数安商用密码
数安商用密码

《个人信息保护合规审计管理办法》施行:超千万人数据处理者须定期合规审计

国家互联网信息办公室公布《个人信息保护合规审计管理办法》(国家互联网信息办公室令第 18 号),自 2025 年 5 月 1 日起施行。处理超过 1000 万人个人信息的处理者,应当每两年至少开展一次个人信息保护合规审计。

办法要点

  • 两种审计情形:① 处理者自行或委托专业机构定期开展合规审计;② 履行个保职责的部门在发现较大风险、可能侵害众多个人权益或发生安全事件时,可要求处理者委托专业机构审计。
  • 强制审计阈值与频次:处理超过 1000 万人个人信息的处理者,每两年至少一次(较征求意见稿的「每年一次」放宽为「每两年一次」)。
  • 审计内容:个人信息处理活动是否遵守法律、行政法规,涵盖处理规则、最小化、告知同意、安全措施、对外提供与跨境等。

对政务与金融机构的影响

政务、金融等处理大规模个人信息的机构,将面临常态化的合规审计要求。审计的核心是能否拿出技术证据:访问与操作审计、数据分类分级、最小化处理,以及人脸等敏感信息的保护措施。

数安视角

合规审计的难点在举证。数安一贯主张的「不存储即最小化」——无密码人脸认证特征不离端、零模板存储,配合全链路可审计——能显著降低审计举证成本:没有数据库,就没有可泄露、可被质询的存储。