近日，国家互联网信息办公室发布了《个人信息保护合规审计管理办法》（以下简称《办法》），并将于2025年5月1日起正式施行。相较于之前发布的征求意见稿，《办法》的正式版秉持了包容审慎、法治规范和市场

化管理等原则，适度减轻了企业的合规成本。

Q：近期在朋友圈疯传的“个保合规审计管理办法”与《个人信息保护法》及《网络数据安全管理条例》之间有何关系？这是一项新规定吗？实际上，在此之前，《中华人民共和国个人信息保护法》和《网络数据安全管理条例》已明确要求个人信息处理者定期进行个人信息保护的合规审计。《办法》则进一步细化了合规审计活动的开展、机构选择、频次以及个人信息处理者和专业机构的义务，旨在为个人信息处理者提供一套系统、针对性且可操作的合规审计规范，以提升个人信息处理的合法性和合规性，保障个人信息权益。

Q：“个保合规审计”是企业必须执行的吗？确实如此。根据《个人信息保护法》第54条和第64条以及《网络数据安全管理条例》第27条的规定，所有在中国境内处理个人信息的企业都必须履行这一合规义务。因此，这些企业应定期开展合规审计，以审查、评估和监督个人信息的保护情况。

Q：企业是否必须

设立“个保负责人”？答案是肯定的。在《个人信息保护法》第52条中已有明确规定，对于处理达到国家网信部门规定数量的个人信息的处理者，应指定个人信息保护负责人。《办法》正式稿将这一门槛设定为100万。个人信息保护负责人负责内部自主审计工作的整体协调，并在外部专业机构进行合规审计时提供必要的支持。同时，《办法》附件中的《个人信息保护合规审计指引》详细规定了个人信息保护负责人的任职条件和职责权限。

Q：哪些情况下官方会强制要求企业进行“个保合规审计”？《办法》第5条明确规定，当监管机关发现个人信息处理活动存在较大风险或发生个人信息安全事件时，可以要求个人信息处理者委托专业机构进行合规审计。这些情况包括：存在严重影响个人权益或缺乏安全措施的风险；可能侵害众多个人权益的活动；以及导致大量个人信息泄露、篡改、丢失或损毁的安全事件。

Q：没有风险或事件的企业能否“高枕无忧”？《个人信息保护法》第54条和《网络数据安全管理条例》第27条仅要求定期进行合规审计，但未具体说明频率。《办法》根据个人信息处理者的处理规模进一步规定，处理超过1000万人个人信息的处理者应每两年至少进行一次合规审计。而处理量较少的企业则未被强制性要求设置固定的审计频率。企业在确定自行开展合规审计的频率时，应考虑多个因素，如未成年人个人信息的特殊审计要求等。

CCRC-PIPCA个人信息保护合规审计师，PIPP个人信息保护专业人员认证马老师
:135-2173-0416/133-9150-9126

Q：企业可以采取哪些技术手段来满足《办法》的要求？《办法》附件中的《个人信息保护合规审计指引》第20条建议企业采取以下安全技术措施：数据加密、脱敏、去标识化等技术，以确保数据存储、使用和共享的安全性；访问控制和权限管理，通过最小权限原则限制个人信息的访问和操作；日志审计与数据安全风险监测，记录敏感数据的全链路日志，并部署风险监测系统，实时阻断异常操作行为。