文章总结： 国家网信办就个人信息保护法规实施细节作出解答，明确处理超1000万人个人信息的统计方法包含本数且不计已删除数据；规定不同规模企业合规审计频次（超1000万人每2年一次，超100万不超过1000万人每3-4年一次）；特别强调未成年人个人信息需每年审计，审计依据包括《个人信息保护法》《未成年人网络保护条例》等法规及国家标准。 综合评分： 85 文章分类： 政策法规,数据安全,安全运营,合规审计,个人信息保护

关注 | 国家网信办就个人信息保护政策法规问题最新解答

中国信息安全

2026年4月29日 18:11 北京

在小说阅读器读本章

去阅读

国家互联网信息办公室持续加强个人信息保护相关政策法规宣贯，指导帮助个人信息处理者规范开展个人信息处理活动，保护个人信息权益。现将一些具有代表性的问题和答复公布如下。

1.《网络数据安全管理条例》《个人信息保护合规审计管理办法》等法规规章有关规定涉及个人信息数量，如何进行统计？

《网络数据安全管理条例》第二十八条规定，网络数据处理者处理1000万人以上个人信息的，还应当遵守本条例第三十条、第三十二条对处理重要数据的网络数据处理者作出的规定。《个人信息保护合规审计管理办法》第四条规定，处理超过1000万人个人信息的个人信息处理者，应当每两年至少开展一次个人信息保护合规审计。《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》《个人信息出境认证办法》等规章有关规定也涉及个人信息数量。

以上法规规章有关规定涉及的个人信息数量，如“处理超过1000万人个人信息”，在计数中，均包含本数，按照个人信息处理者当前处理个人信息涉及的自然人数量进行统计，统计中不包括已经删除的个人信息。

2.个人信息处理者开展个人信息保护合规审计的频度？

《中华人民共和国个人信息保护法》第五十四条规定，个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。《个人信息保护合规审计管理办法》第四条规定，处理超过1000万人个人信息的个人信息处理者，应当每两年至少开展一次个人信息保护合规审计。参照《数据安全技术 个人信息保护合规审计要求》国家标准，处理超过100万、不超过1000万人个人信息的个人信息处理者，每三年或四年至少开展一次合规审计；处理不超过100万人个人信息的个人信息处理者，每五年至少开展一次合规审计。

个人信息处理者应当建立个人信息保护合规审计制度，依照法律、行政法规和国家有关规定，可以参照有关国家标准要求，合理确定并在相应制度中明确定期开展个人信息保护合规审计的频度，以提升个人信息保护合规水平，促进个人信息合理利用。

3.未成年人个人信息保护合规审计应包括哪些内容？

《未成年人网络保护条例》第三十七条规定，个人信息处理者应当自行或者委托专业机构每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计，并将审计情况及时报告网信等部门。《中华人民共和国民法典》第十七条规定，不满十八周岁的自然人为未成年人。

个人信息处理者处理未成年人个人信息，无论是否对未成年人身份进行识别，都应当按照《未成年人网络保护条例》第三十七条规定要求，自行或者委托专业机构每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计。

个人信息处理者开展未成年人个人信息保护合规审计，应当依照《中华人民共和国个人信息保护法》《未成年人网络保护条例》《网络数据安全管理条例》《儿童个人信息网络保护规定》《个人信息保护合规审计管理办法》等法律、行政法规、部门规章关于个人信息保护合规审计和未成年人个人信息保护有关规定要求，可以参照《数据安全技术 个人信息保护合规审计要求》等国家标准，对未成年人个人信息处理活动是否遵守法律、行政法规等情况进行全面审查和评价。

（来源：中国网信网）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：中国信息安全 《关注 | 国家网信办就个人信息保护政策法规问题最新解答》