《个人信息保护合规审计管理办法》出台
三月 3, 2025
2025年2月,《个人信息保护合规审计管理办法》(以下简称《管理办法》)发布,明确从2025年5月1日起,通过合规审计强化个人信息处理者的责任。
一. 政策背景与法律依据
《管理办法》旨在强化个人信息处理者的责任,加强风险控制与监督。根据《个人信息保护法》及《网络数据安全管理条例》,个人信息处理者需定期对个人信息处理活动的合法性进行审计。在面临较大风险或安全事件时,需接受监管部门的强制审计要求。
二. 合规审计分为强制审计和自行审计两种情形。
- 处理超过1000万人个人信息的处理者,自行、定期开展个人信息保护合规审计,每二年至少1次,由内部或委托专业机构执行。
- 网信办等部门可以要求企业委托专业机构开展审计,有三类情形:
- 存在严重影响个人权益或者严重缺乏安全措施等较大风险的;
- 可能侵害众多个人的权益的;
- 发生个人信息安全事件,导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的
- 自行开展审计。
三. 处理超100万人信息的企业须指定个人信息保护负责人,统筹审计工作。
四. 审计机构应严格遵守:
- 能力门槛:需具备专业人员、设施和资金,并通过国家认证认可。
- 独立性要求:同一机构或负责人不得连续三次审计同一企业。
五. 企业自身的指南:如何应对合规审计?
- 参照《个人信息保护合规审计指引》,梳理数据处理全流程风险点。
- 建立长效机制:设立专职岗位,定期开展内部培训、自主审计。
返回
