GB/T 46903-2025 数据安全技术 个人信息保护合规审计要求

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T46903—2025

数据安全技术

个人信息保护合规审计要求

Datasecuritytechnology—Personalinformationprotectioncompliance

auditrequirements

2025-12-31发布2026-07-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T46903—2025

目次

前言

…………………………Ⅲ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

个人信息保护合规审计原则和总体要求

4………………2

合规审计原则

4.1………………………2

合规审计工作开展要求

4.2……………2

合规审计人员要求

4.3…………………4

个人信息保护合规审计实施流程

5………………………7

概述

5.1…………………7

审计准备阶段

5.2………………………8

审计实施阶段

5.3………………………10

审计报告阶段

5.4………………………11

问题整改阶段

5.5………………………12

归档管理阶段

5.6………………………12

个人信息保护合规审计内容和方法

6……………………12

个人信息处理活动的合法性

6.1………………………12

个人信息处理规则规范性

6.2…………14

个人信息处理者履行告知个人信息处理规则义务

6.3………………15

与其他个人信息处理者共同处理个人信息

6.4………17

委托处理个人信息

6.5…………………17

因合并重组分立解散被宣告破产等原因需要转移个人信息

6.6、、、、………………18

向其他个人信息处理者提供其处理的个人信息

6.7…………………19

利用自动化决策处理个人信息

6.8……………………19

基于个人同意公开个人信息

6.9………………………21

在公共场所安装图像收集个人身份识别设备

6.10、…………………22

处理已公开的个人信息

6.11…………23

处理敏感个人信息

6.12………………24

不满十四周岁未成年人个人信息

6.13………………26

向境外提供个人信息

6.14……………27

个人信息删除权保障情况

6.15………………………28

保障个人在个人信息处理活动中的权利

6.16………30

响应个人并对其个人信息处理规则进行解释说明

6.17……………31

Ⅰ

GB/T46903—2025

个人信息保护内部管理制度和操作规程

6.18………31

安全技术措施

6.19……………………34

教育培训计划的制定和实施

6.20……………………35

个人信息保护负责人

6.21……………35

个人信息保护影响评估

6.22…………37

个人信息安全事件应急预案

6.23……………………38

个人信息安全事件应急响应处置

6.24………………38

大型互联网平台规则

6.25……………39

个人信息保护社会责任报告

6.26……………………40

附录资料性个人信息保护合规审计证据

A()…………42

审计证据类型

A.1……………………42

审计证据有效性

A.2…………………42

附录资料性个人信息保护合规审计底稿模板

B()……………………44

附录资料性个人信息保护合规审计报告模板

C()……………………45

参考文献

……………………48

Ⅱ

GB/T46903—2025

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国网络安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位中国电子技术标准化研究院中央网信办国家网信办数据与技术保障中心

:、()、

中国电子信息产业发展研究院中国信息通信研究院国家计算机网络应急技术处理协调中心国家信

、、、

息技术安全研究中心公安部第三研究所清华大学南京审计大学北京快手科技有限公司蚂蚁科技

、、、、、

集团股份有限公司北京抖音信息服务有限公司深圳市腾讯计算机系统有限公司联想北京有限公

、、、()

司淘天有限公司北京小桔科技有限公司北京时代新威信息技术有限公司华为技术有限公司北京

、、、、、

火山引擎科技有限公司广西电网有限责任公司阿里云计算有限公司荣耀终端股份有限公司马上消

、、、、

费金融股份有限公司广州南沙智慧城市大数据有限公司

、。

本文件主要起草人姚相振胡影刘行高超郝春亮王志成国震寰赵丽闫晓丽李安伦高月

:、、、、、、、、、、、

闵栋杨玲玲陈杨易立杨韬刘曦泽李卓峻王俊邹翔陈兵刘云余小兵落红卫王昕白晓媛

、、、、、、、、、、、、、、、

石玉珍田申李昳婧张亚男毛安娜张忻贾雨萌顾伟鲁艳孙铁许锐王新杰衣强马硕周羽杰

、、、、、、、、、、、、、、、

刘莹朱时阳梁哲喆石雅榕赵晓娜尹丹娜李洪刚

、、、、、、。

Ⅲ

GB/T46903—2025

数据安全技术

个人信息保护合规审计要求

1范围

本文件提出了个人信息保护合规审计原则规定了个人信息保护合规审计的总体要求实施流程

,、、

内容和方法

。

本文件适用于个人信息处理者和专业机构开展个人信息保护合规审计活动

。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

信息安全技术术语

GB/T25069

信息安全技术个人信息安全规范

GB/T35273

数据安全技术敏感个人信息处理安全要求

GB/T45574

3术语和定义

界定的以及下列术语和定义适用于本文件

GB/T25069、GB/T35273。

31

.

个人信息保护合规审计personalinformationprotectioncomplianceaudit

对个人信息处理者的个人信息处理活动是否遵守法律行政法规的情况进行审查和评价的监督

、

活动

。

注简称合规审计

:。

32

.

个人信息保护合规审计专业机构professionalinstitutionsspecializedinpersonalinformationpro-

tectioncomplianceaudit

具备开展个人信息保护合规审计的能力有与服务相适应的审计人员场所设施和资金等能够提

,、、,

供个人信息保护合规审计服务的机构

。

注简称专业机构

:。

33

.

审计人员auditor

个人信息处理者或专业机构中具备开展个人信息保护合规审计的能力对个人信息处理活动是否

,,

遵守法律行政法规进行独立审查和评价的人员

、。

34

.

审计发现auditfinding

合规审计人员在执行审计程序后识别出的与审计对象相关的事实差异风险或问题

,、、。

1

GB/T46903—2025

35

.

审计证据auditevidence

合规审计人员获取的能够为个人信息保护合规审计结论提供合理基础的全部材料

。

注通常包括个人信息保护合规审计过程中收集使用或发现的记录事实陈述或其他信息

:、、。

36

.

审计方案auditprogram

个人信息保护合规审计实施时的步骤和安排的描述

。

37

.

审计底稿auditpaper

合规审计人员在审计过程中形成的全部工作记录和获取的资料

。

注用于支持审计结论并证明审计程序的合规性和充分性

:。

38

.

审计结论auditconclusion

合规审计人员在完成个人信息保护合规审计后对审计对象如个人信息处理者个人信息处理活

,(、

动是否符合法律行政法规所作出的正式评价与判断

)、。

39

.

审计报告auditreport

合规审计人员根据审计底稿整理形成的最终书面文件向报告使用者如个人信息处理者履行个

,(、

人信息保护职责的部门传达个人信息保护合规审计结论审计发现及建议等

)、。

4个人信息保护合规审计原则和总体要求

41合规审计原则

.

个人信息处理者和专业机构开展个人信息保护合规审计遵循以下原则

,。

合法性原则合规审计活动遵守所有适用的法律法规要求审计依据审计程序审计结论整

a):,、、、

改建议等均备法律合规性

。

独立性原则专业机构和审计人员独立于审计对象避免利益关系和外部压力干扰不受其他

b):,,

部门和人员影响个人信息处理者内部机构开展的合规审计审计人员独立于具体审计对象

。,

的个人信息处理活动

。

客观性原则收集和记录的审计证据保证其可信性应采取科学透明的方式获得审计证据保

c):,、,

证审计证据的真实完整有效

、、。

公正性原则专业机构和审计人员诚信正直公正客观地作出合规审计职业判断审计结论基

d):、,

于充分可靠的证据避免个人利益主观偏见外界压力或先入为主的判断审计报告真实准

、,、、,、

确可靠

、。

专业性原则专业机构和审计人员具备开展个人信息保护合规审计的能力拥有执行合规审计

e):,

所需的专业知识技能及对相关法规的深刻理解

、。

保密性原则专业机构和审计人员对在个人信息保护合规审计活动中获得的个人信息商业秘

f):、

密保密商务信息等予以保密不泄露或者非法向他人提供

、,。

42合规审计工作开展要求

.

421管理要求

..

开展个人信息保护合规审计应加强管理应符合以下要求

,。

2

GB/T46903—2025

个人信息处理者自行开展个人信息保护合规审计的由个人信息处理者内部机构或者委托专

a),

业机构定期对其处理个人信息遵守法律行政法规的情况进行合规审计

、。

专业机构具备开展个人信息保护合规审计的能力有与服务相适应的审计人员场所设施和

b),、、

资金等

。

开展个人信息保护合规审计具体审计内容和方法见第章

c),6。

专业机构开展个人信息保护合规审计的应符合以下要求

d),:

不转委托其他机构开展个人信息保护合规审计

1);

同一专业机构及其关联机构同一合规审计负责人不连续三次以上对同一审计对象开展

2)、

个人信息保护合规审计

;

对在履行个人信息保护合规审计职责中获得的个人信息商业秘密保密商务信息等依法

3)、、

予以保密在合规审计工作结束后及时删除相关信息

,。

个人信息处理者自行开展个人信息保护合规审计的应符合以下要求

e),:

处理万人以上个人信息的个人信息处理者指定个人信息保护负责人负责个人信息

1)100,,

处理者的个人信息保护合规审计工作

;

提供重要互联网平台服务用户数量巨大业务类型复杂的个人信息处理者如大型网络

2)、、(

平台成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督

),;

注大型网络平台是指注册用户万以上或者月活跃用户万以上业务类型复杂网络数据处

:50001000,,

理活动对国家安全经济运行国计民生等具有重要影响的网络平台

、、。

制定个人信息保护合规审计管理制度明确开展个人信息保护合规审计的组织人员方式

3),、

方法内容依据范围频率等以及合规审计人员的职责及权限

、、,;

个人信息保护合规审计具备必要的资源及权限包括合理的合规审计预算和人力资源计

4),

划以及必要的办公场地系统设备等

,、、;

个人信息保护合规审计活动具备独立性审计人员不参与被审计对象的管理或决策审计

5),,

报告宜直接向董事会或安全合规委员会报告

;

建立健全个人信息保护管理制度安全技术措施处理情况记录操作行为日志监督检查

6)、、、、

记录测试评价报告等合规审计证据体系以供个人信息保护合规审计进行审查和评价

、,;

准备适当的个人信息保护合规审计相关工具提高个人信息保护合规审计工作效率和

7),

质量

。

422证据管理

..

个人信息处理者应提供真实完整有效的审计证据材料应符合以下要求

、、,:

管理文件经过正当的起草或批准程序并生效实施

a);

协议文件获得协议各方的有效同意并实际生效和执行

b)