2025年2月14日，国家互联网信息办公室发布《个人信息保护合规审计管理办法》（以下简称《办法》）。《办法》将于2025年5月1日生效，标志着2021年11月1日生效的《个人信息保护法》（以下简称《个保法》）第五十四条和第六十四条规定的个人信息保护合规审计（以下简称“合规审计”）制度终于迎来落地细则，助力进一步提升我国的个人信息保护水平。

在《个保法》生效并明确提出个人信息处理者的合规审计义务后，众多企业开始探索建立与实施合规审计机制，亦有企业选择观望。2023年8月3日公开的《个人信息保护合规审计管理办法（征求意见稿）》（以下简称《征求意见稿》）一度成为企业合规审计落地的重要参考。如今《办法》出台，探索中的企业理应识别不足并加以改进，观望中的企业则需要开始搭建合规审计机制以满足合规要求，从而防控合规风险。

数据合规及个人信息保护审计工作是锦天城律师事务所的业务方向之一，积累了丰富的实践经验。本文将从如何开展合规审计的角度解读《办法》，以期为企业的识别或者搭建工作提供帮助。

合规审计从发起方式上可以分为企业自行开展的定期合规审计和依保护部门要求开展的专项合规审计两种。定期合规审计是企业应当在一定频率内反复开展的合规审计，专项合规审计则是保护部门在发现企业存在相关风险或者企业发生了个人信息安全事件时要求企业开展的合规审计。前述《办法》中有权要求企业开展合规审计的保护部门指国家网信部门和其他履行个人信息保护职责的部门，常见的包括网信办、公安（网安）以及行业主管部门，例如通信行业的工信部、金融行业的金融监管局等。

对于上述两种合规审计类型，《办法》在《个保法》的基础上对于定期的频率和保护部门做出要求的情形做出了进一步的细化规定。

如上文列示的《办法》第三条至第五条的规定，对于不同类型的合规审计，其工作机构要求是存在区别的，内容上保持了与《个保法》的一致性。

对于专业机构具体包括哪些类型，《办法》并没有做出明确规定，仅规定“专业机构应当具备开展个人信息保护合规审计的能力，有与服务相适应的审计人员、场所、设施和资金等。”（第七条）

《办法》未沿用《征求意见稿》中的“合规审计专业机构推荐目录”的制度设计，而是提及了“鼓励相关专业机构通过认证”。可以预见，该等认证后续将作为企业选择专业机构的一项重要参考。

值得注意的是，此处并未说明“认证”的具体名称。根据《认证认可条例》关于认证的定义，“认证”是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。因此，可以合理推导出该等认证是指专业机构的合规审计服务符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。而目前与个人信息保护有关的认证是国家市场监督管理总局、国家互联网信息办公室决定实施的个人信息保护认证，认证依据是个人信息处理者应当符合GB/T 35273《信息安全技术 个人信息安全规范》的要求；对于开展跨境处理活动的个人信息处理者，还应当符合TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求。前述认证依据中的规范、要求或者标准尚未能针对性地覆盖专业机构开展合规审计的服务能力的相关要求。因此，后续可能会出台针对合规审计的规范或者明确合规审计的认证依据包含哪些现有规范、标准。[1]同时，须待认证机构根据《认证认可条例》取得关于该等认证领域的批准，专业机构才具有通过认证的可行性。

此外，关于适用主体的例外，《办法》第十九条规定了国家机关和法律、法规授权的具有管理公共事务职能的组织的个人信息保护合规审计不适用《办法》。

《办法》第六条规定，开展合规审计应参照《个人信息保护合规审计指引》。即合规审计的审查内容应当覆盖如下方面以及重点事项。

除了上述关于审查指引的内容外，《办法》对专项合规审计、特定个人信息处理者、专业机构提出了相应专门要求。

（一）关于专项合规审计

《办法》第八条至第十一条规定了企业按照保护部门要求开展专项合规审计应当履行如下义务。

支持：企业应当为专业机构正常开展个人信息保护合规审计工作提供必要支持，并承担审计费用。

期限：企业应当按照保护部门要求选定专业机构，在限定时间内完成个人信息保护合规审计；情况复杂的，报保护部门批准后，可以适当延长。

报送：合规审计报告应当由专业机构主要负责人、合规审计负责人签字并加盖专业机构公章。企业应当将专业机构出具的合规审计报告报送保护部门。

整改：应当按照保护部门要求对合规审计中发现的问题进行整改。在整改完成后15个工作日内，向保护部门报送整改情况报告。

（二）关于特定个人信息处理者

《办法》第十二条规定了两类特殊的个人信息处理者的特殊义务，与《个保法》相关制度设计进行了衔接。

《办法》在《个保法》出台后首次明确规定指定个人信息保护负责人的门槛是处理100万人以上个人信息。

（三）关于专业机构

《办法》第十三条至第十五条规定了专业机构开展合规审计活动的应当符合如下规范。

合规公正：专业机构应当遵守法律法规，诚信正直，公正客观地作出合规审计职业判断。

保密：专业机构对在履行个人信息保护合规审计职责中获得的个人信息、商业秘密、保密商务信息等应当依法予以保密，不得泄露或者非法向他人提供，在合规审计工作结束后及时删除相关信息。

禁止转包：专业机构不得转委托其他机构开展个人信息保护合规审计。

限制连续审计：同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。

相较于《征求意见稿》，《办法》简化了关于企业支持义务的规定，不再明确合规审计的原则期限为90个工作日，同时基本保留了报送、整改、专业机构从业规范的相关内容。

《办法》将于今年5月1日生效。对于已经建立合规审计机制的企业，可以着手识别已生效的内部制度与《办法》规定是否存在差距，如存在差距可以发起制度修订流程。对于尚未建立合规审计机制的企业，则宜开始着手建立相应制度。因为合规审计工作涉及业务部门、技术部门、法律部门、合规部门等众多部门，如希望顺利开展，前期现状摸排、部门间沟通协调都可能花费大量时间，所以建议尽早启动相关工作。

作为参考，一种较为高效的方法是可以考虑选定一家专业机构，在委托其开展定期合规审计的同时逐步建立与企业相适配的合规审计机制。

合规审计制度是我国个人信息保护工作的一项重要制度设计，有助于个人信息处理者提升个人信息保护意识、防控个人信息风险事件、完善个人信息保护水平，在信息化、网络化、数字化的进程中有着重要意义，能够成为数字中国健康、可持续发展的保障基础之一。

注释：[1] 吴卫明，《数据合规法律实务》，法律出版社，2022年版。