|
|
|
|
|
|
来源:www.aryasec.cn 发布日期:2025.08.27 点击量:
“个人信息保护合规审计”概念首次出现于《中华人民共和国个人信息保护法》,该法提出个人信息处理者应当定期进行合规审计,以及相关监管部门可依法要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计等,但并未明确个人信息保护合规审计的具体概念、方法、范围等实施要点。
为进一步细化与落实指导上述个人信息保护法规定的义务工作的开展执行,2023年8月,国家网信办制定并出台了《个人信息保护合规审计管理办法(征求意见稿)》:2025年2月14日《个人信息保护合规审计管理办法》正式发布,并将于2025年5月1日正式生效。
接下安言将通过以下三期为各位带来最全面的个人信息保护合规审计解读
l 个人信息保护合规审计的背景
l 个人信息保护合规审核的开展
l 个人信息保护合规审计的实际及总结
近年来,随着数字经济纵深发展,个人信息保护与数据利用的矛盾日益突出,全球监管环境呈现明显强化趋势。我国个人信息保护合规审计制度以《个人信息保护法》为基石,经历从原则性规定到实施细则的演进过程,形成了四级制度体系:法律-行政法规-部门规章-标准规范。
上图为我国目前有关个人信息保护的发文
2021年《个人信息保护法》第五十四条首次在法律层面确立个人信息处理者的合规审计义务,但当时缺乏具体操作指引。这一空白在2025年得以填补——《网络数据安全管理条例》《未成年人网络保护条例》及《个人信息保护合规审计管理办法》相继开始实施,构建了层次分明、覆盖全面的监管框架。
原文参考:
《个人信息保护法》
第五十四条 个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
第六十四条 履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施,进行整改,消除隐患。
《网络数据安全管理条例》
第二十七条 网络数据处理者应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计。
《未成年人网络保护条例》
第三十七条 个人信息处理者应当自行或者委托专业机构每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计,并将审计情况及时报告网信等部门。
要点总结:
个人信息保护合规审计的两种新式:
1. 个人信息处理者自行开展合规审计
2. 按照履行个人信息保护职责的部门要求,委托专业机构开展合规审计
《个人信息保护合规审计管理办法》中明确事项:
Ø 明确个人信息处理者自行开展合规审计和按照履行个人信息保护职责的部门要求委托专业机构开展合规审计的条件,合规审计机构的选择和合规审计的频次。
Ø 明确开展合规审计的个人信息处理者应当履行的义务,规定个人信息处理者按照履行个人信息保护职责的部门要求开展合规审计的,应当为专业机构正常开展合规审计工作提供必要支持并承担审计费用,在限定时间内完成合规审计,报送合规审计报告并进行整改。
Ø 明确专业机构在合规审计中的义务,规定专业机构应当具备开展合规审计的能力,遵守法律法规,明确同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。
Ø 明确履行个人信息保护职责的部门对个人信息处理者开展合规审计情况进行监督检查,任何组织、个人有权对合规审计中的违法活动向履行个人信息保护职责的部门进行投诉、举报,并规定个人信息处理者、专业机构违反《办法》规定的法律责任。
《个人信息保护合规审计管理办法》共20条,发布于2025年2月14日,自2025年5月1日开始执行。
《个人信息保护合规审计管理办法》——关键条款
第八条 个人信息处理者按照保护部门要求开展个人信息保护合规审计的,应当为专业机构正常开展个人信息保护合规审计工作提供必要支持,并承担审计费用。
第九条 个人信息处理者按照保护部门要求开展个人信息保护合规审计的,应当按照保护部门要求选定专业机构,在限定时间内完成个人信息保护合规审计;情况复杂的,报保护部门批准后,可以适当延长。
第十条 个人信息处理者按照保护部门要求开展个人信息保护合规审计的,在完成合规审计后,应当将专业机构出具的个人信息保护合规审计报告报送保护部门。
个人信息保护合规审计报告应当由专业机构主要负责人、合规审计负责人签字并加盖专业机构公章。
第十一条 个人信息处理者按照保护部门要求开展个人信息保护合规审计的,应当按照保护部门要求对合规审计中发现的问题进行整改。在整改完成后15个工作日内,向保护部门报送整改情况报告。
第十二条 处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人,负责个人信息处理者的个人信息保护合规审计工作。
提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督。
原文参考:
《个人信息保护合规审计管理办法》
第三条 个人信息处理者自行开展个人信息保护合规审计的,应当由个人信息处理者内部机构或者委托专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
第四条 处理超过1000万人个人信息的个人信息处理者,应当每两年至少开展一次个人信息保护合规审计。
第五条 个人信息处理者有以下情形之一的,国家网信部门和其他履行个人信息保护职责的部门(以下统称为保护部门),可以要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计:
(一)发现个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险的;
(二)个人信息处理活动可能侵害众多个人的权益的;
(三)发生个人信息安全事件,导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的。
对同一个人信息安全事件或者风险,不得重复要求个人信息处理者委托专业机构开展个人信息保护合规审计。
文章内容提到的两大核心要点:
|
审计方式 |
自行审计 |
强制审计 |
|
开展方式 |
1、个人信息处理者内部机构开展 2、委托专业机构开展 |
由保护部门要求个人信息处理者委托专业机构开展。 |
|
审计频率 |
1.对于处理超过1000万个人信息的个人信息处理者,应当每两年至少开展一次 2.处理不超过1000万人个人信息的,应当定期开展: Ø 处理100万 至1000万人个人信息的建议每三至四年开展一次审计 Ø 处理少于100万人个人信息的建议每五年开展一次审计 |
1.发现个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险的。 2.个人信息处理活动可能侵害众多个人权益的; 3.发生个人信息安全事件,导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的。 |
如需了解详情,欢迎联系我们,联系方式如下:
电话:021-62101209-811/13248385337
相关新闻:
