专业文章
从“原则”到“落地”——合规审计进入实质执行阶段
2025年5月1日,《个人信息保护合规审计管理办法》(以下简称《办法》)正式施行,标志着我国个人信息保护合规审计从法律规则正式迈入系统性、可落地、可验证的制度实施新阶段。《办法》对合规审计的触发条件、审计频次、专业机构遴选、审计实施流程以及个人信息处理者与审计机构的法定义务等核心环节作出全面细化,为《中华人民共和国个人信息保护法》相关要求落地补齐关键制度拼图。
同时,《办法》所确立的合规审计机制,与个人信息保护影响评估(PIA)形成“事前风险预防、事后合规审查”的全流程风控闭环,进一步完善个人信息保护治理体系,推动监管从形式合规走向实质合规,为个人信息权益保护与数据安全治理提供坚实支撑。
不仅如此,2026年4月,国家互联网信息办公室发布的《小型个人信息处理者个人信息保护简化措施规定(征求意见稿)》以及伴随着《促进和规范数据跨境流动规定》发布两年内国家网信办定期更新的政策法规问答,都意味着我国在个人数据保护上已经搭建起了大、中、小机构的规模维度梯次治理,以及内至9地自贸试验区的22个领域,两岸三地数据互通规则,外至国际数据互通申报的全球化空间维度监管体系。
2026年,个人信息保护监管执法力度持续加码。国家网信办、工业和信息化部、公安部已联合发布公告,明确将对App、SDK、互联网广告、教育、交通、卫生健康、金融等重点领域违法违规收集使用个人信息行为开展深度治理。在此背景下,对企业而言,个人信息保护合规审计已不再是“做不做”的选择题,而是“何时做、如何做、谁来做” 的必答题。本文将立足律师实务视角,系统梳理当前合规审计的法规框架、监管热点与实践趋势,并提出可落地的企业应对策略,为企业完善个人信息保护合规体系提供全面指引。
法规体系全面落地:
企业合规义务的法律基准
当前我国个人信息保护合规审计的法律制度体系,已形成“3部法律+1部行政法规+4部部门规章+配套标准”的完整架构。这一法规体系的全面落地,意味着个人信息保护合规审计已从“原则性要求”转化为具有强制力和可操作性的具体制度。
(一)审计义务的分层触发机制
《办法》构建了“自主履责+监管强制”的双层触发机制。自行定期审计方面,处理超过1000万人个人信息的处理者,应当每两年至少开展一次;其他处理者根据自身业务规模、数据处理场景、风险等级合理确定频次。监管强制审计方面,履行个人信息保护职责的部门发现处理活动存在较大风险、可能侵害众多个人权益,或发生安全事件的,有权要求处理者委托专业机构开展专项审计。企业须在限定时限内完成审计、报送报告并落实整改。
(二)专业机构的选择与利益冲突防范
截至2026年3月26日,全国已有27家专业机构通过合规审计服务认证。企业选择审计机构时,应当综合考量成本和专业机构的服务质量。根据法规要求和监管部门的监管口径,第三方机构完成认证属于“鼓励”性要求非法律强制义务,且自行委托审计场景下未认证机构出具的审计报告具备相应法律效力。也就是说,监管层面并不要求企业必须聘请完成认证的第三方机构,在实质上具备合规审计能力的第三方机构所出具的报告同样具备法律效力,选择外部审计机构的重点在于核实该机构是否切实具备开展个人信息保护合规审计的能力和过往服务相关行业客户的经验;同一机构及其关联方、同一负责人不得连续三次以上对同一对象开展审计;审计机构对履职中知悉的个人信息、商业秘密、保密商务信息等负有法定保密义务,不得转委托。
(三)监管新趋势:分层分类、宽严相济的精准监管格局
2026年,随着《小型个人信息处理者个人信息保护简化措施规定(征求意见稿)》发布,监管确立了“大者严、小者简、分类监管、宽严相济”的走向。对处理千万人以上信息、大型互联网平台、涉及敏感个人信息、数据出境、高风险行业等主体,持续强化常态化审计与穿透式执法;对处理不满10万人个人信息的小型处理者,在告知同意、规则公示、PIA、应急管理及合规审计等方面大幅简化,允许以简易自查表开展审计,频次放宽,符合条件的免于重复审计,对轻微违法、及时整改且无危害后果的情形不予处罚或从轻减轻。整体监管已从“一刀切”转向抓重点、放小微、守底线、促发展的精细化模式,为不同规模企业提供清晰可预期的合规路径。
个人信息保护合规审计:
核心要点与企业实操要点
合规审计是对企业全生命周期个人信息处理活动进行核查与评价的监督活动,是检验企业实质合规水平的核心手段。
结合《办法》及其附件《个人信息保护合规审计指引》,审计贯穿个人信息处理全生命周期,推动合规从“形式”走向“实质”——不再满足于企业制定了隐私政策或取得了用户点击同意,而是要验证这些措施在实际业务中是否落地、可追溯、经得起审查。
对于用户单独授权同意的授权审查是审计的基础。审计机构不能只看企业是否取得用户同意,还要穿透审查该等同意是否包含“充分知情、自愿、明确、可撤回”四个实质要件。
告知同意与规则公示是执法实践中问题最集中的领域。《办法》在细化告知义务时,强调“显著方式、清晰易懂的语言”“便于查看的清单形式”“文本大小、字体和颜色便于阅读”等可操作标准,目的是让告知真正服务于用户知情权,而非沦为形式上的弹窗仪式甚至是实践中常见的在文本中“找不同”或是对于关键文字的“躲猫猫”。《审计指引》还要求审查线下告知的多重方式、线上告知的文本可获取性、规则变更后的及时通知等。2026年以来,监管部门通报的百余款违规应用(包括泡泡玛特、丝芙兰等知名品牌)显示,从“未弹窗提示”“默认勾选同意”,到同意前即开始收集信息,本质都是将告知同意异化为企业免责工具,与《办法》要求的“用户真正知情、自愿、明确同意”相悖。
委托处理、共同处理与对外提供环节,《办法》的审计逻辑强调“权责清晰、全程可控”。审计要点不仅要求审查委托合同或共同处理协议的形式完备性,还要验证企业是否在委托处理前开展了PIA、是否对受托方的保护能力进行了实质评估、对外提供个人信息时是否取得了用户单独同意并完成了风险评估。
内部治理与责任落实是企业合规的组织保障。《办法》要求处理100万人以上信息的企业须指定个人信息保护负责人,大型平台须设立以外部成员为主的独立监督机构。个人信息保护不能仅靠法务或合规部门单点努力,而必须嵌入企业治理结构,形成决策、执行、监督相分离的权力制衡机制。审计将重点审查负责人是否具备专业能力、是否被赋予充分权限、独立监督机构是否真正发挥作用。
《办法》确立的多维度综合审计规则,每一项都不是孤立的合规检查,而是围绕“实质合规”这一主线,将法律原则转化为可验证、可追溯、可问责的审计标准。企业在开展审计时,应理解每项审查要点背后的制度逻辑,而非机械地对照清单打勾。唯有如此,审计才能真正成为企业发现风险、补齐短板、提升治理能力的工具。
数据出境合规审计:
统筹境内合规与跨境治理
对于涉及数据出境的企业,合规审计需要同时覆盖境内合规与跨境治理两个维度。针对跨国企业,境内审计发现的风险点若涉及境外接收方整改,律师建议在《个人信息出境标准合同》中预设境外接收方配合境内监管延伸执法的条款。该条款应明确:境外接收方接到境内监管部门要求时,有义务配合提供相关数据处理记录、接受现场检查,并约定不配合的法律后果和违约责任。
2025年9月,迪奥(上海)公司因三项违法事实被公安机关行政处罚:一是未通过数据出境安全评估、订立标准合同或通过认证,违规向法国迪奥总部传输用户个人信息;二是向法国迪奥总部提供用户个人信息前未履行法定告知义务;三是未向用户告知向境外提供个人信息的目的、方式、范围及境外接收方情况。该案是公安机关首例公开的未依法履行数据出境申报义务案件,警示企业在跨境数据治理中,必须严格遵循安全评估、标准合同或认证等法定路径。
个人信息保护合规审计已进入实质执行阶段。从《办法》施行到专项行动全面铺开,从认证机构体系建设到执法力度持续加码,监管环境正在发生深刻变化。对于企业而言,被动应对已不足以满足合规要求,主动构建系统化的合规管理体系才是根本之道。
合规不是成本,而是竞争力。一份经得起检验的合规审计报告,既是满足监管要求的通行证,也是保护企业核心利益的安全垫。企业应在律师指导下,将合规审计作为“一把手工程”,纳入全面风险管理体系,实现从“做过”到“可证明”、从“形式合规”到“实质合规”的根本转变。
本文作者
高以琦
律师
上海办公室
gaoyiqi@vtlaw.cn
张哲豪
合伙人
上海办公室
zhangzhehao@vtlaw.cn
马楷阳
合伙人
深圳办公室
makaiyang@vtlaw.cn