近日，“315”晚會曝光信息黑洞瘋狂竊取個人隱私，知情人士表示竊取個人信息的獲客公司稱每日處理100億條數據。

圖源：央視財經

當前，個人信息收集與利用日益廣泛，企業、機構及個人均參與其中，個人信息保護和利用的矛盾不斷加劇。從政策層面來看，《中華人民共和國個人信息保護法》《網絡數據安全管理條例》等都細化了個人信息保護和審計的具體規定。其中特別明確了個人信息保護合規審計的兩種情形：一是個人信息處理者自行開展合規審計。二是按照履行個人信息保護職責的部門要求，委托專業機構開展合規審計。

為了提供系統的合規審計規范，強化個人信息處理的合法合規，國家互聯網信息辦公室制定出臺了《個人信息保護合規審計管理辦法》（以下簡稱《辦法》），自2025年5月1日起施行。

《個人信息保護合規審計管理辦法》要點速覽

一是明確個人信息處理者自行開展和委托專業機構開展合規審計的條件，合規審計機構的選擇和合規審計的頻次。

為了避免過重的義務負擔，根據個人信息處理者的業務合規能力，處理的個人信息數量、類型等，設置了外部審計和內部審計，有助于對安全風險狀況進行全方位、短周期地評估和審查。

其中，專業機構應當具備開展個人信息保護合規審計的能力，有與服務相適應的審計人員、場所、設施和資金等。

二是明確開展合規審計的個人信息處理者應當履行的義務。

三是明確專業機構在合規審計中的義務。

專業機構接受委托開展合規審計，應當公正客觀地作出合規審計結論，提出建議，其出具的合規審計報告是履行個人信息保護職責的部門開展監督管理工作的重要參考。

對專業機構的管理，遵循自愿性、市場化的原則，通過認證認可方式對其進行監督管理。具備開展個人信息保護合規審計能力及相應資源的專業機構可以自愿申請相關服務能力認證。

同時，也進一步明確專業機構、審計人員和審計活動的獨立客觀性。審計活動作為重要環節，為了確保審計結論能夠真實反映個人信息處理者的業務合規情況，進而對個人信息處理者提出針對性的審計建議。

四是明確個人信息保護部門對合規審計的監督職責及公眾投訴舉報權利，并規定違法者的法律責任。

合規審計實戰，數據分類分級與風險評估如何大顯身手

《個人信息保護合規審計指引》（以下簡稱《指引》）為個人信息保護合規審計提供全面指導和規范，設置具體審查事項，指明個人信息保護業務合規的核心內容。個人信息處理者可以通過科學的數據分類分級和安全風險評估，有效提升合規審計的精準度和效率。

《個人信息保護合規審計指引》全文▲

一、分類分級

要求個人信息處理者應制定內部管理制度和操作規程，明確組織架構、崗位職責，并保障個人信息處理合規與安全。

數據分類分級能夠識別生物識別信息、醫療健康信息等個人敏感信息，根據敏感程度，明確保護重點，有助于采取更嚴格的安全技術措施，如高級別的加密、去標識化等，以降低其在處理過程中未經授權訪問和濫用的風險。#分類分級#

同時，分類分級也是制定個性化應急響應機制、影響評估制度等的基礎，能夠使相關制度和機制更具針對性和有效性。

企業在數據安全分類分級的能力，應該實現對企業數據進行分類分級標識并形成數據分類分級目錄，最后對數據目錄進行審核、上報備案，并且動態更新管理。開展分類分級工作的流程應該基于國標GB/T 43697-2024《數據安全技術數據分類分級規則》的分類分級實施步驟。

二、風險評估

合規審計時，應重點審查個人信息保護內部管理制度和操作規程的多個方面，包括但不限于個人信息保護工作的方針、目標、原則，組織架構與人員配備，分類情況，應急響應機制，影響評估與合規審計制度，投訴舉報受理流程等，風險評估在此起到關鍵作用。

風險評估深度剖析個人信息處理的全生命周期（收集、存儲、使用、傳輸、銷毀），識別可能存在的安全隱患與合規風險，根據風險的可能性和影響程度，確定優先級，從而制定針對性的應急預案。

風險評估可以綜合考量個人信息的重要性、處理目的、可能帶來的影響及安全威脅，結合企業的業務需求和人員職責，制定合理的權限分配方案。確保只有經過授權的人員才能在必要的范圍內訪問、復制和傳輸個人信息，減少未經授權的訪問和濫用風險，保護個人隱私和數據安全。

#風險評估#

企業開展數據安全風險評估工作，應依據國家、行業數據安全風險評估要求，結合企業數據安全現狀，圍繞數據和數據處理活動，聚焦可能影響數據安全風險，評估數據安全全生命周期的各項指標，對評估的問題進行分析，提出數據安全管理和技術防護措施建議。

風險評估工作流程