2025年2月25日，国家互联网信息办公室发布《个人信息保护合规审计管理办法》（以下简称《管理办法》）及附件《个人信息保护合规审计指引》（以下简称《审计指引》），并将于2025年5月1日正式实施，这为开展数据处理活动主体提供了指引，同时也“敲响警钟”，在数据经营活动中不容忽视规范个人信息保护。

本文将结合《管理办法》《审计指引》及现有的有关个人信息保护方面的法律法规，就开展个人信息保护合规审计的相关要点解读梳理如下。

根据对《管理办法》的立法目的及规制对象的理解，个人信息保护合规审计旨在进一步加强个人信息保护，对个人信息处理者的个人信息处理活动是否符合法律、行政法规的情况进行审查和评价。

法律法规的要求：早在《管理办法》公布前，《个人信息保护法》《网络数据安全管理条例》《未成年网络保护条例》等规定已经对个人信息处理者需定期进行合规审计作出明文规定。《管理办法》及《审计指引》进一步细化了审计工作的开展要求及具体内容。

个人信息权益保护的要求：个人信息处理活动包含个人信息的收集、存储、使用、共享等诸多环节，涉及个人信息者的知情权、同意权、删除权等权利，必须形成系统的审计规范要求，对个人信息处理活动进行监督，全面评价个人信息处理活动，才能更好保护个人信息权益。

数字经济快速发展的要求：数字经济时代背景下，数据产品的开发越来越离不开个人信息的处理，只有更安全合规的个人信息处理行为，增强个人信息权益者的安全感，才能使之更放心将个人信息交由市场主体处理，才能有助于数据要素的流通，释放数据价值，促进数字经济发展。

处理数量达到特定标准的个人信息处理者：处理超过1000万（累计）人个人信息的处理者，应当每两年至少开展一次个人信息保护合规审计。

存在特定情形的个人信息处理者：个人信息处理活动存在严重影响个人权益或严重缺乏安全措施等较大风险的；个人信息处理活动可能侵害众多个人的权益的；发生个人信息安全事件，导致100万人以上个人信息或10万人以上敏感个人信息泄露、篡改、丢失、毁损的。

特定的个人信息处理者：处理100万人以上个人信息的处理者，需制定个人信息保护负责人，负责合规审计工作；提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当成立独立的外部审计机构对处理活动进行审计监督。

定期自行开展：处理超过 1000万人个人信息处理者，应每两年至少开展一次；审计内容需覆盖个人信息处理全生命周期，确保符合《个人信息保护法》及配套法规。

依监管部门要求开展：履行个人信息保护职责的部门在履行职责过程中，发现个人信息处理活动存在较大风险或发生个人信息安全事件的，可以要求相关处理者进行合规审计。

自行审计：可以选择由内部机构自行开展，也可以委托第三方专业机构开展。

监管审计：依监管要求开展的审计只能委托外部第三方专业机构进行审计。

类型未明文规定：《管理办法》暂未对于审计专业机构的具体类型作出明文规定；仅规定“专业机构应当具备开展个人信息保护合规审计的能力，有与服务相适应的审计人员、场所、设施和资金等。笔者理解律师事务所、会计事务所以及专业咨询机构等在满足相关技术条件、人员条件、设施和资金条件的情况下均可。

鼓励专业机构通过认证：《管理办法》规定鼓励相关专业机构通过认证，专业机构的认证按照《中华人民共和国认证认可条例》（以下简称《认证认可条例》）的有关规定执行。根据《认证认可条例》关于认证的定义，可以认为该认证是指专业机构的合规审计服务需符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。目前与个人信息保护有关的认证依据有：GB/T 35273《信息安全技术 个人信息安全规范》、TC260-PG-20222A《个人信息跨境处理活动安全认证规范》等，但均未对专业机构开展合规审计的服务能力进行明确规定。为顺应监管需求，不排除后续会专门针对第三方机构的能力要求颁布相关标准或规定。

五大模块：个人信息处理规则、个人信息主体权利保障、个人信息处理者义务、个人信息跨境提供规则、大型互联网平台的特殊责任。

二十六方面：《审计指引》共规定了二十七条内容，涉及的审计要求内容可概括为如下二十六个方面：

结合《审计指引》及审计行业准则、合规审计师认证培训课程等相关内容，对个人信息保护合规审计工作的开展，笔者简要总结如下：

审计准备：根据审计要求制定审计计划：明确审计目标和范围、确定审计依据和重点，并经公司决策层审批；组建审计工作组：明确职责分工，开展审前调查初步了解背景情况。

审计实施：围绕《审计指引》的二十六项审计内容确定审计方法，对各项内容进行逐项审计；采取文件检查、现场访谈、日志分析、穿行测验、控制性测试等多种方法，获取审计证据，并将审计过程和结论记录在案。

审计报告：根据审计工作情况，对审计概况、审计依据、审计过程、审计结论、审计发现、审计意见、审计建议等形成审计报告。

整改与跟踪：根据审计报告，监督整改情况，进行后影响评估，专业机构复核后提交整改报告。针对监管要求审计的，监管部门还需对整改情况持续监督。

约谈与责令整改：根据《个人信息保护法》规定，若监管部门发现个人信息处理活动存在较大风险或发生严重安全事件可约谈企业负责人或要求限期整改。

罚款：根据《个人信息保护法》存在侵害个人信息保护行为的，一般违规最高可处100万元罚款；情节严重最高可处5000万元或上一年度营业额5%的罚款（二者取高值）；对直接责任人最高可处10万元罚款，并禁止担任相关职务。

刑事追责：若未履行合规审计导致大规模信息泄露、非法交易等严重后果，可能构成 “侵犯公民个人信息罪”。

民事赔偿：处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。

《管理办法》将于2025年5月1日正式开始施行，无疑对数据处理企业开展数据处理活动提出更急迫、更高安全标准的要求，对此，数据企业不得不未雨绸缪，提前做好合规管理，以应对监管要求。结合上述内容，笔者认为在《管理办法》已发出强烈监管信号后，数据处理企业应提前做好相应准备：

搭建合规管理体系：制定覆盖数据采集、存储、使用、共享、删除全生命周期的管理制度以及各环节操作规范；设立数据安全负责人专人管理数据安全系统，统筹合规事务，并定期监督数据处理活动安全性。

完善数据分类分级制度：参考《网络数据分类分级指引》《网络安全法》《数据安全法》《个人信息保护法》等规定，对数据进行敏感程度、影响范围分类分级，形成差异化保护。

建立数据全生命周期合规管理体系：从数据收集、存储、使用、共享、删除、销毁等层面，结合法律规定制定各生命周期管理制度，确保每个生命周期都是合法合规处理数据；

加强技术保障与能力建设：提升技术系统安全防护能力，监控敏感数据传输、开展安全靶向试验活动，测验数据开发系统安全性能，避免数据泄漏风险。

提升人员安全意识：定期开展合规培训，并做好相应培训记录，通过模拟，如数据泄露事件，提升员工应急实操能力。

提前委托第三方风险评估：在《管理办法》施行过程中，可委托专业机构（如律师事务所、审计单位）提前对已有的数据处理活动进行风险评估，做好预判，及时对发现的问题进行整改，避免触发《管理办法》及《审计指引》规定的不合规行为，承担不利后果。