ARTICLE
7 March 2025

《个人信息保护合规审计》对企业的深层次影响及合规要点分析

AB
AnJie Broad Law Firm

Contributor

AnJie Broad Law Firm logo
AnJie Broad Law Firm is a full-service law firm with a wide range of practice areas. We are committed to delivering high-quality bespoke legal solutions to clients. AnJie Broad has extensive experience serving clients in practice areas such as Capital Market & Securities, Antitrust & Competition, Private Equity & Venture Capital, Intellectual Property, Dispute Resolution, Labor & Employment, Cross-border Investment & Acquisition, Insurance & Reinsurance, Maritime & Shipping, Banking & Finance, Energy, International Trade, Technology Media & Telecommunications, Life Sciences & Healthcare, Private Wealth Management, Real Estate & Construction, Hotels Resorts & Tourism and Media, Game and Entertainment & Sports.
Explore Firm Details
自2021年以来,《个人信息保护法》的及相关配套法规的陆续出台,逐步构建了我国个人信息保护的法律体系。
China Privacy
Yang Hongquan
Your Author LinkedIn Connections

引言:

自2021年以来,《个人信息保护法》的及相关配套法规的陆续出台,逐步构建了我国个人信息保护的法律体系。《个人信息保护法》中关于"个人信息保护合规审计"( "合规审计")的原则性要求一直颇受企业关注,但由于缺乏配套法规及操作指引,鲜有企业开展系统化的合规审计工作。将于2025年5月1日施行的《个人信息保护合规审计管理办法》(" 《办法》")细化了《个人信息保护法》的原则性要求,为企业开展合规审计工作提供了明确指引。本文分析了《办法》对企业可能产生的深层次影响、《办法》的合规要点及重要审计项等要求。

一、 《办法》对企业个人信息保护工作的深层次影响

《办法》可能对企业将产生如下重大影响:

  • 合规审计强制化与常态化

《个人信息保护法》及《办法》均明确了开展个人信息保护合规审计是企业和其他组织的法定义务,企业若未依法开展合规审计即构成违法行为。企业必须将合规审计全面纳入企业内部个人信息治理和合规体系,推动形成常态化合规审计机制。

  • 监管评价体系重构

相关监管部门(包括行业主管部门)将逐渐把合规审计实施情况纳入核心监管指标。企业是否已开展合规审计以及合规审计的结果将成为衡量企业个人信息保护水平的重要标志。相关监管部门可能会基于审计报告质量、问题整改效率等量化标准,构建新型企业个人信息保护能力评价体系,而审计结果将成为相关监管部门实施分级分类监管的重要依据。

  • 商业合作门槛提高

随着相关监管部门的重视,企业之间如涉及个人信息方面的合作,一方可能会将对方是否已开展合规审计和审计结果作为是否合作的重要前提条件。例如有些企业在公开招标时可能会要求投标单位必须提供个人信息保护合规审计报告、或承诺已依法开展合规审计且未有重大合规瑕疵。合规审计也可能成为企业对供应商管理的常态化要求之一。

  • 影响企业通过政府审批

对于涉及企业个人信息处理的一些政府审批项目(例如企业上市),一些政府部门可能会明确要求企业提供合规审计报告或相关合规性陈述。如未能满足相关条件,企业可能面临无法获得政府审批的风险。

  • 政企合作门槛提高

政府部门在一些涉及个人信息处理的采购项目中,可能会要求供应商必须提供个人信息保护合规审计报告、或承诺已依法开展合规审计且未有重大合规瑕疵。不满足这些条件的企业将可能失去政府采购竞标资格。

  • 企业个人信息保护合规工作更偏向"实质"合规

《办法》的颁布,标志着相关监管部门要求企业的个人信息工作向深层次迈进。自2021年《个人信息保护法》颁布后很长一段时间,很多企业的合规工作更侧重于解决"有没有"个人信息保护合规体系这一基本问题。从这一角度出发,很多企业合规工作的重心是首先在形式上建立一套相对完整的个人信息保护合规体系,而对这一体系的执行效果未有深层追问。而《办法》下的合规审计,作为一种全面检查企业个人信息保护合规体系落实情况的手段,更侧重于回答这个体系各个环节"好不好"的问题。从这一角度出发的个人信息保护工作,必然会把个人信息保护合规体系的执行效果纳入重要考量,推动企业个人信息工作向深层次迈进。

下表总结了不同阶段企业个人信息保护工作的重点:

企业合规工作重点

《办法》施行前

《办法》施行后

建设重点

形式合规框架搭建

实质合规效果验证

工作重心

制度文本体系建设

执行过程留痕管理

验证方式

自我声明合规

审计证据链证明合规
  • 新建合规体系需预设审计导向

对于《个保法》颁布后尚未建立个人信息保护合规体系的企业而言,如此时开始搭建这一体系,考虑到由于企业面临后续合规审计的压力,企业会倾向在体系构建之初即充分考虑合规审计的需求,构建合规体系时须遵循"审计友好型"设计原则,例如:

  1. 个人信息保护合规体系需明确包括审计制度、审计组织、审计规范等内容;
  2. 为合规审计工作拨付预算;
  3. 通过业务流程嵌入合规审计取证节点、管理文档配置索引标签等方式,前瞻性避免后续审计中的证据缺失风险。
  • 个人信息影响评估需加强与合规审计工作的衔接

《办法》的颁布,会使得企业从一个合规审计的视角重新审视个人信息保护影响评估工作。根据《个人信息保护法》,企业需对敏感个人信息处理、自动化决策实施、委托处理个人信息、向第三方提供个人信息、个人信息公开披露、跨境传输个人信息等场景,在处理个人信息 之前即开展个人信息保护影响评估。由于个人信息保护影响评估一直缺乏较为权威的强制性标准,在实践中企业的个人信息保护影响评估工作粗浅不一、效果难言。而在《办法》颁布后,由于企业面临后续合规审计压力,企业会倾向于在个人信息保护影响评估环节就将合规审计项纳入评估,并为后续合规审计准备好相关证据,从而实现"评估即备审"的工作闭环。

  • 合规成本升高

合规审计是一项全面、复杂和专业性较强的工作。全面落实合规审计要求无疑会增加各类企业的合规成本。特别是,中小企业缺乏内部数据合规专业人士和聘请外部专业机构的预算。在没有强监管要求的情况下,有些企业可能忽略合规审计或仅是"走个过场",从而带来合规风险。

  • 数字化和自动化解决方案助力企业合规审计工作

考虑到合规审计的复杂性和结构化的特点,大型企业将有较强动力自研或外采合规审计数字化和自动化解决方案,通过技术手段提高合规审计效率、降低合规审计成本。随着此类解决方案的成熟和市场普及,成本也将显著降低,并使得中小企业受益。

二、 《办法》的合规要点(问答)

  • 什么情况下需要开展合规审计?

合规审计可分为自行审计、被动审计两类。

  • 自行审计:个人信息处理者主动依法履行合规审计义务(《个人信息保护法》第五十四条、《办法》第三条、第四条);
  • 被动审计:履行个人信息保护职责的部门在履行职责中,发现个人信息处理者存在信息安全事件或者风险的情况下,要求个人信息处理者依法开展合规审计(《个人信息保护法》第六十四条、《办法》第五条)。
  • 合规审计需要多久做一次?
  • 自行审计:处理超过1000万人个人信息的个人信息处理者,应当每两年至少开展一次个人信息保护合规审计(《办法》第四条);《办法》未对其他个人信息处理者自行开展合规审计的频率提出明确要求,理论上这些个人信息处理者可根据自身情况确定审计频率,但建议企业内部对此进行明确规定并有合理理由。但需要注意的是,根据《未成年人网络保护条例》第三十七条, "个人信息处理者应当自行或者委托专业机构 每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计,并将审计情况及时报告网信等部门"。因此,如果企业处理未成年人个人信息,则每年都需要开展合规审计。
  • 被动审计:在存在信息安全事件或者风险时,依照个人信息保护部门的要求开展合规审计(《办法》第五条)。
  • 合规审计都需要审什么内容?
  • 个人信息保护合规审计,是对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。(《办法》第二条)。企业只要涉及个人信息处理,就需要对个人信息处理行为的合法性进行审计。
  • 企业应当参照《办法》附件的《个人信息保护合规审计指引》进行合规审计(《办法》第六条)(详见下文第三部分:《个人信息保护合规审计指引》重点审查事项)。
  • 据报道,全国网络安全标准化技术委员会正在研制一批个人信息保护合规审计重点标准和实践指南,为《办法》的落地实施提供指引。该委员会曾在2024年7月发布推荐性国家标准《数据安全技术 个人信息保护合规审计要求(征求意见稿)》(请见https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20240712162705&norm_id=20231220163619&recode_id=55772)。该标准一旦正式颁布,将成为企业开展合规审计工作的重要参考。
  • 谁有资格来开展合规审计?
  • 自行审计:个人信息处理者内部机构可以自行开展合规审计,也可以委托专业机构开展合规审计(《办法》第三条);
  • 被动审计:个人信息处理者仅可委托专业机构开展合规审计(《办法》第五条)。
  • 《办法》对开展合规审计的专业机构有什么要求?
  • 《办法》对专业机构的类型未进行限制,因此有合规审计能力的各类机构(例如律师事务所、会计师事务所、科研机构等)均可以提供合规审计服务;
  • 专业机构需具备开展个人信息保护合规审计的能力,有与服务相适应的审计人员、场所、设施和资金等(《办法》第七条);
  • 遵循自愿性、市场化的原则,专业机构可自愿参加认证(《个人信息保护合规审计管理办法》答记者问)。
  • 专业机构在从事个人信息保护合规审计活动时,应当遵守法律法规,诚信正直,公正客观地作出合规审计职业判断,对在履行个人信息保护合规审计职责中获得的个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供,在合规审计工作结束后及时删除相关信息(《办法》第十三条)。
  • 专业机构不得转委托其他机构开展个人信息保护合规审计(《办法》第十四条);
  • 同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计(《办法》第十五条)。
  • 合规审计结果是否需要向政府部门提供?
  • 自行审计:《办法》未明确要求个人信息处理者主动向政府部门提供合规审计报告,但保护部门(国家网信部门和其他履行个人信息保护职责的部门)有权对个人信息处理者开展个人信息保护合规审计情况进行监督检查(《办法》第十六条);
  • 被动审计:
  • 个人信息处理者按照保护部门要求开展个人信息保护合规审计的,在完成合规审计后,应当将专业机构出具的个人信息保护合规审计报告报送保护部门。个人信息保护合规审计报告应当由专业机构主要负责人、合规审计负责人签字并加盖专业机构公章。(《办法》第十条)
  • 应当按照保护部门要求对合规审计中发现的问题进行整改。在整改完成后15个工作日内,向保护部门报送整改情况报告(《办法》第十一条)。
  • 企业不开展合规审计会承担法律责任吗?
  • 会承担法律责任。个人信息处理者违反《办法》规定的,依照《中华人民共和国个人信息保护法》、《网络数据安全管理条例》等法律法规的规定处理;构成犯罪的,依法追究刑事责任(《办法》第十八条)。
  • 企业不开展合规审计,还面临举报的风险。《办法》规定,任何组织、个人有权对个人信息保护合规审计中的违法活动向保护部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报人(《办法》第十七条)。
  • 《办法》还有哪些重要内容需要关注?
  • 个人信息保护负责人:《个保法》对企业任命个人信息保护负责人仅有原则性要求,未明确企业的具体条件。《办法》明确规定处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人,负责个人信息处理者的个人信息保护合规审计工作(《办法》第十二条);
  • 独立监督机构:提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督(《办法》第十二条)。

三、 《个人信息保护合规审计指引》重点审查事项

《办法》的附件《个人信息保护合规审计指引》详细地列举了合规审计需重点审查的事项,涵盖了个人信息处理全周期的各个环节。企业合规审计中需全面审查这些重点事项,并可根据实际情况增加额外的审查事项。

条款

审计内容

重点审查事项

个人信息处理活动的合法性基础

(一)基于个人同意处理个人信息的,是否取得个人同意,该同意是否由个人在充分知情的前提下自愿、明确作出;

(二)基于个人同意处理个人信息的,个人信息的处理目的、处理方式、处理的个人信息种类发生变更的,是否重新取得个人同意;

(三)基于个人同意处理个人信息的,是否依照法律、行政法规取得个人单独同意或者书面同意;

(四)处理个人信息未取得个人同意的,是否属于法律、行政法规规定不需要取得个人同意的情形。

个人信息处理规则

(一)是否真实、准确、完整地告知个人信息处理者的名称或者姓名和联系方式;

(二)是否以清单等便于查看的形式列明所收集的个人信息及其处理方式和种类;

(三)是否与处理目的直接相关,采取对个人权益影响最小的方式;

(四)是否明确个人信息保存期限或者保存期限的确定方法、到期后的处理方式,以及确定保存期限为实现处理目的所必要的最短时间;

(五)是否明确个人查阅、复制、转移、更正、补充、删除、限制处理个人信息以及注销账号、撤回同意的途径和方法。

履行告知个人信息处理规则义务

(一)个人信息处理者在处理个人信息前,是否以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理规则;

(二)告知文本的大小、字体和颜色是否便于个人完整阅读告知事项;

(三)线下告知是否通过标注、说明等多种方式向个人履行告知义务;

(四)在线告知是否提供文本信息或者通过适当方式向个人履行告知义务;

(五)个人信息处理规则发生变更的,是否将变更内容及时告知个人;

(六)处理个人信息不需要告知的,是否属于法律、行政法规规定应当保密或者不需要告知的情形。

共同处理个人信息

(一)是否约定各自的权利义务;

(二)个人信息权益保护机制;

(三)个人信息安全事件报告机制;

(四)其他法律、行政法规规定需要约定的权利和义务。

委托处理个人信息

(一)个人信息处理者在委托处理个人信息前,是否开展个人信息保护影响评估;

(二)个人信息处理者与受托人签订的合同,是否与受托人约定了委托处理的目的、期限、方式、个人信息的种类、保护措施以及双方的权利义务等;

(三)个人信息处理者是否采取定期检查等方式,对受托人的个人信息处理活动进行监督。

因合并、重组、分立、解散、被宣告破产等原因需要转移个人信息

个人信息处理者存在因合并、重组、分立、解散、被宣告破产等原因需要转移个人信息情形的,应当重点审查个人信息处理者是否向个人告知接收方的名称或者姓名和联系方式。

向其他个人信息处理者提供个人信息

(一)基于个人同意处理个人信息的,是否取得个人的单独同意;

(二)是否向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,法律、行政法规规定应当保密或者不需要告知的除外;

(三)是否事前进行个人信息保护影响评估。

自动化决策处理个人信息

(一)自动化决策的透明度,以及自动化决策的结果是否公平、公正;

(二)是否事前告知个人自动化决策处理个人信息的种类及可能带来的影响;

(三)是否事前进行个人信息保护影响评估;

(四)是否向用户提供保障机制,以便个人通过便捷方式拒绝通过自动化决策方式作出对个人权益有重大影响的决定,并要求个人信息处理者就通过自动化决策方式作出对用户个人权益有重大影响的决定予以说明;

(五)向个人进行信息推送、商业营销的,是否同时提供不针对个人特征的选项,或者提供便捷的拒绝自动化决策服务的方式;

(六)是否采取了有效措施,防止自动化决策根据消费者的偏好、交易习惯等对个人在交易条件上实行不合理的差别待遇;

(七)其他可能影响自动化决策的透明度和结果公平、公正的事项。

基于个人同意公开个人信息

(一)个人信息处理者公开其处理的个人信息前是否取得个人单独同意,该授权是否真实、有效,是否存在违背个人意愿将个人信息予以公开的情况;

(二)个人信息处理者公开个人信息前,是否进行个人信息保护影响评估。

十一

公共场所安装图像收集、个人身份识别设备

(一)是否为维护公共安全所必需,是否为商业目的处理所收集的个人信息;

(二)是否设置了显著的提示标识;

(三)个人信息处理者所收集的个人图像、身份识别信息用于维护公共安全以外用途的,是否取得个人单独同意。

十二

处理已公开的个人信息

(一)向已公开个人信息中的电子邮箱、手机号等发送与其公开目的无关的商业信息;

(二)利用已公开的个人信息从事网络暴力、传播网络谣言和虚假信息等活动;

(三)处理个人明确拒绝处理的已公开个人信息;

(四)对个人权益有重大影响,未取得个人同意;

(五)收集、留存或处理已公开个人信息的规模、时间或使用目的超出合理范围。

十三

处理敏感个人信息

(一)基于个人同意处理个人信息的,处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息,是否事前取得个人的单独同意;

(二)基于个人同意处理个人信息的,处理不满十四周岁未成年人的个人信息,是否事前取得未成年人的父母或者其他监护人的同意;

(三)处理敏感个人信息的目的、方式、范围是否合法、正当、必要;

(四)是否在事前进行个人信息保护影响评估;

(五)是否向个人告知处理敏感个人信息的必要性以及对个人权益的影响,法律、行政法规规定应当保密或者不需要告知的除外;

(六)法律、行政法规规定应当取得书面同意的,是否取得书面同意;

(七)是否遵守法律、行政法规对处理敏感个人信息的限制性规定。

十四

处理不满十四周岁未成年人个人信息

(一)是否制定专门的个人信息处理规则;

(二)是否向未成年人及其监护人告知未成年人个人信息的处理目的、处理方式、处理必要性,以及处理个人信息的种类、所采取的保护措施等,法律、行政法规规定不需要告知的除外;

(三)基于个人同意处理个人信息,是否存在强制要求未成年人或者其监护人同意处理非必要个人信息的行为。

十五

向境外提供个人信息

(一)关键信息基础设施运营者向境外提供个人信息是否经过国家网信部门组织的安全评估,法律、行政法规、国家网信部门另有规定的,从其规定;

(二)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息是否经过国家网信部门组织的安全评估,法律、行政法规、国家网信部门另有规定的,从其规定;

(三)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,是否按照国家网信部门的规定,经个人信息保护认证或者按照国家网信部门制定的标准合同与境外接收方签订合同并向所在地省级网信部门备案,或者符合法律、行政法规、国家网信部门规定的其他条件;

(四)存在向外国司法或者执法机构提供存储于中华人民共和国境内个人信息情形的,是否经过中华人民共和国主管机关批准;

(五)是否向被列入限制或者禁止个人信息提供清单的组织和个人提供个人信息。

十六

个人信息删除权保障情况

(一)个人信息处理目的是否已实现、无法实现或者为实现处理目的不再必要;

(二)个人信息处理者是否停止提供产品或者服务,或者个人是否已注销账号;

(三)保存期限是否已届满;

(四)个人是否撤回同意;

(五)个人信息处理者是否违反法律、行政法规或者违反约定处理个人信息;

(六)应当删除个人信息,但法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者是否停止除存储和采取必要的安全措施之外的处理。

十七

保障个人在个人信息处理活动中的权利情况

(一)是否建立便捷的个人行使权利的申请受理机制和处理机制;

(二)是否及时响应个人行使权利的申请,是否及时、完整、准确告知处理意见或者执行结果;

(三)拒绝个人行使权利请求的,是否向个人说明理由。

十八

响应个人申请,对个人信息处理规则进行解释说明

(一)个人信息处理者是否提供便捷的方式和途径,接受、处理个人关于个人信息处理规则解释说明的要求;

(二)接到个人的要求后,个人信息处理者是否在合理的时间内,使用通俗易懂的语言对其个人信息处理规则作出解释说明。

十九

内部管理制度和操作规程

(一)个人信息保护工作的方针、目标、原则是否符合法律、行政法规规定;

(二)个人信息保护组织架构、人员配备、行为规范、管理责任是否与应当履行的个人信息保护责任相适应;

(三)是否根据个人信息的种类、来源、敏感程度、用途等,对个人信息进行分类;

(四)是否建立个人信息安全事件应急响应机制;

(五)是否建立个人信息保护影响评估制度、合规审计制度;

(六)是否建立畅通的个人信息保护投诉举报受理流程;

(七)是否合理制定个人信息处理操作权限;

(八)是否制定实施个人信息保护安全教育和培训计划;

(九)是否建立个人信息保护负责人及相关人员履职评价制度;

(十)是否建立个人信息违法处理责任制度;

(十一)法律、行政法规规定的其他事项。

二十

安全技术措施

(一)是否采取相应安全技术措施实现个人信息的保密性、完整性、可用性;

(二)是否采取加密、去标识化等安全技术措施,确保在不借助额外信息的情况下,消除或者降低个人信息的可识别性;

(三)采取的安全技术措施能否合理确定有关人员查阅、复制、传输个人信息等的操作权限,减少个人信息在处理过程中未经授权的访问和滥用风险。

二十一

教育培训计划

(一)是否按计划对管理人员、技术人员、操作人员、全员开展相应的安全教育和培训,是否对相应人员的个人信息保护意识和技能进行考核;

(二)培训内容、方式、对象、频率等能否满足个人信息保护需要。

二十二

个人信息保护负责人履职

(一)个人信息保护负责人是否具有相关的工作经历和专业知识,熟悉个人信息保护相关法律、行政法规;

(二)个人信息保护负责人是否具有明确清晰的职责,是否被赋予充分的权限协调个人信息处理者内部相关部门与人员;

(三)个人信息保护负责人在个人信息处理重大事项决策前是否有权提出相关意见和建议;

(四)个人信息保护负责人是否有权对个人信息处理者内部个人信息处理的不合规操作进行制止和采取必要的纠正措施;

(五)个人信息处理者是否公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送保护部门。

二十三

个人信息保护影响评估

(一)是否依照法律、行政法规的规定,在进行对个人权益具有重大影响的个人信息处理活动前进行个人信息保护影响评估;

(二)是否对个人信息的处理目的、处理方式等进行合法、正当、必要评估;

(三)是否对个人权益的影响及安全风险进行评估;

(四)是否对所采取的保护措施的合法性、有效性,以及与风险程度的适应性进行评估。

二十四

个人信息安全事件应急预案

(一)是否结合业务实际,对面临的个人信息安全风险作出系统评估和预测;

(二)总体要求、基本策略,组织机构、人员,技术、物资保障,指挥处置程序,应急和支持措施等是否足以应对预测的风险;

(三)是否对相关人员进行应急预案培训,定期对应急预案进行演练。

二十五

应急响应处置情况

(一)是否按照应急预案、操作规程及时查明个人信息安全事件的影响、范围和可能造成的危害,分析、确定事件发生的原因,提出防止危害扩大的措施方案;

(二)是否建立通报渠道,在安全事件发生后按照相关规定及时通知保护部门和个人;

(三)是否采取相应措施将个人信息安全事件可能造成的损失和可能产生的危害风险降低到最小。

二十六

平台规则合规性(针对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者)

(一)平台规则是否与法律、行政法规相抵触;

(二)平台规则个人信息保护条款的有效性,是否合理界定了平台、平台内产品或者服务提供者的个人信息保护权利和义务;

(三)平台规则的执行情况,是否通过抽样等方式验证平台规则被有效执行。

二十七

社会责任报告合规性(针对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者)

(一)个人信息保护组织架构和内部管理情况;

(二)个人信息保护能力建设情况;

(三)个人信息保护措施和成效;

(四)个人行使权利的申请受理情况;

(五)独立监督机构履职情况;

(六)重大个人信息安全事件处理情况;

(七)促进个人信息保护社会共治的科普宣传、公益活动情况;

(八)法律、行政法规规定的其他事项。

四、 合规审计相关国家标准

据报道,全国网络安全标准化技术委员会正在研制一批个人信息保护合规审计重点标准和实践指南,为《办法》的落地实施提供指引。1该委员会曾在2024年7月发布推荐性国家标准《数据安全技术 个人信息保护合规审计要求(征求意见稿)》(见https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20240712162705&norm_id=20231220163619&recode_id=55772),该标准列出了合规审计的推荐性实施要求、工作方法和主要审计项。该标准一旦正式颁布,将为企业开展合规审计工作提供重要参考。

我们将紧密关注相关法律法规和国家及行业标准的发展,并及时解读。

安杰世泽科技、数据保护及网络安全团队

安杰世泽律师事务所为跨国公司、国有企业和民营企业提供有关TMT(科技、媒体和电信)、数据保护和网络安全等领域全方位的法律服务,帮助客户管理这一日益重要的风险领域。Chambers and Partners、Legal 500和LEGAL BAND 等多家国际和国内法律评级机构均将我们推荐为TMT(科技、媒体和电信)领域和数据合规领域的领先中国律所。

在数据合规领域,我们是国内最早开展数据保护及网络安全法律服务的律师事务所之一。我们所服务客户的领域包括但不限于银行、保险、航空、能源、电信、互联网、电子商务、健康医疗、快递物流、酒店管理、娱乐传媒、投资基金、汽车等。自《个人信息保护法》施行以来,我们已为多家客户开展个人信息保护合规体系建设、合规差距分析、个人信息保护影响评估、个人信息保护合规审计、数据出境安全评估、个人信息出境标准合同备案等大型数据合规项目,并已积累丰富经验。

关于作者

杨洪泉 合伙人

安杰世泽律师事务所

工作邮箱:yanghongquan@anjielaw.com

杨律师是安杰世泽律师事务所科技、数据保护及网络安全业务的合伙人。在这些领域,杨律师已有20多年的公司内部法律顾问和外部律师的丰富经验。他在监管、商事和公司等事务上为客户提供广泛的法律服务,尤为专注数据保护、网络安全、电信、互联网、硬件和软件、技术采购和转让、分销和许可以及其他与技术有关的领域。

荣誉和认可

杨律师是多家国际知名法律评级机构推荐的领先律师,被评为:

数据保护及网络安全领域

x 数据保护领域:Band 1律师 – Chambers and Partners (2023-2025)

x 数据保护领域:领先律师 – Legal 500 (2021-2025)

x 全球杰出数据律师 – Who's Who Legal (2021-2025)

TMT(科技、媒体及电信)领域

x TMT领域:Band 1律师 – Chambers and Partners (2023-2025)

x TMT领域:领先律师 – Legal 500 (2020-2025)

x 全球杰出TMT律师 – Who's Who Legal (2021-2025)

x 中国网络安全与数据保护领先律师 – LEGALBAND (2019-2024)

x 网络安全与数据合规:智选律师 – 名律堂 (2024)

赵梓彤 律师

安杰世泽律师事务所

工作邮箱:zhaozitong@anjielaw.com

赵梓彤律师专注于TMT(科技、媒体与通信)、数据合规及网络安全领域的法律服务,为多家知名公司提供常年数据法律服务,以及App合规、数据安全事件响应、合规差距分析、AI合规、数据出境等多个前沿领域的专项服务。赵律师服务的客户涵盖电子制造业、快递物流、酒店管理、娱乐传媒、医药健康、金融、电信、互联网、汽车等领域。

1. https://www.cac.gov.cn/2025-02/14/c_1741232815133352.htm

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Authors
Photo of Yang Hongquan
Yang Hongquan
Your Author LinkedIn Connections
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More