为指导、规范个人信息保护合规审计活动，根据《个人信息保护法》等法律法规，国家互联网信息办公室起草了《个人信息保护合规审计管理办法（征求意见稿）》（以下简称《征求意见稿》），自8月3日起向社会公开征求意见。其中提出，处理超过100万人个人信息的个人信息处理者，应当每年至少开展一次个人信息保护合规审计；其他个人信息处理者应当每两年至少开展一次个人信息保护合规审计。

南都研究员留意到，这并非我国首次提出对个人信息处理者的合规审计要求。

2020年10月起生效的《信息安全技术 个人信息安全规范（GB/T 35273-2020）》便对个人信息处理的安全审计作出规定，将个人信息保护政策、相关规程和安全措施列为审计对象，明确了审计活动记录及留存的相关要求。

2021年11月起施行的《个人信息保护法》第五十四条规定，个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。第六十四条规定，履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈，或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施，进行整改，消除隐患。

此外，国家互联网信息办公室于2021年11月发布的《网络数据安全管理条例（征求意见稿）》也曾提出，大型互联网平台运营者应当通过委托第三方审计方式，每年对平台数据安全情况、平台规则和自身承诺的执行情况、个人信息保护情况、数据开发利用情况等进行年度审计，并披露审计结果。

因此，本次公开的《征求意见稿》是在上述规范和法律基础上，指导个人信息保护合规审计活动应如何开展和实施的一份落地细则。

南都大数据研究院梳理了《征求意见稿》提出的具体内容，带你一起一图读懂。

本次《征求意见稿》明确了个人信息保护合规审计的开展频率、开展方式，以及对合规审计机构的限制。此外，《征求意见稿》还一并附上《个人信息保护合规审计参考要点》，列出了个人信息保护合规审计应当审查的方面，遇到具体情形时应重点审查的事项，并对大型互联网平台提出了更细致的审查要求。

出品：南都大数据研究院

采写：李伟锋

设计：何欣

编辑：李伟锋

本文作者

李伟锋

1968W

南方都市报记者

何欣

6807W

南方都市报编辑