第353期-关于个人信息保护合规审计的温馨提示

尊敬的客户:

我国对个人信息保护的法律法规体系近年来不断完善，形成了以《个人信息保护法》为核心，多部法律法规协同配合的框架。2021年11月1日，我国正式施行《个人信息保护法》，2022年9月1日，网信办又发布并施行了《数据出境安全评估办法》，2025年1月1日，我国正式施行《网络数据安全管理条例》，标志着我国个人信息保护体系已与国际接轨，也说明我国政府十分重视对敏感信息的严格管控和跨境数据流动的安全评估。2024年5月20日，网信办通过了《个人信息保护合规审计管理办法》（以下简称“《合规审计办法》”），即将于2025年5月1日正式实施。

《合规审计办法》的出台补充了相关法规执行中的执行手段和操作路径。

一、什么是个人信息保护合规审计？

根据《合规审计办法》第二条：本办法所称个人信息保护合规审计，是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。

个人信息保护合规审计是个人信息处理企业对于个人信息处理活动自行开展的或者保护主管部门要求进行的监督活动。

二、什么情况下企业需要自行开展个人信息保护合规审计？

根据《合规审计办法》第四条：处理超过 1000 万人个人信息的个人信息处理者，应当每两年至少开展一次个人信息保护合规审计。

必须自行开展个人信息保护合规审计的情况给出了定量的规定：1000万人个人信息的处理者，至少每两年进行一次审计工作。未来《合规审计办法》实施实践中，如何计算处理1000万人个人信息的时间跨度，以及数据委托处理者是否纳入合规审计办法的监管等还需要进一步明确。

三、是由企业内部出具个人信息保护合规审计报告还是由第三方专业机构出具？

根据《合规审计办法》第三条：个人信息处理者自行开展个人信息保护合规审计的，应当由个人信息处理者内部机构或者委托专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

《合规审计办法》第五条规定：个人信息处理者有以下情形之一的，国家网信部门和其他履行个人信息保护职责的部门，可以要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计。

因此，企业可以通过内设部门进行个人信息保护合规审计或者通过第三方专业机构进行合规审计，保护主管部门会根据特定情况要求个人信息处理者委托专业机构进行个人信息保护合规审计。

四、什么情况下保护主管部门要求个人信息处理者进行合规审计？

根据《合规审计办法》第五条的规定：以下情况下，保护部门可以要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计：

（一）发现个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险的；

（二）个人信息处理活动可能侵害众多个人的权益的；

（三）发生个人信息安全事件，导致 100 万人以上个人信息或者 10 万人以上敏感个人信息泄露、篡改、丢失、毁损的。

所以，当个人信息处理活动被发现严重影响个人权益或者出现严重安全漏洞的，或者发生严重泄密事件的，保护部门都会强制要求个人信息处理者委托专业机构进行合规审计，如果存在合规差距会被保护主管部门要求整改。

五、个人信息保护合规审计的机构有什么要求？

根据《合规审计办法》第十二条的规定：处理 100 万人以上个人信息的个人信息处理者应当指定个人信息保护负责人，负责个人信息处理者的个人信息保护合规审计工作。提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督。

由此理解，不同规模、用户数量和业务类型复杂程度等的个人信息处理者，其个人信息保护合规审计部门设置有不同的要求。

六、违反《合规审计办法》的处罚有哪些？

《合规审计办法》第十八条：个人信息处理者、专业机构违反本办法规定的，依照《中华人民共和国个人信息保护法》、《网络数据安全管理条例》等法律法规的规定处理；构成犯罪的，依法追究刑事责任。

在上述两个法规中，均对违反相关法规的违法违规情况规定了罚款、责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，甚至于治安管理处罚、追究刑事责任等处罚办法，《合规审计办法》依此进行违规处罚。

同时，在《个人信息保护合规审计管理办法》中，针对个人信息保护合规审计的审计要点，特别颁布了《个人信息保护合规审计指引》，为数据处理者或者专业委托机构的个人信息保护合规审计工作的审计内容提供了比较详尽的指导。

以上关于《个人信息保护合规审计管理办法》核心要点分享供参考，如有疑问或者需要进一步解答，欢迎联系美森专员。

特此温馨提示

美森咨询

2025年4月

关于我们

About us

26年专业打磨产品：内外资企业创立方案设计及落地执行、搭红筹（含SPAC）37/7号文登记及补登记、ODI核准/备案、拆红筹、跨境担保/外债/对外放款备案登记、境外发债登记、内外资企业股份制改制、税务服务、私募基金管理人登记/私募基金产品备案、海外公司/海外基金/海外信托搭建、H股/GDR上市相关登记、企业境内外上市前合规问题解决方案等。

Mason’s top-selling services based on our 26-year professional experiences include, among others, FDI and domestic enterprise registration and establishment，FDI and ODI foreign exchange registration, ODI approval/registration, red-chip restructuring and de-restructuring (including SPAC), foreign exchange registration for cross-border guarantee/foreign debt/ODI loan, overseas bond issuance registration, shareholding system reform of domestic and foreign joint stock enterprises, tax services, registration for private equity fund manager /private equity fund product, overseas company/overseas fund/overseas trust establishment and restructuring, registration for H-share/GDR listing, compliance matters required for onshore/offshore listing…

MASON

免责声明：

本文章内容仅供参考。所有相关之内容无意构成任何专业意见，不论是法律，财务或其他方式，也不表明为相关信息之全部。美森公司对任何人士因使用或依赖本文章所包含的信息可能产生的任何损失，不承担任何责任。如需转载或引用该等文章的任何内容，请注明出处。未经本公司书面同意，不得转载或使用该等文章中包含的任何图片或影像。如您有意就相关议题进一步交流或讨论，欢迎与本公司联系。