2021年11月1日,《个人信息保护法》(以下简称“《个保法》”)正式实施,今年11月1日即将迎来我国《个保法》实施五周年。按照《个保法》第五十四条的规定,“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计”,同时《个保法》第六十六条针对未履行个人信息保护义务规定了最高处罚金额,即“五千万元以下或者上一年度营业额百分之五以下罚款”。但是,至今暂未看到有个人信息处理者因未进行个人信息保护合规审计被处罚的案例。
2025年5月1日,《个人信息保护合规审计管理办法》(以下简称“《审计管理办法》”)正式实施,《审计管理办法》是对《个保法》第五十四条的细化,其中附件《个人信息保护合规审计指引》(以下简称“《指引》”)明确了26个重点审查事项。
2025年12月31日,国家标准GB/T 46903-2025《数据安全技术 个人信息保护合规审计要求》(以下简称“《审计国标》”)正式发布,将于2026年7月1日实施。《审计国标》第6章“个人信息保护合规审计内容和方法”列举了26项审查内容,与《指引》的26个审计重点事项一一对应。
中央网信办(国家网信办)数据与技术保障中心、中国网络安全审查认证和市场监管大数据中心、北京赛西认证有限责任公司分别于2025年10月20日和2026年3月26日发布了两批通过个人信息保护合规审计服务认证的专业机构名单(结合《审计管理办法》第七条判断,专业机构并非必须取得该认证资格,而是鼓励取得),为企业选择取得认证资格的专业机构提供了参考,同时也为后续监管部门启动专项审计提供专业机构支撑。
此外,相关机构、协会还针对致力于开展个人信息保护合规审计工作的具体人员,进行了培训、考核,部分专业人士已经或正在取得高级、中级、初级个人信息保护合规审计人员资质或者个人信息保护合规审计师资格。
根据《审计管理办法》第三、五、六、七条,我国个人信息保护合规审计分为主动审计(可自行开展审计或聘请外部专业机构进行审计),以及基于监管部门要求发起的专门审计两种情形。实践中,企业主要面临的是在主动审计中是自行开展审计还是聘请外部专业机构进行审计的选题。
综合上述,我国个人信息保护合规审计工作逐步进入实质阶段,这值得企业关注。本文从自行开展审计角度,阐述相关高频问题,以便企业更好地自行开展审计工作。
问题1:作为一家企业法务,我该如何判断,公司是否应尽快开展个人信息保护合规审计?
答:第一,参考《审计国标》对审计频率的要求,所有处理个人信息的企业(即个人信息处理者)建议至少开展一次个人信息保护合规审计工作(具体见表1)。到今年11月,《个保法》实施已满五周年,《个保法》生效之日已在处理个人信息的企业,建议尽快落实该项法定义务。
第二,如果公司计划IPO,则个人信息保护合规审计工作作为法定义务,需要提前考虑落地执行,便于IPO律师发表意见。
第三,如果公司所在行业的监管执法比较高频,建议提前做好个人信息保护合规审计工作,以便在面临监管执法时,可以此佐证公司已完成了该项法定义务,同时也可以将审计工作当作面临监管执法的预案、过往数据合规工作的检验以及提升内部数据合规意识的契机。
表1
问题2:自行审计与外部审计,各有何利弊?
答:具体见下表2。从节约公司成本且尽快完成合规审计义务的角度,自行审计可能在实务中会成为企业选择开展合规审计工作的高频路径。
表2
问题3:公司如果开展自行审计,需要做哪些方面的准备?
答:如选择自行开展审计,建议做好以下五个方面的准备:
第一,思想准备:开展审计的必要性和目标要明确,管理层和各部门负责人要达成一致,为此要加强沟通。
第二,人员准备:盘点内部可以开展审计工作的人力资源,审计工作需要管理、技术、产品、法务、市场等多部门人员配合与支持。
第三,对业务影响的准备:审计工作是否会影响业务开展,如何将影响降低到最小。
第四,时间准备:审计工作整体周期的预估,以及审计各阶段的时间预估。
第五,物质准备:如场地、资金、设施等,包括审计工作的服务支持、审计资料的归档地点、聘请第三方专家的费用、为审计组成员购买执业保险以及支付适当的经济补偿等。
问题4:公司审计组的成员是否需要具备个人信息保护合规审计资格?
答:《审计国标》第4.2.3条规定:“个人信息处理者自行开展合规审计的,其审计人员也应具备个人信息保护合规审计人员能力。”并进一步提出了相关资质要求:
-
情形一:公司属于“处理超过1000万人个人信息的个人信息处理者”,则建议审计组成员考取证书,并且其中具备高级个人信息保护合规审计人员能力的人员不少于1人、具备中级个人信息保护合规审计人员能力的人员不少于3人;
-
情形二:公司属于“处理超过100万、不超过1000万人个人信息的个人信息处理者”,则建议审计组成员考取证书,并且其中具备中级以上个人信息保护合规审计人员能力的人员不少于2人;
- 情形三:公司不属于前述两类情形。《审计国标》未提出相关资质要求。
值得关注的是,《审计国标》征求意见稿和送审稿在人员资质上,使用的是“宜”的推荐性表述,相较于征求意见稿和送审稿,正式稿将审计人员资质要求从“弹性建议”转为“刚性要求”。综上,从实务角度出发,为确保公司个人信息保护合规审计工作的合法性与专业性,建议按照监管导向出发,尽可能按照《审计国标》要求配置审计组人员。
问题5:个人信息保护合规审计的核心逻辑是什么?
答:我们认为,至少有四重核心逻辑:
第一,多重审视逻辑。审计组在思维上,建议参考侦查思维、律师的诉讼思维、行政执法思维,以及法官的审判思维开展相关工作。
第二,合规全覆盖与风险导向逻辑。首先,审计内容应当覆盖《指引》26个重点审查事项;其次,审计内容可以结合公司业务合规风险,进一步扩充,而非局限于《指引》和《审计国标》提到的要点。
第三,证据效力高度盖然性与排除合理怀疑逻辑。审计证据涉及多方面的证据类型,如书证、鉴定报告、证人证言等。为此,如何组织审计证据以更好验证审查事项,需要审计组结合行业水位、监管要求、司法判例观点等因素综合考虑。原则上可以参考《中华人民共和国民事诉讼法》的高度盖然性的采信标准,对于重点红线和执法重点,则尽量提高证据采信的标准,甚至达到排除合理怀疑的标准。
第四,回溯性逻辑。基于一定期间内公司作为个人信息处理者的“个人信息处理活动”的合规性进行判断,是面向过去,而不是面向未来的审计工作。
问题6:公司若开展自行审计,可能面临哪些障碍?
答:需要注意下面几个可能面临的障碍和冲突:
第一,相关内部部门不配合或者效率低,审计证据采集困难。
第二,审计组成员、组建过程、审计行为等被质疑不公正、不合法等。
第三,对于审计发现及其结论存在管理层异议、内部审计组异议等。
第四,审计组内部效率低下。
第五,审计组组长(如个人信息保护负责人)不签字。
问题7:如何提高自行审计的效率?
答:建立符合公司内部业务特点的审计流程是提高审计效率的重点,也同时可能构成公司的商业秘密和核心竞争力,为此应该予以重视。我们建议公司需要从以下角度考虑提高整体工作效率:
第一,明确审计目标:围绕个人信息保护合规要求,并结合公司所处行业的重点风险,清晰界定审计的核心方向,如APP运营企业可以考虑重点在APP个人信息处理合规方面。
第二,争取领导的支持:主动向管理层汇报个人信息保护审计的合规价值与工作规划,获取资源、决策及跨部门协调层面的支持,保障审计工作顺利推进。
第三,内部各部门达成一致:与法务、业务、IT、数据安全等涉及个人信息处理的部门提前沟通,统一审计口径与配合要求,减少执行中的分歧与阻碍。
第四,谨慎确定合适的审计范围:结合公司个人信息处理活动,按风险等级划定审计范围,优先覆盖高频、高风险场景,不盲目扩大范围。
第五,审计组成员的挑选:选配具备个人信息保护合规知识、熟悉公司数据业务流程及系统操作的人员组成审计组,确保能精准识别合规问题,提升现场审计效率。
第六,做好审计方案:围绕个人信息保护合规要点制定详细审计方案,明确审计步骤、核查要点、时间节点与责任分工,让审计工作标准化、有序开展。
第七,利用好审计工具和公司内部的相关成果:运用数据审计工具、日志排查系统等开展自动化核查,同时复用公司既有合规成果(如隐私政策、数据合规台账、PIA 报告等),减少重复工作。
第八,利用好第三方出具的相关文件:合理引用第三方出具的个人信息保护认证、安全评估、合规检测报告等,作为内部审计的佐证依据,减少同类事项的重复验证与工作投入。
问题8:如何确定合适的审计范围?
答:第一,考虑公司规模大小,如未开展过数据合规工作,建议先以一条业务线开始审计工作,避免范围过大导致难以落地。
第二,遵循“由易到难”原则选择业务线。优先选取流程清晰、复杂度较低的业务线;暂不数据跨境、数据体量及数据流高度复杂、正处于监管整改阶段等难度较高的业务线纳入审计范围。
第三,结合《指引》的26个重点审查事项,提前预判覆盖情况。根据业务属性判断所需涉及的重点审查事项数量,例如非大型互联网平台通常不涉及最后两个重点审查事项,可优先选取触发重点审查事项较少的业务线。
第四,结合公司人力、财力以及业务开展情况,选择对公司业务影响最小的业务线开展审计工作。
问题9:从审计依据角度出发,对于个人信息以外的数据,其相关的法律依据,是否也要纳入审计依据?
答:公司可能涉及处理重要数据、核心数据、商业秘密数据、行业属性数据(如金融数据)等和个人信息密切相关的数据。
我们建议,如果该数据类型和个人信息直接挂钩,建议审计组在发表审计意见、审计发现、审计结论和审计建议时予以参考,一并发表意见。例如《网络数据安全管理条例》第二十八条规定网络数据处理者处理1000万人以上个人信息的,需要遵守该条例的第三十条、第三十二条对重要数据处理者作出的规定。
问题10:哪些与个人信息保护合规审计有关的问题,审计组需要特别关注和注意?
答:审计组在开展个人信息保护合规审计时,需重点关注以下四方面关键事项:
第一,审计组的适格性问题。例如对金融、医疗、政务等敏感行业,建议对审计组成员开展必要的背景审查,确保人员资质、独立性及保密能力符合要求,防范合规与声誉风险。
第二,对基础性法律定性问题应严格审慎,包括但不限于:是否适用《个保法》、相关数据是否属于个人信息、主体是否属于个人信息处理者、是否构成委托处理法律关系等。此类问题具有基础性影响,不得简单排除或主观忽略。
第三,签字与保留意见的问题。若审计组成员对审计发现、意见、结论或建议存在不同观点,可将相关保留意见纳入审计报告附件,并通过正式邮件向审计组组长明确表述;同时在内部会议记录中完整记载各方意见,做到留痕可查、责任清晰。
第四,审计底稿的归档问题。审计底稿是保护审计组成员的关键,如果审计组成员因为不专业,导致收集大量审计底稿而没有发现问题,可能未来面临追责风险。而如果审计底稿保存不当,未来在调取审计底稿并就审计组所发表意见的合理性和正当性方面,可能导致审计组存在发表意见不当等问题。为此审计底稿应该考虑保存在无法篡改的地方,便于调取,例如在第三方区块链存证。
问题11:开展自行审计过程中,审计组内部或者与外部管理层之间发生分歧,审计组成员该如何保护自己?
答:第一,严格按照审计制度执行。严格按照公司既定的审计制度、工作规范及个人信息保护相关法律法规开展工作,以制度和规则作为判断标准,不随意妥协、不擅自突破合规要求,确保履职行为有据可依。
第二,寻求管理层协调支持。当内部意见不一或与管理层存在分歧时,及时向审计组组长及公司管理层汇报,说明分歧要点、合规风险与专业判断,申请协调决策,避免矛盾拖延导致审计人员单独承担风险。
第三,写入审计报告的附件。对审计结论、问题认定、整改建议等存在保留意见的,应书面整理并纳入审计报告附件,清晰载明不同观点及理由,客观反映审计过程中的专业分歧,不隐瞒、不默认。
第四,注意过程留痕。对会议讨论、沟通记录、邮件往来、资料传递、意见反馈等全程留存书面或电子记录,明确时间、参与人员及各方观点,形成完整可追溯的工作底稿,以备后续核查、责任界定使用。
问题12:如何理解触发外部监管要求审计的情形?
答:《审计管理办法》第五条规定:“个人信息处理者有以下情形之一的,国家网信部门和其他履行个人信息保护职责的部门(以下统称为保护部门),可以要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计:
(一)发现个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险的;
(二)个人信息处理活动可能侵害众多个人的权益的;
(三)发生个人信息安全事件,导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的。
对同一个人信息安全事件或者风险,不得重复要求个人信息处理者委托专业机构开展个人信息保护合规审计。”
我们认为,上述第(一)项和第(二)项在适用上存在较大不确定性,监管部门拥有较大自由裁量空间。其中第(一)项侧重于已显现的风险后果,第(二)项则仅以“可能侵害”为触发条件。但是该两项内容中,“严重”“较大风险”“可能侵害”等表述均缺乏明确、统一的认定标准,需结合具体场景综合判断。因此,我们建议:企业应警惕“被动审计”带来的合规被动与品牌声誉损失。一旦业务场景触及上述任一风险情形,应及时通过主动发起专项审计来预判风险、查漏补缺。这样不仅能优化内部治理,更能在监管介入前形成有效的“合规抗辩”证据链,从而争取监管信任、降低行政处罚的概率。
