何淵:靴子落地!企業應當如何開展個人資訊保護合規審計?

整理:何淵,DPOHUB主理人  
近日,國家網際網路資訊辦公室公佈《個人資訊保護合規審計管理辦法》(附全文及答記者問,請點選閱讀,自2025年5月1日起施行。那麼,靴子落地後,企業又應當開展個人資訊保護合規審計呢?本詳細梳理企業在落實法律法規要求、構建內控體系、組織自查與外部審計、整改落實以及持續改進等方面的具體路徑與操作辦法。全文共分為以下幾個部分,總字數約一萬字,旨在幫助企業精準對標檔案要求,確保資料處理活動合法、合規、安全。
一、背景與檔案精神
1.1 現狀與必要性
隨著數字經濟和資訊化快速發展,企業在市場競爭中廣泛採集、儲存、處理和傳輸個人資訊,其規模、種類和用途日益多樣化。然而,伴隨而來的資料洩露、濫用、非法交易等風險頻發,嚴重影響個人權益和企業聲譽。正如檔案中指出:“當前,個人資訊被企業、機構甚甚至個人廣泛收集使用,個人資訊保護和個人資訊利用的矛盾日益突出”。
因此,落實《中華人民共和國個人資訊保護法》及《網路資料安全管理條例》的要求,透過定期合規審計來發現風險、強化內部管理、及時整改,是企業必不可少的風險防控舉措。
1.2 檔案精神與監管要求
《辦法》明確規定了企業開展個人資訊保護合規審計的基本要求、適用範圍和操作規則。其中既包括企業自主開展合規審計的情形,也規定了在監管部門發現風險或發生安全事件時,可要求企業委託專業機構進行審計的情形(第五條)。檔案還對專業審計機構的資質、保密義務及連續審計限制等做出明確要求,旨在保證審計工作既具備專業性又保持獨立、公正。因此,企業在開展合規審計時,不僅要自查各環節是否符合法律規定,還必須在組織架構、技術措施、合同管理、外包控制等方面與檔案要求對標,從而構建起全流程、全環節、閉環式的風險管控體系。
二、企業開展合規審計的基本模式
2.1 自查模式

根據檔案第三條規定,企業可由內部機構或委託專業機構定期開展自查,審查其個人資訊處理活動是否遵守法律法規。自查模式主要適用於企業日常運營中的內部風險評估,其核心要點包括:


  ① 是否按照法律規定取得個人同意;


  ② 是否真實、準確、完整地告知資訊處理規則;


  ③ 內部管理制度和技術安全措施是否到位;


  ④ 資料儲存期限、用途及銷燬措施是否符合規定。


自查模式要求企業從內部組織架構、流程規範、技術防護等多個角度進行全面排查,形成自查報告,為後續整改提供依據。

2.2 委託外部專業機構審計
當企業處理的資料量巨大(如超過1000萬人個人資訊需每兩年開展一次審計,第四條),或當監管部門發現企業存在較大風險、可能侵害眾多個體權益,或發生資訊安全事件時(第五條),企業需按照監管部門要求委託具備資質的專業機構開展合規審計。
此模式下,專業機構須依據檔案規定開展審計工作,並出具具有法律效力的審計報告,幫助企業查詢管理漏洞並提出整改建議。企業則需要按照報告要求,限期完成整改並向監管部門報送整改情況。
三、企業內部組織架構與職責落實
3.1 成立領導小組

為全面推進個人資訊保護合規審計工作,企業應成立以高層領導為核心的專項工作領導小組,統籌安排內部各部門的協同工作。領導小組的主要職責包括:


  ① 制定內部合規審計方案和年度工作計劃;


  ② 明確各部門在資訊採集、處理、儲存、傳輸過程中的具體職責;


  ③ 組織開展定期自查和專項審計工作;


  ④ 彙總審計發現的問題,協調各部門制定整改措施。檔案中強調企業必須落實主體責任,這對企業高層提出了明確要求。

3.2 指定專職資訊保護負責人

針對處理規模較大的企業,檔案要求“處理100萬以上個人資訊的個人資訊處理者應當指定個人資訊保護負責人”(第十二條)。企業應根據自身業務特點指定專人負責資訊安全管理,確保:


  ① 制定並完善內部管理制度;


  ② 組織定期風險評估和內部培訓;


  ③ 負責內部自查和配合外部審計工作;


  ④ 協調跨部門工作,形成資訊安全管理閉環。

3.3 跨部門協同機制

企業內部各部門應建立起橫向聯動、資訊共享的協同機制。各部門(如法務部、技術部、風險管理部、人力資源部等)在具體業務中,分別負責:


  ① 資訊採集和使用者同意管理;


  ② 系統技術安全防護措施實施;


  ③ 資料儲存、備份與銷燬管理;


  ④ 外包合同、跨境傳輸等風險控制。


跨部門協同不僅有助於形成整體防控體系,也能在自查過程中更全面地發現問題,為整改提供精準資料。

四、合規審計的重點內容與審查領域
企業在開展合規審計時需聚焦以下重點領域:
4.1 資訊採集與使用者同意

  – 檢查是否在資訊採集前以顯著方式向用戶告知採集目的、方式、種類及儲存期限;


  – 核實使用者是否自願、明確地給予同意,且在處理目的或資訊種類變更時是否重新取得同意;


  – 對於法律、行政法規規定無需取得同意的情形,檢查是否嚴格按照規定執行。檔案中對此類事項在答記者問中有明確說明(問2、問4)。

4.2 資訊處理規則的公開與透明

  – 檢查企業是否制定了完整的資訊處理規則,並透過網站、宣告、公告等方式公開;


  – 資訊公開內容是否包括處理者名稱、聯絡方式、所採集資訊種類、處理方式及儲存期限;


  – 資訊處理規則是否便於使用者查閱(文字清晰、排版合理)。


這些要求體現了《辦法》對透明度和使用者權利保障的基本要求。

4.3 內部管理制度與操作流程

  – 審查企業是否建立了資料分級管理、訪問許可權控制、日誌記錄、應急預案等內部制度;


  – 各部門在資訊處理過程中的操作是否有據可查、制度是否切實落實;


  – 是否定期開展內部風險評估、演練和監督檢查。檔案明確規定,企業在開展合規審計時需全面覆蓋資訊處理全流程(第九條、第十九條)。

4.4 技術安全防護措施

  – 核查資料加密、去標識化、訪問控制、防火牆、防入侵檢測等技術措施是否落地;


  – 檢查系統是否定期開展漏洞掃描、滲透測試及安全應急演練;


  – 確保在資料儲存與傳輸過程中有效防範非法獲取、篡改、洩露風險。


檔案中對技術安全措施的要求貫穿於整個審計內容中,是企業防範資訊安全風險的基礎保障。

4.5 外包與第三方資料處理管理

  – 對委託第三方處理個人資訊的業務,核查雙方合同中是否明確約定資料處理目的、範圍、保密責任及違約責任;


  – 檢查企業是否在委託前進行必要的資訊保護影響評估,並對第三方機構進行風險考察;


  – 審查外包流程是否符合國家相關法律法規要求。


這部分要求在檔案中作為企業合規審計的重要環節,特別適用於涉及跨機構資料共享的業務場景。

4.6 跨境資料傳輸管理

  – 對於涉及跨境資料傳輸的情況,檢查是否按照國家要求進行安全評估、認證備案或簽訂標準合同;


  – 核實跨境資料流動的風險監控機制及應急預案是否建立;


  – 重點關注關鍵資訊基礎設施運營者以外的資料處理者的跨境傳輸管理措施。檔案中明確規定,跨境資料傳輸需嚴格按照國家網信部門規定執行(問5、問8)。

4.7 自動化決策及資料分析

  – 對利用自動化決策技術處理個人資訊的業務,審查決策演算法的透明度、公正性;


  – 檢查是否提前告知使用者自動化決策可能對其權益產生的影響,並提供拒絕或申訴渠道;


  – 核查自動化決策系統中涉及的資訊處理流程和資料安全防護措施。


這一環節在新興業務模式中尤為重要,檔案在答記者問中對自動化決策問題也做了相關解答。

4.8 資訊安全事件應急管理

  – 檢查企業是否建立了完善的資訊安全事件應急預案,涵蓋預警、響應、處置及事後調查;


  – 核查安全事件報告、調查記錄及責任追究流程是否完備;


  – 評估應急預案演練情況及各部門在事件發生時的協同處置能力。檔案要求企業必須針對安全事件制定預案,確保及時有效地應對資訊洩露等風險(第十九條)。

4.9 員工培訓與宣傳機制

  – 審查企業是否定期開展資訊保護及資料安全法律法規培訓,確保全員瞭解並嚴格遵守內部管理規定;


  – 檢查培訓記錄、考核結果及內部宣傳材料是否系統、全面;


  – 強調全員參與、形成“人人監督、人人負責”的資訊安全文化氛圍。


檔案中對內部管理、培訓和宣傳均有要求,目的在於提升整體資訊保護水平。

五、企業合規審計的實施流程
為了確保合規審計工作科學、高效地開展,企業應建立明確的工作流程,主要包括以下階段:
5.1 前期準備

  ① 制定審計方案:依據《辦法》要求,企業需結合自身業務實際,制定詳細的審計方案和風險評估計劃;


  ② 材料收集:組織各部門提供涉及資訊採集、處理、儲存、傳輸等環節的制度、流程、合同、日誌、技術方案等證明材料;


  ③ 風險評估:對照《辦法》及附件《個人資訊保護合規審計指引》,對企業各項業務進行風險分級,確定高風險領域和重點審查環節。

5.2 內部自查階段

  ① 現場檢查:內部審計團隊或指定部門根據制定的方案,深入各業務部門、技術平臺現場開展實地檢查;


  ② 資料核查:對採集、儲存、傳輸的各項資料進行抽查,核實技術措施和管理制度落實情況;


  ③ 內部訪談:對相關負責人進行訪談,瞭解實際操作情況及問題隱患,確保資訊真實、準確。  

     ④ 彙總分析:整理自查中發現的問題,形成初步風險清單,為後續整改提供依據。
5.3 外部委託審計(如適用)

  ① 選擇合作機構:當企業風險較高或監管部門要求時,依據《辦法》要求委託具備資質的第三方機構開展審計;


  ② 協同對接:與外部機構對接審計方案、審計範圍、工作方法和時間安排,確保雙方達成一致;


  ③ 聯合審查:外部機構依據國家相關標準和《辦法》要求,獨立開展審計工作,企業配合提供必要支援;


  ④ 初步反饋:外部機構出具初步審計報告,雙方召開溝通會,對存在問題進行討論並確定整改方向。

5.4 審計報告與整改落實

  ① 報告編寫:無論是內部自查還是外部審計,均需形成書面審計報告,內容包括審計範圍、發現的問題、風險評估和改進建議;


  ② 整改計劃:依據報告,企業各責任部門制定詳細的整改措施、責任分工和整改時間表,確保問題逐項整改;


  ③ 整改跟蹤:建立整改臺賬,對每項問題的整改情況進行跟蹤監控,並在規定時限內(如15個工作日內)形成整改報告;


  ④ 整改複查:整改完成後,可組織內部複查或邀請外部機構進行核查,確保整改措施落實到位,形成反饋閉環。

5.5 持續監控與定期複查

  ① 建立動態監控機制:在整改完成後,企業應持續監控各項資訊安全措施和內部管理制度的執行效果,確保問題不再反覆;


  ② 定期組織複查:結合業務發展和法規調整,定期對企業資訊保護體系進行復查,並根據內外部審計結果更新內部管理制度;


  ③ 內部培訓與宣傳:定期開展覆盤會議和經驗分享,持續加強全員的資訊安全培訓和法規宣傳,形成長效管理機制。

六、外部審計機構選擇與管理要求
6.1 選擇標準

依據《辦法》第七條和答記者問內容,企業在選擇外部審計機構時應注意:


  ① 機構須具備開展個人資訊保護合規審計的能力,包括專業人員、場所、設施和資金等;


  ② 審計機構應當遵守法律法規,誠信正直、公正客觀地作出審計判斷;


  ③ 同一專業機構及其關聯機構、同一合規審計負責人不得連續三次以上對同一審計物件開展審計,確保獨立性與客觀性。


企業應透過對比機構資質、過往案例、行業口碑等指標,選擇適合自身情況的專業機構,並簽訂保密協議以保障資料安全。

6.2 合同與合作流程

  ① 合同約定:企業與外部審計機構在合作前,應在合同中明確雙方權利義務、審計範圍、工作進度、保密責任和違約責任;


  ② 定期溝通:在審計過程中,企業與機構應保持密切溝通,及時交換審計進展和初步發現,確保雙方資訊對稱;


  ③ 後續支援:外部機構應在審計結束後提供詳細報告及整改建議,並對整改效果進行後續跟蹤指導。

七、內部培訓與文化建設
7.1 員工培訓

  企業必須將資訊保護意識融入全員培訓體系,確保各級員工瞭解個人資訊保護的重要性和合規審計要求。具體措施包括:


  ① 制定年度或季度培訓計劃,涵蓋法律法規、資料安全技術、內部管理制度及應急預案;


  ② 組織專題講座、內部研討和實操演練,透過案例分析使員工瞭解違規風險;


  ③ 建立培訓檔案和考核機制,定期評估培訓效果並進行動態調整。

7.2 制度宣貫與宣傳

  透過企業內部網站、公告欄、微信公眾號等多種渠道,及時傳達最新的法律法規、監管要求以及內部審計反饋情況。


  ① 定期釋出內部管理制度、審計流程和整改措施,讓全體員工充分了解各項要求;


  ② 開展經驗交流會或座談會,分享審計中發現的問題和成功整改經驗,營造人人參與、共同監督的資訊保護文化。

八、整改落實與持續改進
8.1 制定整改方案

  依據審計報告中發現的問題,企業各責任部門應逐項制定整改方案,明確:


  ① 整改措施與技術升級方案;


  ② 責任部門和具體負責人;


  ③ 整改時限和效果評估指標。檔案中要求,整改完成後須在規定期限內(如15個工作日)報送整改情況(第十一條)。

8.2 整改臺賬與跟蹤機制
  企業應建立整改臺賬,對每項問題、整改措施、進展情況和複查結果進行詳細記錄,並定期組織複查,確保所有問題徹底解決。  
透過動態跟蹤,企業可將整改經驗融入內部管理制度和技術體系,進一步提升資訊保護水平。
8.3 持續改進

  結合內外部審計反饋和行業新標準,企業應定期評估內部資訊保護體系的有效性,及時更新制度和技術措施。


  建立持續改進機制,包括定期召開跨部門協調會議、內部研討會和外部專家評審,確保資訊保護工作始終與最新法律、技術和監管要求保持一致。

九、監管監督與公眾參與
9.1 監管部門監督
《辦法》明確規定,履行個人資訊保護職責的監管部門對企業合規審計情況進行監督檢查(第十六條)。企業在開展審計工作過程中,應主動接受監管部門的檢查,及時報送審計報告及整改情況,配合現場核查。
9.2 公眾投訴與舉報機制 
檔案賦予任何組織、個人對審計中違法行為進行投訴、舉報的權利(第十七條)。企業應建立內部投訴渠道,鼓勵員工和外部人員對資訊保護工作提出改進建議,並建立相應激勵和反饋機制,形成內外聯動的監督網路。
十、案例參考與實踐建議
10.1 案例參考

  從《答記者問》中可以看出監管部門對資訊處理者如何開展自查、整改及委託審計有較為明確的要求。企業可結合自身業務特點,從以下幾個方面著手:


  ① 以“自查—整改—複查”為閉環,建立定期自查制度;


  ② 針對跨境資料、外包管理、自動化決策等重點領域,制定專項審查方案;


  ③ 透過委託具備資質的第三方機構進行外部審計,獲得專業意見和整改建議。

10.2 實踐建議

  企業在開展個人資訊保護合規審計時,建議:


  ① 高層重視、組織落實——由企業高層牽頭成立專項工作領導小組,確保資訊安全責任落實到人;


  ② 內外結合、逐步推進——既依靠內部自查,也在必要時引入外部專業機構,形成多層次審計體系;


  ③ 制度培訓、文化建設——加強全員培訓與制度宣貫,營造全員重視、共同參與的資訊安全文化;


  ④ 動態整改、持續改進——將審計發現的問題及時轉化為管理提升的契機,不斷完善內部制度和技術防護措施。

十一、總結
綜上所述,企業開展個人資訊保護合規審計工作必須嚴格對照《國家網信辦〈個人資訊保護合規審計管理辦法〉》及其附件要求,建立起自查與外部審計相結合的工作模式。從前期準備、內部自查、外部委託審計、整改落實、持續改進,再到監管配合與公眾監督,每一環節均需精準落地,確保企業在資訊採集、處理、儲存、傳輸等全流程中符合法律法規要求,切實防範風險。
企業透過建立領導小組、指定專職負責人、構建跨部門協同機制、完善技術與管理措施,再結合定期培訓和宣傳,可逐步形成內外結合、動態閉環的資訊保護管理體系。只有這樣,企業才能在合規審計中不斷發現問題、最佳化流程、強化風險防控,從而提升整體資訊安全水平,為構建安全、可信的數字經濟環境提供堅實保障。
立即掃碼購買何淵《歐盟人工智慧法12講》

相關文章