《中华人民共和国个人信息保护法》(自2021年11月1日起施行)
第54条、第64条:提供个人信息保护合规审计基本法律框架,要求企业主动履行审计义务并配合监管。
《网络数据安全管理条例》(自2025年1月1日起施行)
第27条:进一步细化审计要求,网络数据处理者应当定期自行或委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计。
《个人信息保护合规审计管理办法》(2025年2月14日发布,自2025年5月1日起施行)
个人信息保护合规审计首个配套细则正式出台。
2025年2月14日,《个人信息保护合规审计管理办法》(下称《办法》)正式发布,标志着我国个人信息保护监管从“立法完善”正式迈入“执法深化”阶段。作为《个人信息保护法》第54条“定期合规审计”义务的首个配套细则,《办法》的出台具有重大意义:(1)细化落地要求填补制度空白:将个保法中的抽象要求转化为26项具体审计指标(如自动化决策透明度、未成年人信息保护机制等);(2)强化责任明确个保审计触发条件:明确“处理超1000万人信息”的个人信息处理者触发强制审计,执行频次为每2年至少1次;出现个人信息安全事件或风险,保护部门可要求个人信息处理者委托专业机构开展个保审计;(3)建立个人信息保护协同治理机制:构建“企业自查+第三方审计+行政监管”的三层治理体系,尤其要求大型平台引入外部独立监督机构。紧跟《网络数据安全管理条例》的步伐,《办法》成为我国个人信息保护领域立法的重要拼图。《办法》的出台,企业合规成本明显增加,但对于个人信息数据密集型行业(如电信互联网、金融、医疗等),也明确了此前法律框架下模糊性问题,提供了具体可执行的合规路径。距离征求意见稿发布已有一年半的时间,《办法》正式稿做了大量修订,包括审计触发门槛的降低以及管理策略的变化,无不体现监管的包容性、灵活性,这与2024年发布的《促进和规范数据跨境流动规定》《网络数据安全管理条例》所呈现的趋势基本一致。以下是《办法》正式稿需要重点关注的变化:一、触发强制审计门槛提高:1000万人成为关键分水岭关于个人信息保护合规审计的强制触发门槛及执行频次要求是最为关注的内容,一句话总结——门槛提高、频次降低。| 个人信息数量门槛 | 频次要求 | 低于门槛的情形 |
| 正式稿 | 超过1000万 | 每2年至少1次 | 无明确要求 |
| 征求意见稿 | 超过100万 | 每1年至少1次 | 每2年至少1次 |
从“100万”到“1000万”《办法》正式稿明显提高了个人信息保护合规审计的强制触发门槛,执行频次由征求意见稿的“每年至少一次”降低为“每二年至少一次”。同时对于未达门槛的企业,不再提出明确的合规审计要求,但依据《个人信息保护法》仍需履行定期开展审计的要求,因此这类企业建议根据业务性质及个人信息敏感程度等因素,适时开展个人信息保护合规审计,及时发现风险,毕竟企业应该不希望触发“被动审计”。除了上述的“主动审计”机制之外,在企业出现个人信息安全事件或者风险时,监管部门可以要求企业委托专业机构对其进行合规审计。(1)发现个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险的;(3)发生个人信息安全事件,导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的。从风险事件的角度,涉及“100万人以上个人信息或者10万人以上”的,参考《工业和信息化领域数据安全事件应急预案(试行)》,即较大数据安全事件及以上的,监管部门均可要求企业开展个人信息保护合规审计,《办法》明确同一个人信息安全事件或风险,不得重复要求企业开展合规审计。三、审计形式选择:自主审计 OR 委托专业机构审计无论是正式稿还是征求意见稿,对于个人信息保护合规审计的执行方式均包含企业内部机构自行开展和委托第三方专业机构开展两种形式。在“主动审计”形式下,企业可以根据实际需求自行选择合规审计的开展方式。但出于监管部门要求开展个人信息保护合规审计的,《办法》明确“应当按照保护部门要求选定专业机构”,并需要将专业机构出具的审计报告及整改报送至保护部门,具体执行时限要求如下:递交审计报告时限 | 递交整改报告时限 |
正式稿 | 未明确,按实际情况确定,企业可申请延长 | 整改完成后15个工作日内 |
征求意见稿 | 90个工作日内,企业可申请延长 | 未明确 |
在个人信息保护合规审计工作中,第三方专业机构也是关键一环,是否需要明确资质才能开展合规审计工作一直是备受关注的话题。在此前的征求意见稿中明确将“建立个人信息保护合规审计专业机构推荐目录”,并鼓励企业优先选择。而《办法》正式稿中移除了关于“推荐目录”相关条款,保留“鼓励相关专业机构通过认证”,一定程度上还是建议企业优先选择具备资质的机构开展合规审计,只是弱化了目录推荐机制。《办法》中针对第三方专业机构在开展个人信息保护合规审计工作过程中也提出了定期轮换及监督要求:(3)不得连续三次以上对同一审计对象开展合规审计,该要求针对专业机构及其关联机构、合规审计负责人。《办法》针对开展个人信息保护合规审计的专业机构,主要明确应具备专业性、独立性,同时接受保护部门及公众监督。鼓励认证机制也可提升专业机构的准入门槛,形成“监管引导+市场选择”的良性生态。《个人信息保护法》第52条,要求处理个人信息达到“国家网信部门规定数量”的企业指定个人信息保护负责人,但时隔三年多,未有相关文件明确“规定数量”的最终答案,终于在这次的《办法》正式稿中确定了——处理100万人以上的个人信息处理者应当指定个人信息保护负责人,同时也是个人信息保护合规审计工作的负责人。《办法》明确个人信息保护负责人的设立条件后,可以预见的是,《个人信息保护法》中要求企业公开个人信息保护负责人的联系方式,并将其姓名、联系方式报送监管部门等要求很快将进一步深入落实。作为《办法》附带发布的重要内容,原征求意见稿中《个人信息保护合规审计参考要点》现已更名为《个人信息保护合规审计指引》。相比较征求意见稿的版本,正式稿的审计指引进行了大量的精简和优化,并比如移除自动化决策场景下算法模型安全评估、备案及科技伦理审查、移除大型互联网平台独立机构及外部成员监督要求审查等,最终形成26项审计内容,整体归类如下图: 个人信息保护合规审计指引框架(点击图片,查看大图)
审计指引以“风险识别—合规验证—动态改进”为主线,针对特定高风险场景(未成年人保护、跨境传输、自动化决策等)设定差异化审查标准,督促企业在个人信息保护工作中遵循以下原则:(1)合法性基础优先:强调处理个人信息的“合法、正当、必要”原则,尤其关注“同意”的有效性(如单独同意、重新同意机制)。(2)场景化分级管理:对高风险场景(如未成年人信息、生物识别数据)重点自查,明确“高风险高义务”原则。(3)技术与管理双轮驱动:既要求安全技术措施(如加密、去标识化)的有效性,也强调内部管理制度(如应急预案、培训计划)的完备性。审计指引中 26 项审计要求给企业开展个人信息保护合规审计明确了审查范围,而在实践过程中审计工作的开展目前可参考国标《数据安全技术 个人信息保护合规审计要求》(正在征求意见),其中详细规定了个保合规审计的具体操作,涵盖了审计流程、审计证据、审计内容、审计方法等内容,并提供了审计底稿模板和审计报告模板等参考文件,为个保合规审计落地提供了可参考的执行框架。个人信息保护合规审计实施流程(参考)
去年已经有36家企业参与基于该标准实施的个人信息保护合规审计试点工作,《个人信息保护合规审计管理办法》现已正式发布,审计要求的国家标准预计很快也将正式推出,届时企业自主开展或者委托第三方专业机构开展均可参考实施。个人信息保护合规审计是引自于《个人信息保护法》普适性合规要求,只是依据《办法》对1000万人以上或者100万人个人信息以上的个人信息处理者有审计频次、范围的差异化要求。《办法》将于2025年5月1日起正式实施,从实际合规角度出发,参考《办法》要求,企业应当提前做好准备与工作规划:(1)建立风险地图:对照《指引》27项条款开展差距分析,优先整改高频处罚领域(如未获有效同意、过度收集、跨境违规)。(2)完善治理架构:设立专职个人信息保护负责人,赋予其跨部门协调权。构建“制度—技术—人员”三位一体的合规体系,避免“重技术轻管理”。(3)场景化合规设计:针对自动化决策、未成年人保护、人脸识别、跨境传输等重点场景,制定专项合规指南。(4)动态应对机制:每季度更新个人信息保护影响评估报告,留存整改证据链。定期开展内部审计+模拟监管检查,确保应急机制可以执行。
施东奇
赛博研究院 咨询总监
上海赛博网络安全产业创新研究院(简称赛博研究院),是上海市级民办非企业机构,成立至今,赛博研究院秉持战略、管理和技术的综合服务模式、致力于成为面向数字经济时代的战略科技智库、服务数据要素市场的专业咨询机构和汇聚数智安全技术的协同创新平台。赛博研究院立足上海服务全国,是包括上海市委网信办、上海市通管局、上海市经信委、上海市数据局等单位的专业支撑机构,同时承担上海人工智能产业安全专家委员会秘书长单位、上海“浦江护航”数据安全工作委员会秘书长单位、上海数据安全协同创新实验室发起单位等重要功能,并组织“浦江护航”数据安全上海论坛、世界人工智能大会安全高端对话等一系列重要专业会议。
还没有评论,来说两句吧...