圖解《個人信息保護合規審計管理辦法》-文件硬盤數據銷毀

01.

概述

2025年2月14日國家互聯網信息辦公室正式發布《個人信息保護合規審計管理辦法》（以下簡稱《管理辦法》），于2025年5月1日正式施行。之前2023年8月3日向社會公開征求意見稿，并在國家互聯網信息辦公室2024年第15次室務會會議審議通過。

02.

“圖”來源

個人對數據安全和個人信息相關政策始終保持追蹤和學習，了解國家相關的動向及安全要求，它們是非常有價值的“安全養料”，有了這些“養料”，在項目建設、安全管理、安全技術保護等企業工作實踐中，可以主動考慮這些宏觀層面的安全要求，在設計和實施具體安全措施時，盡量滿足安全合規訴求，甚至將法律、行政法規、標準規范中的一些新趨勢要求，前置到安全設計規劃中。

企業安全落地實踐方法變成了從下往上的思路開展，因此在面對外部安全監管時，如“檢查、評估、考核、審計“等，往往效果比較好。

03.

“圖”說明

文件硬盤數據銷毀

圖1：《個人信息保護合規審計管理辦法》框架

（一）總體框架

《管理辦法》正文內容包括二十條，根據《個人信息保護法》《網絡數據管理條例》等法律、行政法規指定本辦法，目的是規范個人信息合規審計活動，保護個人信息權益，是我國為加強個人信息保護而制定的重要法規。

（二）基本要點

1.定義：個人信息保護合規審計，是指對個人信息處理者的個人信息處理活動是否遵守法律、行政法規的情況進行審查和評價的監督活動。

2.適用范圍：在中華人民共和國境內開展個人信息保護合規審計。

3.涉及主體：

@保護部門：國家網信部門、其他履行個人信息保護責任的部門。這些部門可能包括工業和信息化部、公安部、市場監督管理局等，對其工作進行簡要整理

• 國家網信部門總體統籌協調、監督管理、專項治理等；
• 工業和信息化部門負責電信和互聯網行業的個人信息保護監管、行業標準制定等；
• 公安部主要涉及個人信息方面打擊違法犯罪、行政執法、網絡安全監管等。
• 市場監督管理局主要涉及反不正當競爭（如大數據殺熟、未經同意推送廣告）、消費者權益保護、廣告監管、標準制定（如GB/T 35273 個人信息安全規范）和市場監督管理等個人信息部分。

@個人信息處理者：一般個人信息處理者、超過1000萬以上個人信息的個人信息處理者、超過100萬以上個人信息處理者、提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者。

@專業機構（審計）：從事個人信息保護合規審計的機構，需要具備審計服務能力，并與服務相適應的審計人員、場所、設施和資金等，鼓勵通過審計認證。

文件硬盤數據銷毀

圖2：《數據安全管理15講》第4講課件材料

（三）關鍵內容整理

通過逐條學習《管理辦法》，整理形成關鍵字、關鍵內容等要點清單，如下。

文件硬盤數據銷毀

圖3：《管理辦法》要點清單

（四）與“數字”相關的要點

在我國的法律、行政法規、標準規范中，與“數字”相關的點特別值得進行總結，它可以提醒企業在安全合規中必須要遵循的內容，比如審計風險整改完成后，15個工作日要上報整改報告。《管理辦法》中與“數字”相關的要點，整理如下：

文件硬盤數據銷毀

圖4：《管理辦法》“數字”要點

（五）附錄《個人信息保護合規審計指引》

《管理辦法》附錄中《個人信息保護合規審計指引》是后續開展審計的核心依據，定義了詳細的審計條款，可作為建設企業個人信息保護合規的重要指引。

平常接觸個人信息保護工作時，我們能想起APP合規、備案，想起“用戶協議、隱私政策、個人信息收集清單、第三方信息共享清單”等等。

涉及個人信息相關內容都非常細致、非常多，通常難以掌握。在學習這個附錄時，發現它的邏輯比較清晰，形成【26類個人信息保護重要情形】，對可能的【配套文件】進行整理，供參考。

圖5：26類個人信息保護重要情形

04.

“圖”實踐

結合個人理解，對《管理辦法》中提出的個人信息安全合規審計工作，提出一些思考，如下：

（1）借“審計”要點，建設個保合規體系

審計作為個人信息保護工作重要閉環動作（規劃、建設、運行運營、檢查、審計），是對個人信息處理者在履行合規、管理、技術等動作開展必要的審查，目的是強化處理者的責任，后續必將是企業履行個人信息保護合規的必選動作。

@企業側可通過《管理辦法》的要求及《個人信息保護合規審計指引》提及的26種重要情形，借“審計”要點，建設企業個人信息合規體系，完成基礎合規動作。

（2）理解個人信息和數據安全的關系

網絡安全、數據安全、個人信息保護同屬于安全領域，也存在明顯的不同。

• 網絡安全：相對比較成熟，側重網絡、信息系統的防護，以等級保護為基礎
• 數據安全：重點在安全有序基礎上，鼓勵數據流通、發揮數據要素價值，因此以數據業務為核心的數據安全，可以拆解成兩部分數據安全：
• 安全領域部分：主要指數據安全能力，如基礎的加密、脫敏、防泄漏等，包括一定緯度的身份認證和訪問控制；
• 數據業務領域部分：圍繞數據處理活動的風險而展開，屬于新型的、要研究的安全。如數據接入合規、數據分類分級、顆粒度更細的權限（數據權限、賬號權限等），側重以數據業務中數據全過程處理活動中的風險管控。
• 個人信息：與個人的切身利益相關，重點是強調“個人信息保護”，保護個人信息權益為基本出發點。因為個人信息通常與用戶“離得比較近”，用戶感知度較高，比如大量的APP、小程序，從企業管控角度上看，“抓手”比較明確，但是細節內容、規則、條款太多，除了安全技術部分，與法務合規工作結合度較高。

總體上，個人信息作為數據安全范疇的一部分，數據安全工作中需要考慮個人信息、敏感個人信息的安全保護。【個人信息保護工作】可單獨成為一個重要安全分支，遵循它自己的邏輯，在企業實踐中要與數據安全工作有一定的區分度，比如建立個人信息保護相關組織、制度和安全事件應急預案；比如個人信息保護影響評估、個人信息保護合規審計等必選工作。