2025年《个人信息保护合规审计管理办法》及指引重点解读.pptxVIP

2025年《个人信息保护合规审计管理办法》及指引重点解读汇报人:XXX

目录一个人信息保护合规审计的依据二个人信息保护合规审计的主体五个人信息保护合规审计的意义三个人信息保护合规审计的实施四个人信息保护合规审计的审查重点

2025年2月14日，国家互联网信息办公室公布《个人信息保护合规审计管理办法》（以下简称“合规审计办法”），并将于2025年5月1日起施行。“合规审计办法”的出台，是落实《个人信息保护法》《网络数据安全管理条例》中关于个人信息保护合规审计的具体举措，为开展个人信息保护合规审计的具体情形和方式方法等方面均提供了明确指引，对保护个人信息权益具有重要意义和作用。引言

第一部分个人信息保护合规审计的依据

根据“合规审计办法”第二条，个人信息保护合规审计是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。（一）审计定义：个人信息处理活动的监督

（二）法律法规依据

（二）法律法规依据

直接的法律依据第五十四条要求个人信息处理者定期进行合规审计，确保遵守相关法律法规。第六十四条规定，发现风险或事件时，监管部门可约谈负责人或要求委托专业机构进行合规审计。01《个人信息保护法》第二十七条规定，网络数据处理者应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计。02《网络数据安全管理条例》（二）法律法规依据

以上规定明确了个人信息保护合规审计的两种情形：（二）法律法规依据自行开展合规审计个人信息处理者应定期自行开展合规审计，确保处理活动符合相关法律法规要求。委托专业机构审计在部门要求下，个人信息处理者可委托专业机构进行合规审计，以获得更客观的评估结果。

第二部分个人信息保护合规审计的主体

“合规审计办法”中规定的进行个人信息保护合规审计的主体，是指个人信息处理者，根据“合规审计办法”的规定其中涉及的个人信息保护合规审计主体可以理解区分为两类：1、需主动进行合规审计的个人信息处理者（即第四条的有关规定）；2、监管部门可以强制要求进行合规审计的个人信息处理者（即第五条的有关规定）。二、个人信息保护合规审计的主体

二、个人信息保护合规审计的主体

需说明的是，本“合规审计办法”中所明确的主动进行个人信息保护合规审计的主体存在个人信息处理人数及审计频次两方面的要求；同时，要求进行审查的审查对象，就同一事项不得要求重复审查，以上规定平衡了监管强度与企业合规成本等方面。二、个人信息保护合规审计的主体

第三部分个人信息保护合规审计的实施

“合规审计办法”对于个人信息保护合规审计的实施，从实施方式、相关主体义务、实施程序等方面要求进一步明确，为企业进一步提高了可操作性。三、个人信息保护合规审计的实施

“合规审计办法”与《网络数据安全管理条例》中对于合规审计的实施方式保持一致，即可以通过个人信息处理者内部机构或者委托专业机构两种方式进行审计。（一）合规审计的实施方式

但本“合规审计办法”具体明确了以下事项：1、前文所述的强制审查的三类情形，监管机构可以要求委托专业机构进行合规审计。2、对合规审计专业机构的要求，即应当具备开展个人信息保护合规审计的能力，有与服务相适应的审计人员、场所、设施和资金等。（一）合规审计的实施方式

因此，目前对于选择哪家专业机构并没有强制性要求，但明确规定了专业机构应当具备开展个人信息保护合规审计的能力，有与服务相适应的审计人员、场所、设施和资金等。结合“合规审计办法”第十二条对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督的要求。（一）合规审计的实施方式

同时根据规定中对于专业机构履职公正、客观的工作要求，可以理解就个人信息保护合规审计监管部门对于合规审计报告的客观性、中立性存在要求，在此建议符合条件的个人信息处理者建立相应的独立机构以及聘请专业能力突出、市场认可度较高的专业机构进行履职。（一）合规审计的实施方式

“合规审计办法”对于个人信息处理者以及专业机构履职提出了相应的要求。第一，明确了开展合规审计的个人信息处理者应当履行的义务：1、保障合规审计进行：个人信息处理者应监管要求进行合规审计的，应当按要求选定专业机构，并为专业机构正常开展合规审计工作提供必要支持、承担审计费用，以及在限定时间内完成合规审计，报送合规审计报告并进行整改。（二）合规审计主体的相应义务

2、完善组织架构设计：处理100万人以上