公告

潜精研思 笔耕不辍

出版物/Publications更多分类

地址:北京市东城区建国门内大街26号新闻大厦7-8层

电话:86 10 8800 4488, 6609 0088

传真:86 10 6609 0016

邮编:100005

国枫视角

国枫观察 | 《个人信息保护合规审计管理办法》速读

发布时间:2025.02.21 来源: 浏览量:106

相较于《个人信息保护合规审计管理办法》征求意见稿,正式稿通过一系列修订,进一步平衡了合规效能与企业负担。本文将从正式稿修订亮点入手,解读主要差异,有助于个人信息处理者及相关方在管理办法正式施行前做好充分的准备和调整。


一、引言


2025年2月14日,《个人信息保护合规审计管理办法》正式发布,标志着个人信息保护合规审计制度迈入更精细化、实操化的新阶段。相较于征求意见稿,正式稿通过一系列修订,进一步平衡了合规效能与企业负担,也为企业在数字化浪潮中行稳致远指明了方向。本文将从正式稿的修订亮点入手,解读管理办法正式稿与征求意见稿的主要差异,有助于个人信息处理者及相关方在管理办法正式施行前做好充分的准备和调整。


二、为什么要做个人信息保护合规审计?


(一)法律法规要求


上层法律和行政法规都有相应条款对个人信息保护合规审计提出了要求,分别落于《个人信息保护法》第五十四条/第六十四条、《网络数据安全管理条例》第二十七条及《未成年人网络保护条例》第三十七条,可见个人信息处理者开展合规审计是法律法规规定的应尽义务。


《个人信息保护法》第五十四条:个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。


《个人信息保护法》第六十四条:履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施,进行整改,消除隐患。


《网络数据安全管理条例》第二十七条:网络数据处理者应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计。


《未成年人网络保护条例》第三十七条:个人信息处理者应当自行或者委托专业机构每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计,并将审计情况及时报告网信等部门。



(二)提升企业个人信息处理的合法合规水平


合规审计通过审查和评价个人信息处理者的业务合规情况,从相关合规要点着手,评估个人信息处理者在个人信息处理活动的风险。通过合规审计,有利于帮助企业发现在进行个人信息处理活动时的不合规处及待改善处,加强企业数据合规风险控制和监督。

三、正式稿的修改亮点


2023年8月,国家互联网信息办公室发布《个人信息保护合规审计管理办法(征求意见稿)》(“征求意见稿”)。2025年2月14日,国家互联网信息办公室正式发布《个人信息保护合规审计管理办法》(“正式稿”),预计2025年5月1日起施行。在距离正式稿的正式施行还有不到3个月的时间点,正式稿的内容值得仔细研读推敲,以落实审计合规义务。让我们来看看此次正式稿的发布与此前征求意见稿的条款有何主要的不同:

(一)限缩审计合规义务主体范围和频次:


在征求意见稿中,处理超过100万人个人信息的个人信息处理者应每年至少开展一次审计;其他个人信息处理者应每二年至少开展一次。而在正式稿中,仅处理超过1000万人个人信息的处理者要求每两年至少开展一次合规审计。这一条的修缮有效地减轻了处理个人信息人数未达到门槛的中小企业的合规审计压力。




(二)明确保护部门触发合规审计的情形:


首先,正式稿明确了保护部门包括国家网信部门,而在征求意见稿中仅笼统地称为“履行个人信息保护职责的部门”。

其次,在正式稿中明确了保护部门要求合规审计的三个情形,量化了“个人信息安全事件”的影响后果,使保护部门行使合规审计要求的权责更分明,也增强了在实务中的可操作性。

最后,正式稿增加了对“同一个人信息安全事件或风险”,不得重复要求个人信息处理者委托专业机构开展合规审计。这一点新增内容类似于行政法中的“一事不二罚”,也在一定程度上减轻了企业的合规审计义务的预期和确定性。



(三)取消专业机构白名单:


在征求意见稿中,要求网信部门会同有关部门建立“个人信息保护合规审计专业机构推荐目录”。而在正式稿中,取消了建立该专业机构白名单的要求,鼓励专业机构通过认证。这条修改扩大了实务中能够合规审计的专业机构范围,为企业进行合规审计提供了更多的选择。


(四)确定了个人信息保护负责人的指定门槛:


正式稿明确了处理【100万人以上个人信息】的个人信息处理者应当制定个人信息保护负责人,负责合规审计工作。这弥补了《个人信息保护法》第五十二条的空缺,使什么是“国家网信部门规定数量”获得了明确。



(五)新增大型个人信息处理企业的合规义务:


此次正式稿对“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”,要求其“应当”成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督。



(六)提高专业机构独立性要求门槛:


在征求意见稿中,仅要求专业机构连续为同一审计对象开展审计不得超过三次。在正式稿中,要求同一专业机构【及其关联机构、同一合规审计负责人】不得连续三次以上对同一审计对象开展合规审计。正式稿增加了“关联机构及同一合规审计负责人”的轮换要求,有效地避免利益冲突情形,增强了合规审计的公平性及独立性。





(七)增加整改完成的报送时间限制:


此次正式稿增加了企业审计整改完成后的报送时间限制,为15个工作日。但需明确的是,此条仅适用于保护部门要求开展审计的情形,不适用于企业自行开展合规审计。


四、进一步遐想


正式稿的发布无疑补充了征求意见稿的部分空白和残缺,也在实务层面提供了更多和更明确的操作性,但条款仍留有一些遐想空间待后续立法或实务机关出台解释来明确:譬如在保护部门触发合规审计情形中,目前仍留有较大解释空间,保护部门对“严重影响个人权益或严重缺乏安全措施等较大风险”有较大的自由裁量权。同时,“侵害众多个人权益”这一情形也尚无量化标准。但因合规审计需个人信息处理者承担一定的成本,如果能进一步明确触发情形,则在一定程度上可以给企业和审计机构更多的指向性。在新的AI竞争格局下,我们期待AI安全市场,比如隐私保护算法、合规审计工具有机会迎来新的爆发。



相关人员

施忞旻合伙人

电话:T: 86-21-2312 2000 F: 86-21-2312 2100

邮箱:devon.shi@grandwaylaw.com

办公地点:上海

专业领域:境内外基金业务、跨境投融资及兼并收购、隐私保护及数据安全

没有了

下一篇:国枫观察 | 探寻滴灌通模式(上篇):创新与挑战下的投融资新路径

返回列表