GB/T 46903-2025 数据安全技术 个人信息保护合规审计要求

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T46903—2025

数据安全技术

个人信息保护合规审计要求

Datasecuritytechnology—Personalinformationprotectioncompliance

auditrequirements

2025-12-31发布2026-07-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T46903—2025

目次

前言

…………………………Ⅲ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

个人信息保护合规审计原则和总体要求

4………………2

合规审计原则

4.1………………………2

合规审计工作开展要求

4.2……………2

合规审计人员要求

4.3…………………4

个人信息保护合规审计实施流程

5………………………7

概述

5.1…………………7

审计准备阶段

5.2………………………8

审计实施阶段

5.3………………………10

审计报告阶段

5.4………………………11

问题整改阶段

5.5………………………12

归档管理阶段

5.6………………………12

个人信息保护合规审计内容和方法

6……………………12

个人信息处理活动的合法性

6.1………………………12

个人信息处理规则规范性

6.2…………14

个人信息处理者履行告知个人信息处理规则义务

6.3………………15

与其他个人信息处理者共同处理个人信息

6.4………17

委托处理个人信息

6.5…………………17

因合并重组分立解散被宣告破产等原因需要转移个人信息

6.6、、、、………………18

向其他个人信息处理者提供其处理的个人信息

6.7…………………19

利用自动化决策处理个人信息

6.8……………………19

基于个人同意公开个人信息

6.9………………………21

在公共场所安装图像收集个人身份识别设备

6.10、…………………22

处理已公开的个人信息

6.11…………23

处理敏感个人信息

6.12………………24

不满十四周岁未成年人个人信息

6.13………………26

向境外提供个人信息

6.14……………27

个人信息删除权保障情况

6.15………………………28

保障个人在个人信息处理活动中的权利

6.16………30

响应个人并对其个人信息处理规则进行解释说明

6.17……………31

Ⅰ

GB/T46903—2025

个人信息保护内部管理制度和操作规程

6.18………31

安全技术措施

6.19……………………34

教育培训计划的制定和实施

6.20……………………35

个人信息保护负责人

6.21……………35

个人信息保护影响评估

6.22…………37

个人信息安全事件应急预案

6.23……………………38

个人信息安全事件应急响应处置

6.24………………38

大型互联网平台规则

6.25……………39

个人信息保护社会责任报告

6.26……………………40

附录资料性个人信息保护合规审计证据

A()…………42

审计证据类型

A.1……………………42

审计证据有效性

A.2…………………42

附录资料性个人信息保护合规审计底稿模板

B()……………………44

附录资料性个人信息保护合规审计报告模板

C()……………………45

参考文献

……………………48

Ⅱ

GB/T46903—2025

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国网络安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位中国电子技术标准化研究院中央网信办国家网信办数据与技术保障中心

:、()、

中国电子信息产业发展研究院中国信息通信研究院国家计算机网络应急技术处理协调中心国家信

、、、

息技术安全研究中心公安部第三研究所清华大学南京审计大学北京快手科技有限公司蚂蚁科技

、、、、、

集团股份有限公司北京抖音信息服务有限公司深圳市腾讯计算机系统有限公司联想北京有限公

、、、()

司淘天有限公司北京小桔科技有限公司北京时代新威信息技术有限公司华为技术有限公司北京

、、、、、

火山引擎科技有限公司广西电网有限责任公司阿里云计算有限公司荣耀终端股份有限公司马上消

、、、、

费金融股份有限公司广州南沙智慧城市大数据有限公司

、。

本文件主要起草人姚相振胡影刘行高超郝春亮王志成国震寰赵丽闫晓丽李安伦高月

:、、、、、、、、、、、

闵栋杨玲玲陈杨易立杨韬刘曦泽李卓峻王俊邹翔陈兵刘云余小兵落红卫王昕白晓媛

、、、、、、、、、、、、、、、

石玉珍田申李昳婧张亚男毛安娜张忻贾雨萌顾伟鲁艳孙铁许锐王新杰衣强马硕周羽杰

、、、、、、、、、、、、、、、

刘莹朱时阳梁哲喆石雅榕赵晓娜尹丹娜李洪刚

、、、、、、。

Ⅲ

GB/T46903—2025

数据安全技术

个人信息保护合规审计要求

1范围

本文件提出了个人信息保护合规审计原则规定了个人信息保护合规审计的总体要求实施流程

,、、

内容和方法

。

本文件适用于个人信息处理者和专业机构开展个人信息保护合规审计活动

。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

信息安全技术术语

GB/T25069

信息安全技术个人信息安全规范

GB/T35273

数据安全技术敏感个人信息处理安全要求

GB/T45574

3术语和定义

界定的以及下列术语和定义适用于本文件

GB/T25069、GB/T35273。

31

.

个人信息保护合规审计personalinformationprotectioncomplianceaudit

对个人信息处理者的个人信息处理活动是否遵守法律行政法规的情况进行审查和评价的监督

、

活动

。

注简称合规审计

:。

32

.

个人信息保护合规审计专业机构professionalinstitutionsspecializedinpersonalinformationpro-

tectioncomplianceaudit

具备开展个人信息保护合规审计的能力有与服务相适应的审计人员场所设施和资金等能够提

,、、,

供个人信息保护合规审计服务的机构

。

注简称专业机构

:。

33

.

审计人员auditor

个人信息处理者或专业机构中具备开展个人信息保护合规审计的能力对个人信息处理活动是否

,,

遵守法律行政法规进行独立审查和评价的人员

、。

34

.

审计发现auditfinding

合规审计人员在执行审计程序后识别出的与审计对象相关的事实差异风险或问题

,、、。

1