文章总结： 本文系统介绍个人信息保护合规审计的实践要点，包括审计周期划分标准（如处理1000万人以上每两年一次）、审计方式选择（内部或第三方审计）及审计内容框架（5大类107项）。核心结论强调需结合法规要求定期审计，重点审查隐私政策、告知同意等环节，以识别合规差距并优化保护机制。 综合评分： 81 文章分类： 政策法规,数据安全,安全运营,解决方案,安全建设

个人信息保护合规审计 | （二）个保合规审计怎么做？

公安部网络安全等级保护中心

2026年4月15日 09:33 上海

在小说阅读器读本章

去阅读

在上一篇文章中，我们已经系统介绍了个保合规审计的定义及开展的必要性和重要性。本文将聚焦个保合规审计实践，围绕审计周期、审计方式选择、审计内容三个方面展开介绍，为个人信息处理者开展个人信息保护合规审计提供参考。

01

审计周期如何确定？

审计周期的确定取决于企业处理的个人信息规模、业务场景以及特定人群的保护要求。目前，我国个人信息保护合规审计周期以处理规模为核心划分标准，《个人信息保护合规审计管理办法》明确了处理规模达到1000万人以上的企业每两年至少开展一次审计；GB/T 46903—2025《数据安全技术 个人信息保护合规审计要求》则对处理规模低于1000万人的企业给出细化建议，处理100万至1000万人的，每三年或四年至少开展一次；处理100万人以下的，建议每五年至少开展一次。在此基础上，特定主体适用更高保护标准，《未成年人网络保护条例》要求未成年人个人信息处理者无论规模大小均需每年至少审计一次。

目前，主要法律法规与标准中的审计周期要求如下表所示：

除遵循上述已明确规定的审计周期外，个人信息处理者也可结合实际业务场景，按需开展个保合规审计。

02

审计方式如何选择？

审计方式包括内部机构审计和委托第三方审计两种方式。

内部机构审计：指由个人信息处理者内部设立的专门机构或专职人员，依据法律法规及内部制度，对本单位个人信息处理活动开展的自我审查与评估活动。

委托第三方审计：指个人信息处理者委托具有专业资质的外部机构，依据法律法规及委托协议，对本单位个人信息处理活动开展的独立审查与评估。

依据《个人信息保护合规审计管理办法》，个人信息处理者自行发起的常规审计可自主选择内部机构或委托第三方机构开展。但当存在监管要求或触发法律法规的规定情形则必须委托第三方审计，具体包括：

因此，审计方式可参考下图进行选择。

03

审计内容都有哪些?

根据GB/T46903—2025《数据安全技术—个人信息保护合规审计要求》分为26个大项，共计107个审计小项，可归纳为治理与组织建设、信息处理规范与义务、第三方与特殊场景信息处理、信息采集与权利保障、技术措施与应急处置等5类，具体内容见下表。在实际审计工作中，具体审计内容根据被审计范围的实际情况确定。

综上，开展个人信息保护合规审计，关键在于把握审计周期、明确审计方式、紧扣审计内容。在审计周期上，应严格对照法律法规与标准要求，做到定期开展、应审尽审；在审计方式上，需灵活选择内部审计或委托第三方专业机构审计，确保独立性与合规性；在审计内容上，应围绕个人信息处理全生命周期，逐一比对审计项要求，重点关注隐私政策、告知同意、最小必要、数据安全措施等合规要点。只有把频率定准、方式选对、重点抓牢，才能精准识别合规差距，持续优化个人信息保护机制，真正筑牢用户信任与法律遵从的防线。

我所等保中心作为国内首批获得个人信息保护合规审计服务认证证书的机构，完全具备按照国家监管要求开展个人信息保护合规审计工作的技术能力、业务体系、管理机制、专业团队和服务能力，能够针对各行业、各场景提供标准化、专业化的个人信息保护合规审计及其他相关服务。

联系人：吴老师

联系电话：18611766635

END

关注我们 更多精彩

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：公安部网络安全等级保护中心 《个人信息保护合规审计 | （二）个保合规审计怎么做？》