一、前言

2025年5月26日，全国网络安全标准化技术委员会发布《网络安全标准实践指南 —— 个人信息保护合规审计要求》（以下简称 “《合规审计要求》”）和《网络安全标准实践指南 —— 个人信息保护合规审计专业机构服务能力要求》（以下简称 “《专业机构服务能力要求》”）[1]。

定期进行个人信息保护合规审计是《中华人民共和国个人信息保护法》（以下简称“《个保法》”）第五十四条规定的一项个人信息处理者的法定义务。《个保法》中并没有对个人信息保护合规审计如何实施进行规定，直到2025年2月12日，国家互联网信息办公室发布《个人信息保护合规审计管理办法》（以下简称“《个保合规审计办法》”），才对开展个人信息保护合规审计进行了更为具体的规定。鉴于《个保合规审计办法》已经于2025年5月1日正式施行，不少个人信息处理者目前也已经着手开展相关的个人信息保护合规审计工作，上述两项实践指南的发布，有助于为个人信息保护合规审计提供更具操作性的指引，助力个人信息处理者规范开展审计工作，提升审计质量，同时也为个人信息处理者在选聘专业机构为其开展个人信息保护合规审计时，提供了一定的参考。

本文将对上述两项实践指南进行简要介绍，为企业更好理解这两项指南，并参照实践指南开展个人信息保护合规审计提供便利。

二、《合规审计要求》主要内容

《合规审计要求》对个人信息保护合规审计的实施流程、合规审计内容和方法、合规审计证据、底稿模板、报告模板等作出规范，同时个人信息处理者、专业机构可以参照该实践指南开展个人信息保护合规审计[2]。

总体来说，根据《合规审计要求》，开展个人信息保护合规审计，应当符合合法性、独立性、客观性、公正性、专业性、保密性原则。自行开展个人信息保护合规审计的，应当制定个人信息保护合规审计管理制度，确定个人信息保护合规审计所必要的资源及权限，确保个人信息保护合规审计活动的独立性，建立健全合规审计证据体系，准备适当的合规审计相关工作工具等。

在审计人员要求方面，按照人员能力和经验不同，《合规审计要求》将个人信息保护合规审计人员分为高级、中级、初级三个级别[3]。个人信息保护合规审计人员能力评价将由中国网络空间安全协会开展，根据中国网络空间安全协会官方网站[4]的信息，《个人信息保护合规审计人员能力评价要点》已经正式发布，第一批个人信息保护合规审计人员能力评价工作已经正式启动，这也意味着个人信息保护合规审计人员能力评价即将开启“统一专业化评价”的时代。

《合规审计要求》对于处理不同数量个人信息的个人信息处理者的合规审计频次要求、审计团队要求等都作出了明确规定，企业可以根据自身业务和处理个人信息数量，来确定自身应当如何开展个人信息保护合规审计，应当多久开展一次个人信息保护合规审计，进而确定应当调动多少合规资源来合理有效地开展工作。相关规定总结如下： 

点击可查看大图

根据《合规审计要求》的规定，开展个人信息保护合规审计的流程包含审计准备、审计实施、审计报告、问题整改、归档管理，共五个阶段，具体如下：

1. 审计准备阶段

审计准备阶段需要处理的事项包括：确定审计范围和依据、建立审计组、开展审前调查、确定审计方法、编制和评审审计方案。

其中，在建立审计组时，《合规审计要求》要求个人信息处理者立足于独立性、专业性这两大原则，并结合自身个人信息保护合规组织的架构和岗位设置情况，视以下具体情况来组建相关团队开展审计工作：

a. 如果公司内部有专门从事个人信息保护合规审计的团队的，应从审计团队中选派审计人员组成审计组，如有必要，在确保独立原则的前提下，可以从具有个人信息保护专业能力的团队中选派人员参与审计。

b. 如果公司内部没有设置专门从事个人信息保护合规审计团队的，则应当在保持独立原则的前提下，从具有审计或个人信息保护专业能力的内审团队、安全团队、法务团队等团队中选派人员，来自各个团队人员的比例应当保持在合理范围内，且审计人员名单需要审计组长审批。

c. 如果是委托专业机构进行个人信息保护合规审计的（如前所述，大型互联网平台应当委托专业机构开展审计工作），审计团队应由专业机构组建，必要时，在保持独立原则的前提下，公司内部的内审团队、安全团队、法务团队等具有审计或个人信息保护相关专业能力的人员可以参与审计并提供支持。

在正式实施审计前，审计组还应当开展审前调查，充分了解被审计对象的个人信息保护情况，包括但不限于：个人信息保护合规管理组织架构；涉及的个人信息场景和个人信息处理活动；支撑个人信息处理活动的相关信息系统情况；个人信息保护相关制度和操作规程等；采取的相关安全技术措施等；已发生的个人信息安全事件或违规事件情况等。基于了解到的前述情况，编制审计方案，明确审计范围和目标、流程和方法、分工、进度安排、所需资源、风险管理措施等。该审计方案应当经过审计组长和被审计对象（即被审计的个人信息处理者）评审通过。

关于审计方法，一般应采取现场审计和非现场审计相结合的方式，同时鼓励采用电子化和自动化审计的方式，提高工作质量。

2. 审计实施阶段

审计实施阶段，则主要涉及发送审计通知、收集审计证据、形成审计底稿、确认审计发现等工作。

关于审计底稿的撰写，《合规审计要求》也作出了明确规定，合规审计要求》附录B还附上了审计底稿模板，以供参考。

在确认审计发现方面，总体上，《合规审计要求》强调对审计问题确认应当严谨，且应当就审计发现和审计结论通报被审计对象管理层，与被审计对象进行充分沟通和确认。如果被审计对象管理层提出异议，应当进行讨论协商，并在必要时由审计人员进一步核实；如果双方就审计发现和审计结论仍未达成一致，审计人员应当在底稿中予以记录。审计完成后需要被审计对象对审计问题进行正式确认。

3. 审计报告阶段

审计报告阶段，主要涉及异议解决、以及撰写和提交审计报告等工作。

异议解决，就是建立针对审计人员针对被审计对象提出的异议的处理和解决机制。且《合规审计要求》要求审计人员应当将相关的沟通结果和审计结论归档保存。

撰写的审计报告的内容应包括但不限于：审计概况（包括开展审计的公司内部机构或专业机构信息，被审计对象信息，审计背景；本次审计期望达到的目标、覆盖的时间范围、组织范围、业务范围和审计领域等，主要审计内容和重点）；审计依据；审计过程；审计结论（对合规性、适当性、有效性的评价）；审计发现（包括主要合规问题的事实、定性、原因、后果或影响等）；审计意见；审计建议；其他解释说明材料。《合规审计要求》附录C附有个人信息保护合规审计报告的模板，以供审计人员参考。

此外，《合规审计要求》要求在交付审计报告时，如果是个人信息处理者内部机构出具的审计报告，须由审计组长签字，若处理的个人信息超过 100 万，则还需个人信息保护负责人签字。专业机构出具的审计报告则需专业机构负责人、合规审计负责人签字并加盖公章。

4. 问题整改阶段

在本阶段，审计人员应当对于审计发现的不合规事项进行跟踪，督促被审计对象在规定期限内整改，必要时，可对整改的完成情况及有效性进行跟踪审计。

5. 归档管理阶段

最后，根据《合规审计要求》，个人信息处理者（和专业机构）应当妥善保管相关的底稿和审计报告。目前暂未对于审计报告和审计底稿的保存期限提出明确的要求，

此外，《合规审计要求》还列举了针对不同个人信息处理活动的审计的内容和方法（以及审计证据参考），供个人信息处理者和专业机构参考。

三、《专业机构服务要求》主要内容

《专业机构服务要求》从基本条件、管理能力、专业能力、人员能力、场所与设备资源能力五个方面规范了专业机构提供个人信息保护合规审计服务的能力要求，适用于指导与规范专业机构建设个人信息保护合规审计服务能力，同时也为个人信息处理者选择合规审计专业机构提供参考。

首先，专业机构应当需要在国内注册（具有独立法人资格或者具有合规审查资格的合伙人组织），具备相应的管理、专业能力以及相应的人员配置，并且有合适的场所和设备，此外，还应当符合以下基本要求：

1. 人员：法定代表人、董事长、合伙人、高层管理人员以及参与个人信息保护合规审计的人员必须具有中国国籍且无犯罪记录。

2. 机构：机构本身不存在涉法涉诉的情况，也没有未处理的网络安全相关行政处罚或正在接受网络安全审查，在过去三年中，没有因网络安全、数据安全或个人信息保护服务问题而被相关部门通报；不存在违背诚信正直原则、违反保密规定、转委托其他机构或连续三次以上审计同一对象等违规行为。

3. 项目经验 ：需要拥有与个人信息保护相关的检查、检测、评估、咨询等服务的项目或任务实施案例。

专业机构应当充分考虑个人信息保护合规审计的特点，建立并执行专业机构管理责任制度、个人信息保护合规审计人员管理制度、合规审计方案审核管理制度、合规审计工作档案管理制度、合规审计实施日常监督制度、个人信息保护合规审计报告审核管理制度、合规审计定期自查机制、变更管理制度、项目沟通与应急处理机制、合规审计活动行为准则，建立合规审计风险控制机制，开展业务持续性保障管理相关工作。专业机构应当具备开展个人信息保护的专业能力，能够真实、有效、充分的开展个人信息保护合规审计。

《专业机构服务要求》还对专业机构的人员构成提出了要求。其中，专业机构应至少有不少于15名具备相关工作经历的个人信息保护合规审计人员，有不少于2 人具备高级个人信息保护合规审计人员能力、有不少于5 人具备中级个人信息保护合规审计人员能力，且有专门的个人信息保护合规审计负责人。个人信息保护合规审计负责人应当具备高级个人信息保护合规审计人员能力，全面负责本机构个人信息保护合规审计工作，并具备个人信息保护专业知识和相关工作经历。

值得注意的是，目前，专业机构的认证工作也已经启动。根据5月27日网信办答记者问，国家网信办数据与技术保障中心、中国网络安全审查认证和市场监管大数据中心、北京赛西认证有限责任公司3家单位，已向国家认证认可监督管理委员会备案相关认证规则，将依据认证规则和《专业机构服务能力要求》《合规审计要求》实施认证。拟开展个人信息保护合规审计业务的专业机构可以参照《专业机构服务要求》的上述要求组建相关团队，制定和实施相关管理制度，并向上述3家单位申请认证。

四、总结与展望

综上所述，《合规审计要求》和《专业机构服务能力要求》的出台，规定不仅为企业提供了清晰的合规指引，更筑牢了个人信息安全的防线，助力企业在数字化时代合法稳健发展，守护公众的个人信息权益。另一方面，由于目前个人信息保护合规审计专业机构的认证工作和审计人员的能力评价工作已正式启动，从长期来看，这将进一步推动个人信息保护工作的规范化、专业化，进一步提升保障个人信息安全的能力。

[注] 

[1]《网络安全标准实践指南》是全国网络安全标准化技术委员会秘书处组织制定和发布的标准相关技术文件，旨在围绕网络安全法律法规政策、标准、网络安全热点和事件等主题，宣传网络安全相关标准及知识，提供标准化实践指引。

[2]https://www.cac.gov.cn/2025-05/27/c_1750056480898746.htm 。

[3]注：《专业机构服务能力要求》中，对于专业机构的个人信息合规审计人员也有相同规定。

[4]https://www.cybersac.cn/detail/1927994773663158273。

[5]需要注意的是，根据《个人信息保护合规审计办法》，如果是按照保护部门要求开展个人信息保护合规审计，应当选聘专业机构开展相关审计工作。

[6]注册用户5000万以上或月活用户1000万以上，业务类型复杂，网络数据处理活动对国家安全、经济运行、国计民生有重要影响。