国家标准《数据安全技术 个人信息保护合规审计要求》（征求意见稿）编制说明

一、工作简况

1.1任务来源

为明确开展个人信息保护合规审计时应满足的审计原则、总体要求等，规范

个人信息处理者开展个人信息保护合规审计的行为，全国网络安全标准化技术委

员会于2023年8月30日立项《数据安全技术个人信息保护合规审计要求》国

家标准制定项目。该标准由中国电子技术标准化研究院牵头，并联合中国电子信

息产业发展研究院、中国信息通信研究院、中央网信办数据与技术保障中心等几

十家单位共同编制。

1.2制定背景

《个人信息保护法》第五十四条、第六十四条要求个人信息处理者自行开展

合规审计以及个人信息处理活动存在较大风险或发生安全事件时，按照履行个人

信息保护职责部门要求委托专业机构开展个人信息保护合规审计。为支持《个人

信息保护法》落地实施，需要从国家标准层面提出开展个人信息保护合规审计的

审计原则、审计总体要求。

1.3起草过程

2023年04月25日，成立标准申报项目组，开展基本情况研究；

2023年04月28日，召开编制组研讨会，初步确定标准范围及内容，形成

第一版标准草案；

2023年05月31日，在标准周汇报标准编制情况，听取大数据组成员单位

专家意见，会后按照专家意见修改，形成第二版标准草案；

2023年08月30日，通过安标委立项；

2023年09月12日，公开征集标准参编单位，40余家相关企事业单位加入

标准编制组；

2023年10月19日，召开全体编制组研讨会，对标准范围和框架进行研讨，

形成第三版标准草案；

2023年11月03日，在标准周上进行汇报，听取专家意见，经大数据组全

体成员单位投票表决，可推进至征求意见稿阶段；

2024年03月15日，召开标准征求意见稿专家审查会；

2024年06月13日，在标准周上进行汇报，听取工作组意见。

二、标准编制原则、主要内容及其确定依据

2.1标准编制原则

本标准在编制过程中遵循了问题导向原则、协调性原则。

本标准旨在支撑《个人信息保护法》第五十四条、第六十四条提出的个人信

息保护合规审计制度的贯彻落实，解决由于缺少具体审计过程规范要求、审计开

展方式步骤要求等，导致个人信息保护合规审计不易开展的问题。

本标准与现行相关标准相协调。本标准规范性引用了GB/T35273—2020等

标准，确保标准间相互协调，避免重复和不必要的差异

2.2主要内容及其确定依据

本标准规定了依据《个人信息保护法》开展个人信息保护合规审计的审计原

则、审计总体要求。适用于个人信息处理者内部机构或委托专业机构开展的个人

信息保护合规审计工作。个人信息处理者按照履行个人信息保护职责的部门要求

委托专业机构对其个人信息处理活动进行合规审计时可作为参考。主要内容包括：

（1）本标准给出了个人信息保护合规审计的审计原则、审计总体要求，针

对个人信息处理者以及开展个人信息保护合规审计的审计人员提出了总体要求。

（2）本标准具体落地《个人信息保护法》第五十四条规定的“个人信息处

理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。”为

更好得提供落地性指导，本标准附录给出了个人信息保护合规审计流程、个人信

息保护合规审计证据、个人信息保护合规审计内容和审计方法、个人信息保护合

规审计底稿模板、个人信息保护合规审计报告模板等参考。

（3）本标准附录C个人信息保护合规审计内容和审计方法主要根据中央网

信办2023年8月发布的《个人信息保护合规审计管理办法（征求意见稿）》确定

审计内容，在此基础上，补充了对收集个人信息最小必要要求的审计内容，和依

据《未成年人网络保护条例》补充了针对未成年人个人信息保护的审计内容。针

对个人信息出境的内容，则根据《促进和规范数据跨境流动规定》进行了修改。

2.3修订前后技术内容的对比[适用于国家标准修订项目]

不涉及。

三、试验验证的分析、综述报告，技术经济论证，预期的经济效益、社会

效益和生态效益

3.1试验验证的分析、综述报告

本标准在编制过程中充分调研了国内外相关审计工作的开展情况，包括国内

信息系统审计、商业银行内部审计，美国联邦信息系统控制审计，国际服务性机

构控制体系鉴证（SOC），欧洲数据保护主管（EDPS）的数据保护审计，英国ICO

数据保护审计，法国CNIL数据合规审计，德国BfDI数据保护审计等，充分吸收

现有成熟的要求和方法等。标准编制组包含了开展个人信息保护工作的专业机构、

专业研究审计工作的高校以及掌握大量个人信息的个人信息处理者，为标准编制

提供了广泛的意见建议和工作经验。后续将开展标准公开征求意见和标准试点验

证工作，保障标准在编制过程中经过充分的试验验证。

3.2技术经济论证

本标准的技术经济价值主要体现在提升个人信息保护水平、提高个人信息保

护工作效率、促进个人信息合法合规利用等方面。

3.3预期的经济效益、社会效益和生态效益

个人信息处理者可以通过检测、评估、认证对其个人信息处理活动是否符合

标准规范做出评价，但缺少针对个人信息处理活动符合法律、行政法规的情况进

行审查和评价的抓手，个人信息保护合规审计填补了此处空白。

制定本标准有利于规范个人信息保护合规审计工作，同时为个人信息处理者

开展个人信息保护合规审计工作提供思路和参考，及时发现个人信息处理活动的

安全问题和合规风险，促进个人信息合理利用，督促个人信息处理者及时进行整

改，规范个人信息处理活动。

四、与国际、国外同类标准技术内容的对比情况，或者与测试的国外样品、

样机的有关数据对比情况

国际上尚无个人信息保护合规审计相关标准。《GDPR》和ISO/IEC27018:2014、

ISO/IEC27701:2019中相关内容可以为个人信息保护合规审计提供参考和借鉴。

ISO/IEC27018:2014，这是一个针对云服务提供商处理个人可识别信息的国

际标准，它是基于欧盟的数据保护法，给云服务提供商提供了一些具体的指导和

控制措施，以保护个人信息。

ISO/IEC27701:2019，这是一个针对个人信息管理系统的国际标准，它是基

于ISO/IEC27001和ISO/IEC27002的标准，给数据控制者和数据处理者提供了

一些具体的要求和指导，以实现个人信息保护。

GDPR（通用数据保护条例），这是欧盟的一项数据保护法规，它规定了数据

控制者和数据处理者在处理个人信息时应遵循的原则、权利、义务和责任，以及

监管机构的审计权力。

五、以国际标准为基础的起草情况，以及是否合规引用或者采用国际国外

标准，并说明未采用国际标准的原因

不涉及。

六、与有关法律、行政法规及相关标准的关系

《数据安全技术个人信息保护合规审计要求》标准与现有法律、法规及相

关标准属于协调配套关系。一方面，本标准支撑《个人信息保护法》第五十四条

和六十四条、《个人信息保护合规审计管理办法》相关条款的落地实施，标准给

出了开展个人信息保护合规审计的相关要求；另一方面，本标准将充分吸纳现行

标准关于个人信息保护合规审计的相关内容。

七、重大分歧意见的处理经过和依据

无。

八、涉及专利的有关说明

无。

九、实施国家标准的要求，以及组织措施、技术措施、过渡期和实施日期

的建议等措施建议

建议个人信息处理者按照本标准开展个人信息保护合规审计工作，对本组织

的个人信息处理活动符合法律、行政法规的情况进行审查、评价。

十、其他应当说明的事项

无。

国家标准《数据安全技术个人信息保