審計是黨和國家監督體系的重要組成部分，也是企業合規治理體系不可或缺的重要舉措。2021年11月1日正式實施的《中華人民共和國個人信息保護法》首次在法律層面明確個人信息處理者應當對個人信息處理活動開展合規審計，這意味著審計作為具備獨立性的監督活動，已成為落實個人信息保護治理體系的重要抓手。

根據《中華人民共和國個人信息保護法》《網絡數據安全管理條例》等法律、行政法規，國家互聯網信息辦公室于2025年2月14日正式發布《個人信息保護合規審計管理辦法》（以下簡稱《辦法》），為個人信息處理者開展合規審計提供了系統性、針對性、可操作性的規范。《辦法》的出臺標志著個人信息保護合規審計工作邁入新階段。

一、明確合規審計定位，助力堅守個人信息保護合規防線

對于個人信息處理者，合規審計是推動內部持續完善個人信息保護合規體系的重要手段。《辦法》要求個人信息處理者自行開展個人信息保護合規審計的，由個人信息處理者內部機構或者委托專業機構自行開展合規審計，并要求涉及大規模個人信息處理的情況，應指定個人信息保護負責人負責合規審計工作，由大型平臺外部獨立機構對合規審計進行監督，促進個人信息處理者健全個人信息保護合規治理架構，完善個人信息保護內部管理機制。

對于保護部門，合規審計是落實我國個人信息保護治理體系的一項重要監督舉措。《辦法》細化了個人信息處理者按照保護部門的要求開展合規審計的執行主體、觸發條件、整改報送要求等。同時，提出保護部門對個人信息處理者開展合規審計情況進行監督檢查，后續保護部門將通過合規審計監督檢查督促開展合規審計的企業內部機構和專業機構規范執行審計程序，提升審計質量。

二、細化合規審計實施要求，促進規范化、高質量落地執行

《辦法》明確差異化的合規審計頻率，提升合規監督成效。細化個人信息處理者自行開展合規審計的頻率，要求處理超過1000萬人個人信息的個人信息處理者應當每兩年至少開展一次個人信息保護合規審計。充分考慮了企業處理個人信息的規模與其合規資源投入的適應性，最大化地降低合規成本、提升合規成效。《辦法》給出了詳細的合規審計指引，從合規審計的角度明確了二十七條審查要點，為合規審計實施提供操作指引，有助于促進合規審計規范化執行。

《辦法》強調合規審計獨立性，為保障審計質量奠定基礎。要求個人信息處理者應確定由具備獨立性的部門或崗位人員承擔合規審計職責，確保其能夠客觀公正地發表審計意見。處理100萬人以上個人信息的個人信息處理者應當指定個人信息保護負責人負責合規審計。同時，專業機構受委托開展合規審計應保持審計獨立性，《辦法》對同一專業機構及其關聯機構、同一合規審計負責人連續為同一審計對象開展合規審計的次數進行了限制。

三、引導電信和互聯網行業積極落實個人信息保護合規審計要求

電信和互聯網企業擁有海量的個人信息和復雜的業務處理場景，規范個人信息處理行為對保護用戶合法權益來說具有重要意義。近年來，在工業和信息化部信息通信管理局的指導下，中國信息通信研究院積極開展個人信息保護合規審計有關政策研究，組織制定合規審計行業標準和操作指南，取得積極成效。

一是加強政策宣貫，促進APP開發運營者落實合規審計要求。2023年工業和信息化部發布《關于進一步提升移動互聯網應用服務能力的通知》，明確提出APP開發運營者應定期對個人信息保護措施及執行情況等進行合規審計。中國信息通信研究院連續兩年組織開展APP開發者個人信息保護公益培訓宣講系列活動，設置個人信息保護合規審計專題內容，介紹合規審計的操作流程及方法，促進APP開發者提升合規審計能力和意識。

二是加快標準建設，健全電信和互聯網行業個人信息保護合規審計標準體系。中國信息通信研究院聯合多家電信運營商、互聯網企業、智能網聯汽車企業、移動應用分發平臺積極研制電信和互聯網領域合規審計實施方法、車聯網和移動應用分發場景合規審計操作指南等系列標準，為APP開發運營者、分發平臺、新型智能終端等不同類型企業開展合規審計提供更加落地性、場景化的操作指導。

面向未來，中國信息通信研究院將按照工業和信息化部的部署要求，加快個人信息保護合規審計關鍵細分場景的標準制定，開展審計工具評估評測，推廣優秀實踐案例，服務市場需求，持續縱深推進電信和互聯網行業個人信息保護合規審計工作落實落細，促進電信和互聯網行業企業的個人信息保護水平全面提升。