哪些个人信息处理者需开展合规审计?
2025. 3. 13
哪些个人信息处理者需开展合规审计?
Q:哪些个人信息处理者需要遵循《个人信息保护合规审计管理办法》开展合规审计?
A:《个人信息保护合规审计管理办法》(以下简称“《办法》”)由国家互联网信息办公室于 2025 年2月14日公布,并将于 2025 年5月1日起正式施行。依据《办法》,有以下两类个人信息处理者需要开展合规审计:
1. 自行开展合规审计的个人信息处理者:所有个人信息处理者都应具备合规审计意识,定期开展合规审计,通过内部或外部专业力量,对自身处理个人信息的合法性、正当性、必要性进行检查,保障个人信息权益。其中,处理超过 1000 万人个人信息的个人信息处理者,《办法》要求应当每两年至少开展一次个人信息保护合规审计。这类大型数据处理者,因涉及海量个人信息,一旦出现安全问题,影响范围极为广泛。例如大型社交平台、超大型电商平台等,它们日常运营中收集和处理数亿用户的姓名、联系方式、消费记录等,其数据处理活动必须定期接受内部机构或委托专业机构的审查,以确保在收集、存储、使用、共享等各环节均严格遵守法律、行政法规。
2. 应监管要求开展合规审计的个人信息处理者:当履行个人信息保护职责的部门,如网信部门、市场监管部门等,在日常监管过程中,发现个人信息处理活动存在较大风险、可能侵害众多个人的权益或者发生个人信息安全事件时,有权要求相关个人信息处理者委托专业机构对个人信息处理活动进行合规审计。这类个人信息处理者在完成合规审计后,应当报告报送保护部门,并按照保护部门要求对合规审计中发现的问题进行整改。
