個人信息保護政策法規問答（2026年4月）

國家互聯網信息辦公室持續加強個人信息保護相關政策法規宣貫，指導幫助個人信息處理者規范開展個人信息處理活動，保護個人信息權益。現將一些具有代表性的問題和答復公布如下。

1.《網絡數據安全管理條例》《個人信息保護合規審計管理辦法》等法規規章有關規定涉及個人信息數量，如何進行統計？

《網絡數據安全管理條例》第二十八條規定，網絡數據處理者處理1000萬人以上個人信息的，還應當遵守本條例第三十條、第三十二條對處理重要數據的網絡數據處理者作出的規定。《個人信息保護合規審計管理辦法》第四條規定，處理超過1000萬人個人信息的個人信息處理者，應當每兩年至少開展一次個人信息保護合規審計。《數據出境安全評估辦法》《個人信息出境標準合同辦法》《促進和規范數據跨境流動規定》《個人信息出境認證辦法》等規章有關規定也涉及個人信息數量。

以上法規規章有關規定涉及的個人信息數量，如“處理超過1000萬人個人信息”，在計數中，均包含本數，按照個人信息處理者當前處理個人信息涉及的自然人數量進行統計，統計中不包括已經刪除的個人信息。

2.個人信息處理者開展個人信息保護合規審計的頻度？

《中華人民共和國個人信息保護法》第五十四條規定，個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。《個人信息保護合規審計管理辦法》第四條規定，處理超過1000萬人個人信息的個人信息處理者，應當每兩年至少開展一次個人信息保護合規審計。參照《數據安全技術 個人信息保護合規審計要求》國家標準，處理超過100萬、不超過1000萬人個人信息的個人信息處理者，每三年或四年至少開展一次合規審計；處理不超過100萬人個人信息的個人信息處理者，每五年至少開展一次合規審計。

個人信息處理者應當建立個人信息保護合規審計制度，依照法律、行政法規和國家有關規定，可以參照有關國家標準要求，合理確定并在相應制度中明確定期開展個人信息保護合規審計的頻度，以提升個人信息保護合規水平，促進個人信息合理利用。

3.未成年人個人信息保護合規審計應包括哪些內容？

《未成年人網絡保護條例》第三十七條規定，個人信息處理者應當自行或者委托專業機構每年對其處理未成年人個人信息遵守法律、行政法規的情況進行合規審計，并將審計情況及時報告網信等部門。《中華人民共和國民法典》第十七條規定，不滿十八周歲的自然人為未成年人。

個人信息處理者處理未成年人個人信息，無論是否對未成年人身份進行識別，都應當按照《未成年人網絡保護條例》第三十七條規定要求，自行或者委托專業機構每年對其處理未成年人個人信息遵守法律、行政法規的情況進行合規審計。

個人信息處理者開展未成年人個人信息保護合規審計，應當依照《中華人民共和國個人信息保護法》《未成年人網絡保護條例》《網絡數據安全管理條例》《兒童個人信息網絡保護規定》《個人信息保護合規審計管理辦法》等法律、行政法規、部門規章關于個人信息保護合規審計和未成年人個人信息保護有關規定要求，可以參照《數據安全技術 個人信息保護合規審計要求》等國家標準，對未成年人個人信息處理活動是否遵守法律、行政法規等情況進行全面審查和評價。

來源：網信中國