图解《个人信息保护合规审计管理办法》-文件硬盘数据销毁

01.

概述

2025年2月14日国家互联网信息办公室正式发布《个人信息保护合规审计管理办法》（以下简称《管理办法》），于2025年5月1日正式施行。之前2023年8月3日向社会公开征求意见稿，并在国家互联网信息办公室2024年第15次室务会会议审议通过。

02.

“图”来源

个人对数据安全和个人信息相关政策始终保持追踪和学习，了解国家相关的动向及安全要求，它们是非常有价值的“安全养料”，有了这些“养料”，在项目建设、安全管理、安全技术保护等企业工作实践中，可以主动考虑这些宏观层面的安全要求，在设计和实施具体安全措施时，尽量满足安全合规诉求，甚至将法律、行政法规、标准规范中的一些新趋势要求，前置到安全设计规划中。

企业安全落地实践方法变成了从下往上的思路开展，因此在面对外部安全监管时，如“检查、评估、考核、审计“等，往往效果比较好。

03.

“图”说明

文件硬盘数据销毁

图1：《个人信息保护合规审计管理办法》框架

（一）总体框架

《管理办法》正文内容包括二十条，根据《个人信息保护法》《网络数据管理条例》等法律、行政法规指定本办法，目的是规范个人信息合规审计活动，保护个人信息权益，是我国为加强个人信息保护而制定的重要法规。

（二）基本要点

1.定义：个人信息保护合规审计，是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。

2.适用范围：在中华人民共和国境内开展个人信息保护合规审计。

3.涉及主体：

@保护部门：国家网信部门、其他履行个人信息保护责任的部门。这些部门可能包括工业和信息化部、公安部、市场监督管理局等，对其工作进行简要整理

• 国家网信部门总体统筹协调、监督管理、专项治理等；
• 工业和信息化部门负责电信和互联网行业的个人信息保护监管、行业标准制定等；
• 公安部主要涉及个人信息方面打击违法犯罪、行政执法、网络安全监管等。
• 市场监督管理局主要涉及反不正当竞争（如大数据杀熟、未经同意推送广告）、消费者权益保护、广告监管、标准制定（如GB/T 35273 个人信息安全规范）和市场监督管理等个人信息部分。

@个人信息处理者：一般个人信息处理者、超过1000万以上个人信息的个人信息处理者、超过100万以上个人信息处理者、提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者。

@专业机构（审计）：从事个人信息保护合规审计的机构，需要具备审计服务能力，并与服务相适应的审计人员、场所、设施和资金等，鼓励通过审计认证。

文件硬盘数据销毁

图2：《数据安全管理15讲》第4讲课件材料

（三）关键内容整理

通过逐条学习《管理办法》，整理形成关键字、关键内容等要点清单，如下。

文件硬盘数据销毁

图3：《管理办法》要点清单

（四）与“数字”相关的要点

在我国的法律、行政法规、标准规范中，与“数字”相关的点特别值得进行总结，它可以提醒企业在安全合规中必须要遵循的内容，比如审计风险整改完成后，15个工作日要上报整改报告。《管理办法》中与“数字”相关的要点，整理如下：

文件硬盘数据销毁

图4：《管理办法》“数字”要点

（五）附录《个人信息保护合规审计指引》

《管理办法》附录中《个人信息保护合规审计指引》是后续开展审计的核心依据，定义了详细的审计条款，可作为建设企业个人信息保护合规的重要指引。

平常接触个人信息保护工作时，我们能想起APP合规、备案，想起“用户协议、隐私政策、个人信息收集清单、第三方信息共享清单”等等。

涉及个人信息相关内容都非常细致、非常多，通常难以掌握。在学习这个附录时，发现它的逻辑比较清晰，形成【26类个人信息保护重要情形】，对可能的【配套文件】进行整理，供参考。

图5：26类个人信息保护重要情形

04.

“图”实践

结合个人理解，对《管理办法》中提出的个人信息安全合规审计工作，提出一些思考，如下：

（1）借“审计”要点，建设个保合规体系

审计作为个人信息保护工作重要闭环动作（规划、建设、运行运营、检查、审计），是对个人信息处理者在履行合规、管理、技术等动作开展必要的审查，目的是强化处理者的责任，后续必将是企业履行个人信息保护合规的必选动作。

@企业侧可通过《管理办法》的要求及《个人信息保护合规审计指引》提及的26种重要情形，借“审计”要点，建设企业个人信息合规体系，完成基础合规动作。

（2）理解个人信息和数据安全的关系

网络安全、数据安全、个人信息保护同属于安全领域，也存在明显的不同。

• 网络安全：相对比较成熟，侧重网络、信息系统的防护，以等级保护为基础
• 数据安全：重点在安全有序基础上，鼓励数据流通、发挥数据要素价值，因此以数据业务为核心的数据安全，可以拆解成两部分数据安全：
• 安全领域部分：主要指数据安全能力，如基础的加密、脱敏、防泄漏等，包括一定纬度的身份认证和访问控制；
• 数据业务领域部分：围绕数据处理活动的风险而展开，属于新型的、要研究的安全。如数据接入合规、数据分类分级、颗粒度更细的权限（数据权限、账号权限等），侧重以数据业务中数据全过程处理活动中的风险管控。
• 个人信息：与个人的切身利益相关，重点是强调“个人信息保护”，保护个人信息权益为基本出发点。因为个人信息通常与用户“离得比较近”，用户感知度较高，比如大量的APP、小程序，从企业管控角度上看，“抓手”比较明确，但是细节内容、规则、条款太多，除了安全技术部分，与法务合规工作结合度较高。

总体上，个人信息作为数据安全范畴的一部分，数据安全工作中需要考虑个人信息、敏感个人信息的安全保护。【个人信息保护工作】可单独成为一个重要安全分支，遵循它自己的逻辑，在企业实践中要与数据安全工作有一定的区分度，比如建立个人信息保护相关组织、制度和安全事件应急预案；比如个人信息保护影响评估、个人信息保护合规审计等必选工作。