《个人信息保护合规审计管理办法》的18个快问快答
发布日期:2025-02-17
作者: 彭凯 宋海新
2025年2月14日,国家互联网信息办公室公开发布《个人信息保护合规审计管理办法》(“《办法》”,落款发布日期为2025年2月12日),自2025年5月1日起施行。《办法》包含正文二十条和附件《个人信息保护合规审计指引》二十六条,对个人信息保护合规审计(“个保审计”)活动的开展、合规审计机构的选择、合规审计的频次、个人信息处理者和专业机构在合规审计中的义务、合规审计要点等作出了细化规定。
至此,个保审计历经“定调→重申→落地”的三步走:
第一步,定调。《个人信息保护法》第五十四条[1]首次从法律层面提出个人信息处理者需要定期开展个保审计的要求;
第二步,重申。《网络数据安全管理条例》第二十七条[2]进一步重申了需要开展个保审计的要求;
第三步,落地。作为个保审计真正可执行、可落地的细化规则,《办法》可谓是“千呼万唤始出来”,其出台和施行意味着企业真的需要开始做个人信息保护合规审计了。
相较于征求意见稿(2023年8月3日的《个人信息保护合规审计管理办法(征求意见稿)》),《办法》最大的变化也是企业最关心的问题,在于放宽了对个保审计频次的要求,但频次的放宽并不等于个保审计义务的“免除”,也不等于个人信息合规要求也同步放宽。因此,基于《办法》的规定,结合个保审计实践,我们用快问快答的方式,力图用简洁明了的大白话,为企业开展个保审计答疑解惑。
先上快问,有你想问的问题吗?
Q1 我们公司需要做个保审计吗?
Q2 我们公司为什么要做个保审计?
Q3 我们公司需要多久做一次个保审计?
Q4 我们公司还没做过个保审计会被处罚吗?
Q5 我们公司需要马上开始做个保审计吗?
Q6 我们公司需要多少时间内完成一次个保审计?
Q7 谁来给我们公司做个保审计?
Q8 我们公司内部谁来牵头做个保审计?
Q9 我们公司需要指定个人信息保护负责人吗?
Q10 个保审计是现场审计还是远程审计?
Q11 个保审计怎么做?
Q12 个保审计需要参考国标做吗?
Q13 个保审计得做到什么程度?
Q14 个保审计必须做全场景审计吗?
Q15 个保审计报告有模板吗?
Q16 个保审计报告必须是清洁无保留意见的报告吗?
Q17 集团公司可以合并出个保审计报告吗?
Q18 个保审计完成后还需要做什么吗?
快问快答,开始(详细内容在各个脚注):
Q1
我们公司需要做个保审计吗?
位于中国境内的企业都需要做。
位于中国境外的企业,属于境外个人信息处理者的需要做,但不在中国境内做个保审计,就不用受《办法》约束。有点绕,但就是这么规定的[3]。
Q2
我们公司为什么要做个保审计?
法律明确规定,不做可能会查[4],还有可能被罚[5]。
大客户会要求,大客户:请提供贵司最近一次的个保审计报告。
投资方会要求,投资方:请提供贵司最近一次的个保审计报告。
IPO中介机构会要求,交易所、证监会可能会问询。
Q3
我们公司需要多久做一次个保审计?
听命做[6]看这个→只要是监管部门要求,就得做。
自行做[7]看这个→(受托不算)处理超过1000万人个人信息的企业,每2年至少1次[8];其他企业,合理确定自身频次[9]。建议这两年先做1次,原因见Q2,有1次就能说明很多东西。
Q4
我们公司还没做过个保审计会被处罚吗?
2025年5月1日前不会,没有规定溯及既往[10](目前也未见个保审计处罚案例)。《办法》施行后何时会,未知。
Q5
我们公司需要马上开始做个保审计吗?
听命做看这个→现在不需要。监管部门什么时候要求你,再马上做。
自行做看这个→不需要,可以2025年5月1日再开始做。提前开始做可以吗?当然可以。
Q6
我们公司需要多少时间内完成一次个保审计?
听命做看这个→监管部门会告诉你的。情况复杂咋办?提申请→等审批→可延长[11]。
自行做看这个→(受托不算)处理超过1000万人个人信息的企业,底线是2年内完成1次,上限随你卷;其他企业,时间自己看着办,重点还是先做1次(这不是法定要求,是我们的建议)。
Q7
谁来给我们公司做个保审计?
听命做看这个→必须你花钱找专业机构做[12],而且是按照监管部门要求选定专业机构。说是选择哪家专业机构没有强制性要求[13],但个中内涵,诸君自品。
自行做看这个→有钱花钱找专业机构,专业的人做专业的事儿。没钱那就自己做,但自己审自己,别人信不信,你觉得呢?钱不够咋办?自己做,找专业机构辅导,花小钱可能办不了大事儿,但别人可能会多信一点点。
专业机构咋找?文末有彩蛋(不是),文末有联系方式。
Q8
我们公司内部谁来牵头做个保审计?
(受托不算)处理100万人以上的企业看这个(其他企业直接看下一个)→指定个人信息保护负责人,个保负责人牵头做。[14]没有个保负责人怎么办?内部指定或者“增岗位+批预算+现招人”。
(受托不算)处理不到100万人的企业看这个→需要指定个人信息保护负责人来牵头吗?不需要,但可以有。不需要就没有怎么办?内审负责人、安全团队负责人、合规部门负责人、法务部门负责人等,“竞争(积极消极不论)上岗”。
Q9
我们公司需要指定个人信息保护负责人吗?
(受托不算)处理100万人以上的企业看这个(其他企业直接看下一个)→2025年5月1日起,必须指定个人信息保护负责人。不是因为要做个保审计才必须指定个保负责人,而是达量就得设置个保负责人,负责个保审计只是个保负责人的职责之一。个保负责人谁都能当吗?当然不是,工作经历、专业知识有要求的[15]。个保负责人只要有了就行吗?当然也不是,职责、权限等都得到位[16]。有机会再展开说。
(受托不算)处理不到100万人的企业看这个→不需要,但可以有。
Q10
个保审计是现场审计还是远程审计?
一般是现场访谈、测试等+远程审材料。具体看内部机构或专业机构的实施方案。
Q11
个保审计怎么做?
听命做看这个→跟你关系不大,专业机构怎么做,你怎么配合[17]。不配合?静候监管部门处置。
自行做找了专业机构的看这个→“内部定谁牵头——内部启动会——采购专业机构——正式启动会——剩下的交给专业机构,配合就行了”。不配合?你是甲方,你的意见多数还是得听的,但也不能既要又要还要,能出清洁无保留意见的审计报告最重要。
自行做且是自己做的看这个→“内部定谁牵头——内部启动会——参照《个人信息保护合规审计指引》做”。《个人信息保护合规审计指引》在哪?建议再仔细看看《个人信息保护合规审计管理办法》。
Q12
个保审计需要参考国标做吗?
听命做看这个→跟你关系不大,专业机构说了算。
自行做的看这个→只有《个人信息保护合规审计指引》是必须参照的[18]。只参照这个指引就够了吗?够,且更容易出报告。那国标呢?目前到了送审稿阶段(2025年1月16日版本)的个保审计国标以及你没问到的团标都不具有强制效力,可以参考,整体思路还是不错的,但不是必须参考,选择性参考可能更有价值,也更适合你。至于选择哪些参考,这会是个颇有含金量的活儿。
Q13
个保审计得做到什么程度?
听命做看这个→跟你关系不大,专业机构说了算。
自行做但不想卷的看这个→把钱花在刀刃上,先从0到1,够用就行,能尽量出清洁无保留意见的报告就行。个保合规是动态合规,先及格,再酌情优化。咋酌情?预算多了,出新规了,监管严了,诉讼多了,客户要了,投诉多了,得融资了,要上市了……
自行做但想卷的看这个(尽量别卷别看)→继续看了是吧,预算够吗?够,那往90分以上卷。怎么卷?按预计马上出正式稿的个保审计国标和团标来,按最好的行业实践来。预算不够,最好放弃。为啥不说直接放弃?有时候是外力迫使不得不做,有时候是内部既要又要还要,等有缘人,专业机构也会卷。
Q14
个保审计必须做全场景审计吗?
听命做看这个→跟你关系不大,专业机构说了算。
自行做看这个→按字面意思,“其处理个人信息……的情况”,指的是全量,也就是全场景审计。可以全场景审计吗?当然,这样最好。但按实际情况,业务线越复杂的公司,全场景审计越困难,可以先指定场景审计,争取累计实现全场景审计。指定哪个场景?高风险场景?简单的场景?这需要好好斟酌,得对内好交代,对外能交代。
Q15
个保审计报告有模板吗?
法律没有规定个保审计报告的模板。如果你想看,个保审计国标附录D有“个人信息保护合规审计报告模板”,团标也有个报告模板。报告真的会长那样吗?可以长那样,但我们的报告不长那样,至少不完全长那样。
Q16
个保审计报告必须是清洁无保留意见的报告吗?
听命做看这个→你肯定拿不到清洁无保留意见的报告。别激动,对事不对企业,你有事儿且不是小事儿才会找你,对不?
自行做看这个→你想要清洁无保留意见的报告吗?当然,你想。难吗?难。可行吗?可行,交给专业机构做更专业(值钱)的事儿,钱不会白花。这合适吗?合适,也别为专业机构担心,专业机构如你所愿的前提一定是先保护好了自己。自己给自己出清洁版报告?能出,公司合规自信或者你敢就行。
Q17
集团公司可以合并出个保审计报告吗?
听命做看这个→跟你关系不大,专业机构说了算。
自行做看这个→法律未禁止。要想合并,得有能合并的内容且说清楚哪些合并适用,例如组织架构、制度等集团通用、存在部分个人信息共同处理等。不能合并的内容,就单独讲清楚。
Q18
个保审计完成后还需要做什么吗?
听命做看这个→报告交上去你还得按监管部门要求做整改,改完还得交整改情况报告[19]。
自行做看这个→当你拿到了一份清洁无保留意见的个保审计报告,恭喜你,下次个保审计前没啥事儿了,留着报告,待监管来查,待大客户要。报告需要交给监管部门吗?不需要。报告可以主动给大客户吗?当然,你这是在给自己加分。怎么给?至少封面和结论页吧,不然没啥说服力。等等,那我拿到的不是清洁无保留意见的个保审计报告咋办?谁出的找谁,直接问“我该怎么改?”
18个Q&A之外和个保审计之上
个保审计的靴子落地,将关注点放在与征求意见稿相比的松绑并无太大意义(不是说没意义),因为与数据出境规定松绑不同,征求意见稿并未落地,自然也就不存在真正意义上的“松绑”,落地了就代表着个保审计要开始了,对企业而言,比之前就是多了个保审计实际执行的约束。
此外,除个保审计本身关切问题之外,所有企业需要关注的是企业需要对照《个人信息保护合规审计指引》这一个人信息保护合规的系统性、针对性、可操作性的指引进行查漏补缺,特别是该指引通过对法律、行政法规规定的细化而新增的个保合规要求,例如建立个人信息保护影响评估制度、合规审计制度、建立个人信息保护负责人及相关人员履职评价制度、建立个人信息违法处理责任制度等[20]。须知,个保审计之上,是《个人信息保护法》全面深入的落地。
[1] 《个人信息保护法》第五十四条 个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
[2] 《网络数据安全管理条例》第二十七条 网络数据处理者应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计。
[3] 《个人信息保护合规审计管理办法》第二条第一款 在中华人民共和国境内开展个人信息保护合规审计,适用本办法。
[4]《个人信息保护合规审计管理办法》第十六条 保护部门对个人信息处理者开展个人信息保护合规审计情况进行监督检查。
[5]《个人信息保护法》第六十六条 违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
[6] 《个人信息保护合规审计管理办法》第五条第一款 个人信息处理者有以下情形之一的,国家网信部门和其他履行个人信息保护职责的部门(以下统称为保护部门),可以要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计:
(一)发现个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险的;
(二)个人信息处理活动可能侵害众多个人的权益的;
(三)发生个人信息安全事件,导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的。
[7] 《个人信息保护合规审计管理办法》第三条 个人信息处理者自行开展个人信息保护合规审计的,应当由个人信息处理者内部机构或者委托专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
[8]《个人信息保护合规审计管理办法》第四条 处理超过1000万人个人信息的个人信息处理者,应当每两年至少开展一次个人信息保护合规审计。
[9] 《<个人信息保护合规审计管理办法>答记者问》:“处理超过1000万人个人信息的个人信息处理者,应当每两年至少开展一次个人信息保护合规审计。其他个人信息处理者根据自身情况合理确定定期开展个人信息保护合规审计的频次”,载https://www.cac.gov.cn/2025-02/14/c_1741232792029282.htm,最后访问时间2025年2月14日。
[10]《个人信息保护合规审计管理办法》第二十条 本办法自2025年5月1日起施行。
[11] 《个人信息保护合规审计管理办法》第九条 个人信息处理者按照保护部门要求开展个人信息保护合规审计的,应当按照保护部门要求选定专业机构,在限定时间内完成个人信息保护合规审计;情况复杂的,报保护部门批准后,可以适当延长。
[12] 《个人信息保护合规审计管理办法》第八条 个人信息处理者按照保护部门要求开展个人信息保护合规审计的,应当为专业机构正常开展个人信息保护合规审计工作提供必要支持,并承担审计费用。
[13] 《<个人信息保护合规审计管理办法>答记者问》:“个人信息处理者自行开展合规审计时,可以选择由内部机构自行开展,也可以委托专业机构开展。《办法》对采取何种审计方式、是否选择专业机构,以及选择哪家专业机构没有强制性要求。个人信息处理活动存在较大风险、可能侵害众多个人的权益或者发生个人信息安全事件时,履行个人信息保护职责的部门可以要求个人信息处理者委托专业机构开展个人信息保护合规审计”,载https://www.cac.gov.cn/2025-02/14/c_1741232792029282.htm,最后访问时间2025年2月14日。
[14] 《个人信息保护法》第五十二条第一款 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。
《个人信息保护合规审计管理办法》第十二条第一款 处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人,负责个人信息处理者的个人信息保护合规审计工作。
[15] 《个人信息保护合规审计管理办法》附件《个人信息保护合规审计指引》二十二、对个人信息处理者指定的个人信息保护负责人履职情况进行合规审计的,应当重点审查下列事项:(一)个人信息保护负责人是否具有相关的工作经历和专业知识,熟悉个人信息保护相关法律、行政法规……
[16] 《个人信息保护合规审计管理办法》附件《个人信息保护合规审计指引》二十二、对个人信息处理者指定的个人信息保护负责人履职情况进行合规审计的,应当重点审查下列事项:……(二)个人信息保护负责人是否具有明确清晰的职责,是否被赋予充分的权限协调个人信息处理者内部相关部门与人员;(三)个人信息保护负责人在个人信息处理重大事项决策前是否有权提出相关意见和建议;(四)个人信息保护负责人是否有权对个人信息处理者内部个人信息处理的不合规操作进行制止和采取必要的纠正措施;(五)个人信息处理者是否公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送保护部门。
[17]《个人信息保护合规审计管理办法》第八条 个人信息处理者按照保护部门要求开展个人信息保护合规审计的,应当为专业机构正常开展个人信息保护合规审计工作提供必要支持,并承担审计费用。
[18]《个人信息保护合规审计管理办法》第六条 个人信息处理者自行开展或者按照保护部门要求委托专业机构开展个人信息保护合规审计的,应当参照本办法附件《个人信息保护合规审计指引》。
[19]《个人信息保护合规审计管理办法》第十一条 个人信息处理者按照保护部门要求开展个人信息保护合规审计的,应当按照保护部门要求对合规审计中发现的问题进行整改。在整改完成后15个工作日内,向保护部门报送整改情况报告。
[20] 《个人信息保护合规审计管理办法》附件《个人信息保护合规审计指引》十九、个人信息处理者应当依照法律、行政法规的规定制定内部管理制度和操作规程,明确组织架构、岗位职责,建立工作流程、完善内控制度,保障个人信息处理合规与安全。合规审计时,应当重点对个人信息处理者个人信息保护内部管理制度和操作规程进行审查,包括但不限于:……(五)是否建立个人信息保护影响评估制度、合规审计制度……(九)是否建立个人信息保护负责人及相关人员履职评价制度(十)是否建立个人信息违法处理责任制度……
相关律师
诚挚感谢为大成上海官网提供照片的同仁们!
Beijing Dacheng Law Offices, LLP (“大成”) is an independent law firm, and not a member or affiliate of Dentons. 大成 is a partnership law firm organized under the laws of the People's Republic of China, and is Dentons' Preferred Law Firm in China, with offices in more than 50 locations throughout China. Dentons Group (a Swiss Verein) (“Dentons”) is a separate international law firm with members and affiliates in more than 160 locations around the world, including Hong Kong SAR, China. For more information, please see dacheng.com/legal-notices or dentons.com/legal-notices.