感个人信息泄露、篡改、丢失、毁损的个人信息安全事件的。对于同一信息安全事件或风险，不得重复要求个人信息处理者委托专业机构开展个人信息保护合规审计。

解读：上述规定遵循《中华人民共和国个人信息保护法》中第五十四条和第六十四条对合规审计的分类，明确了合规审计的条件、机构选择及频次要求。一是个人信息处理者自行开展的合规审计，即自行审计。《办法》规定，个人信息处理者应自行或委托专业机构定期进行合规审计。对于处理超过1000万人个人信息的处理者，应至少每两年开展一次审计，其他处理者则无强制要求。二是根据保护部门要求开展的合规审计，即监管审计。《办法》规定，在发现较大风险、可能侵犯众多人权益或发生信息安全事件的情形下，保护部门可要求个人信息处理者委托专业机构进行合规审计。

第八条 个人信息处理者按照保护部门的要求开展个人信息保护合规审计时，应为专业机构正常进行审计工作提供必要的支持，并承担相关审计费用。

第九条 个人信息处理者应按照保护部门的要求选定专业机构，并在规定的时间内完成个人信息保护合规审计；如遇复杂情况，经保护部门批准后，可适当延长审计时间。

第十条 个人信息处理者在完成合规审计后，应将专业机构出具的审计报告提交给保护部门。

个人信息保护合规审计报告应由专业机构的主要负责人和合规审计负责人签字并加盖专业机构公章。

第十一条 个人信息处理者应按照保护部门的要求对合规审计中发现的问题进行整改。整改完成后15个工作日内，应向保护部门提交整改情况报告。

解读：在按保护部门要求开展个人信息保护合规审计时，个人信息处理者应履行三项主要义务：一是确保合规审计顺利进行，为专业机构提供必要支持并承担审计费用；二是按规定选定专业机构并在限定时间内完成审计，复杂情况需报批后可适当延长；三是提交审计报告并进行整改，完成后及时向保护部门报告整改情况。

第十三条 专业机构在从事个人信息保护合规审计活动时，应遵守法律法规，保持诚信正直，公正客观地作出职业判断，并对在履行职责过程中获得的个人信息、商业秘密、保密商务信息等依法保密，不得泄露或非法提供给他人。审计结束后应及时删除相关信息。

第十四条 专业机构不得转委托其他机构开展个人信息保护合规审计。

第十五条 同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。

解读：专业机构的主要义务包括：一是遵守法律法规，保持诚信正直，公正客观地进行审计判断，并严格保密履职过程中获知的信息；二是不得转委托其他机构进行审计；三是同一机构或个人不得连续多次对同一对象进行审计。

六、其他条款

第十六条 保护部门应对个人信息处理者的合规审计情况进行监督检查。

第十七条 任何组织和个人都有权对个人信息保护合规审计中的违法行为向保护部门投诉或举报。接到投诉或举报的部门应及时依法处理，并将结果告知投诉或举报人。

第十八条 违反本办法规定的个人信息处理者和专业机构，将依照《中华人民共和国个人信息保护法》、《网络数据安全管理条例》等法律法规进行处理；构成犯罪的，依法追究刑事责任。

第十九条 国家机关和法律法规授权的组织进行的个人信息保护合规审计不适用本办法。

第二十条 本办法自2025年5月1日起施行。

解读：上述条款明确了保护部门在合规审计中的权责等问题。

七、企业如何迎接个人信息保护合规审计？

随着个人信息保护合规审计成为执法机构常态化监管的重要手段，企业可以通过以下三个步骤来做好准备：

健全和完善个人信息保护制度及内部控制机制，参照《办法》附件《个人信息保护合规审计指引》所列的重点审查事项进行自查自纠；

建立内部合规审计体系，按照规定定期进行合规审计，及时发现并纠正违规行为和潜在风险；

CCRC-PIPCA个人信息保护合规审计师，CCRC-PIPP个人信息保护专业人员认证马老师:135-2173-0416/133-9150-9126

加强与专业机构的合作，包括委托专业机构进行独立的合规审计，利用其专业知识增强自身的合规能力。