今日实施生效！关于个保审计的十问十答

2025 年 5 月 1 日，《个人信息保护合规审计管理办法》（以下简称《办法》）正式施行，为帮助企业更简明直观地理解《办法》的主要内容，梳理企业后续合规任务，本文以问答形式，聚焦10大焦点问题，以期为企业开展个人信息保护合规工作提供参考。

Q1：什么是个人信息保护合规审计？

个人信息保护合规审计，是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行检查和评价的监督活动。我国《个保法》第54条将定期开展个保审计规定为个人信息处理者应当遵守的义务。今年1月1日起生效的《网数条例》同样就此做出规定，并指出网络数据处理者可以自行或委托专业机构开展个保审计。

个保审计作为合规审计的一种类型，其审计的对象是个人信息处理者的个人信息处理活动，对于该“个人信息处理活动”不能仅理解为个人信息的收集、存储、使用、加工、传输、提供、公开、删除等处理流程，还应当包括个人信息处理者的内部管理制度、安全技术措施、教育培训、负责人资质能力等围绕个人信息处理活动的制度、管理、技术、人员等因素。

Q2：它与个人信息保护影响评估有什么区别和联系？

个人信息保护影响评估（Personal Information Protection Impact Assessment，简称“PIA”），这是《个保法》55条所规定的个人信息处理者在特定个人信息处理情形下需遵守的法定义务。PIA更多侧重于事前发现，如新业务或新系统上线前，对个人信息处理活动的合规性进行分析，发现潜在风险，并提出整改建议。个人信息保护合规审计，则更侧重于周期性监督，对企业业务、系统实际运行过程当中遵守法律、行政法规的情况进行检查，并发现其中不合规情况。

此外，在《办法》附件审计指引中，针对委托处理个人信息、向其他个人信息处理者提供、自动化决策等情形，审计过程应当审查其是否开展PIA，由此可见PIA的完整程度和完成质量一定程度上也会影响个保审计的最终结果。PIA和个保审计是企业个人信息合规管理体系中的两个重要环节，各自承担不同角色，不能互相替代。

Q3：哪些企业需要开展个保审计？

根据《个保法》第54条的规定，原则上，所有个人信息处理者都应当进行合规审计。《办法》和其他法律法规对触发审计的门槛进行了细化，具体可分为：

•主动审计：《办法》第4条规定，若处理超过1000万人个人信息的，应当每两年开展一次个人信息保护合规审计。需注意，委托他人处理和对外提供个人信息情形的，也应当计算在内。

其他处理未满1000万人个人信息的企业，可根据自身个人信息处理的规模、类型、业务重要性等实际情况设定合理的审计频率。

•被动审计：《办法》第5条指出，针对以下3种情形，保护部门可以要求个人信息处理者委托专业机构进行合规审计：

（1）发现个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险的；

（2）个人信息处理活动可能侵害众多个人的权益的；

（3）发生个人信息安全事件，导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的。

此外，针对特定行业、领域，如有专门的监管规定，则从其规定。如一些企业处理的个人信息涉及未成年人的，《未成年人网络保护条例》第37条，要求个人信息处理者应当每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计，并需报告网信部门。

Q4：不开展个保审计会有哪些后果？

个人信息保护合规审计是企业依据《个保法》第54条应履行的义务，所有个人信息处理者均应当定期开展个保审计。企业未履行审计义务的，根据《个保法》和《办法》的相关规定，将面临相应的处罚措施。

其次，企业如出现个人信息处理活动严重影响个人权益等情形而被保护部门要求审计的，所付出的合规成本更高：其一，被动审计存在限定时间且必须委托第三方机构，审计成本较高；其二，触发被动审计，通常情况下企业已存在个人信息保护不力的情形，保护部门可能会叠加暂停服务、停业整顿、吊销许可或执照等处罚措施，届时企业将承担更高昂的代价。

Q5：企业开展个保审计的执行架构是怎样的？哪些部门参与？

《办法》并未对企业实际开展个保审计的牵头部门做出规定，个保审计的执行架构、各部门职责需结合企业规模、业务特点、处理个人信息的特点等因素确定。

《办法》第12条指出，处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人，负责个人信息处理者的个人信息保护合规审计工作。该负责人应当具备相应合规知识，具备协调法务、合规、技术等部门资源的能力，有效推动审计项目的执行、监督、整改。

未达到100万人个人信息门槛的企业可视企业内部组织设置情况，由合规部门主导个保审计，如未设置合规部门的，可由法务部门或审计部门牵头。企业IT部门可作为支持角色，配合审计工作。

提供重要互联网平台服务、用户数量巨大（注册用户5000万以上或月活跃用户1000万以上）、业务类型复杂的个人信息处理者，应当成立独立机构对个保审计情况进行监督，该独立机构应当主要由外部成员组成。

Q6：企业如何选择第三方专业机构开展个保审计？

企业个保审计可以自行或委托第三方专业机构开展，如触发《办法》第5条“被动审计”的，则必须委托第三方专业机构开展。对于个保审计第三方专业机构，应符合以下要求：

•服务能力：具备开展个保审计的能力，有与服务相适应的人员、场所、设施和资金等；

•不得转委托：不得将个保审计转委托其他机构开展；

•审计轮换：同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个保审计。

《办法》鼓励第三方专业机构通过认证。因此，企业可优先选择已通过认证的专业机构开展个保审计。

Q7：个保审计重点审计要点有哪些？

根据《办法》附件《审计指引》，个保审计内容要点总结如下：

应当注意的是，企业在实际开展个保审计的过程当中，还应当充分考虑其他法律法规或行业要求中相关内容，来完善审计方案和范围。

Q8：个保审计的流程是怎样的？

根据《审计国标》，个保审计的流程如下：

Q9：个保审计完成后是否需要报送审计报告？

针对主动审计，其完成后所发现的问题，应当及时总结，并将整改纳入后续工作计划中。根据不同类型、不同规模企业实际情况，以及问题重要性、整改难度等因素，可对所发现的问题区分优先级。对于高风险问题（《办法》及《审计指引》中明确提及的），应当优先整改。主动审计所形成的审计报告暂未明确报送要求，企业应自行留存作为合规证明。

针对被动审计，企业按照保护部门要求选定专业机构后，应当立即开展合规审计，并在限定时间（根据具体保护部门的要求确定）内完成（如情况复杂需报保护部门批准，可适当延长）。完成合规审计后，专业机构将出具《个人信息保护合规审计报告》，该报告需报送保护部门。针对个保审计中发现的问题，应当及时整改，并于整改完成后15个工作日内，向保护部门报送整改情况报告。

Q10：开展个保审计对企业有什么价值？

个人信息保护合规审计，除了满足国家法律法规规定的合规要求外，对企业而言，还能够系统性筛查个人信息处理活动当中的安全隐患和流程漏洞，规避法律风险。此外，主动开展个保审计，发现问题、解决问题有助于塑造企业对个人信息保护负责任的形象，塑造信任。对于企业自身而言，及时发现个人信息处理活动中的问题，有助于优化企业个人信息管理模式。总而言之，企业应当积极应对，将“合规包袱”转变为“信任资产”。

赛博研究院 高级咨询顾问&研究员