近日，國家互聯(lián)網(wǎng)信息辦公室公布《個人信息保護合規(guī)審計管理辦法》（以下簡稱《辦法》），自2025年5月1日起施行。

國家互聯(lián)網(wǎng)信息辦公室有關(guān)負責人表示，《中華人民共和國個人信息保護法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》對個人信息處理者開展個人信息保護合規(guī)審計作了規(guī)定，《辦法》對合規(guī)審計活動的開展、合規(guī)審計機構(gòu)的選擇、合規(guī)審計的頻次、個人信息處理者和專業(yè)機構(gòu)在合規(guī)審計中的義務(wù)等作出細化規(guī)定，旨在為個人信息處理者開展個人信息保護合規(guī)審計提供系統(tǒng)性、針對性、可操作性的規(guī)范，提升個人信息處理活動合法合規(guī)水平，保護個人信息權(quán)益。

《辦法》明確了個人信息處理者開展合規(guī)審計的兩種情形。一是個人信息處理者自行開展合規(guī)審計的，應(yīng)當由個人信息處理者內(nèi)部機構(gòu)或者委托專業(yè)機構(gòu)定期對其處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計。處理超過1000萬人個人信息的個人信息處理者，應(yīng)當每兩年至少開展一次個人信息保護合規(guī)審計。二是履行個人信息保護職責的部門發(fā)現(xiàn)個人信息處理活動存在較大風險、可能侵害眾多個人的權(quán)益或者發(fā)生個人信息安全事件的，可以要求個人信息處理者委托專業(yè)機構(gòu)對個人信息處理活動進行合規(guī)審計。

《辦法》明確了開展合規(guī)審計的個人信息處理者應(yīng)當履行的義務(wù)。規(guī)定個人信息處理者按照履行個人信息保護職責的部門要求開展合規(guī)審計的，應(yīng)當為專業(yè)機構(gòu)正常開展合規(guī)審計工作提供必要支持并承擔審計費用，在限定時間內(nèi)完成合規(guī)審計，報送合規(guī)審計報告并進行整改。

《辦法》明確了專業(yè)機構(gòu)在合規(guī)審計中的義務(wù)。一是應(yīng)當具備開展個人信息保護合規(guī)審計的能力，有與服務(wù)相適應(yīng)的審計人員、場所、設(shè)施和資金等。二是應(yīng)當遵守法律法規(guī)，誠信正直，公正客觀地作出合規(guī)審計職業(yè)判斷，對履職中知悉的個人信息、商業(yè)秘密、保密商務(wù)信息等依法予以保密。三是不得轉(zhuǎn)委托其他機構(gòu)開展個人信息保護合規(guī)審計。四是同一專業(yè)機構(gòu)及其關(guān)聯(lián)機構(gòu)、同一合規(guī)審計負責人不得連續(xù)三次以上對同一審計對象開展個人信息保護合規(guī)審計。

《辦法》以附件形式提供了《個人信息保護合規(guī)審計指引》，對個人信息保護相關(guān)法律、行政法規(guī)的關(guān)鍵要點作了梳理，從合規(guī)審計的角度進行了細化。個人信息處理者自行開展或者按照履行個人信息保護職責的部門要求委托專業(yè)機構(gòu)開展個人信息保護合規(guī)審計，應(yīng)當參照《個人信息保護合規(guī)審計指引》。

《辦法》同時對履行個人信息保護職責的部門的監(jiān)督管理責任和個人信息處理者、專業(yè)機構(gòu)違反《辦法》規(guī)定的法律責任等作出了規(guī)定。

《個人信息保護合規(guī)審計管理辦法》答記者問

近日，國家互聯(lián)網(wǎng)信息辦公室公布《個人信息保護合規(guī)審計管理辦法》（以下簡稱《辦法》）。國家互聯(lián)網(wǎng)信息辦公室有關(guān)負責人就《辦法》相關(guān)問題回答了記者提問。

問1：請介紹一下《辦法》的出臺背景？

答：當前，個人信息被企業(yè)、機構(gòu)甚至個人廣泛收集使用，個人信息保護和個人信息利用的矛盾日益突出。為壓實個人信息處理者個人信息保護主體責任，加強個人信息處理活動風險控制和監(jiān)督，《中華人民共和國個人信息保護法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》對個人信息處理者開展合規(guī)審計作了規(guī)定。為有效落實法律法規(guī)要求，國家互聯(lián)網(wǎng)信息辦公室制定出臺《辦法》，對個人信息保護合規(guī)審計活動的開展、合規(guī)審計機構(gòu)的選擇、合規(guī)審計的頻次、個人信息處理者和專業(yè)機構(gòu)在合規(guī)審計中的義務(wù)等作出細化規(guī)定，旨在為個人信息處理者開展個人信息保護合規(guī)審計提供系統(tǒng)性、針對性、可操作性的規(guī)范，提升個人信息處理活動合法合規(guī)水平，保護個人信息權(quán)益。

問2：我國法律法規(guī)中對個人信息保護合規(guī)審計作了哪些規(guī)定？

答：《中華人民共和國個人信息保護法》第五十四條規(guī)定，個人信息處理者應(yīng)當定期對其處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計。第六十四條規(guī)定，履行個人信息保護職責的部門在履行職責中，發(fā)現(xiàn)個人信息處理活動存在較大風險或者發(fā)生個人信息安全事件的，可以按照規(guī)定的權(quán)限和程序?qū)υ搨€人信息處理者的法定代表人或者主要負責人進行約談，或者要求個人信息處理者委托專業(yè)機構(gòu)對其個人信息處理活動進行合規(guī)審計。《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》第二十七條規(guī)定，網(wǎng)絡(luò)數(shù)據(jù)處理者應(yīng)當定期自行或者委托專業(yè)機構(gòu)對其處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計。以上法律法規(guī)明確了個人信息保護合規(guī)審計的兩種情形：一是個人信息處理者自行開展合規(guī)審計。二是按照履行個人信息保護職責的部門要求，委托專業(yè)機構(gòu)開展合規(guī)審計。

問3：《辦法》的主要內(nèi)容是什么？

答：《辦法》主要對下列內(nèi)容進行了規(guī)定：一是明確個人信息處理者自行開展合規(guī)審計和按照履行個人信息保護職責的部門要求委托專業(yè)機構(gòu)開展合規(guī)審計的條件，合規(guī)審計機構(gòu)的選擇和合規(guī)審計的頻次。二是明確開展合規(guī)審計的個人信息處理者應(yīng)當履行的義務(wù)，規(guī)定個人信息處理者按照履行個人信息保護職責的部門要求開展合規(guī)審計的，應(yīng)當為專業(yè)機構(gòu)正常開展合規(guī)審計工作提供必要支持并承擔審計費用，在限定時間內(nèi)完成合規(guī)審計，報送合規(guī)審計報告并進行整改。三是明確專業(yè)機構(gòu)在合規(guī)審計中的義務(wù)，規(guī)定專業(yè)機構(gòu)應(yīng)當具備開展合規(guī)審計的能力，遵守法律法規(guī)，明確同一專業(yè)機構(gòu)及其關(guān)聯(lián)機構(gòu)、同一合規(guī)審計負責人不得連續(xù)三次以上對同一審計對象開展個人信息保護合規(guī)審計。四是明確履行個人信息保護職責的部門對個人信息處理者開展合規(guī)審計情況進行監(jiān)督檢查，任何組織、個人有權(quán)對合規(guī)審計中的違法活動向履行個人信息保護職責的部門進行投訴、舉報，并規(guī)定個人信息處理者、專業(yè)機構(gòu)違反《辦法》規(guī)定的法律責任。

問4：個人信息處理者在什么情況下需要開展個人信息保護合規(guī)審計？

答：個人信息處理者開展個人信息保護合規(guī)審計分兩種情形：一是自行開展合規(guī)審計，即個人信息處理者應(yīng)當定期對其處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計。處理超過1000萬人個人信息的個人信息處理者，應(yīng)當每兩年至少開展一次個人信息保護合規(guī)審計。其他個人信息處理者根據(jù)自身情況合理確定定期開展個人信息保護合規(guī)審計的頻次。二是按照要求開展合規(guī)審計，即履行個人信息保護職責的部門在履行職責中，發(fā)現(xiàn)個人信息處理活動存在較大風險、可能侵害眾多個人的權(quán)益或者發(fā)生個人信息安全事件的，可以要求個人信息處理者委托專業(yè)機構(gòu)對其個人信息處理活動進行合規(guī)審計。

問5：個人信息處理者如何選擇合規(guī)審計機構(gòu)？

答：個人信息處理者自行開展合規(guī)審計時，可以選擇由內(nèi)部機構(gòu)自行開展，也可以委托專業(yè)機構(gòu)開展。《辦法》對采取何種審計方式、是否選擇專業(yè)機構(gòu)，以及選擇哪家專業(yè)機構(gòu)沒有強制性要求。個人信息處理活動存在較大風險、可能侵害眾多個人的權(quán)益或者發(fā)生個人信息安全事件時，履行個人信息保護職責的部門可以要求個人信息處理者委托專業(yè)機構(gòu)開展個人信息保護合規(guī)審計。

問6：《辦法》對專業(yè)機構(gòu)提出了哪些要求？

答：專業(yè)機構(gòu)接受個人信息處理者委托開展合規(guī)審計，應(yīng)當公正客觀地作出合規(guī)審計結(jié)論，提出合規(guī)審計建議，其出具的合規(guī)審計報告是履行個人信息保護職責的部門開展監(jiān)督管理工作的重要參考。《辦法》對專業(yè)機構(gòu)提出以下要求：一是應(yīng)當具備開展個人信息保護合規(guī)審計的能力，有與服務(wù)相適應(yīng)的審計人員、場所、設(shè)施和資金等。二是應(yīng)當遵守法律法規(guī)，誠信正直，公正客觀地作出合規(guī)審計職業(yè)判斷，對在履行個人信息保護合規(guī)審計職責中獲得的個人信息、商業(yè)秘密、保密商務(wù)信息等依法予以保密，不得泄露或者非法向他人提供，在合規(guī)審計工作結(jié)束后及時刪除相關(guān)信息。三是不得轉(zhuǎn)委托其他機構(gòu)開展個人信息保護合規(guī)審計。四是同一專業(yè)機構(gòu)及其關(guān)聯(lián)機構(gòu)、同一合規(guī)審計負責人不得連續(xù)三次以上對同一審計對象開展個人信息保護合規(guī)審計。

問7：《辦法》如何對專業(yè)機構(gòu)進行管理？

答：《辦法》遵循自愿性、市場化的原則，通過認證認可方式對專業(yè)機構(gòu)進行監(jiān)督管理。專業(yè)機構(gòu)的認證按照《中華人民共和國認證認可條例》的有關(guān)規(guī)定執(zhí)行。具備開展個人信息保護合規(guī)審計能力，有與服務(wù)相適應(yīng)的審計人員、場所、設(shè)施和資金的專業(yè)機構(gòu)，可以自愿申請相關(guān)服務(wù)能力認證。

問8：個人信息處理者按照履行個人信息保護職責的部門要求開展個人信息保護合規(guī)審計時，應(yīng)當履行哪些義務(wù)？

答：《辦法》對個人信息處理者按照履行個人信息保護職責的部門要求開展個人信息保護合規(guī)審計提出以下要求：一是保障合規(guī)審計正常進行，為專業(yè)機構(gòu)正常開展個人信息保護合規(guī)審計工作提供必要支持，并承擔審計費用。二是按照履行個人信息保護職責的部門要求選定專業(yè)機構(gòu)，在限定時間內(nèi)完成個人信息保護合規(guī)審計，情況復雜的，報履行個人信息保護職責的部門批準后，可以適當延長。三是報送合規(guī)審計報告并進行整改，個人信息處理者在完成合規(guī)審計后，應(yīng)當將專業(yè)機構(gòu)出具的個人信息保護合規(guī)審計報告報送履行個人信息保護職責的部門，按照履行個人信息保護職責的部門要求對合規(guī)審計中發(fā)現(xiàn)的問題進行整改，在整改完成后15個工作日內(nèi)，向履行個人信息保護職責的部門報送整改情況報告。

問9：個人信息處理者開展個人信息保護合規(guī)審計如何適用《個人信息保護合規(guī)審計指引》？

答：《個人信息保護合規(guī)審計指引》對個人信息保護相關(guān)法律、行政法規(guī)的關(guān)鍵要點作了梳理，從合規(guī)審計的角度進行了細化，便于個人信息處理者對個人信息處理活動是否遵守法律、行政法規(guī)要求進行審查和評價。個人信息處理者自行開展或者按照履行個人信息保護職責的部門要求委托專業(yè)機構(gòu)開展個人信息保護合規(guī)審計，應(yīng)當參照《個人信息保護合規(guī)審計指引》。