权威解答 | 国家网信办就《个人信息保护合规审计管理办法》实施有关事项答记者问

《个人信息保护合规审计管理办法》已于2025年5月1日起施行，国家互联网信息办公室有关负责人就其实施有关事项回答了记者提问。

问1：个人信息保护合规审计是否有可参考的操作指南？

答：根据《个人信息保护合规审计管理办法》及附件《个人信息保护合规审计指引》，全国网络安全标准化技术委员会秘书处（www.tc260.org.cn）组织编制发布了《网络安全标准实践指南——个人信息保护合规审计要求》，对个人信息保护合规审计的实施流程、合规审计内容和方法、合规审计证据、底稿模板、报告模板等作出规范，个人信息处理者、专业机构可以参照该实践指南开展个人信息保护合规审计。

问2：个人信息保护合规审计专业机构如何申请认证？

答：《个人信息保护合规审计管理办法》第七条规定，“鼓励相关专业机构通过认证。专业机构的认证按照《中华人民共和国认证认可条例》的有关规定执行”。国家网信办数据与技术保障中心、中国网络安全审查认证和市场监管大数据中心、北京赛西认证有限责任公司3家单位，已向国家认证认可监督管理委员会备案相关认证规则，将依据认证规则和《网络安全标准实践指南——个人信息保护合规审计 专业机构服务能力要求》《网络安全标准实践指南——个人信息保护合规审计要求》实施认证。专业机构可向上述3家认证机构申请认证。

问3：个人信息保护合规审计人员应当具备哪些能力？

答：《网络安全标准实践指南——个人信息保护合规审计 专业机构服务能力要求》《网络安全标准实践指南——个人信息保护合规审计要求》将个人信息保护合规审计人员分为初级、中级、高级三个等级，明确了不同等级合规审计人员在法律法规、专业知识、专业能力、项目管理、报告撰写审核等方面的能力要求，可查询实践指南了解能力要求具体内容。

问4：个人信息保护合规审计人员能力如何进行评价？

答：中国网络空间安全协会根据《网络安全标准实践指南——个人信息保护合规审计 专业机构服务能力要求》《网络安全标准实践指南——个人信息保护合规审计要求》关于个人信息保护合规审计人员能力要求，编制了《个人信息保护合规审计人员能力评价要点》，明确不同等级个人信息保护合规审计人员的能力评价目标、方式、要点等，将开展个人信息保护合规审计人员能力评价，相关信息可在中国网络空间安全协会官网（www.cybersac.cn）查询。