《个保审计办法》实务问答

2025年2月14日，国家网信办正式发布《个人信息保护合规审计管理办法》（下称“《办法》”），自2025年5月1日起施行。在此之前，《个人信息保护法》《网络数据安全管理条例》亦明确规定，个人信息处理者应当定期开展个人信息保护合规审计。

相较于之前发布的征求意见稿，《办法》正式版坚持了包容审慎、法治规范、市场化管理等原则，适度降低了企业的合规成本。

就企业普遍关心的问题，汇业律师事务所黄春林律师团队简要回答如下，仅供参考。

Q：法师，听说CAC又给我们整新活儿了，公司要做个保合规审计了？

A：不是CAC整新活儿，个保法、网数条例早就有明确规定。

Q：那朋友圈疯传的《个人信息保护合规审计管理办法》是个什么鬼？

A：《办法》仅仅是个保法、网数条例的落地细则。

Q：法师，听说CAC给我们送“金饭碗”了，公司必须设置个保负责人？

A：个保法、网数条例早就有明确规定，这次明确处理100万+PI的公司都必须设立个保负责人。

Q：这个负责人有什么要求？

A：资质、职责、权限等可以参考《办法》附件及相关国标，具体也可以关注我们后续文章。

Q：法师，公司马上就要搞个保合规审计吗？

A：《办法》将于5月1日生效，可以等生效之后再搞。

Q：那怎么我前女友说她们公司早搞完了？

A：有的公司合规标准高，前几年就依据个保法搞了；个别公司是去年做个保合规审计国标的试点了。

Q：法师，听群里“懂王”说个保合规审计必需1个月/90个工作日内搞完？

A：之前试点单位有被要求1个月内交审计报告，《办法》没有规定一般合规审计的Deadline。

Q：什么是“二班”的？

A：官方强制个保合规审计的，要求在个案限定时间内完成，《办法》删除了征求意见稿90个工作日的时限要求。

Q：那什么情况下官方会强制要求公司开展个保合规审计？

A：根据个保法（1）发现个人信息处理活动存在严重风险的；（2）发生100万+PI或10万+SPI个人信息安全事件的，官方有权要求公司委托第三方专业机构开展强制审计，相当于“有病了”强制体检。

Q：强制审计的钱，谁出？

A：谁病谁吃药，谁吃药谁付钱。

Q：法师，没有风险或事件的公司，是不是就可以“接着奏乐接着舞”？

A：NONONO，除了官方的强制审计外，还有定期的非强制审计。

Q：都“定期”了，还叫“非强制”？

A：你要这样理解我也没办法。

Q：你就告诉公司多久非强制审计一次吧？

A：大公司（1000万+PI）每两年搞一次；小公司多久搞一次没说。

Q：个保法实施以来，缺的需要整改/补做吗？

A：参照出境规定，需要整改/补做的话，法条上会写明，但《办法》没写。

Q：法师，我们在中国有很多子公司、分公司，可不可以整个集团统一做个保合规审计？

A：有利有弊，但集团各公司之间必需有“统一性”的合理解释。

Q：有何弊端？

A：数据量统一计算，有可能影响审计频率；而且，对外出示审计报告时，各个业务线可能会互相影响。

（九）非强制个保合规审计必须外审吗？

Q：法师，非强制个保合规审计必须外审吗？

A：可以内审，也可以外审。

Q：有推荐目录吗？哪些机构可以做个保合规外审？

A：没有推荐目录。熟悉中国个人信息保护相关的法律法规，有资质解释、评估这些法律法规适用、执行情况，且有与服务相适应的审计人员、场所、设施和资金等的机构都可以，例如律师事务所。但连任审计不得超过三次，中断后不累计。

（部分汇业律师审计师证书）

（十）个保合规内审通常由哪个部门牵头？

Q：法师，我们公司没有外审预算，内审的话，通常由哪个部门牵头吗？

A：中大型公司（100万+PI）由个保负责人牵头；其他公司由DPO、安全、法务、审计等部门牵头。

Q：大家手头一堆事儿，都没资源啊？

A：哎，人间最痛苦的事莫过于：外审没预算，内审没资源。

（十一）那么多规章、规范、国标，都要纳入审计依据吗？

Q：法师，那么多规章、规范、国标等，都要纳入审计依据吗？

A：个保法明确规定，审计依据只有 “法律、行政法规”；当然，就想要个带否定意见的审计报告除外。

Q：可以直接参照《办法》附件的《审计指引》吗？

A：可以且应当。

（十二）审计时会看公司的系统，调公司的数据吗？

Q：法师，审计时会看公司的系统，调公司的数据吗？

A：根据《办法》征求意见稿及国标，审计方法包括调查系统、测试设备、调取数据等。

Q：那……那……