一、引言
《个人信息保护法》(下称“《个保法》”)已正式实施3年有余,我国个人信息保护法律体系和实施细则逐步完善。2025年1月开始实施的《网络数据安全管理条例》(下称“《网数条例》”),进一步夯实了数据安全治理的法律体系框架。本次,经历了一年半征求意见的《个人信息保护合规审计管理办法》(下称“《办法》”)于2025年2月12日发布,标志着我国个人信息保护合规审计(下称“个保审计”)制度正式从立法层面转向实操落地。
作为《个保法》对个人信息处理者义务要求的重要内容之一,个保审计的制度化、标准化要求日益明确。相较于2023年的《个人信息保护合规审计管理办法(征求意见稿)》(下称“征求意见稿”),《办法》在审计门槛、流程、责任等方面作出重要调整,既回应了企业实践中的痛点,也强化了对高风险场景的监管。本文对比分析《办法》较征求意见稿的修订之处,从实务角度深度解析《办法》的合规要点,并结合国家标准与企业实践提出专业建议。
二、个保审计的法律定位和作用
《个保法》第54条和第64明确规定了个人信息处理者的自行定期审计和监管强制审计的义务要求。但由于上述条款缺乏具体操作指引,导致实践中企业常面临以下困惑,合规审计的法定要求一直实际处于无法落地的状况:
- 周期不明确:何为“定期”?不同规模企业是否适用统一标准?
- 内容模糊:审计应覆盖哪些处理活动?是否必须委托第三方专业机构?
- 责任边界不清:未履行个保审计义务的法律后果如何界定?
《办法》作为《个保法》的配套规章,系统性构建了个保审计的操作框架。首先,《办法》实现了法定义务的具象化,审计周期、触发条件等得以明确。其次,个保审计作为风险管控核心工具的属性增强,企业通过个保审计,不但可以识别系统性风险与合规漏洞,避免“事后补救”的高昂成本,而且审计报告可作为证明已合理履行保护义务的证据,降低行政处罚与民事赔偿风险。
向上,《办法》衔接《个保法》《网数条例》等法律、行政法规;向下,《办法》与《数据安全技术 个人信息保护合规审计要求(征求意见稿)》等国家标准形成联动,共同构建了个保审计这一法定义务的立体合规体系。
三、《办法》较征求意见稿的核心修订
通过对比,《办法》在以下方面作出实质性调整,企业需重点关注:
(一)审计门槛与触发条件:精准划定监管红线
1、自行定期审计门槛提高
原征求意见稿规定,处理超过100万人个人信息的主体每年至少开展1次个保审计,其他主体每2年至少开展1次个保审计。
《办法》将自行定期审计的门槛提高为,处理超过1000万人个人信息的主体每2年至少开展1次个保审计,对其他主体的审计频率未作明确要求,从数据量和频率两方面降低中小企业合规压力。
2、监管强制审计触发情形细化
《个保法》第64条和原征求意见稿中对于监管强制审计的触发情形表述较为简单,仅规定监管部门发现个人信息处理活动存在较大风险或发生个人信息安全事件的,可以开展强制审计。
《办法》则对“较大风险”及“个人信息安全事件”作出进一步解释,将监管强制审计触发情形明确规定为3种类型:①个人信息处理活动存在严重影响个人权益或严重缺乏安全措施等较大风险;②个人信息处理活动可能侵害众多个人权益的;③发生个人信息安全事件,导致100万人以上个人信息或10万人以上敏感个人信息泄露、篡改、丢失、毁损的。
(二) 外部专业机构:独立性与市场化并重
1、独立性强化
《办法》第13条至第15条集中对于专业机构的独立性作出要求,明确“专业机构不得转委托个保审计业务”,确保审计质量可控;新增“同一专业机构及其关联机构、同一合规审计负责人不得连续3次以上对同一审计对象开展个保审计”、“在合规审计工作结束后及时删除相关信息”等规定,防止长期合作导致审计流于形式。
2、专业性要求和鼓励认证机制
《办法》第7条要求专业机构应当具备开展个人信息保护合规审计的能力,有与服务相适应的审计人员、场所、设施和资金等。《办法》删除原征求意见稿第13条关于个保审计专业机构推荐目录建立及动态调整的规定,其第7条第2款首次提出专业机构可通过《认证认可条例》获得资质认证,与网络安全等级保护测评、个人信息保护认证不同,由强制“推荐”转为自愿认证,从而推动审计服务的市场化和标准化。
(三) 个人信息保护负责人:数量级确定
《个保法》第52条规定,处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,但“国家网信部门规定数量”的具体量级一直悬而未决。《办法》第12条第1款首次在部门规章中明确,“处理100万人以上个人信息” 的应当指定个人信息保护负责人,填补了原立法空白,与《个保法》形成有效衔接,至此《个保法》关于个人信息处理者义务规定的留白之处已基本确定。企业可依据100万人的标准自我评估是否需要设立专职个人信息保护负责人,避免因模糊表述而导致的误判。
(四)审计流程优化:整改报送时限刚性化
《办法》第11条新增规定,个人信息处理者按照监管部门要求开展强制审计且涉及整改的,需要在整改完成后“15个工作日内” 向监管部门报送整改报告,提升了执行效率。
(五)明确监管要求和法律责任
《办法》第16条、第17条新增规定,监管部门对个人信息处理者开展个保审计情况的监督检查权,任何组织、个人对个保审计中的违法活动的投诉、举报权,以及监管部门对于投诉、举报的处理义务,以保证个保审计工作的合法性和严肃性。同时,《办法》第18条明确规定了个人信息处理者及专业机构违反《办法》规定时的法律责任。
四、个保审计合规要求对比分析
结构方面,《办法》附件《个人信息保护合规审计指引》(下称“《指引》”)较征求意见稿附件《个人信息保护合规审计参考要点》(下称“《参考要点》”)的条款进行了整合精简,原31条审计要点压缩为27条,合并重复条款,删除冗余表述,体系更为清晰。
实质性内容方面,《指引》较《参考要点》的宽松化、规范化趋势明显,兼顾了实践中存在的普遍问题和审计工作可执行性及审计成本可控性的实际问题,具体调整如下表所示:
表1 个保审计合规要求对比分析
|
《指引》条款号 |
类别 |
具体调整内容 |
|
第一条 |
制定依据 |
仅保留法律和行政法规,删除“国家标准” |
|
第二条 |
合法性基础 |
明确仅在“基于个人同意处理个人信息”的前提下,才需审查同意、重新同意、单独同意等的合规情况 |
|
第三条 |
个人信息处理规则 |
删除“向第三方提供”的审查要点,避免与对外提供的审计要点(第八条)的重复 |
|
第五条至第八条 |
共同处理、委托处理、转移、对外提供 |
删除对于各方采取的保护措施、侵权责任承担、对受托方/接收方处理个人信息情况的限制性约定等条款,将审查重点放在协议约定、单独同意、个人信息保护影响评估等法律强制性要求方面 |
|
第九条 |
自动化决策 |
删除算法模型的安全评估与备案、科技伦理审查,以及个性化标签管理、保护措施、人工操作记录等条款,避免与《互联网信息服务算法推荐管理规定》等既有法律法规重复要求,简化技术标准,保留核心义务,提升可执行性 |
|
第十二条 |
已公开个人信息处理 |
・新增禁止向已公开个人信息中的电子邮箱、手机号等发送与其公开目的无关的“商业”信息 ・新增禁止利用已公开个人信息从事“传播网络谣言和虚假信息等活动” ・新增禁止“收集、留存或处理已公开个人信息的规模、时间或使用目的超出合理范围” |
|
第十三条 |
敏感个人信息 |
・删除“非必要不处理原则” ・删除“处理过程记录”要求 |
|
第十五条 |
个人信息出境 |
・安全评估、标准合同、保护认证的触发条件与《促进和规范数据跨境流动规定》保持一致 ・删除了对境外接收方的审查要点 |
|
第十六条 |
删除权 |
删除“因使用自动化采集技术等,无法避免采集到非必要个人信息或者未经同意的个人信息”应当删除个人信息的情形 |
|
第十七条 |
个人信息主体权益 |
・删除“是否向个人提供便捷的查阅、复制、转移、更正、补充、删除个人信息的方法” ・新增“拒绝个人行使权利请求的,是否向个人说明理由” |
|
第二十二条 |
个人信息保护负责人 |
删除“个人信息保护负责人是否有权提名个人信息保护团队负责人,并与其保持顺畅的沟通和联系” |
|
第二十三条 |
个人信息保护影响评估(PIA) |
删除“PIA报告和处理记录是否至少保存3年” |
|
第二十五条 |
安全事件应急响应处置 |
将安全事件通报时间由“72小时”改为“及时” |
|
第二十六条至第二十七条 |
大型互联网平台 |
・使用“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”表述,与《个保法》第58条对齐 ・删除主要由外部成员组成的独立机构的评价要点 ・调整对大型互联网平台规则的审查要点 ・删除大型互联网平台对平台内产品/服务提供者的监督要求 ・在个人信息保护社会责任报告披露内容中增加“促进个人信息保护社会共治的科普宣传、公益活动情况”。 |
五、个保审计流程管理
参照国家标准《数据安全技术 个人信息保护合规审计要求(征求意见稿)》(下称“《审计要求(征求意见稿)》”),个保审计的流程可以分为5个阶段,分别为审计准备、审计实施、审计报告、问题整改、归档管理。同时,我们建议企业密切关注国家标准《数据安全技术 个人信息保护合规审计要求》正式版的发布动向。
(一) 审计准备阶段
企业建立审计组开展审计,并通过调查问卷、访谈等多种方式进行审前调查,编制审计方案。我们建议首先自查确定是否达到自行定期审计“处理超过1000万人个人信息”的门槛,以及监管强制审计“发生100万人以上个人信息或10万人以上敏感个人信息的安全事件”的触发条件,并根据企业自身业务和风险状况,在审计方案中确定审计范围和标准等。
(二)审计实施阶段
根据附件《个人信息保护合规审计指引》,重点排查合法性基础、告知义务履行、个人信息处理关系、敏感个人信息处理、数据跨境传输等高风险领域的合规情况。
(三) 审计报告阶段
注意异议解决机制的管理,审计方对被审计方提出异议的审计结论应及时进行沟通确认,以减少理解上的偏误。如涉及监管强制审计的,还应将经专业机构签章的个保审计报告报送监管部门。
(四) 问题整改阶段
目前《办法》和国家标准《审计要求(征求意见稿)》均采取“先报告后整改”的模式。尽管《办法》未对整改期限作出明确要求,但我们建议根据问题的复杂性和影响程度、整改代价等因素进行问题分级排序,合理分配整改资源,确保关键问题和即时威胁优先解决,从而与审计期限和项目进度相协调。
(五)归档管理阶段
妥善保管个保审计底稿、个报审计报告等档案资料,特别是审计过程中发现的合规问题、沟通记录、修改意见等内容,以应对可能发生的监管检查。
六、企业合规行动建议与影响展望
(一)明确审计频率:分层管理,动态适配
对于处理超过1000万人个人信息的企业,应当每2年至少开展1次个保审计;对于处理未成年人个人信息的企业,无论数据规模大小,应当每年开展个保审计并报送监管部门;[1]其他主体未明确要求审计频率,基于前述个保审计的法律地位和作用,建议结合企业自身的业务和风险情况,每3-5年开展一次个保审计,重点关注高风险场景。对于“门槛”之外的企业,既要充分认识个保审计工作的法律地位和实际作用,又要根据自身情况合理、有效的开展个保审计,尽量避免过高的合规成本。
(二)审计机构选择:内外结合,首次从严
根据《办法》第3条,企业可自主选择由内部机构或委托外部专业机构开展个保审计。但考虑到落实立法和监管部门对个保审计“压实个人信息处理者个人信息保护主体责任,加强个人信息处理活动风险控制和监督”[2]的管理目的,以及个保审计工作专业性、独立性要求,内部审计一般适用于处理数据量较小、业务场景单一的企业,同时内部审计团队应具备独立性与专业性,避免“既当运动员又当裁判员”。目前个保审计服务逐渐呈现出专业化与规范化趋势,我们建议首次个保审计委托律师事务所等外部专业机构,确保尽可能覆盖相关合规风险,后续个保审计可采取“内外协同”的长期合作模式,通过知识转移逐步培养企业内部个保审计能力。在个保审计的实施过程中,也可以借助专业机构的实践经验和专业能力,在规避企业管理盲点,识别重要合规风险及提升、改善管理措施有效性的同时,结合企业实际情况,合理控制合规成本,更好地平衡业务发展和合规要求的需要。
(三)法律责任与延伸影响:罚则明确,合规前置
1、直接法律责任
《办法》第18条规定,个人信息处理者和专业机构的法则依照《个保法》、《网数条例》等法律法规处理;构成犯罪的追究刑事责任。
根据《个保法》第66条和《网数条例》第58条,违法企业和专业机构可能面临责令改正、警告、没收违法所得、责令应用程序暂停或终止提供服务等处罚;拒不改正或情节严重的,单位和相关责任人员可能将被处以高额罚款。
2、间接业务影响
个保审计这一法定义务配套文件的落地,可能对数据合规相关领域的监管工作产生影响,例如个保审计的落实情况将来可能成为金融、汽车等重点特殊行业日常监管活动以及数据交易、融资、境内外上市等活动中的合规考察与关注项。
七、结语
《办法》的出台标志着我国个人信息保护合规审计制度正式落地。《办法》的施行不仅是监管压力的传导,更是企业重构个人信息治理体系、梳理和落实个人信息保护法律要求以及相关风险识别和采取必要管控措施的契机。《办法》将于2025年5月1日起正式施行,企业需以个保审计为抓手,将合规要求嵌入业务流程,实现从“被动应对”到“主动治理”的转型,方能在合规与发展的双轨上稳健前行。
注释:
[1] 《未成年人网络保护条例》第37条:个人信息处理者应当自行或者委托专业机构每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计,并将审计情况及时报告网信等部门。
[2] 《<个人信息保护合规审计管理办法>答记者问》,中国网信网:https://www.cac.gov.cn/2025-02/14/c_1741232792029282.htm
来源:天达共和律师事务所
作者:
- 叶鹏,天达共和律师事务所合伙人;业务领域:国际贸易和投资相关的法务事务及风险管理、劳动人事、政府公共关系等;电子邮箱:yepeng@east-concord.c
- 张亚楠,天达共和律师事务所律师;业务领域:网络安全与数据保护、公司运营管理、企业合规审查
特别声明:以上所刊登的文章仅代表作者本人观点,不代表天达共和律师事务所或其律师出具的任何形式之法律意见或建议。