圖解《個人信息保護(hù)合規(guī)審計(jì)管理辦法》-文件硬盤數(shù)據(jù)銷毀

01.

概述

2025年2月14日國家互聯(lián)網(wǎng)信息辦公室正式發(fā)布《個人信息保護(hù)合規(guī)審計(jì)管理辦法》（以下簡稱《管理辦法》），于2025年5月1日正式施行。之前2023年8月3日向社會公開征求意見稿，并在國家互聯(lián)網(wǎng)信息辦公室2024年第15次室務(wù)會會議審議通過。

02.

“圖”來源

個人對數(shù)據(jù)安全和個人信息相關(guān)政策始終保持追蹤和學(xué)習(xí)，了解國家相關(guān)的動向及安全要求，它們是非常有價(jià)值的“安全養(yǎng)料”，有了這些“養(yǎng)料”，在項(xiàng)目建設(shè)、安全管理、安全技術(shù)保護(hù)等企業(yè)工作實(shí)踐中，可以主動考慮這些宏觀層面的安全要求，在設(shè)計(jì)和實(shí)施具體安全措施時，盡量滿足安全合規(guī)訴求，甚至將法律、行政法規(guī)、標(biāo)準(zhǔn)規(guī)范中的一些新趨勢要求，前置到安全設(shè)計(jì)規(guī)劃中。

企業(yè)安全落地實(shí)踐方法變成了從下往上的思路開展，因此在面對外部安全監(jiān)管時，如“檢查、評估、考核、審計(jì)“等，往往效果比較好。

03.

“圖”說明

文件硬盤數(shù)據(jù)銷毀

圖1：《個人信息保護(hù)合規(guī)審計(jì)管理辦法》框架

（一）總體框架

《管理辦法》正文內(nèi)容包括二十條，根據(jù)《個人信息保護(hù)法》《網(wǎng)絡(luò)數(shù)據(jù)管理?xiàng)l例》等法律、行政法規(guī)指定本辦法，目的是規(guī)范個人信息合規(guī)審計(jì)活動，保護(hù)個人信息權(quán)益，是我國為加強(qiáng)個人信息保護(hù)而制定的重要法規(guī)。

（二）基本要點(diǎn)

1.定義：個人信息保護(hù)合規(guī)審計(jì)，是指對個人信息處理者的個人信息處理活動是否遵守法律、行政法規(guī)的情況進(jìn)行審查和評價(jià)的監(jiān)督活動。

2.適用范圍：在中華人民共和國境內(nèi)開展個人信息保護(hù)合規(guī)審計(jì)。

3.涉及主體：

@保護(hù)部門：國家網(wǎng)信部門、其他履行個人信息保護(hù)責(zé)任的部門。這些部門可能包括工業(yè)和信息化部、公安部、市場監(jiān)督管理局等，對其工作進(jìn)行簡要整理

• 國家網(wǎng)信部門總體統(tǒng)籌協(xié)調(diào)、監(jiān)督管理、專項(xiàng)治理等；
• 工業(yè)和信息化部門負(fù)責(zé)電信和互聯(lián)網(wǎng)行業(yè)的個人信息保護(hù)監(jiān)管、行業(yè)標(biāo)準(zhǔn)制定等；
• 公安部主要涉及個人信息方面打擊違法犯罪、行政執(zhí)法、網(wǎng)絡(luò)安全監(jiān)管等。
• 市場監(jiān)督管理局主要涉及反不正當(dāng)競爭（如大數(shù)據(jù)殺熟、未經(jīng)同意推送廣告）、消費(fèi)者權(quán)益保護(hù)、廣告監(jiān)管、標(biāo)準(zhǔn)制定（如GB/T 35273 個人信息安全規(guī)范）和市場監(jiān)督管理等個人信息部分。

@個人信息處理者：一般個人信息處理者、超過1000萬以上個人信息的個人信息處理者、超過100萬以上個人信息處理者、提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者。

@專業(yè)機(jī)構(gòu)（審計(jì)）：從事個人信息保護(hù)合規(guī)審計(jì)的機(jī)構(gòu)，需要具備審計(jì)服務(wù)能力，并與服務(wù)相適應(yīng)的審計(jì)人員、場所、設(shè)施和資金等，鼓勵通過審計(jì)認(rèn)證。

文件硬盤數(shù)據(jù)銷毀

圖2：《數(shù)據(jù)安全管理15講》第4講課件材料

（三）關(guān)鍵內(nèi)容整理

通過逐條學(xué)習(xí)《管理辦法》，整理形成關(guān)鍵字、關(guān)鍵內(nèi)容等要點(diǎn)清單，如下。

文件硬盤數(shù)據(jù)銷毀

圖3：《管理辦法》要點(diǎn)清單

（四）與“數(shù)字”相關(guān)的要點(diǎn)

在我國的法律、行政法規(guī)、標(biāo)準(zhǔn)規(guī)范中，與“數(shù)字”相關(guān)的點(diǎn)特別值得進(jìn)行總結(jié)，它可以提醒企業(yè)在安全合規(guī)中必須要遵循的內(nèi)容，比如審計(jì)風(fēng)險(xiǎn)整改完成后，15個工作日要上報(bào)整改報(bào)告。《管理辦法》中與“數(shù)字”相關(guān)的要點(diǎn)，整理如下：

文件硬盤數(shù)據(jù)銷毀

圖4：《管理辦法》“數(shù)字”要點(diǎn)

（五）附錄《個人信息保護(hù)合規(guī)審計(jì)指引》

《管理辦法》附錄中《個人信息保護(hù)合規(guī)審計(jì)指引》是后續(xù)開展審計(jì)的核心依據(jù)，定義了詳細(xì)的審計(jì)條款，可作為建設(shè)企業(yè)個人信息保護(hù)合規(guī)的重要指引。

平常接觸個人信息保護(hù)工作時，我們能想起APP合規(guī)、備案，想起“用戶協(xié)議、隱私政策、個人信息收集清單、第三方信息共享清單”等等。

涉及個人信息相關(guān)內(nèi)容都非常細(xì)致、非常多，通常難以掌握。在學(xué)習(xí)這個附錄時，發(fā)現(xiàn)它的邏輯比較清晰，形成【26類個人信息保護(hù)重要情形】，對可能的【配套文件】進(jìn)行整理，供參考。

圖5：26類個人信息保護(hù)重要情形

04.

“圖”實(shí)踐

結(jié)合個人理解，對《管理辦法》中提出的個人信息安全合規(guī)審計(jì)工作，提出一些思考，如下：

（1）借“審計(jì)”要點(diǎn)，建設(shè)個保合規(guī)體系

審計(jì)作為個人信息保護(hù)工作重要閉環(huán)動作（規(guī)劃、建設(shè)、運(yùn)行運(yùn)營、檢查、審計(jì)），是對個人信息處理者在履行合規(guī)、管理、技術(shù)等動作開展必要的審查，目的是強(qiáng)化處理者的責(zé)任，后續(xù)必將是企業(yè)履行個人信息保護(hù)合規(guī)的必選動作。

@企業(yè)側(cè)可通過《管理辦法》的要求及《個人信息保護(hù)合規(guī)審計(jì)指引》提及的26種重要情形，借“審計(jì)”要點(diǎn)，建設(shè)企業(yè)個人信息合規(guī)體系，完成基礎(chǔ)合規(guī)動作。

（2）理解個人信息和數(shù)據(jù)安全的關(guān)系

網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個人信息保護(hù)同屬于安全領(lǐng)域，也存在明顯的不同。

• 網(wǎng)絡(luò)安全：相對比較成熟，側(cè)重網(wǎng)絡(luò)、信息系統(tǒng)的防護(hù)，以等級保護(hù)為基礎(chǔ)
• 數(shù)據(jù)安全：重點(diǎn)在安全有序基礎(chǔ)上，鼓勵數(shù)據(jù)流通、發(fā)揮數(shù)據(jù)要素價(jià)值，因此以數(shù)據(jù)業(yè)務(wù)為核心的數(shù)據(jù)安全，可以拆解成兩部分?jǐn)?shù)據(jù)安全：
• 安全領(lǐng)域部分：主要指數(shù)據(jù)安全能力，如基礎(chǔ)的加密、脫敏、防泄漏等，包括一定緯度的身份認(rèn)證和訪問控制；
• 數(shù)據(jù)業(yè)務(wù)領(lǐng)域部分：圍繞數(shù)據(jù)處理活動的風(fēng)險(xiǎn)而展開，屬于新型的、要研究的安全。如數(shù)據(jù)接入合規(guī)、數(shù)據(jù)分類分級、顆粒度更細(xì)的權(quán)限（數(shù)據(jù)權(quán)限、賬號權(quán)限等），側(cè)重以數(shù)據(jù)業(yè)務(wù)中數(shù)據(jù)全過程處理活動中的風(fēng)險(xiǎn)管控。
• 個人信息：與個人的切身利益相關(guān)，重點(diǎn)是強(qiáng)調(diào)“個人信息保護(hù)”，保護(hù)個人信息權(quán)益為基本出發(fā)點(diǎn)。因?yàn)?strong>個人信息通常與用戶“離得比較近”，用戶感知度較高，比如大量的APP、小程序，從企業(yè)管控角度上看，“抓手”比較明確，但是細(xì)節(jié)內(nèi)容、規(guī)則、條款太多，除了安全技術(shù)部分，與法務(wù)合規(guī)工作結(jié)合度較高。

總體上，個人信息作為數(shù)據(jù)安全范疇的一部分，數(shù)據(jù)安全工作中需要考慮個人信息、敏感個人信息的安全保護(hù)。【個人信息保護(hù)工作】可單獨(dú)成為一個重要安全分支，遵循它自己的邏輯，在企業(yè)實(shí)踐中要與數(shù)據(jù)安全工作有一定的區(qū)分度，比如建立個人信息保護(hù)相關(guān)組織、制度和安全事件應(yīng)急預(yù)案；比如個人信息保護(hù)影響評估、個人信息保護(hù)合規(guī)審計(jì)等必選工作。