作者：宇文沛、胡运思

引言

2025年2月14日，国家网信办正式公布《个人信息保护合规审计管理办法》(以下简称“《个保审计办法》”)，自2025年5月1日起施行。个人信息保护合规审计是《个人信息保护法》规定的个人信息处理者的义务之一，《个保审计办法》的出台，标志着个人信息保护合规审计将在实践中被正式落实。

《个保审计办法》强调了两类重要的个人信息处理的数量门槛：100万和1000万。实践中，相当一部分企业所处理的个人信息数量可能介于100万和1000万人之间，这部分企业是否需要履行个人信息保护合规审计义务？又该如何履行个人信息保护合规审计义务？

场景化案例分析

A公司为中国某初创科技公司，目前主要在境内经营，处理的个人信息超过500万人，但未到达1000万人。关注到最新发布的《个保审计办法》，A公司就个人信息保护合规审计的相关问题咨询律师。

一、A公司是否一定要在今年进行个人信息保护合规审计？公司多久需要进行一次个人信息保护合规审计？

由于A公司处理不满1000万人的个人信息，可以根据实际个人信息处理情况，自行确定首次开展个人信息保护合规审计的时间和个人信息保护合规审计的频率。目前无明文规定必须今年内完成审计。但需注意，如企业涉及处理未成年人个人信息，建议今年进行一次个人信息保护合规审计。

如果A公司认为今年开展个人信息保护合规审计的人力、时间和金钱成本过高，建议公司先开展合规事项梳理、部署整改措施等准备工作。待条件成熟后，尽快开展个人信息保护合规审计。

二、A公司如果始终不进行个人信息保护合规审计，有什么后果？

根据《个保审计办法》，未按照规定进行个人信息保护合规审计的企业，可能存在未来被监管部门认定为未履行个人信息保护义务、面临高至百万罚金的合规风险。[1]

此外，从商业上来看，企业的融资、重大交易及上市等场景中，交易相对方可能要求企业提供个人信息保护合规审计报告，作为合规证明材料的一部分。

三、如果A公司不主动开展个人信息保护合规审计，监管部门会要求开展吗？

有可能。如果监管部门发现以下情况，可以要求A公司委托专业机构进行个人信息保护合规审计，并报送个人信息保护合规审计报告：

• 发现个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险的；

• 个人信息处理活动可能侵害众多个人的权益的；

• 发生个人信息安全事件，导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的。

四、考虑到预算有限，A公司是否可以不委托专业机构，自行开展个人信息保护合规审计？

是的，如果A公司未接到监管部门的要求进行合规审计，那么可以由公司内部机构进行个人信息保护合规审计。

但需提示A公司注意，由于缺乏第三方机构对企业的个人信息处理活动进行查明和验证，自行开展的个人信息保护合规审计结果可能在独立性和公正性等方面受到挑战。

五、如果决定委托专业机构进行个人信息保护合规审计，A公司该如何进行机构选择？

目前尚无明文指定特殊的专业机构从事个保审计工作。建议A公司应选择具备相应能力、人员、场所、设施和资金等的专业机构进行个保审计，并在个保审计前，根据专业机构意见做好充分的合规整改准备。

六、A公司拟开展个人信息保护合规审计，该由谁牵头及负责？

由于A公司目前处理个人信息已超过100万人这一门槛，故应当指定个人信息保护负责人，负责企业的个人信息保护合规审计工作。个人信息保护负责人应当具有相关的工作经历和专业知识。[2][3]

结合实践经验，通常可以由法务合规人员、IT、信息安全部门具有一定管理级别的人员担任这一职位。

七、个人信息保护负责人该如何任命？

个人信息保护负责人并非新概念。《个人信息保护法》明确规定，处理个人信息达到国家网信部门规定数量的个人信息处理者，应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。

实践中，个人信息保护负责人可以通过公司内部出具盖章任命函、决议等形式进行任命。个人信息保护负责人的任职年限由公司自行确定，但由于个人信息保护是企业的长期合规工作，不建议将任职时间设置的过短。

A公司近期也应先寻觅合适的个人信息保护负责人人选，并对内部的个人信息保护管理机制做进一步梳理。

八、A公司想了解，个人信息保护合规审计的流程是怎样的？

根据全国网络安全标准化技术委员会于2024年7月12日发布的《数据安全技术个人信息保护合规审计要求（征求意见稿）》，个人信息保护合规审计通常包括以下主要阶段：

• 审计准备：建立审计组、开展审前调查、编制审计方案等；

• 审计实施：收集审计证据、撰写审计底稿、确认审计发现等；

• 审计报告：异议解决、撰写并交付审计报告等；

• 问题整改：对审计发现的问题进行整改、跟踪审计等；

• 归档管理：保存审计的档案资料等。

九、如果A公司未来业务发展，明年预计境内处理超过1000万人的个人信息，个人信息保护合规审计频率是否需要调整？

是的。根据《个保审计办法》处理超过1000万人个人信息的个人信息处理者，应当每两年至少开展一次个人信息保护合规审计。[4]

十、A公司想了解，个人信息保护合规审计是否有时效要求？

企业主动开展的个人信息保护合规审计没有明确的时效要求，但监管部门要求企业开展的个人信息保护合规审计，应在监管部门限定的时间内完成；情况复杂的，可以申请批准延长。

监管部门要求开展的个人信息保护合规审计，一般伴随着整改要求。企业应在整改完成后15个工作日内，向监管部门报送整改情况报告。

结语

目前，距离《个保审计办法》正式生效已不足三个月，企业应在当前过渡阶段，针对个人信息保护合规审计的开展制定方案，并做好审计准备工作。对于个人信息处理量介于100万和1000万人之间的企业，我们建议摸清自身合规水位，结合业务情况和个人信息处理情况，妥善开展个人信息保护合规审计的准备工作。

注：

[1] 参见《个人信息保护法》第66条。

[2]《个人信息保护合规审计管理办法》第12条。

[3]《个人信息保护合规审计管理办法》之附件《个人信息保护合规审计指引》第22点。

[4] 参见《个人信息保护合规审计管理办法》第4条。