国家网信办发布个人信息保护合规审计管理办法

2025年2月14日，国家互联网信息办公室公布《个人信息保护合规审计管理办法》（以下简称《办法》），自2025年5月1日起施行。国家互联网信息办公室有关负责人就《办法》相关问题回答了记者提问。

《中华人民共和国个人信息保护法》《网络数据安全管理条例》对个人信息处理者开展个人信息保护合规审计作了规定，《办法》对合规审计活动的开展、合规审计机构的选择、合规审计的频次、个人信息处理者和专业机构在合规审计中的义务等作出细化规定，旨在为个人信息处理者开展个人信息保护合规审计提供系统性、针对性、可操作性的规范，提升个人信息处理活动合法合规水平，保护个人信息权益。以下为《办法》答记者问及《办法》全文。

文后附文件下载链接

《个人信息保护合规审计管理办法》答记者问

问1：请介绍一下《办法》的出台背景？

答：当前，个人信息被企业、机构甚至个人广泛收集使用，个人信息保护和个人信息利用的矛盾日益突出。为压实个人信息处理者个人信息保护主体责任，加强个人信息处理活动风险控制和监督，《中华人民共和国个人信息保护法》《网络数据安全管理条例》对个人信息处理者开展合规审计作了规定。为有效落实法律法规要求，国家互联网信息办公室制定出台《办法》，对个人信息保护合规审计活动的开展、合规审计机构的选择、合规审计的频次、个人信息处理者和专业机构在合规审计中的义务等作出细化规定，旨在为个人信息处理者开展个人信息保护合规审计提供系统性、针对性、可操作性的规范，提升个人信息处理活动合法合规水平，保护个人信息权益。

问2：我国法律法规中对个人信息保护合规审计作了哪些规定？

答：《中华人民共和国个人信息保护法》第五十四条规定，个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。第六十四条规定，履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈，或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。《网络数据安全管理条例》第二十七条规定，网络数据处理者应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计。以上法律法规明确了个人信息保护合规审计的两种情形：一是个人信息处理者自行开展合规审计。二是按照履行个人信息保护职责的部门要求，委托专业机构开展合规审计。

问3：《办法》的主要内容是什么？

答：《办法》主要对下列内容进行了规定：一是明确个人信息处理者自行开展合规审计和按照履行个人信息保护职责的部门要求委托专业机构开展合规审计的条件，合规审计机构的选择和合规审计的频次。二是明确开展合规审计的个人信息处理者应当履行的义务，规定个人信息处理者按照履行个人信息保护职责的部门要求开展合规审计的，应当为专业机构正常开展合规审计工作提供必要支持并承担审计费用，在限定时间内完成合规审计，报送合规审计报告并进行整改。三是明确专业机构在合规审计中的义务，规定专业机构应当具备开展合规审计的能力，遵守法律法规，明确同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。四是明确履行个人信息保护职责的部门对个人信息处理者开展合规审计情况进行监督检查，任何组织、个人有权对合规审计中的违法活动向履行个人信息保护职责的部门进行投诉、举报，并规定个人信息处理者、专业机构违反《办法》规定的法律责任。

问4：个人信息处理者在什么情况下需要开展个人信息保护合规审计？

答：个人信息处理者开展个人信息保护合规审计分两种情形：一是自行开展合规审计，即个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。处理超过1000万人个人信息的个人信息处理者，应当每两年至少开展一次个人信息保护合规审计。其他个人信息处理者根据自身情况合理确定定期开展个人信息保护合规审计的频次。二是按照要求开展合规审计，即履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险、可能侵害众多个人的权益或者发生个人信息安全事件的，可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。

问5：个人信息处理者如何选择合规审计机构？

答：个人信息处理者自行开展合规审计时，可以选择由内部机构自行开展，也可以委托专业机构开展。《办法》对采取何种审计方式、是否选择专业机构，以及选择哪家专业机构没有强制性要求。个人信息处理活动存在较大风险、可能侵害众多个人的权益或者发生个人信息安全事件时，履行个人信息保护职责的部门可以要求个人信息处理者委托专业机构开展个人信息保护合规审计。

问6：《办法》对专业机构提出了哪些要求？

答：专业机构接受个人信息处理者委托开展合规审计，应当公正客观地作出合规审计结论，提出合规审计建议，其出具的合规审计报告是履行个人信息保护职责的部门开展监督管理工作的重要参考。《办法》对专业机构提出以下要求：一是应当具备开展个人信息保护合规审计的能力，有与服务相适应的审计人员、场所、设施和资金等。二是应当遵守法律法规，诚信正直，公正客观地作出合规审计职业判断，对在履行个人信息保护合规审计职责中获得的个人信息、商业秘密、保密商务信息等依法予以保密，不得泄露或者非法向他人提供，在合规审计工作结束后及时删除相关信息。三是不得转委托其他机构开展个人信息保护合规审计。四是同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。

问7：《办法》如何对专业机构进行管理？

答：《办法》遵循自愿性、市场化的原则，通过认证认可方式对专业机构进行监督管理。专业机构的认证按照《中华人民共和国认证认可条例》的有关规定执行。具备开展个人信息保护合规审计能力，有与服务相适应的审计人员、场所、设施和资金的专业机构，可以自愿申请相关服务能力认证。

问8：个人信息处理者按照履行个人信息保护职责的部门要求开展个人信息保护合规审计时，应当履行哪些义务？

答：《办法》对个人信息处理者按照履行个人信息保护职责的部门要求开展个人信息保护合规审计提出以下要求：一是保障合规审计正常进行，为专业机构正常开展个人信息保护合规审计工作提供必要支持，并承担审计费用。二是按照履行个人信息保护职责的部门要求选定专业机构，在限定时间内完成个人信息保护合规审计，情况复杂的，报履行个人信息保护职责的部门批准后，可以适当延长。三是报送合规审计报告并进行整改，个人信息处理者在完成合规审计后，应当将专业机构出具的个人信息保护合规审计报告报送履行个人信息保护职责的部门，按照履行个人信息保护职责的部门要求对合规审计中发现的问题进行整改，在整改完成后15个工作日内，向履行个人信息保护职责的部门报送整改情况报告。

问9：个人信息处理者开展个人信息保护合规审计如何适用《个人信息保护合规审计指引》？

答：《个人信息保护合规审计指引》对个人信息保护相关法律、行政法规的关键要点作了梳理，从合规审计的角度进行了细化，便于个人信息处理者对个人信息处理活动是否遵守法律、行政法规要求进行审查和评价。个人信息处理者自行开展或者按照履行个人信息保护职责的部门要求委托专业机构开展个人信息保护合规审计，应当参照《个人信息保护合规审计指引》。

个人信息保护合规审计管理办法

　　第一条 为了规范个人信息保护合规审计活动，保护个人信息权益，根据《中华人民共和国个人信息保护法》、《网络数据安全管理条例》等法律、行政法规，制定本办法。

　　第二条 在中华人民共和国境内开展个人信息保护合规审计，适用本办法。

　　本办法所称个人信息保护合规审计，是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。

　　第三条 个人信息处理者自行开展个人信息保护合规审计的，应当由个人信息处理者内部机构或者委托专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

　　第四条 处理超过1000万人个人信息的个人信息处理者，应当每两年至少开展一次个人信息保护合规审计。

　　第五条 个人信息处理者有以下情形之一的，国家网信部门和其他履行个人信息保护职责的部门（以下统称为保护部门），可以要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计：

　　（一）发现个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险的；

　　（二）个人信息处理活动可能侵害众多个人的权益的；

　　（三）发生个人信息安全事件，导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的。

　　对同一个人信息安全事件或者风险，不得重复要求个人信息处理者委托专业机构开展个人信息保护合规审计。

　　第六条 个人信息处理者自行开展或者按照保护部门要求委托专业机构开展个人信息保护合规审计的，应当参照本办法附件《个人信息保护合规审计指引》。

　　第七条 专业机构应当具备开展个人信息保护合规审计的能力，有与服务相适应的审计人员、场所、设施和资金等。

　　鼓励相关专业机构通过认证。专业机构的认证按照《中华人民共和国认证认可条例》的有关规定执行。

　　第八条 个人信息处理者按照保护部门要求开展个人信息保护合规审计的，应当为专业机构正常开展个人信息保护合规审计工作提供必要支持，并承担审计费用。

　　第九条 个人信息处理者按照保护部门要求开展个人信息保护合规审计的，应当按照保护部门要求选定专业机构，在限定时间内完成个人信息保护合规审计；情况复杂的，报保护部门批准后，可以适当延长。

　　第十条 个人信息处理者按照保护部门要求开展个人信息保护合规审计的，在完成合规审计后，应当将专业机构出具的个人信息保护合规审计报告报送保护部门。

　　个人信息保护合规审计报告应当由专业机构主要负责人、合规审计负责人签字并加盖专业机构公章。

　　第十一条 个人信息处理者按照保护部门要求开展个人信息保护合规审计的，应当按照保护部门要求对合规审计中发现的问题进行整改。在整改完成后15个工作日内，向保护部门报送整改情况报告。

　　第十二条 处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人，负责个人信息处理者的个人信息保护合规审计工作。

　　提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督。

　　第十三条 专业机构在从事个人信息保护合规审计活动时，应当遵守法律法规，诚信正直，公正客观地作出合规审计职业判断，对在履行个人信息保护合规审计职责中获得的个人信息、商业秘密、保密商务信息等应当依法予以保密，不得泄露或者非法向他人提供，在合规审计工作结束后及时删除相关信息。

　　第十四条 专业机构不得转委托其他机构开展个人信息保护合规审计。

　　第十五条 同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。

　　第十六条 保护部门对个人信息处理者开展个人信息保护合规审计情况进行监督检查。

　　第十七条 任何组织、个人有权对个人信息保护合规审计中的违法活动向保护部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理，并将处理结果告知投诉、举报人。

　　第十八条 个人信息处理者、专业机构违反本办法规定的，依照《中华人民共和国个人信息保护法》、《网络数据安全管理条例》等法律法规的规定处理；构成犯罪的，依法追究刑事责任。

　　第十九条 对国家机关和法律、法规授权的具有管理公共事务职能的组织的个人信息保护合规审计，不适用本办法。

　　第二十条 本办法自2025年5月1日起施行。

文件来源：https://www.cac.gov.cn/2025-02/14/c_1741233507681519.htm。

我们提供的产品服务、解决方案包括

1、，助力企业跨境数据合规管理；

2、，为粤港澳行业企业以及高校和研究机构等提供一系列“合规咨询+管理体系规划+IT解决方案”；

3、，引导企业数据合规体系建设，全方位提升企业数据治理水平与合规能力；

4、多年来，我们连续举办数据技术、数据保护、数据跨境等领域的产业会议，包括、、等，旨在推动数据技术的创新应用，强化国际合作与产业协同，为数据和AI产业发展提供坚实支撑；

5、面向产业界开展，全面推动国际数据空间的互操作性和安全可信。

如有业务合作或商业洽谈：

请致电010-56381685或13521415616；

或发送邮件至[email protected]或[email protected]与我们联系。

产品服务

精选内容

中心动态

数据信任与治理

“数据信任与治理”由下一代互联网国家工程中心运营。放眼全球数据治理前沿理论与实践进展，探索可信数据治理的中国模式，促进数据要素有序流通，释放数字经济红利。

TDG focuses on the cutting-edge theory and practice of global data governance, explores the Chinese model of trusted data governance, promotes global data flow, and fulfills the potential of the digital economy.