数据安全技术 个人信息保护合规审计要求-编制说明.pdf

国家标准《数据安全技术个人信息保护合规审计要求》（征

求意见稿）编制说明

一、工作简况

1.1任务来源

为明确开展个人信息保护合规审计时应满足的审计原则、总体要求等，规范

个人信息处理者开展个人信息保护合规审计的行为，全国网络安全标准化技术委

员会于2023年8月30日立项《数据安全技术个人信息保护合规审计要求》国

家标准制定项目。该标准由中国电子技术标准化研究院牵头，并联合中国电子信

息产业发展研究院、中国信息通信研究院、中央网信办数据与技术保障中心等几

十家单位共同编制。

1.2制定背景

《个人信息保护法》第五十四条、第六十四条要求个人信息处理者自行开展

合规审计以及个人信息处理活动存在较大风险或发生安全事件时，按照履行个人

信息保护职责部门要求委托专业机构开展个人信息保护合规审计。为支持《个人

信息保护法》落地实施，需要从国家标准层面提出开展个人信息保护合规审计的

审计原则、审计总体要求。

1.3起草过程

2023年04月25日，成立标准申报项目组，开展基本情况研究；

2023年04月28日，召开编制组研讨会，初步确定标准范围及内容，形成

第一版标准草案；

2023年05月31日，在标准周汇报标准编制情况，听取大数据组成员单位

专家意见，会后按照专家意见修改，形成第二版标准草案；

2023年08月30日，通过安标委立项；

2023年09月12日，公开征集标准参编单位，40余家相关企事业单位加入

标准编制组；

2023年10月19日，召开全体编制组研讨会，对标准范围和框架进行研讨，

形成第三版标准草案；

2023年11月03日，在标准周上进行汇报，听取专家意见，经大数据组全

体成员单位投票表决，可推进至征求意见稿阶段；

2024年03月15日，召开标准征求意见稿专家审查会；

2024年06月13日，在标准周上进行汇报，听取工作组意见。

二、标准编制原则、主要内容及其确定依据

2.1标准编制原则

本标准在编制过程中遵循了问题导向原则、协调性原则。

本标准旨在支撑《个人信息保护法》第五十四条、第六十四条提出的个人信

息保护合规审计制度的贯彻落实，解决由于缺少具体审计过程规范要求、审计开

展方式步骤要求等，导致个人信息保护合规审计不易开展的问题。

本标准与现行相关标准相协调。本标准规范性引用了GB/T35273—2020等

标准，确保标准间相互协调，避免重复和不必要的差异

2.2主要内容及其确定依据

本标准规定了依据《个人信息保护法》开展个人信息保护合规审计的审计原

则、审计总体要求。适用于个人信息处理者内部机构或委托专业机构开展的个人

信息保护合规审计工作。个人信息处理者按照履行个人信息保护职责的部门要求

委托专业机构对其个人信息处理活动进行合规审计时可作为参考。主要内容包括：

（1）本标准给出了个人信息保护合规审计的审计原则、审计总体要求，针

对个人信息处理者以及开展个人信息保护合规审计的审计人员提出了总体要求。

（2）本标准具体落地《个人信息保护法》第五十四条规定的“个人信息处

理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。”为

更好得提供落地性指导，本标准附录给出了个人信息保护合规审计流程、个人信

息保护合规审计证据、个人信息保护合规审计内容和审计方法、个人信息保护合

规审计底稿模板、个人信息保护合规审计报告模板等参考。

（3）本标准附录C个人信息保护合规审计内容和审计方法主要根据中央网

信办2023年8月发布的《个人信息保护合规审计管理办法（征求意见稿）》确定

审计内容，在此基础上，补充了对收集个人信息最小必要要求的审计内容，和依

据《未成年人网络保护条例》补充了针对未成年人个人信息保护的审计内容。针

对个人信息出境的内容，则根据《促进和规范数据跨境流动规定》进行了修改。

2.3修订前后技术内容的对比[适用于国家标准修订项目]

不涉及。

三、试验验证的分析、综述报告，技术经济论证，预期的经济效益、社会

效益和生态效益

3.1试验验证的分析、综述报告

本标准在编制过程中充分调研了国内外相关审计工作的开展情况，包括国内

信息系统审计、商业银行内部审计，美国联邦信息系统控制审计，国际服务性机

构控制体