一、什么是个人信息保护合规审计？

《个保合规审计办法》第二条规定，个人信息保护合规审计，是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。同时，第十九条规定《个保合规审计办法》不适用于对国家机关和法律、法规授权的具有管理公共事务职能的组织（例如各级行政机关、司法机关、立法机关等行使国家权力的机构和公立学校、医院等事业单位、行业协会、社会组织、国有企业或特定机构承担提供公共服务、履行法律授权职能时（如行业监管、资格认证）或公共职能的组织）的个人信息保护合规审计。

上述定义明确了以下要点，为个人信息处理者开展合规审计活动划定了范围：

1. 审计主体：个人信息处理者，即《个人信息保护法》第七十三条定义的“在个人信息处理活动中自主决定处理目的、处理方式的组织、个人”。
2. 审计客体：个人信息处理者在中华人民共和国（下称“中国”）境内开展的个人信息处理活动，但并未明确要求一个被审计组织在单次个人信息保护合规审计上需要将其个人信息处理活动全面覆盖或仅针对特定业务模块的个人信息处理活动，也未明确将审计的范围限定在单个主体的个人信息处理活动内，故不排除存在一个集团内多个公司、母子公司或者涉及多个主体的个人信息处理活动可以统一进行个人信息保护合规审计的可能性。
3. 审计标准：个人信息处理活动的符合性情况，旨在评估企业的现状是否与法律、行政法规的要求“相符/达到”。

对比《征求意见稿》，《个保合规审计办法》第二条同时明确适用范围为中国境内。在全球化运营、数据互联互通与跨境流动频繁的背景下，企业在依照中国法律法规开展个人信息保护合规审计时，“对于境外数据处理活动”也需要关注域外部分国家法律法规的审计要求。例如，美国《格莱姆-里奇-布莱利法案》（Gramm-Leach-Bliley Act, GLBA）要求银行、保险公司和证券公司等金融机构定期审计其对客户的个人财务信息在存储、处理和传输方面采取的安全保护措施，确保其符合安全规定。欧盟《通用数据保护条例》（General Data Protection Regulation, GDPR）第二十八条以及EDPB发布的《关于GDPR项下控制者和处理者概念的指南》（Guidelines 07/2020 on the concepts of controller and processor in the GDPR）的规定，数据控制者有义务在处理活动开始之前以及在处理过程中通过开展审计和检查的方式确保数据处理者符合GDPR的要求。在亚洲，印度《2023年数字个人数据保护法》（Digital Personal Data Protection Act, 2023）则针对重要数据规定了审计要求，规定重要数据受托人必须任命一名数据保护官（DPO）和审计员（auditor），定期进行审计和数据保护影响评估。只是企业在境外开展业务运营活动需要承担的合规审计义务的依据、范围、标准、措施按照不同法域的规定执行，不受《个保合规审计办法》管辖。

二、个人信息处理者在什么情形下需要开展个人信息保护合规审计？

《个人信息保护法》第五十四条规定，个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。第六十四条规定，履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。

《网络数据安全管理条例》第二十七条规定，网络数据处理者应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计。

上述法律法规明确规定了个人信息处理者/网络数据处理者应当开展个人信息保护合规审计的两种情形：

（1）个人信息处理者自行进行合规审计；（2）履行个人信息保护职责的部门要求个人信息处理者进行合规审计。两种情形中，根据是否存在法定的审计要求，可以分为（1）自愿审计与（2）强制审计。根据实际开展合规审计活动的主体不同，又可以进一步分为（1）内部审计，即内部机构自行进行的审计；（2）外部审计，即个人信息处理者委托专业机构进行的审计。

根据《个人信息保护法》和《网络数据安全管理条例》的强制性规定，不论是自行进行合规审计还是依监管部门要求进行合规审计，定期对个人信息保护合规落实情况进行审查、评价和监督，是所有在中国境内的个人信息处理者需要履行的法定义务。在此基础上，《个保合规审计办法》延续了政府监管和行业自律并重的治理思路，并对两种情形的具体标准进行了细化：

情形一：自行开展合规审计

《个保合规审计办法》从以下三个方面明确了自行开展个人信息合规审计的法定情形。对比《征求意见稿》，《个保合规审计办法》既提高了强制审计的适用对象门槛，同时也针对个人信息处理者履行个人信息保护合规审计义务进行一定程度的“松绑”，未符合国家强制性要求进行审计范围的，可制定自愿审计的标准与频率，兼顾考虑了企业的合规负担：

（1）强制审计门槛：将依法应当自行开展个人信息保护合规审计的标准由处理超过“100万人”调高为“1000万人”，这一标准与《网络数据安全保护条例》第二十八条“网络数据处理者处理1000万人以上个人信息的，还应当遵守对处理重要数据的网络数据处理者作出的规定”相衔接，进一步明确了处理1000万人以上个人信息处理者的合规义务之一，即需要履行个人信息保护合规审计；

（2）强制审计频次：将依法应当自行开展个人信息保护合规审计的频次由“每年至少开展一次”调低为“每两年至少开展一次”，从降低后的频次看，也是符合检视企业内部业务发展的速度和效率与企业承担合规工作所负担的压力和成本相平衡的思路；

（3）自愿审计标准：删去了《征求意见稿》中要求处理个人信息数量未达100万人的其他个人信息处理者“每两年至少开展一次”合规审计的要求。因此，《个保合规审计办法》最终只剩下一类需要履行强制审计但可由企业自行开展审计的要求，即第（1）点所述的个人信息处理者处理超过1000万人个人信息的情形。如果未达到处理超过1000万人个人信息的个人信息处理者，均可进行自愿审计，即可根据处理情况自行决定是否开展合规审计、合理确定审计频次。

值得注意的是，上述“松绑”并不完全意味着免除处理1000万人及以下个人信息处理者的合规审计义务，在特定场景下，如果其他法律或者行政法规有特定审计规定，则相关个人信息处理者也应当完成比《个保合规审计办法》要求更高的个人信息保护审计工作。例如：

对于处理未成年个人信息的场景，《未成年人网络保护条例》第三十七条规定，个人信息处理者应当自行或者委托专业机构每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计，并将审计情况及时报告网信等部门。中国互联网协会也就《未成年人个人信息合规审计标准（征求意见稿）》征求意见，为相关审计工作提供了更为明确的参考，建议持续关注具体的落地情况。《未成年人网络保护条例》基于未成年人易受侵害的特性、敏感个人信息更高的安全保护要求等考量，规定了更高的合规审计义务，要求对未成年人个人信息处理活动每年开展合规审计。鉴于《未成年人网络保护条例》属于行政法规，效力较《个保合规审计办法》更高，倘若企业的个人信息处理活动涉及未成年人个人信息，则需要根据上述要求每年对处理未成年人个人信息的情况进行合规审计。

情形二：依监管部门要求进行合规审计

《征求意见稿》中规定的“发现个人信息处理活动存在较大风险或者发生个人信息安全事件的”的适用场景较为宽泛，《个保合规审计办法》明确了三类监管部门有权要求个人信息处理者依法开展合规审计的情形，并进一步细化了判断标准。这是除了情形一中提到的需要被强制审计的情形外，还有一类被强制审计且需要由外部专业机构进行合规审计的事项：

• 将“个人信息处理活动存在较大风险”细化为①“发现个人信息处理活动存在严重影响个人权益”；或者②“发现个人信息处理活动存在严重缺乏安全措施等较大风险”；或者③“个人信息处理活动可能侵害众多个人的权益”三类情形。

• 将“发生个人信息安全事件”的标准明确为“导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损”。

此类触发监管部门要求开展合规审计的情形，实质上并未超出《个人信息保护法》《网络数据安全管理条例》等个人信息保护法律法规所规定的合规义务，如果企业在日常运营的过程中已搭建较为完善的合规体系、及时开展个人信息保护影响评估（下称“PIA”）等工作，则往往能够及时发现和排除风险，完成整改处置工作，以免外部审计报告需要报送监管时还存在不合规的结论。

同时，《个保合规审计办法》也从平衡效率、避免冗余的落脚点出发，规定“对同一个人信息安全事件或者风险，不得重复要求个人信息处理者委托专业机构开展个人信息保护合规审计。”通过明确禁止对同一风险事件的重复审计要求，直接回应了企业在合规实践中面临的“重复证明”痛点，有利于降低企业尤其是中小微主体的合规成本，但也对企业的合规体系建设提出更高要求，企业需要建立动态化、前瞻性的个人信息保护机制，确保单次审计即可充分证明合规水平。同时，引导监管部门则需加强跨域协作，构建统一的风险评估标准体系，真正实现“一次审计、全域通行”的监管效果，建立“一次审计、全面采信”的工作机制，将监管重心从程序合规转向实质风险防控。

对比《征求意见稿》，《个保合规审计办法》还针对以下具体流程和细节进行了修订：

（1）将完成个人信息保护合规审计的时限从“90个工作日内”改为“在限定时间内”，为不同场景下的合规审计预留了更为灵活的时间安排。同时，也为个人信息处理者与专业机构进行沟通，协商确定完成个人信息保护合规审计工作、进行整改并出具最终报告留出时间和空间；

（2）将报送个人信息保护合规审计报告至相关部门的用语由“及时”修改为“应当”（依然未对报告时间提出要求）。由于《个保合规审计办法》第九条修改成“限定时间”，因此第十条顺应第九条的修改思路，无法就“及时”为多长给出具体指引，但个人信息处理者在完成个人信息合规审计后仍负有向个人信息保护职责的部门报送审计报告的义务。同时，《个保合规审计办法》还针对审计情况复杂的情形，留下了在报监管部门批准后，可适当延期的口子，也给予了可协调的处理方式；

（3）针对在合规审计中发现问题、需要进行整改的，《个保合规审计办法》新增了整改完成后“15个工作日内”报送整改情况报告的规定。一方面敦促个人信息处理者通过及时整改，及时处置和消除风险，另一方面也要求个人信息处理者整改后及时披露信息、推进信息的高效流通。

三、企业内部机构开展还是委托专业机构开展个人信息保护合规审计？

根据《个保合规审计办法》第三条、第五条、第六条和第八条，个人信息处理者开展个人信息保护合规审计的实施机构根据合规审计情形的不同存在一定的差异：

1. 企业自行开展合规审计（即内部审计）。除非国家网信部门和其他履行个人信息保护职责的部门要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计，个人信息处理者均可以自行开展合规审计。《个保合规审计办法》尚未对开展合规审计的内部机构的组成进行更为细致的要求，可以参考《审计要求》相关规定“组织内未设置专职个人信息保护合规审计团队的，应在保持独立原则的前提下，分别从内审团队、安全团队、法务团队等具有审计或个人信息保护相关专业能力的团队中选派人员，来自各团队的人员比例应保持在合理范围内，并由审计组长审批人员名单”，这强调了内部审计机构的独立性。待正式版本的《审计要求》出台后，企业可以参照《审计要求》的指引，合理组建实际开展合规审计工作的“内部机构”。
2. 委托外部机构开展合规审计（即外部审计）。具体而言，可以分为以下两种情形：

情形一：国家网信部门和其他履行个人信息保护职责的部门要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计的，此时只能委托外部专业机构开展合规审计。被审计的个人信息处理者应当为专业机构正常开展个人信息保护合规审计工作提供必要的支持，包括提供相关制度与文件、业务记录与日志、数据映射与溯源，开放必要的系统权限、提供相应的人员、场所与设备支持，推动审计结果的落地与整改协同，并承担相应的审计费用。在专业机构完成审计后，个人信息处理者应当将专业机构出具的、由专业机构主要负责人、合规审计负责人签字并加盖专业机构公章的审计报告报送监管部门。

情形二：企业自行开展合规审计过程中，委托第三方专业机构作为内部审计工作的支撑，独立或者参与到企业的个人信息保护合规审计团队，对个人信息处理者的个人信息处理活动进行审计，此时不论该个人信息处理者是否已经符合了处理超过1000万个人信息的情况。此类情况下，虽然有第三方专业机构的辅助，但仍然是企业自行开展合规审计的一部分，委任第三方专业机构的目的往往由于个人信息处理者针对审计依据和审计要点还未具备专业人员进行操作，也不具备专业技术工作进行支持；同时，委任专业机构更加依赖其独立性与客观性，能够避免企业内部审计可能存在的利益冲突或主观倾向，确保审计结论的公正性。专业机构能够通过标准化流程和全面检查，发现企业可能忽视的合规盲点，能够帮助企业一次性解决合规问题，减少因反复整改产生的额外支出。并且，对于监管部门与客户、合作伙伴及公众而言，通常也更倾向于采信由专业机构出具的审计报告，有助于提升企业声誉和市场竞争力。

根据国际内部审计师协会（IIA）的内部审计实务框架（IPPF），内部审计是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标。根据中国内部审计协会的《第1101号——内部审计基本准则（2023年修订）》，内部审计是一种独立、客观的确认和咨询活动，它通过运用系统、规范的方法，审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性，以促进组织完善治理、增加价值和实现目标。

外部审计，一般认为是指由审计机关派出的审计人员或社会审计机构对被审计单位的经济业务活动的合理性、合法性、准确性、真实性和效益性所进行的审查，并对审查结果作出客观公正的评价，包括独立于政府机关和企事业单位以外的国家审计机构所进行的审计，以及独立执行业务会计师事务所接受委托进行的审计。根据《中华人民共和国审计法实施条例》，审计（外部审计）是指审计机关依法独立检查被审计单位的会计凭证、会计账簿、财务会计报告以及其他与财政收支、财务收支有关的资料和资产，监督财政收支、财务收支真实、合法和效益的行为。

内部审计与外部审计均基于类似的基本审计技术与审计原理开展，但在独立性、审计目标、审计方法、审计标准以及专业胜任能力等方面存在一定区别，但值得一提的是，企业还可以综合运用内部与外部审计结合的方式，以实现合规审计目标。协调内部审计与外部审计的目的包括：①保证充分、适当的审计范围；②减少重复审计，提高审计效率；③共享审计成果，降低审计成本；④持续改进内部审计机构工作。

此外，在《征求意见稿》的基础上，《个保合规审计办法》第十二条第一款规定，处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人（对比《个人信息保护法》第五十二条，提供了明确清晰的判断标准），负责个人信息保护合规审计工作。同时，《个保合规审计办法》第十二条第二款与《个人信息保护法》第五十八条、《网络数据安全保护条例》第四十四条的规定相呼应，对于“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”，提出了成立主要由外部成员组成的独立机构进行监督的要求，但具体的实施细则仍有待进一步明确。

四、个人信息处理者如何选择专业机构？

《征求意见稿》规定，由国家网信部门会同有关部门建立“个人信息保护合规审计专业机构推荐目录”，并鼓励个人信息处理者优先选择推荐目录中的专业机构开展个人信息保护合规审计活动。《个保合规审计办法》则完全舍弃了这一思路，转向从专业水平、业务独立性两个方面确立专业机构准入的标准：

1. 专业水平：要求专业机构应当具备开展个人信息保护合规审计的能力，有与服务相适应的审计人员、场所、设施和资金等，例如审计师事务所、律师事务所等。并且，根据《个保合规审计办法》新增的“鼓励相关专业机构通过认证”的规定，我们理解，后续将逐步存在获得国务院认证认可监督管理部门依照《中华人民共和国认证认可条例》颁发的认证机构资质的专业机构。
2. 业务独立性：同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。该条款的终极目标并非简单限制合作频次，而是通过引入竞争机制和外部监督压力，打破企业与审计机构之间可能形成的“合规共谋”，将合规审计从“证明无过错”的工具，转化为真正驱动企业完善治理的引擎。其本质是对《个人信息保护法》“穿透式监管”理念的延伸——不仅关注企业表面的合规动作，更要求通过动态、多元的监督手段，确保个人信息保护内化为企业的核心运营逻辑。

《个保合规审计办法》目前对采取何种审计方式、是否选择专业机构，以及选择哪家专业机构没有强制性要求，企业可以参考以上原则性规定根据具体情况自主选择。特别是《个保合规审计办法》取消了《征求意见稿》第十三条规定的个人信息保护合规审计专业机构推荐目录，以及通过对上述内容的修改，体现了监管思路从“行政推荐”向“市场选择”的范式转变，在强化企业自主决策权的同时压实主体责任。企业在选择专业机构开展个人信息保护合规审计时，需要结合以上要求对专业机构进行全方位的考察，以保证合规审计的独立性、专业性，落实合规审计要求。

此外，《个保合规审计办法》不但要求专业机构在审计过程中必须严格遵循《个人信息保护法》《数据安全法》等相关法律法规，确保审计活动本身合法合规，还要求专业机构秉持职业操守，不得因利益关系或外部压力而歪曲审计结论，确保审计结果的真实性和可靠性。强调审计判断应基于事实和证据，避免主观偏见或利益冲突，确保审计结论的独立性和权威性。除此以外，还对于专业机构提出了两点主要义务：

1. 不得转委托其他机构开展个人信息保护合规审计；
2. 保密和及时删除义务，除了对其在履行个人信息保护合规审计职责中获得的个人信息、商业秘密、保密商务信息等进行保密外，《个保合规审计办法》明确规定不得将审计过程中获取的信息用于与审计无关的目的，不得泄露或非法向他人提供，甚至还要求专业机构在合规审计工作结束后及时删除相关信息的义务，最后一点是对《征求意见稿》的补充规定。这也体现了审计过程中，无论针对审计底稿还是被审计单位提供的任何文件、材料、数据，专业机构均需要保证其安全、保密与不被另作他用，以防泄露和数据留存给被审计单位带来潜在的风险；同时也需要确保审计过程中接触的个人信息不被滥用或泄露，与《个人信息保护法》的立法宗旨相契合。

五、个人信息保护合规审计的要点有哪些？

《个保合规审计办法》将《个人信息保护合规审计指引》（下称“《审计指引》”）作为附件，并规定个人信息处理者自行开展或者按照保护部门要求委托专业机构开展个人信息保护合规审计的，均应当参照《审计指引》。

附件《审计指引》替代了《征求意见稿》中的附件《个人信息保护合规审计参考要点》，对个人信息保护相关法律、行政法规的关键要点作了梳理，列举了包括“个人信息处理活动的合法性基础”“个人信息处理规则”“共同处理个人信息”等二十六项重点审查事项。企业开展个人信息保护合规审计，应当参照该指引列举的重点审查事项进行审计。但《个保合规审计办法》和《审计指引》暂未明确规定具体审计流程、审计方法、审计证据、审计底稿、审计报告等具体要求，仍有待国标《审计要求》等配套落地文件的正式出台。

参照一般的审计流程，个人信息保护合规审计流程通常可包括审计准备、审计实施、审计质量控制、审计结论形成、问题整改、归档管理等几个阶段，其中审计质量控制贯穿于审计流程中的各个环节。

我们结合上述《审计指引》的重点审查事项以及相关法律法规和《审计要求》附录C，梳理个人信息保护合规审计的框架与要点如下：

1. 处理个人信息合法性基础相关合规审计要点

对于合法性基础相关的审计，《审计指引》列举需重点核查的五项核心要素：

第一，着重确认处理活动符合《个人信息保护法》第十三条的法定合法性基础情形，包括是否依法取得同意（含单独同意）、履行合同必需、履行法定职责等七类情形；

第二，对个人信息处理规则的内容以及履行告知个人信息处理规则义务进行审查，着重于验证透明度义务履行情况，包括隐私政策、告知完整性和撤回同意机制有效性，也强调核查个人信息处理是否与处理目的直接相关，采取对个人权益影响最小的方式；

第三，基于个人同意公开个人信息的，着重核查是否依法取得个人单独同意，并且是否依法开展PIA；

第四，在公共场所安装图像收集、个人身份识别设备的，着重审查安装目的是否为维护公共安全所必需，是否同步设置显著提示标识，用于维护公共安全以外用途的，是否取得个人单独同意；

第五，对于处理已公开的个人信息，需要关注是否存在违法违规行为。值得注意的是，相较于《个人信息保护合规审计参考要点》，《审计指引》进行了一定修改，例如，对于向已公开个人信息中的电子邮箱、手机号等发送信息的行为，将发送的信息限缩至“商业信息”，意味着并非所有与公开目的无关的信息发送行为都被视为违规；在利用已公开个人信息从事的不当活动中，除了网络暴力外，还明确增加了“传播网络谣言和虚假信息”，使审查范围更广泛、更全面地涵盖了利用已公开个人信息可能实施的多种有害行为；新增审查是否存在“收集、留存或处理已公开个人信息的规模、时间或使用目的超出合理范围”的违规行为。

结合相关法律法规和《审计要求》附录C，在对合法性基础相关合规情况进行审计时，企业还可以具体核查包括但不限于以下内容：评估数据处理范围的必要性，遵循最小必要原则对数据类型和处理频率进行量化审查；查验公共场所信息采集设备是否已建立数据访问权限控制体系；处理已公开信息需核查是否超出公开用途且未对个人权益产生重大影响等。

2. 第三方管理合规审计要点

对于第三方管理的审计，《审计指引》列举需重点核查的四项核心要素：

第一，委托处理场景需审查数据处理协议的完备性，是否采取定期检查等方式，对受托人的个人信息处理活动进行监督，是否事前完成PIA，并对处理情况进行记录。

第二，数据共享场景需核查是否取得单独同意并妥善告知，是否事前完成PIA，并对处理情况进行记录。

第三，因合并、重组、分立、解散、被宣告破产等原因需要转移个人信息的情形，应重点审查个人信息处理者是否向个人告知接收方的名称或者姓名和联系方式。

第四，共同处理情形需审计多方责任划分文件，及跨主体的协同响应机制，包括：个人权益保护机制，以确保任一处理者收到个人信息主体请求时，能联动完成《个人信息保护法》第四十四条至第五十条规定的查阅、复制、更正、删除等个人信息主体权利的响应；个人信息安全报告机制，以保证任一处理者在法定时限内上报网信部门或者其他主管部门。

结合相关法律法规和《审计要求》附录C，在对第三方管理进行合规审计时，企业还可以具体核查包括但不限于以下内容：验证重组时数据转移接收方安全能力评估记录；是否建立信息公开分级审批制度和风险评估档案；共同处理多方责任划分文件及联合控制机制是否存在有效性。

3. 自动化决策合规审计要点

对于自动化决策的审计，《审计指引》列举需重点核查的五项核心要素：

第一，告知是否清晰、全面，是否披露以下内容：所有已开展的自动化决策；涉及处理的所有个人信息种类、处理的目的、方式；自动化决策处理个人信息可能对个人信息主体带来的影响等。

第二，自动化决策是否保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

第三，是否对个人信息处理规则进行解释说明，是否同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。

第四，是否事前完成PIA，并对处理情况进行记录。

第五，是否在隐私政策中对算法进行妥善说明。

值得注意的是，针对自动化决策的审计要点，《审计指引》删除对算法模型的安全评估及备案、科技伦理审查、算法和参数模型保护等多个技术方面进行重点评价的要求；侧重于对自动化决策的关键环节进行审查的原则性规定。

结合相关法律法规和《审计要求》附录C，在对自动化决策场景进行合规审计时，企业还可以具体核查包括但不限于以下内容：算法决策逻辑说明文档、定期算法审计报告等核心材料；需验证决策机制是否嵌入人工复核通道，检查用户画像标签管理体系是否建立去歧视性审查机制；关注个性化推荐系统是否提供关闭选项等。

4. 敏感个人信息（含未成年人个人信息）合规审计要点

对于敏感个人信息的审计，《审计指引》列举需重点核查的四项核心要素：

第一，是否告知并取得个人的单独同意。

第二，是否进行处理敏感个人信息的合法性、正当性、必要性评估。

第三，是否事前完成PIA，并对处理情况进行记录。

第四，处理未成年人个人信息的，是否获得父母/监护人同意、核验真实身份、完善个人信息安全事件应急响应处置机制。

值得注意的是，针对敏感个人信息的审计要点，《审计指引》新增基于法律规定无需向个人（含未成年人及其监护人）告知处理敏感个人信息的必要性以及对个人权益的影响的例外规定，以平衡敏感个人信息保护与其他重要公共利益或法律目标。

结合相关法律法规和《审计要求》附录C，在对处理敏感个人信息进行合规审计时，企业还可以具体核查包括但不限于以下内容：单独同意和处理敏感个人信息的记录、敏感个人信息的加密存储方案等技术保护措施等；处理未成年人信息的，需核验年龄验证日志、监护人同意双重确认机制等。

5. 数据出境合规审计要点

对于数据出境的审计，《审计指引》的规定与《促进和规范数据跨境流动规定》的规定进行了衔接，对数据出境合规机制的相关内容进行了更新，着重于要求重点核查关键信息基础设施运营者（下称“CIIO”）以及CIIO以外的数据处理者是否采取适当的向境外提供个人信息的合规机制。

结合相关法律法规和《审计要求》附录C，在对数据出境场景进行合规审计时，企业可以建立数据出境场景识别矩阵，具体核查包括但不限于以下内容：对照《促进和规范数据跨境流动规定》《个人信息出境标准合同办法》等法律法规重点审计跨境传输合规机制、核查相关法律文件（例如，PIA报告、个人信息出境标准合同）完备性；对于CIIO、重要数据/核心数据持有者、处理个人信息达到一定数量的处理者，需额外核查经过国家网信部门组织的安全评估的证明；并且，不论何种主体，均需要关注是否满足告知个人并取得其单独同意，以及适时对境外接收方的监督审计等一般出境合规要求。

6. 个人信息权利保障合规审计要点

对于个人信息权力保障合规，《审计指引》列举需重点核查的两项核心要素：

第一，对于保障个人信息删除权，关注是否达到《个人信息保护法》第四十七条规定的个人信息处理者应当主动删除个人信息的五种情形；应当删除个人信息，但法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者是否停止除存储和采取必要的安全措施之外的处理。

第二，对于是否响应个人申请，对其个人信息处理规则进行解释说明，关注是否提供便捷的方式和途径，接受、处理个人关于个人信息处理规则解释说明的要求；接到个人的要求后，是否在合理的时间内，使用通俗易懂的语言对其个人信息处理规则作出解释说明。

结合相关法律法规和《审计要求》附录C，在对个人信息权利保障情况进行合规审计时，企业可以还具体核查包括但不限于以下内容：权利响应全流程跟踪系统和请求受理渠道的可用性、响应时效记录；验证删除权的技术实现方案是否包含实现物理删除或者匿名化；审计可抽样测试权利响应效率，验证自动化处理系统的容错机制等。

7. 主体责任落实合规审计要点

对于主体责任落实合规，《审计指引》列举需重点核查的七项核心要素：

第一，是否依照法律、行政法规的规定制定内部管理制度和操作规程，明确组织架构、岗位职责，建立工作流程、完善内控制度，保障个人信息处理合规与安全。

第二，是否采取与所处理个人信息规模、类型相适应且有效的安全技术措施。

第三，是否依法制定和实施教育培训计划。

第四，是否指定个人信息保护负责人，且该负责人已经依法履职。

第五，是否依法开展个人信息保护影响评估。

第六，是否制定全面、有效、可执行的个人信息安全事件应急预案。

第七，是否依法进行个人信息安全事件应急响应处置。

结合相关法律法规和《审计要求》附录C，在对主体责任落实情况进行合规审计时，企业还可以具体核查包括但不限于以下内容：组织架构文件中是否明确个人信息保护负责人/机构的职权范围；核查安全培训计划执行记录、是否建立内部管理制度和操作规程；进行安全技术测试，检验备份、密码策略、加密技术等措施的有效性；验证应急演练记录是否包含跨部门协作测试，检查事件报告流程是否符合法定时限要求等。

8. 互联网平台的特殊合规审计要点

对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者的特殊合规义务合规，《审计指引》列举需重点核查的两项核心要素：

第一，是否依法制定平台规则，包含是否制定有效的个人信息保护条款，是否通过抽样等方式验证平台规则被有效执行。

第二，是否依法发布个人信息保护社会责任报告，披露个人信息保护组织架构和内部管理情况；个人信息保护能力建设情况；个人信息保护措施和成效；个人行使权利的申请受理情况；独立监督机构履职情况；重大个人信息安全事件处理情况；促进个人信息保护社会共治的科普宣传、公益活动情况等。值得注意的是，《审计指引》的这个要求，呼应并延展了《网络数据安全管理条例》第四十四条中对于“大型网络平台服务提供者”每年度发布个人信息保护社会责任报告内容的要求（即个人信息保护措施和成效、个人行使权利的申请受理情况、主要由外部成员组成的个人信息保护监督机构履行职责情况等）。

可以看到，不论是《审计指引》还是《个人信息保护法》《网络数据安全管理条例》等相关法律法规，均对“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”这类“守门人”课以更重的合规义务，结合相关法律法规和《审计要求》附录C，相关平台运营主体除了重点核查以上两点以外，还需要关注监督平台内产品或者服务提供者的个人信息处理活动相关机制的有效性等合规要求。

除以上审计核心要素以外，我们提示，法律法规对于特殊行业提出了不同的合规要求，审计时也建议重点关注。以人工智能行业为例，合规审计时还需要从重点从数据来源合法合规性、数据质量与内容、算法备案与安全评估等维度开展审计，包括排查版权证明文件、数据采集日志、核查内容过滤机制测试报告、深度合成标识技术实施方案等。

六、个人信息保护合规审计与认证、评估有什么关系？

对于重要数据风险评估、重要数据出境安全评估，《网络数据安全管理条例》第五十二条规定，有关主管部门在开展网络数据安全监督检查时，应当加强协同配合、信息沟通，合理确定检查频次和检查方式，避免不必要的检查和交叉重复检查。个人信息保护合规审计、重要数据风险评估、重要数据出境安全评估等应当加强衔接，避免重复评估、审计。重要数据风险评估和网络安全等级测评的内容重合的，相关结果可以互相采信。

而PIA与风险监控同属风险管理工具，但后者强调持续性。二者均通过预判风险发生概率及影响程度，指导企业建立动态防护体系。评估结果可帮助企业进行风险分级（高/中/低），针对超出法定要求的潜在风险制定精准防控策略。企业需根据自身业务特性和风险图谱，将这两项工作纳入常态化管理机制。

个人信息保护相关认证系通过外部机构验证企业个人信息保护体系的完整性与合规性，具有双重价值：既是合规水平的权威背书，又是合规建设的推进器。认证过程可帮助企业搭建系统化的合规管理框架，其形成的证据链（如关键环节记录）可直接转化为审计要件。需注意，认证属于企业自愿行为，与强制性的合规审计存在本质区别。

个人信息保护合规审计则聚焦“现状与法规的符合性验证”，具有三大特征：

（1）范围弹性：可全面覆盖或针对特定业务模块；

（2）方法创新：允许抽样审计与自查整改结合，兼顾效率与成本；

（3）依据刚性：审计结论必须严格限定于法律规范/标准文件/内部制度等既定依据。

审计执行需特别关注两大要素：审计机构的独立性（须避免利益关联）与证据有效性（需确保证据链的完整性和可追溯性）。这种外部监督机制与企业的内部风险评估形成互补，共同构建完整的合规生态。

评估、认证与审计作为确保组织合规性、安全性和能力展示的关键工具，扮演着至关重要的角色。从功能性角度来看，我国现行法律法规、标准文件并没有对这三类工具进行严格区分，但三者各自承担着不可或缺的职责（如下图1）。目前，三者之间的互信互认机制，还有待通过监管部门正式文件予以明确。

图1

七、未依法开展个人信息保护合规审计有何法律风险？

对比《征求意见稿》，《个保合规审计办法》进一步明确个人信息保护合规审计的责任主体（即个人信息处理者与专业机构），并及时衔接了《网络数据安全管理条例》等新规，明确规定，不论个人信息处理者还是专业机构违反《个保合规审计办法》，均依照《个人信息保护法》《网络数据安全管理条例》等法律法规的规定处理；构成犯罪的，依法追究刑事责任。这意味着在开展个人信息保护合规审计工作时，不仅要考虑个人信息保护方面的法律，还需结合网络数据安全相关法规。

根据《个人信息保护法》第六十六条、《网络数据安全管理条例》第五十八条，未依法开展个人信息保护合规审计，个人信息处理者和专业机构均可能面临责令改正，没收违法所得，最高五千万元以下或者上一年度营业额百分之五以下罚款，责令暂停相关业务或者停业整顿，通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人等处罚。侵害众多个人的权益的，还可能面临个人、消费者组织和由国家网信部门确定的组织提起的诉讼。

根据《个保合规审计办法》第十六条，无论个人信息处理者自愿开展个人信息保护合规审计，还是根据强制要求自行或者委托专业机构开展个人信息保护合规审计工作，个人信息保护部门，即网信部门或其他具有个人信息保护职能的监管机关均有权对个人信息处理者开展个个人信息保护合规审计情况进行监督检查。除此以外，《个保合规审计办法》与《个人信息保护法》第六十五条相呼应，新增组织、个人对个人信息保护合规审计中的违法活动向保护部门进行投诉、举报的权利，这意味着：（1）投诉、举报权利赋予公众和组织更多监督权，有助于监管部门快速介入，依法追究违法者责任，及时发现和纠正违法行为，确保法律有效执行；（2）增加了违法行为的曝光风险，促使企业更加重视合规，减少违法操作；（3）同时提示企业在个人信息保护合规审计中应当更加谨慎，避免违法行为，推动整体合规水平提升。

八、开展个人信息保护合规审计的作用和意义？

（一）加强权利保障

个人信息保护合规审计通过全流程监控机制，有效防范个人信息处理活动中侵害个人信息主体权益的风险。根据《个人信息保护法》确立的“处理必要+最小影响”原则，审计重点覆盖个人信息处理全生命周期，包括收集合法性、告知义务履行度、使用目的限制性、主体行权通道、自动化决策合规性等的各个核心环节。通过验证信息处理者是否落实目的限定、最小够用、安全防护等法定要求，系统性降低信息泄露、滥用等损害风险，实现用户知情权、决定权等基础权益的实体保障。

（二）提升企业治理

审计程序具有双重治理功能：其一，通过识别制度漏洞与技术缺陷，推动企业构建个人信息保护合规审计闭环管理体系，具体表现为完善内控制度、明晰岗位权责、优化操作流程；其二，基于风险量化评估结果，为企业战略决策提供合规基准参照，平衡数据开发利用与合规成本管控。该机制不仅能降低行政处罚及民事索赔风险，更通过合规能力可视化建设，显著提升企业商誉价值与市场竞争力。

（三）促进法治与数字经济

作为法治实施的关键配套机制，个人信息保护合规审计通过三层次作用推动数字治理现代化：在微观层面，其助力企业构建自律规范体系，夯实数据治理基础；在中观层面，推动形成行业治理范式，建立标准化治理框架；在宏观层面，有效促进监管效能提升，完善国家治理能力。通过系统化评估工具的应用，该机制不仅确保了《个人信息保护法》《中华人民共和国数据安全法》《中华人民共和国网络安全法》《网络数据安全管理条例》等法律法规的有效落地，更推动建立数据要素市场化配置的信任机制，为数字经济可持续发展构建“安全-流通-创新”的正向循环生态。