【发布单位】 国家互联网信息办公室
【发布文号】 国家互联网信息办公室令第18号    
【发布日期】 2025年2月12日
【施行日期】 2025年5月1日
【相关链接】 https://www.cac.gov.cn/2025-02/14/c_1741233507681519.htm

该《审计管理办法》明确了个人信息保护合规审计的相关规定，主要内容如下：
个人信息保护合规审计（“合规审计”）分为个人信息处理者自行开展的合规审计，即自行审计；以及依据国家网信部门和其他履行个人信息保护职责的部门（“保护部门”）要求开展的合规审计，即监管审计。
1. 自行审计的相关规定：
a. 可选择由个人信息处理者内部机构或者第三方专业机构定期进行合规审计。
b. 处理超过1000万人个人信息的个人信息处理者，应每两年至少进行一次合规审计，对于其他个人信息处理者开展合规审计的频率没有强制要求。
2. 监管审计的相关规定：
a. 个人信息处理者发生严重个人信息安全事件或其个人信息处理活动存在较大风险的，保护部门可以要求个人信息处理者委托专业机构进行合规审计。
b. 个人信息处理者应当按照保护部门要求选定专业机构，在限定时间内完成合规审计，并承担审计费用。
c. 个人信息处理者应当按照保护部门要求，对合规审计中发现的问题进行整改，并在整改完成后向保护部门报送整改情况报告。
3. 其他规定：
a. 处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人，负责合规审计工作。
b. 提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当成立主要由外部成员组成的独立机构对合规审计情况进行监督。
c. 同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展合规审计。