随着数字经济深入发展，个人信息已成为重要数字资产与关键生产要素。当前，个人信息泄露、滥用、违规收集、超范围抓取、大数据杀熟、强制授权等乱象频发，监管执法持续趋严。个人信息保护合规审计（简称“个保合规审计”）已从企业的“可选题” 变为 “必答题”，成为守住合规底线、防范法律风险、保障用户权益、维护品牌信誉的核心抓手。

究竟什么是个保合规审计？为什么要进行个保合规审计？谁需要进行个保合规审计？如何进行个保合规审计？

为帮助大家深入了解个保合规审计，中检天帷作为全国第二批个保合规审计服务机构，特推出《个保合规审计实务系列文章—一文吃透个人信息保护合规审计：从入门到实施》，从为什么要做、是什么、政策依据、触发场景、实施主体、落地流程、核心价值七大维度，系统拆解个保合规审计全流程，助力企业合规经营和长效发展。

本文为系列文章的开篇，重点讲解为什么要做合规审计、合规审计是什么，帮企业找准个人合规审计的工作起点。

一、为什么要开展个保合规审计

（一）合规审计是法定义务，不履行即违法

2021年11月1日起实施的《中华人民共和国个人信息保护法》第五十四条明确规定：个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。第四条也给出：个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。与此同时，第七十三条对“个人信息处理者”给出明确定义：个人信息处理者是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。

这就说凡是开展未匿名化个人信息处理的组织或个人（自然人因个人或者家庭事务处理个人信息的除外）均需要定期开展个保合规审计，这就意味着个保合规审计不再是“建议做”，而是必须做。未按规定开展审计、未留存审计记录、未完成整改闭环，本身就构成违法行为，监管可直接予以处罚。

（二）典型案例：未履行人信息保护法律法规而遭受处罚。

1、某互联网科技公司违法处理个人信息，被处人民币5000万元罚款

2023年9月，国家网信办公布的网络安全审查相关行政处罚决定显示，某互联网科技公司运营的14款App存在违反必要原则收集个人信息、未经同意收集个人信息、未公开或未明示收集使用规则、未提供账号注销功能、在用户注销账号后未及时删除用户个人信息等违法行为。责令停止违法处理个人信息行为，并处人民币5000万元罚款。

2、某知名品牌未依法履行个人信息保护义务被查处

2025年5月，多家媒体报道某知名品牌发生数据泄露事件。公安网安部门组织对该知名品牌依法开展行政调查。经查，该公司存在三项违法事实：一是未通过数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证，违规向国外总部传输用户个人信息。二是向国外总部提供用户个人信息前，未向用户充分告知其个人信息境外接收方的处理方式，未取得用户“单独同意”。三是未对收集的个人信息采取加密、去标识化等安全技术措施。属地公安机关依据《中华人民共和国个人信息保护法》规定，对某知名品牌（上海）公司依法予以行政处罚。

（三）不做个保合规审计存在哪些风险

开展个保合规审计，不仅是个人信息处理者落实法律法规要求的必然之举，更能帮助其有效防控经营风险、健全内部管理体系、提升数据治理能力。不做个保合规审计会面临直接违法、隐患常存和声誉受损等重大风险：

1.直接违法。个保合规审计是法律法规明确的法定义务。未开展此项活动就意味着未履行法定义务，组织或个人则会因未履行合规义务面临处罚。

2.隐患常存。通过开展个保合规审计可系统性排查个人信息数据处理活动各环节的漏洞与隐患，推动个人信息处理者从流程和机制上规范个人信息数据处理行为，有效防范个人信息泄露、篡改、滥用等安全事件。

3.声誉受损。个保合规审计是保障用户法定权利的重要措施，未开展个保合规审计，用户将对个人信息处理者的各项处理活动不太信任，个人信息处理者若因违规再被通报曝光，公众信任感将会大幅下滑。

因此，个保合规审计不是成本，而是最划算的风险保险。

二、个人信息保护合规审计相关定义

（一）核心定义

《个人信息保护合规审计管理办法》第二条规定，个人信息保护合规审计是指针对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。

根据上述定义，个人信息保护合规审计就是以法规为标尺，全面检查企业 “怎么收、怎么存、怎么用、怎么传、怎么删” 个人信息，是否合法、正当、必要、安全。其本质是对个人信息处理活动的合法性合规性进行评价，通过评价排查个人信息处理各环节中的漏洞与隐患，推动个人信息处理者从流程和机制上规范个人信息处理行为，健全完善个人信息数据合规管理体系。

（二）关键概念

1.个人信息处理者

自主决定处理目的、处理方式的组织/个人。个人信息处理者包括互联网平台、金融、医疗、教育、电商、物流、物业、车企、公共机构等。

2.人信息处理活动

包括收集、存储、使用、加工、传输、提供、公开、删除和销毁，个人信息处理活动的全流程都处在个保合规审计范围内。

3.敏感个人信息

一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

4.内部审计

由个人信息处理者内部设立的专门机构或专职人员，依据法律法规及内部制度，对本单位个人信息处理活动开展的自我审查与评估活动，适用于常规自主审计。

5.第三方专业审计

指个人信息处理者委托具有专业资质的外部机构，依据法律法规及委托协议，对本单位个人信息处理活动开展的独立审查与评估。

依据《个人信息保护合规审计管理办法》，个人信息处理者自行发起的常规审计可自主选择内部机构或委托第三方机构开展。但当存在监管要求或触发法律法规的规定情形则必须委托第三方审计：

发现个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险的；

个人信息处理活动可能侵害众多个人的权益的；

发生个人信息安全事件，导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的。

（三）审计六大核心原则

根据GB/T 46903—2025 《数据安全技术 个人信息保护合规审计要求》规定，个保合规审计遵循六大原则：

1.合法性原则：依据法律、法规和规章开展，结果合规。

2.独立性原则：审计人员/机构不受外部影响，与被审计业务无利益冲突。

3.客观性原则：以证据为依据，不主观臆断。

4.公正性原则：结论公正、真实、准确和可靠。

5.专业性原则：审计人员/机构具备所需的技术能力和法律、安全、审计专业知识。

6.保密性原则：严守保密规定，对个人信息、商业秘密、保密商务信息严格保密。