正 策 动 态

《个人信息保护法》第五十四条明确要求个人信息处理者定期开展合规审计，第六十四条赋予监管部门在个人信息处理活动存在较大风险或发生安全事件时可以要求企业委托专业机构进行合规审计的权限；《网络数据安全管理条例》第二十七条进一步细化合规审计要求，明确企业可自行或委托专业机构进行审计，并强调了避免重复评估和审计。《个人信息保护合规审计管理办法》（下称《办法》）则进一步明确了合规审计适用范围、审计类型、合规审计频率、专业机构和个人信息处理者的义务等等，并附有详细的审计指引。此次《办法》的出台标志着我国个人信息保护从“原则性要求”向“操作性指引”迈进，为企业在个人信息保护实践中提供了清晰的路径，通过审计机制倒逼企业建立系统化的个人信息保护体系，实现风险预防与动态监管的结合。

《办法》核心条款解读：合规审计推动企业建立个人信息保护体系

《办法》中的核心条款旨在通过建立健全的合规审计机制，推动企业构建完善的个人信息保护体系。《办法》及其附件的条款涵盖了《个人信息保护法》和《网络数据安全管理条例》中关于个人信息保护的各个重点方面，帮助企业在审计合规时更加全面地自检个人信息处理行为，从而进一步健全企业的个人信息保护体系。

1.合规审计的类型及频率

根据《办法》的规定，个人信息保护合规审计包括两种类型。一是企业自行开展审计，即企业可以依托个人信息保护机构或内部其他职能部门，自行开展合规审计。二是按要求进行审计，即在特定情况下，国家网信部门及履行个人信息保护职责的相关部门（下称“保护部门”）可以要求企业委托专业机构对其个人信息处理活动进行合规审计。根据《办法》第五条，前述特定情形包括：（1）个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险；（2）个人信息处理活动可能侵害众多个人的权益；（3）发生个人信息安全事件，导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损。

《办法》第四条规定，处理超过1000万条个人信息的企业应当每两年至少开展一次合规审计。对于其他个人信息处理者，虽然没有明确规定审计频率，但其他企业可以根据自身情况合理确定定期开展个人信息保护合规审计的频次。

2.对专业机构的资质要求及其相关义务

《办法》规定，提供合规审计服务的机构应具有与服务相适应的审计人员、场所、设施和资金等，并鼓励相关专业机构通过认证，专业机构的认证应遵循《中华人民共和国认证认可条例》的相关规定。

对于专业机构在审计活动中的要求，包括：

• 应遵守法律法规，诚信正直，公正客观地作出合规审计职业判断；

  
  

• 对在合规审计职责中获得的个人信息、商业秘密和保密商务信息等予以保密，不得违规向他人提供，并在审计工作结束后及时予以删除；

  
  

• 禁止将合规审计工作转委托给其他机构。

  
  

此外，《办法》还规定了同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计，旨在确保审计结果的独立性和客观性。

3.个人信息处理者的相关义务

《办法》规定了企业作为个人信息处理者在按要求进行合规审计工作时的配合义务。具体包括：

• 为专业机构正常开展个人信息保护合规审计工作提供必要支持，并承担审计费用。

  
  

• 按照保护部门要求选定专业机构，在限定时间内完成个人信息保护合规审计；情况复杂的，报保护部门批准后，可以适当延长。

  
  

• 在完成合规审计后，应当将专业机构出具的个人信息保护合规审计报告（由专业机构主要负责人、合规审计负责人签字并加盖专业机构公章）报送保护部门。

  
  

• 对合规审计中发现的问题进行整改并在整改完成后规定期限内，向保护部门报送整改情况报告。

  
  

此外，《办法》还明确规定，处理100万人以上个人信息的企业应当指定个人信息保护负责人，负责企业的个人信息保护合规审计工作。对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的企业，还要求成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督。

4.附件：《个人信息保护合规审计指引》

《个人信息保护合规审计指引》（以下简称“审计指引”）对个人信息保护相关法律、行政法规的重点合规点进行梳理，包含了数据处理全周期合规管理、合规制度建设和执行、针对特定个人信息处理主体的特殊要求等，旨在帮助企业更精准有效地审查和评估其个人信息处理活动是否符合相关法律和行政法规的要求。审查要点重点梳理请见第三部分表格。

5.违反合规审计规定的法律责任

根据《办法》第十八条及《个人信息保护法》《网络数据安全管理条例》相关规定，违反合规审计要求的责任主体将依法承担相应法律责任；构成犯罪的，依法追究刑事责任。具体责任包括：

（1）对企业的处罚措施

企业违反个人信息保护规定，由保护部门责令改正，给予警告，并没收违法所得。对于违法处理个人信息的应用程序，责令暂停或终止服务。拒不改正的，处以100万元以下罚款。情节严重的，责令改正，没收违法所得，并处5000万元以下或上一年度营业额5％以下的罚款。同时，可以责令暂停相关业务、停业整顿，或通报有关主管部门吊销相关业务许可或营业执照。

（2）对相关责任人员的处罚措施

对直接负责的主管人员和其他直接责任人员，处以1万元以上10万元以下罚款。情节严重的，处以10万元以上100万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或个人信息保护负责人。

（3）对专业机构的处理措施

对涉及的专业机构，依据《中华人民共和国认证认可条例》等相关法律法规进行处理。

企业合规启示：从被动响应到体系化治理

《办法》通过构建系统化的审计框架，为企业划定了清晰的合规坐标。企业应从“事后整改”的被动模式转向“全周期管理”的主动治理范式，将个人信息保护深度融入业务战略和运营体系。基于法规解读与实践观察，本文提炼以下合规建设路径供企业参考。

（一）数据合规体系的构建方法论

•体系建设三阶模型

1. 基础梳理识别：系统梳理企业业务场景中的数据处理全流程，进行如下三个维度的识别：（1）数据资产类型（区分一般/敏感个人信息、重要业务数据等）；（2）数据处理方式及规模（是否涉及跨境传输或者是否达到某些风险评估个人信息量级门槛等）；（3）所适用的法律法规矩阵。建议企业采用“业务流—数据流—法律流”的三维映射分析法。

2. 合规差距分析：依据《办法》审计指引构建合规体系，重点对照如下三个维度进行：（1）制度完备性（例如，是否覆盖数据全生命周期）；（2）执行有效性（例如，技术措施与操作规范的匹配度）；（3）记录完整性（法律要求的留痕证据）。对于金融、医疗健康等强监管领域的企业来讲，还需特别关注行业特殊要求。

3. 治理架构设计：综合考虑企业数字化程度（数据驱动型/传统型企业）、风险暴露面（涉及敏感数据量级）、合规成熟度（可参考行业平均水平）等因素，选择合适的治理模式。例如，掌握大量个人信息的大型企业设立专职的数据合规官（DPO），中小型企业可以采用法务/合规部门+外部顾问的模式。

•合规建设实施框架

1. 制度建设层面：构建三级制度体系：（1）纲领性文件：公司政策级别的制度文本，例如，公司数据安全管理制度；（2）专项制度：例如，数据分类分级管理制度、安全事件应急预案/制度、HR个人信息保护制度、个人信息主体权利响应制度；（3）操作文本/操作指引：例如，个人信息处理（授权）协议文本、隐私政策、个人信息主体权利响应流程文本等。

2. 制度的执行层面：（1）采取合适的技术保障措施：根据法律法规要求，采取符合所在行业适用的国际标准、国家标准以及行业标准的技术保护措施。针对生物识别、金融征信等特殊数据类型采取更高级别的技术防护措施，并建立技术措施动态升级机制，确保随数据的敏感程度变化动态调整。（2）能力培育机制：发挥法务合规等公司内部职能，定期识别适用的法律法规、针对涉及数据处理的新产品或服务的开发以及交易项目进行全过程的数据合规风险分析、开展数据安全和个人信息保护相关宣传教育培训等。

3. 关键证据留痕方面：留存用户授权协议、勾选同意的日志、时间戳、版本号、各种评估报告文本、整改资料、培训记录等材料作为企业主动合规的证明，以备监管检查。

（二）合规审计的体系化价值

从《办法》规定的审计评估标准与其他评估项目的评估要点对比（见下表）可见，合规审计具有基础性价值：审计指引规定的评估要点覆盖了数据全生命周期处理，能够有效支撑后续的风险评估、出境安全评估等专项工作。《网络数据安全管理条例》第五十二条提到的“避免重复评估、审计”“评估结果互认”原则，更凸显构建审计基准体系的重要性。

四类评估项目评估要点梳理表

结语

在监管强度指数级提升的背景下，企业应当将个人信息保护合规审计转化为数据安全治理能力升级的契机。唯有将合规转化为内生能力，企业方能从“应对检查”迈向“创造价值”。通过构建“制度－执行－验证”的闭环合规体系，既守住个人信息安全的底线，更将其转化为提升用户信任、增强市场竞争力的战略资产。