近日,国家网信办公布《个人信息保护合规审计管理办法》(以下简称《管理办法》)。该《管理办法》自2025年5月1日起施行。
国家网信办有关负责人介绍,《管理办法》对个人信息保护合规审计活动的开展、合规审计机构的选择、合规审计的频次、个人信息处理者和专业机构在合规审计中的义务等作出细化规定,旨在为个人信息处理者开展个人信息保护合规审计提供系统性、针对性、可操作性的规范,提升个人信息处理活动合法合规水平。
“《管理办法》是对《中华人民共和国个人信息保护法》审计要求的细化落实,为个人信息保护合规审计活动提供重要依据,是个人信息保护工作的里程碑。”中国网络空间安全协会副秘书长杜阿宁表示。
个人信息保护合规审计是指对个人信息处理者的个人信息处理活动是否符合法律、行政法规的规定进行审查和评价的监督活动。
《管理办法》明确了个人信息处理者开展合规审计的两种情形。一是个人信息处理者自行开展合规审计的,应当由个人信息处理者内部机构或者委托专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。处理超过1000万人个人信息的个人信息处理者,应当每两年至少开展一次个人信息保护合规审计。二是履行个人信息保护职责的部门发现个人信息处理活动存在较大风险、可能侵害众多个人的权益或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计。
在国家网信办数据与技术保障中心副主任王志成看来,这体现了政府监管和行业自律二者并重的治理思路,“推动政府监管和行业自律形成合力,是提升数据治理能力的现实需要,也是《管理办法》制定中着重考虑的问题”。
北京航空航天大学法学院副教授赵精武特别提到,为了实现个人信息保护合规的透明化,《管理办法》将大型网络平台的个人信息保护社会责任报告纳入审计事项,形成个人信息保护从落地实施到事后评估监督的制度闭环,也让公众能够更为直观地了解自己的个人信息究竟如何被处理和安全保护。
“《管理办法》的出台是我国个人信息保护领域立法和监管体系的重要补充,标志着我国在个人信息保护合规治理方面迈出了实质性的一步。”中国人民大学法学院教授、未来法治研究院副院长丁晓东表示。
丁晓东介绍,合规审计已经成为全球范围内个人信息保护领域的标配,如美国联邦贸易委员会在2010年代便通过行政和解协议的方式要求谷歌和脸书通过第三方进行隐私审计,欧盟《通用数据保护条例》同样较早引入数据保护审计制度。然而,全球范围内对个人信息保护领域审计制度的最佳实践尚未获得共识。在他看来,《管理办法》首次系统性地构建了个人信息处理活动的合规审计框架,为个人信息处理者的合规实践与监管部门的执法提供了具体指引,在明确审计的类型与形式、强化审计的独立性与专业性、规范依部门要求开展的审计程序、避免审计对个人信息处理者造成不必要的负担、建立全面的审计指引等方面给出了“中国方案”。
赵精武同样认为,《管理办法》合理设置不同的审计模式,细化个人信息保护合规审计的重点审查事项等创新之处,均立足于我国个人信息保护制度特点,提供了不同于任何一个国家的“中国答案”。
“《管理办法》的出台是我国个人信息保护事业进程中的重要节点,必将为提高我国个人信息保护水平、提升我国数据安全治理监管能力发挥重要作用。”王志成说。
