《中華人民共和國個人信息保護法》（以下稱“個保法”）等法律文件的出臺，確立了我國個人信息保護的法律框架。其中，個保法第54條規(guī)定，個人信息處理者應當定期對其處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計，但用以細化個人信息合規(guī)審計的相關(guān)法律、行政法規(guī)在個保法實施后的一段時期內(nèi)并未出臺。而2025年2月12日，國家網(wǎng)信辦公布了《個人信息保護合規(guī)審計管理辦法》（以下稱“辦法”， “個人信息保護合規(guī)審計”簡稱“合規(guī)審計”）。辦法將自2025年5月1日起施行。本次辦法的公布與施行，為企業(yè)應如何履行個保法中規(guī)定的合規(guī)審計義務提供了具體指引。

　　此前，由于合規(guī)審計的相關(guān)規(guī)定并未落地，企業(yè)等個人信息處理者未實際履行合規(guī)審計義務的情況并不罕見。但是，由于企業(yè)發(fā)展的實際需求等，個人信息處理者已普遍開展了個人信息合規(guī)相關(guān)的梳理及自查工作。本文將基于我們的實務經(jīng)驗，在介紹合規(guī)審計相關(guān)內(nèi)容要點的基礎上，梳理個人信息處理者在履行合規(guī)審計義務時遇到的難點及注意事項，希望能夠為個人信息處理者合規(guī)審計工作的開展提供幫助。

　　根據(jù)上述序言部分提及的個保法第54條的規(guī)定，受到個保法適用的的個人信息處理者，無論處理個人信息的規(guī)模等，均需定期開展個人信息保護合規(guī)審計。這就意味著，不僅在中國境內(nèi)處理自然人個人信息的企業(yè)等主體需遵守定期合規(guī)審計義務，在中國境外的處理者處理中國境內(nèi)自然人個人信息的，若其處理活動以向境內(nèi)自然人提供產(chǎn)品或者服務為目的，或存在分析、評估境內(nèi)自然人的行為的，也必須定期開展個人信息保護合規(guī)審計工作。

　　對于“定期”究竟應為多長時間，2023年8月3日公布的《個人信息保護合規(guī)審計管理辦法（征求意見稿）》（以下稱“辦法征求意見稿”）的第4條規(guī)定，處理超過100萬人個人信息的個人信息處理者，應當每年至少開展一次個人信息保護合規(guī)審計；其他個人信息處理者應當每二年至少開展一次個人信息保護合規(guī)審計。而本次公布的辦法第4條規(guī)定，處理超過1000萬人個人信息的個人信息處理者，應當每兩年至少開展一次個人信息保護合規(guī)審計。可見，正式公布實施的辦法已大幅降低了對于合規(guī)審計頻率的要求。

　　但對于處理1000萬人以下個人信息的處理者應至少多久開展一次合規(guī)審計工作，辦法并未進行明確規(guī)定。結(jié)合辦法的答記者問中國家網(wǎng)信辦相關(guān)負責人的回答，其他個人信息處理者根據(jù)自身情況合理確定定期開展個人信息保護合規(guī)審計的頻次。結(jié)合這一回答，對于處理1000萬人以下個人信息的處理者，應特別注意以下事項：

　　辦法雖然未規(guī)定“定期”的具體期限，但定期性仍是合規(guī)審計義務履行的要點之一，過長時間未開展合規(guī)審計工作或開展期限無法確定的，仍屬于違法行為。這也要求處理者在個人信息保護管理規(guī)定等依法制定的內(nèi)部文件中明確合規(guī)審計的期限或開展條件。

　　根據(jù)答記者問中的相關(guān)回答，處理者應根據(jù)自身情況“合理”確定定期開展保護審計的頻次。這也就意味著，若處理者受到相關(guān)執(zhí)法檢查，可能需要對合規(guī)審計頻次的合理性進行解釋說明。目前關(guān)于什么是“合理”，法律上并無明確的解釋，需要處理者結(jié)合個人信息處理的具體情況及相關(guān)措施對個人信息的保障效果進行確定，該等頻次和期限應該具有足夠的說服力。此外，特別是結(jié)合辦法第5條被動審計的觸發(fā)條件也可以作為確定頻次和期限的參考條件。例如，發(fā)生如下情況后建議及時開展合規(guī)審計工作，并將開展合規(guī)審計工作的期限縮短：

　　九游體育ninegame 九游體育官方平臺

　　i) 發(fā)現(xiàn)個人信息處理活動存在嚴重影響個人權(quán)益或者嚴重缺乏安全措施等較大風險的；

　　iii)發(fā)生個人信息安全事件，導致較大量個人信息泄露、篡改、丟失、毀損的；

　　辦法第5條規(guī)定，個人信息處理者有以下情形之一的，國家網(wǎng)信部門和其他履行個人信息保護職責的部門（以下稱“保護部門”），可以要求個人信息處理者委托專業(yè)機構(gòu)對個人信息處理活動進行合規(guī)審計：

　　發(fā)現(xiàn)個人信息處理活動存在嚴重影響個人權(quán)益或者嚴重缺乏安全措施等較大風險的；

　　九游體育ninegame 九游體育官方平臺

　　發(fā)生個人信息安全事件，導致100萬人以上個人信息或者10萬人以上敏感個人信息泄露、篡改、丟失、毀損的。

　　同時，應保護部門要求進行合規(guī)審計的，應當按照保護部門要求選定專業(yè)機構(gòu)，在限定時間內(nèi)完成個人信息保護合規(guī)審計；情況復雜的，報保護部門批準后，可以適當延長。合規(guī)審計過程中發(fā)現(xiàn)問題的，處理者應按照保護部門要求對合規(guī)審計中發(fā)現(xiàn)的問題進行整改，并在整改完成后15個工作日內(nèi)，向保護部門報送整改情況報告。

　　原則上，基于同意的個人信息處理應基于向個人信息主體合法告知個人信息處理規(guī)則并取得其必要同意的合法性基礎上進行。合規(guī)審計時，應梳理不同個人信息處理場景，確認相關(guān)處理是否應取得同意。需要取得同意的，應確認該同意是在充分知情的前提下自愿、明確作出的。此外，合規(guī)審計還需審查個人信息處理目的、處理方式、處理的個人信息種類發(fā)生變更時是否重新取得了個人同意等。

　　合規(guī)審計中應審查處理者向個人信息主體告知的處理規(guī)則是否真實、準確、完整，是否包含個人信息處理者的名稱或姓名和聯(lián)系方式、所收集的個人信息及其處理方式和種類等法定必要事項。此外，處理者還需確保個人信息的處理與處理目的直接相關(guān)，并采取對個人權(quán)益影響最小的方式等。

　　處理者在處理個人信息前，應以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知個人信息處理規(guī)則。處理者需確保告知文本的大小、字體和顏色便于個人完整閱讀告知事項。

　　共同處理個人信息、個人信息委托處理、第三方提供、跨境提供、公開等特殊處理的義務履行

　　對于法律法規(guī)中存在特殊義務規(guī)定的共同處理個人信息、個人信息委托處理、第三方提供、跨境提供、公開等特殊個人信息處理情況，合規(guī)審計應審查處理者的相關(guān)義務履行情況。包括是否已取得單獨同意、是否已簽訂相關(guān)合同、是否已完成安全評估或SCCs備案等。

　　合規(guī)審計應審查處理者是否建立便捷的個人行使權(quán)利的申請受理機制和處理機制，是否及時響應個人行使權(quán)利的申請，是否及時、完整、準確告知處理意見或者執(zhí)行結(jié)果等，以審查處理者是否依法保障個人在個人信息處理活動中的權(quán)利。

　　根據(jù)相關(guān)法律、行政法規(guī)的規(guī)定，處理者應制定內(nèi)部管理制度和操作規(guī)程、采取適宜的去標識化、加密等安全技術(shù)措施、實施員工安全教育培訓、指定個人信息保護負責人、開展保護影響評估、安全應急措施等，履行個人信息安全保護義務。合規(guī)審計應審查各項具體義務的履行情況是否符合法律法規(guī)的相關(guān)要求。

　　此外，對于提供重要互聯(lián)網(wǎng)平臺服務、用戶數(shù)量巨大、業(yè)務類型復雜的個人信息處理者，合規(guī)審計需要特別審計平臺規(guī)則及個人信息保護社會責任報告的合規(guī)性。對于平臺規(guī)則制定，除一般的合法性審查外，應特別留意是否已通過抽樣等方式驗證平臺規(guī)則被有效執(zhí)行也是審查要點之一；對于個人信息保護社會責任報告，應重點審查披露事項是否充分完整。

　　辦法第18條規(guī)定，個人信息處理者、專業(yè)機構(gòu)違反辦法規(guī)定的，依照《中華人民共和國個人信息保護法》、《網(wǎng)絡數(shù)據(jù)安全管理條例》等法律法規(guī)的規(guī)定處理；構(gòu)成犯罪的，依法追究刑事責任。具體如下：

　　第六十六條違反本法規(guī)定處理個人信息，或者處理個人信息未履行本法規(guī)定的個人信息保護義務的，由履行個人信息保護職責的部門責令改正，給予警告，沒收違法所得，對違法處理個人信息的應用程序，責令暫?；蛘呓K止提供服務；拒不改正的，并處一百萬元以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

　　有前款規(guī)定的違法行為，情節(jié)嚴重的，由省級以上履行個人信息保護職責的部門責令改正，沒收違法所得，并處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款，并可以責令暫停相關(guān)業(yè)務或者停業(yè)整頓、通報有關(guān)主管部門吊銷相關(guān)業(yè)務許可或者吊銷營業(yè)執(zhí)照；對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款，并可以決定禁止其在一定期限內(nèi)擔任相關(guān)企業(yè)的董事、監(jiān)事、高級管理人員和個人信息保護負責人。

　　第六十七條 有本法規(guī)定的違法行為的，依照有關(guān)法律、行政法規(guī)的規(guī)定記入信用檔案，并予以公示。

　　第五十八條違反本條例其他有關(guān)規(guī)定的，由有關(guān)主管部門依照《中華人民共和國網(wǎng)絡安全法》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個人信息保護法》等法律的有關(guān)規(guī)定追究法律責任。

　　注：合規(guī)審計規(guī)定于《網(wǎng)絡數(shù)據(jù)安全管理條例》第27條，屬于第58條的“其他有關(guān)規(guī)定”，相關(guān)違反行為應適用個保法規(guī)定。

　　第二百五十三條之一【侵犯公民個人信息罪】違反國家有關(guān)規(guī)定，向他人出售或者提供公民個人信息，情節(jié)嚴重的，處3年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴重的，處3年以上7年以下有期徒刑，并處罰金。違反國家有關(guān)規(guī)定，將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的，依照前款的規(guī)定從重處罰。

　　單位犯前三款罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照各該款的規(guī)定處罰。

　　結(jié)合我們協(xié)助各類處理者進行合規(guī)自查的經(jīng)驗，從未進行合規(guī)自查及整改的處理者的個人信息處理情況普遍存在不符合法律法規(guī)相關(guān)要求的情況。甚至可以說，我們在個保法實施后的近四年實務經(jīng)驗中，處理者在首次自查時就能夠基本符合相關(guān)法律法規(guī)要求的情況從未見到過。就這可能是由于個人信息保護相關(guān)的法律法規(guī)較多，相關(guān)規(guī)定中也存在非常多的細化要求，處理若相關(guān)經(jīng)驗不足，在業(yè)務開展時易出現(xiàn)違法處理個人信息的情況。從處理者利益的角度出發(fā)，為了避免未知的違法情況使自身面臨嚴重的法律責任或個人信息泄露、侵權(quán)導致的商譽受損，處理者也應當自主開展合規(guī)審計工作。

　　應保護部門要求進行合規(guī)審計的，不僅合規(guī)審計本身應在規(guī)定期限內(nèi)完成，合規(guī)審計中發(fā)現(xiàn)的問題也需要處理者進行整改并及時提交整改報告。在此前的個人信息相關(guān)執(zhí)法檢查案件中，已存在大量要求處理者限期完成整改的情況。例如，網(wǎng)信辦等通報的APP違法違規(guī)情況中，要求處理者在通報發(fā)布之日起15個工作日內(nèi)完成整改。我們多次協(xié)助客戶應對相關(guān)整改要求，但實際上，由于存在需要對APP、服務器等進行技術(shù)調(diào)整、軟硬件采購等的情況，在15個工作日內(nèi)限期無法完成整改的可能性很高。因此，建議處理者事先自行進行合規(guī)審計，以避免出現(xiàn)意外情況被要求進行合規(guī)審計時難以達到保護部門的要求。

　　另外，對于有融資或上市需求的企業(yè)，觸發(fā)被動合規(guī)審計并被要求整改可能影響融資及上市的進度。實務中，已完成整改的處理者也無法取得書面證明以確認整改已符合保護部門的要求，在上市合規(guī)過程中會成為難以補救的問題。因個人信息合規(guī)問題而導致融資受阻的案件也屢見不鮮。因此，對于該等企業(yè)，事先自行開展合規(guī)審計和整改工作尤為重要。

　　個人信息保護合規(guī)審計是個人信息保護合規(guī)體系中的關(guān)鍵一環(huán)。定期進行審計以確保個人信息處理活動的合法性、合規(guī)性不僅是對于相關(guān)法律法規(guī)的遵守，也是處理者相關(guān)業(yè)務有序開展、避免出現(xiàn)更大經(jīng)濟或商譽損失的有力保障。合規(guī)審計不僅是處理者可持續(xù)發(fā)展的堅實基礎，還是對于社會責任承擔的體現(xiàn)。建議高度重視并在專家的協(xié)助下積極開展個人信息保護合規(guī)審計工作，確保在數(shù)字化時代的健康穩(wěn)定發(fā)展。

　　王祺律師，慶應義塾大學法學修士、北京交通大學法學學士，中倫文德律師事務所上海辦公室合伙人，上海辦公室網(wǎng)絡安全與數(shù)據(jù)合規(guī)部負責人，九三學社社員，多地數(shù)據(jù)交易所合規(guī)評估服務登記律師，高級網(wǎng)絡與信息安全工程師。

　　王祺律師多年來深耕數(shù)據(jù)合規(guī)、網(wǎng)絡安全、電信、車聯(lián)網(wǎng)及自動駕駛等先端法律領(lǐng)域，并在企業(yè)反腐敗及合規(guī)調(diào)查、國際投資與貿(mào)易、公司日常法律服務等領(lǐng)域積累了豐富經(jīng)驗。