毕马威：2025个人信息保护合规审计管理与应对报告 .docxVIP

个人信息保护合规审计管理与应对

毕马威中国—2025年3月

/cn

序言

在数字化时代，个人信息保护已成为广大人民群众最切实关心的利益问题之一，也是涉及个人信息处理企业的重要合规义务之一。那么，企业如何保障个人信息处理活动符合国家法律法规的监管要求，而监管机构又如何审查与评价企业的个人信息保护合规情况呢？

作为一项监管对企业个人信息保护的重要“体检”工作，国家已制定法律将企业个人信息合规审计定义为一项基本义务并为其提供了制度框架。我国个人信息保护法第54条和64条明确规定了个人信息处理者的个人信息保护合规审计义务，并将审计分为自行审计与监管审计两种方式。

为进一步细化与落实指导上述个人信息保护法规定的义务工作的开展执行，2023年8月，国家网信办制定并出台了《个人信息保护合规审计管理办法（征求意见稿）》；2025年2月14日《个人信息保护合规审计管理办法》正式发布，并将于2025年5月1日正式生效。

《个人信息保护合规审计管理办法》从适用条件、个人信息处理者的责任等多个方面进行了详细规定，为企业的个人信息保护合规审计工作提供了更多细节性指导，以激励并提升企业个人信息保护能力为构建与执行个人信息保护合规审计工作。

个人信息保护合规审计管理与应对

?2025毕马威企业咨询（中国）有限公司–中国有限责任公司，是与毕马威国际有限公司(英国私营担保有限公司)相关联的独立成员所全球组织中的成员。版权所有，不得转载。

个人信息保护合规审计管理与应对 2

目录

个人信息保护合规审计背景和概述 04

个人信息保护合规审计要点 07

个人信息保护合规审计流程概览 08

个人信息保护合规审计建议 09

毕马威个人信息保护服务 10

?2025毕马威企业咨询（中国）有限公司–中国有限责任公司，是与毕马威国际有限公司(英国私营担保有限公司)相关联的独立成员所全球组织中的成员。版权所有，不得转载。

个人信息保护合规审计管理与应对 3

个人信息保护合规审计背景和概述

2017.6

《网络安全法》首次以法律的形式明确提出了个人信息保护的要求

2021.12

2020

《信息安全技术个人信息安全规范（GB/T35273-2020）》首次在我国个人信息保护领域对个人信息控制者提出了“安全审计” 的要求

2021.11

《关于推进个人信息保护合规审计的若干建议》，对个人信息审计的审计目标、原则、

人员、内容、程序等方面设计了具体的框架

2023.8

《个人信息保护法》首次以法律的形式明确了个人信息保护领域中合规审

计的法定义务

2024.7

《个人信息保护合规审计管理办法（征求意见稿）》及附件《个人信息保护合规审计参考要点》发布

2025.2

2025年2月14日，《个人信息保护合规审计管理办法》及附件《个人信息保护合规审计指引》正式发布

《数据安全技术个人信息保护合规审计要求（征求意见稿）》提出了个人信息保护合规审计原则并规定了实施要求

2025.1

《网络数据安全管理条例》提出网络数据处理者应当定期进行合规审计

《中华人民共和国个人信息保护法》第54条：“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。”第64条：履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈，或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计……

《网络数据安全管理条例》第27条：网络数据处理者应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计。

?2025毕马威企业咨询（中国）有限公司–中国有限责任公司，是与毕马威国际有限公司(英国私营担保有限公司)相关联的独立成员所全球组织中的成员。版权所有，不得转载。

个人信息保护合规审计管理与应对 4

个人信息保护合规审计是所有个人信息处理者的基本合规义务

开展合规审计工作的必要性：

? 遵循法律：个人信息保护合规审计制度的建立可以完善个人信息安全法律体系，确保企业运营过程中符合相关法律法规，避免罚款和法律诉讼；

? 建立信任：展示企业对个人信息的保护和合规意识，增强用户和企业的信任感；

? 保障数据安全：有助于识别并降低安全风险，加强数据安全保障措施，避免数据泄露事件；

? 保护用户权益：确保企业尊重用户权益，保护个人信息安全，避免滥用和不当使用个人信息；

? 组织规范运营：引导组织规范运营，符合合规要求，提升整体运营效率和信誉度。

根据《个人信息保护法》，个人信息保护合规审计主要分为以下两种情形：