2025年2月14日国家互联网信息办公室正式对外发布《个人隐私信息保护合规审计管理办法》（以下简称《管理办法》），于2025年5月1日正式施行。之前2023年8月3日向社会公开征求意见稿，并在国家互联网信息办公室2024年第15次室务会会议审议通过。

　　个人对数据安全和个人隐私信息有关政策从始至终保持追踪和学习，了解国家相关的动向及安全要求，它们是非常有价值的“安全养料”，有了这些“养料”，在项目建设、安全管理、安全技术保护等企业工作实践中，可以主动考虑这些宏观层面的安全要求，在设计和实施具体安全措施时，尽量满足安全合规诉求，甚至将法律、行政法规、标准规范中的一些新趋势要求，前置到安全设计规划中。

　　企业安全落地实践方法变成了从下往上的思路开展，因此在面对外部安全监督管理时，如“检查、评估、考核、审计“等，往往效果比较好。

　　《管理办法》正文内容有二十条，根据《个人隐私信息保护法》《网络数据管理条例》等法律、行政法规指定本办法，目的是规范个人隐私信息合规审计活动，保护个人隐私信息权益，是我国为加强个人隐私信息保护而制定的重要法规。

　　1.定义：个人隐私信息保护合规审计，是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况做审查和评价的监督活动。

　　@保护部门：国家网信部门、其他履行个人隐私信息保护责任的部门。这些部门可能包括工业与信息化部、公安部、市场监督管理局等，对其工作进行简要整理

　　@个人隐私信息处理者：一般个人信息处理者、超过1000万以上个人信息的个人信息处理者、超过100万以上个人信息处理者、提供重要网络站点平台服务、用户数量巨大、业务类型复杂的个人隐私信息处理者。

　　@专业机构（审计）：从事个人隐私信息保护合规审计的机构，需要具备审计服务能力，并与服务相适应的审计人员、场所、设施和资金等，鼓励通过审计认证。

　　具体可参照《中华人民共和国认证认可条例》，该条例在《数据安全管理15讲》课程的（第4讲 如何搭建企业数据安全合规体系）中进行详细讲解。

　　在我国的法律、行政法规、标准规范中，与“数字”相关的点特别值得进行总结，它可以提醒企业在安全合规中必须要遵循的内容，比如审计风险整改完成后，15个工作日要上报整改报告。《管理办法》中与“数字”相关的要点，整理如下：

　　《管理办法》附录中《个人隐私信息保护合规审计指引》是后续开展审计的核心依据，定义了详细的审计条款，可作为建设企业个人隐私信息保护合规的重要指引。

　　平常接触个人隐私信息保护工作时，我们能想起APP合规、备案，想起“用户协议、隐私政策、个人隐私信息收集清单、第三方信息共享清单”等等。

　　涉及个人信息相关联的内容都非常细致、非常多，通常难以掌握。在学习这个附录时，发现它的逻辑比较清晰，形成【26类个人隐私信息保护重要情形】，对可能的【配套文件】进行整理，供参考。

　　结合个人理解，对《管理办法》中提出的个人隐私信息安全合规审计工作，提出一些思考，如下：

　　审计作为个人隐私信息保护工作重要闭环动作（规划、建设、运行运营、检查、审计），是对个人隐私信息处理者在履行合规、管理、技术等动作开展必要的审查，目的是强化处理者的责任，后续必将是企业履行个人隐私信息保护合规的必选动作。

　　@企业侧可通过《管理办法》的要求及《个人隐私信息保护合规审计指引》提及的26种重要情形，借“审计”要点，建设企业个人隐私信息合规体系，完成基础合规动作。

　　重点在安全有序基础上，鼓励数据流通、发挥数据要素价值，因此以数据业务为核心的数据安全，可以拆解成两部分数据安全：

　　：主要指数据安全能力，如基础的加密、脱敏、防泄漏等，包括一定纬度的身份认证和访问控制；

　　围绕数据处理活动的风险而展开，属于新型的、要研究的安全。如数据接入合规、数据分类分级、颗粒度更细的权限（数据权限、账号权限等），侧重以数据业务中数据全过程处理活动中的风险管控。

　　与个人的切身利益相关，重点是强调“个人隐私信息保护”，保护个人信息权益为基本出发点。因为

　　比如大量的APP、小程序，从企业管控角度上看，“抓手”比较明确，但是细节内容、规则、条款太多，除了安全技术部分，与法务合规工作结合度较高。

　　总体上，个人信息作为数据安全范畴的一部分，数据安全工作中需要仔细考虑个人隐私信息、敏感个人隐私信息的安全保护。【个人隐私信息保护工作】可单独成为一个重要安全分支，遵循它自己的逻辑，在企业实践中要与数据安全工作有一定的区分度，比如建立个人隐私信息保护相关组织、制度和安全事件应急预案；比如个人隐私信息保护影响评估、个人隐私信息保护合规审计等必选工作。返回搜狐，查看更加多