第一章总则

第一条为规范个人信息保护合规审计活动，保护个人信息权益，依据《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规，制定本办法。

第二条我国境内开展个人信息保护合规审计适用本办法。

本办法所称合规审计：核查个人信息处理者处理活动合规性的审查评价监督活动。

第三条个人信息处理者自主审计：可内部内审或委托第三方专业机构定期审计。

第四条处理1000万条以上个人信息，每2年至少1次合规审计。

第五条存在下列情形之一，网信及行业监管（保护部门）可责令委托第三方机构专项审计：

（一）处理活动存在重大合规风险、安全保障严重缺失；

（二）处理行为可能侵害不特定多数人权益；

（三）安全事件造成≥100万普通信息/≥10万敏感信息泄露、篡改、灭失。

同一风险/事故不得重复下达审计指令。

第六条自主审计、监管指令审计均须参照附件《个人信息保护合规审计指引》执行。

第二章审计实施

第七条第三方审计机构须配备适配人员、场地、软硬件，具备审计能力；鼓励合规资质认证。

第八条被责令审计的主体承担审计费用，配合审计单位调取资料、开放必要权限。

第九条按监管要求选定审计机构，在限期内完成审计；复杂项目经监管批准可延期。

第十条审计完结后，被审计单位向保护部门报送正式审计报告，报告由审计机构负责人、执业人员签字并加盖公章。

第十一条被审计单位依据审计报告列明问题制定整改方案，限期整改，留存整改台账备查；重大整改事项报送监管部门。

第十二条回避轮换规则：同一机构及其关联方、同一项目负责人不得连续3次审计同一单位，防范利益关联、审计舞弊。

第十三条审计机构履职要求：

1.恪守法律法规、客观公正，不得隐瞒违法事项、出具虚假审计意见；

2.对审计过程获取的企业数据、个人信息严格保密；

3.发现重大违法线索，及时向保护部门书面报送。

第三章监督管理

第十四条保护部门依法抽查：核查处理者审计制度建设、审计实施、整改落地、报告留存情况。

第十五条任何单位、个人可就审计弄虚作假、违规执业行为向网信及行业主管部门投诉举报。

第十六条保护部门建立审计机构信用台账，记录违规、失信行为并依法公示。

第四章法律责任

第十七条个人信息处理者有下列情形，监管责令限期改正；拒不整改依法处罚：

1.达标主体逾期不按期开展法定频次审计；

2.收到审计整改通知拒不整改、虚假整改；

3.监管责令专项审计却拒不委托第三方、拒不配合审计工作。

第十八条审计机构出具不实报告、串通隐瞒违法事实、泄露涉密信息，监管责令整改、没收违法所得；情节严重暂停从业、列入黑名单，依法依规处罚；涉嫌犯罪已移送司法机关。

第五章附则

第十九条国家机关开展政务类个人信息合规审计，参照本办法执行。

第二十条本办法自2025年5月1日施行；附件《个人信息保护合规审计指引》同步配套实施。