关于个人信息保护审计几个重要问题的问答
发文时间:2025-11-11
作者:陈文昊 原舒仪 孙杨 李诗
来源:植德律师事务所
收藏
1149

2025年2月14日晚,国家网信办发布了《个人信息保护合规审计管理办法》(以下简称“个保审计办法”),并自2025年5月1日起施行。个人信息保护合规审计(以下简称“个保审计”)是继数据出境合规之后又一项对于全行业数据处理者来说需要普遍关注的重要数据合规义务。

  个保审计有着很强的实践操作性,因此本文意在结合我们对个保审计法规与相关国标的理解,以及我们在已经协助客户开展的个保审计项目中的实践经验,直接回应企业关心的关于个保审计的重要问题。

  Q1:个保审计是一项新的法律义务吗?

  A:并不是,《个人信息保护法》(以下简称“个保法”)(第54条)与《网络数据安全管理条例》(以下简称“网数条例”)(第27条)已经规定了个人信息处理者/网络数据处理者进行个保审计的义务。个保审计办法是对上述法律法规义务的落地,与此前数据出境落地执行相类似。

  Q2:个保审计的对象是个人信息处理者对“法律、行政法规”的遵守情况,那对“国标”、特别是推荐性国标的遵守情况要不要纳入审计范围?

  A:我们认为对于该问题的回答,应当秉持“实用主义”原则。尽管个保审计办法、个保法、网数条例仅提及了对“法律、法规”的遵守情况进行审计,但实践中数据合规领域不乏推荐性国标被作为法律法规的“实施细则”,进而被监管执法部门直接引用为执法依据的情况。因此我们建议将对这一类国家标准的遵守情况纳入审计范畴。

  需要说明的是,实践中并非所有推荐性国标都会被监管与执法部门作为执法依据,因此哪些国标需要被重点参考,还有赖于审计机构或审计部门的经验。

  Q3:个保审计分为哪些类型?

  A:按照审计发起的原因,分为“自主审计”与“监管审计”。所谓“自主审计”,是指个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计,其中,处理超过1000万人个人信息的个人信息处理者,应当每两年至少开展一次个人信息保护合规审计。虽然个保审计办法并未明确要求处理个人信息数量不足1000万人的个人信息处理者开展个保审计,但个保审计办法也并未明确豁免其他个人信息处理者履行个保审计义务。鉴于开展个保审计是《个人信息保护法》规定应由个人信息处理者履行的合规义务,我们仍建议其他个人信息处理者开展个保审计工作。而“监管审计”是指在发生包括三类高风险场景:存在严重侵害个人信息权益风险、可能影响众多个体权益、发生重大数据安全事件时,监管部门要求个人信息处理者开展个保审计。

  关于“监管审计”,需要提醒企业的是,由于该类审计由监管机关发起,特定情形是否属于三类高风险场景,将由监管部门独立做出认定,因此企业应当建立内部合规监控体系,如果发生相关数据安全事件,除了根据法律法规要求启动数据安全事件应急响应机制之外,还要做好启动个保审计的准备。

  Q4:个保审计由谁来做?有完成时限要求吗?

  A:“自主审计”可自行进行,亦可以委托专业机构进行;“监管审计”应委托第三方进行。

  “自主审计”无时限要求,“监管审计”应当在限定时间内完成,但具体时间如何限定没有进一步规定,我们理解监管部门将结合企业处理数据规模、触发“监管审计”的原因来综合确定审计时限。

  Q5:只要处理超过1000万人个人信息,都需要自主做个保审计吗?

  A:个保审计办法规定处理超过1000万人个人信息的个人信息处理者,应当每两年至少开展一次个人信息保护合规审计。适用这条的前提条件不但需要考察处理个人信息的数量,还需要考察处理个人信息的数据法律地位,即是否构成数据处理者。如果以数据处理受托方的身份处理的数据,我们认为不应纳入此处数据统计范围。

  但需要说明的是,参考我们在数据出境项目中的经验,在实践中监管部门可能对“数据处理者”的认定比较宽泛,因此我们建议企业在签署相关数据处理协议或商业合同时,明确双方的数据处理法律关系。

  此外,需要说明的是,如果处理未成年人个人信息,根据《未成年人网络保护条例》的规定,个人信息处理者每年对其处理未成年人个人信息的情况进行合规审计。而对于特定行业(例如金融、医疗行业),还需要关注行业监管部门的特别要求。

  Q6:委托什么类型的专业机构?

  A:相较征求意见稿,个保审计办法没有采取制定“专业机构推荐目录”这一做法,且没有强制要求专业机构通过认证。很多企业纠结委托哪一类机构作为审计专业机构(律师事务所、技术检测专业机构等),我们建议企业可参考个保审计办法附件《个人信息保护合规审计指引》以及国家标准《数据安全技术 个人信息保护合规审计要求(送审稿)》规定的审计项,就不难得出个保审计的审计项主要是考察法律合规问题,部分审计项需要进行技术验证。因此我们推荐由律师事务所作为外部专业机构进行审计,并辅以技术验证或检测。

  Q7:审计团队可以由内部与外部团队组合构成吗?

  A:个保审计办法没有限制该等组合。事实上,通常一家专业机构很难做到全面覆盖法律合规与技术部分的审计,因此实践中可以考虑委托不同专业机构负责不同板块内容,或者委托一家专业机构并由其将部分工作内容分包给其他机构完成,或者由内部与外部团队共同组成审计团队(如外部专业机构提供法律合规审计,内部团队进行技术验证与检测)。

  需要说明的是,无论何种配合方式,都需要遵循个保审计诚信正直、公正客观的原则,并做好审计团队内部工作界面的划分与协调。

  Q8:审计范围需要100%覆盖吗?

  A:我们认为个保审计办法附件《个人信息保护合规审计指引》中所列重点审查事项,在适用的情况下应当全面覆盖。但现实中针对某些事项,可采取抽样的审计方式,例如零售企业旗下可能拥有众多零售店铺,审计团队可采取抽样方式选取特定店铺进行合规审计,并在报告中予以说明。

  Q9:审计结论必须是无保留的“清洁”意见吗?

  A:遵循客观原则,企业实际情况是什么样审计结论就是什么样。个保审计制度设计的初衷就是“以审促改”,审计的目的是帮助企业发现问题,重点是后续的整改环节。

  从个保审计项目工作内容来看,整改并非“自主审计”范围,但属于“监管审计”事项的必要工作范围。在“自主审计”中,企业可请审计团队对整改结果进行进一步的审查,或者在后续审计中进行审查。

  Q10:外部专业审计机构可以协助企业进行整改吗?如果协助企业进行整改,可以后续进一步做审计业务吗?

  A:我们认为是可以的。个保审计办法强调的是专业机构需秉承“诚信正直、公正客观”的原则,但并不意味着参与了整改或者日常服务工作,就有违该等原则。而且同一专业机构发现问题后,更有助于后续协助企业完成整改。整改的最终落地毕竟还需靠企业自身完成,所以专业机构对整改效果的核查或进一步审计,也是对企业合规落地情况的检验。

  Q11:企业内部谁来牵头个保审计项目?

  A:超过100万人的个人信息处理者应当指定个人信息保护负责人,并负责进行个保审计。

  需要说明的是,个保负责人的设置仍可以进一步细化,且设立条件也并非仅仅考察处理个人信息的数量。例如,如果处理儿童个人信息的,应当指定专人负责儿童个人信息保护(《儿童个人信息网络保护规定》第8条)。

  Q12:集团公司可否合并审计?

  A:我们认为存在业务关联,特别是数据交互(如共用系统或数据相互流转)的集团公司是可以的。若非前述情况,将不同集团公司合并审计,恐缺乏合理性和必要性,建议还是分开审计。需要注意在报告中要说明审计范围涵盖哪些主体,特别是这些主体之间的数据处理关系。

  我们认为存在数据交互的集团公司合并审计更能反映数据处理实际情况,更容易发现相关合规问题,但同时毫无疑问也会增加相应的工作量与工作难度。

 Q13:个保审计的审计要点都有哪些?

  A:个保审计参考要点如下:

5bace08218625e9763a1a317daaccaef_7838ae87789a9242ff76ff7cc6731ab1.png

Q14:相较于其他数据合规项目,个保审计项目需要特别注意什么吗?

  A:个保审计是对企业个人信息处理情况的全面盘点,因此工作范围覆盖面非常之广。个保审计是实质性审查,而非形式审查,且个保审计强调程序与流程。相较一般个人信息保护项目,个保审计项目对于审计底稿、审计证据提出了很高的要求,因此在开展个保审计的过程中,企业与专业审计机构应该特别关注相关程序性要求。

  植德数据合规组

  植德数据合规组,目前有5名以上的合伙人重点发展数据合规业务,组员超过20名。植德北京、上海、深圳、武汉、青岛、成都各地办公室共有15名以上合伙人、律师加入深圳数据交易所认证的DEXCO(数据交易合规师)成员;6名以上成员持有工业和信息化部教育与考试中心认证的数据安全管理审计(高级)证书;10名以上合伙人、律师持有其他数据合规相关资质。

  目前,植德数据合规组拥有成熟的数据合规产品体系,覆盖投资端、资产端、交易端到争议解决端,服务对象包括政府监管部门、事业单位、行业协会、央企、国企、民企、外资企业和公益组织,覆盖的行业包括金融、金融科技、互联网、先进制造业、能源、医疗、跨境电商、酒店、零售等行业。具体产品包括境内外IPO数据合规专项服务、企业数据出境安全评估业务、企业个人信息出境标准合同备案业务、拟IPO企业网络安全审查法律服务、App合规法律服务、个人信息审计法律服务、数据产品交易挂牌法律服务、数据资源入表法律服务、数据合规体系建设服务、AIGC算法备案服务、数据争议解决服务、投融资并购数据合规服务、员工个人信息保护法律服务等。

我要补充
0

推荐阅读

取得境外所得怎么计税?个税要点一次说清

  个税年度汇算6月30日即将截止~有网友咨询关于境外工资、境外股息、境外炒股收益等收入怎么申报、怎么算税等问题,今天,我们就来讲清楚境外所得的计税规则,帮你避开“错报漏报”的坑。

  一、 先判断:你的收入算“境外所得”吗?

  根据《财政部 税务总局关于境外所得有关个人所得税政策的公告》(2020年第3号),中国居民个人(通常指在中国境内有住所,或无住所但在一个纳税年度内居住满183天),以下9类收入通常被认定为境外所得,需要申报:

  1、境外劳务所得:因任职、受雇、履约等在境外提供劳务取得的所得。

  2、境外稿酬:由境外企业或组织支付并负担的稿酬。

  3、特许权使用费:许可特许权在境外使用取得的所得。

  4、境外经营所得:在境外从事生产、经营活动取得的所得。

  5、境外利息、股息、红利:从境外企业、组织或个人处取得。

  6、境外财产租赁:将财产出租给承租人在境外使用。

  7、境外财产转让:转让境外不动产、股权或其他财产(注:转让境外股权时,若该股权价值50%以上直接或间接来自中国境内不动产,则视为境内所得)。

  8、境外偶然所得:由境外支付并负担的偶然所得。

  9、其他另有规定的所得。

  Tips:

  即使你已取得其他国家/地区的永久居民身份,只要仍符合中国税法规定的“居民个人”条件,仍需就全球所得在中国申报。

  二、申报时间 + 地点:一次记牢不逾期

  01 申报期限

  取得境外所得的次年 3 月 1 日— 6 月 30日

  例:2025 年取得境外所得 → 应在2026 年 6 月 30 日前完成申报。

  02 向哪里申报

  有境内任职受雇单位:任职、受雇单位所在地主管税务机关;有两处及以上任职、受雇单位的,可自主选择向其中一处主管税务机关申报。

  无任职受雇单位:境内主要收入来源地、户籍所在地或者经常居住地主管税务机关。

  Tips:

  主要收入来源地:是指纳税年度向纳税人累计发放劳务报酬、稿酬及特许权使用费金额最大的扣缴义务人所在地。

  03 境外纳税年度和国内不一样怎么办?

  以境外纳税年度最后一日所在公历年度为准。

  例:香港纳税年度为 4 月 1 日 —次年 3 月 31 日,若2024 年 7—12 月在港取得收入 → 所属纳税年度为2025年度。

  三、核心步骤:境外所得怎么算税?

  四步看懂,避免重复计税

  1. 应纳税额计算(分项目合并)

728da687171b31d9c16aef0e68a81deb_584d15ce97a97649b4271eb4610e5fdb.jpeg

  2. 计算境外所得抵免限额(分国不分项)

  (1)综合所得抵免限额=中国境内和境外综合所得按规定计算的综合所得应纳税额×来源于该国(地区)的综合所得收入额/中国境内和境外综合所得收入额合计

  (2)经营所得抵免限额=中国境内和境外经营所得按规定计算的经营所得应纳税额×来源于该国(地区)的经营所得应纳税所得额/中国境内和境外经营所得应纳税所得额合计

  (3)其他分类所得的抵免限额=该国(地区)的其他分类所得依照个人所得税法相关规定分别单独计算的应纳税额

  抵免限额 = 该国综合所得抵免限额 + 经营所得抵免限额 + 其他分类所得抵免限额

  3.确定可抵免税额(孰低原则)

  境外已缴税额 ≤ 抵免限额 → 按实际已缴额全额抵免

  境外已缴税额 > 抵免限额 → 按限额抵免,超过部分可结转以后 5 个年度抵免

  4.算出应补 / 应退税额

  应补(退)税额 = 境内外总应纳税额 − 境内已缴税额 − 境外可抵免税额

  四、材料清单有哪些?这些情况也能办!

  居民个人申报境外所得税收抵免时,除另有规定外,应当提供:

  1. 境外征税主体出具的税款所属年度的完税证明;

  2. 税收缴款书或者纳税记录等纳税凭证。

  未提供符合要求的纳税凭证,不予抵免。

  Q: 我无法在6月30日前取得境外纳税凭证,怎么办?

  A: 纳税人确实无法在6月30日前提供纳税凭证的,可同时凭境外所得纳税申报表(或者境外征税主体确认的缴税通知书)以及对应的银行缴款凭证办理境外所得抵免事宜。

  五、热点问题

  Q1:如果取得的境外所得是外币,要怎么折算成人民币呢?

  所得为人民币以外货币的,按照办理纳税申报或者扣缴申报的上一月最后一日人民币汇率中间价,折合成人民币计算应纳税所得额。年度终了后办理汇算清缴的,对已经按月、按季或者按次预缴税款的人民币以外货币所得,不再重新折算;对应当补缴税款的所得部分,按照上一纳税年度最后一日人民币汇率中间价,折合成人民币计算应纳税所得额。

  Q2:取得境外所得,可以在网上办理申报吗?

  纳税人可以通过自然人电子税务局WEB端(etax.chinatax.gov.cn)或者个人所得税App办理境外所得申报。

  Q3:若已办理年度综合所得汇算清缴申报,但未填写境外所得,应该如何处理?

  登录自然人电子税务局WEB端或者个人所得税App后,选择更正所属年度综合所得汇算清缴申报,点击“切换申报类型”。可以进入“年度汇算(取得境外所得适用)”功能进行更正填报。

  政策依据

  《中华人民共和国个人所得税法》

  《财政部 税务总局关于境外所得有关个人所得税政策的公告》(财政部 税务总局公告2020年第3号)

从某上市公司问询案看私募基金LP“风险与收益不对等”争议

  有限合伙人(LP)出资绝对多数,却完全放弃投资决策权,这样的架构是否合规?2026年,某上市公司一笔1.9亿元的投资,正因这一“风险与决策权高度分离”的设计,引来了上海证券交易所(上交所)的问询。

  事件概要

  某上市公司(以下简称公司)以自有资金认缴1.9亿元,参与投资设立某股权投资合伙企业(有限合伙)(以下简称基金),占合伙企业总出资额的95%。该基金的普通合伙人及基金管理人为中×投资,投资决策委员会由基金管理人委派的3名成员组成,公司作为单一最大的有限合伙人未派驻任何代表,完全放弃了对具体投资项目的决策权。

  监管问询焦点

  上交所就此事项向公司下发问询函,要求公司对以下三个核心问题作出说明:

  第一,投资架构的合规性与商业逻辑。

  上交所在问询函中质疑,公司在承担95%的绝对多数出资义务及主要风险敞口的前提下,为何未获得投资决策委员会席位,是否违反“风险与收益对等原则”;作为单一有限合伙人出资占比高达95%是否合理,是否存在与控股股东、实际控制人的潜在利益安排;在完全放弃决策权的情况下,公司如何有效约束基金管理人的投资行为,发生利益冲突或投资偏离时可采取的保护措施及救济路径是否充分。

  第二,管理费安排的合理性。

  公司作为有限合伙人适用的管理费率为1%/年,且需一次性预付3年费用。上交所在问询函中要求公司说明,在有限合伙人未享有任何投资决策权且需承担主要风险的情况下,一次性预付3年管理费的原因及合理性;当管理人未能勤勉尽责导致投资损失时,公司是否有权要求追回已支付的管理费。

  第三,基金投向的合规性与管理人的专业能力。

  中×投资主要投资于“先进制造等国家战略新兴产业领域”。上交所要求公司补充披露中保投资的股权结构及主要财务数据,明确“先进制造等国家战略新兴产业”的具体投向范围,并结合中保投资的历史投资案例、核心团队背景及资源,论证其是否具备相关领域的专业投资能力及项目储备。

  公司回复要点

  公司在回复中逐一进行了说明:

  第一个问题。公司主张不派驻投决会委员是基于《合伙企业法》及私募基金监管要求的合规安排,若有限合伙人实际参与投资决策,可能被认定为“执行合伙事务”,面临承担无限责任或违反监管规定的风险,符合行业惯例。

  第二个问题。公司解释1%/年的管理费显著低于市场2%/年的平均水平,预付3年费用是双方商业谈判达成的平衡结果,且监管规则禁止设置管理费返还条款以防止变相保本保收益,因此协议不设返还条款。

  第三个问题。公司披露了中×投资的详细股权结构(46家股东,单一股东持股均不超过4%)、近两年财务数据及历史投资案例(涵盖天数智芯、壁仞科技、中芯国际、华虹半导体等硬科技项目),并说明投向与公司控股股东、实际控制人不存在潜在利益安排。

  笔者按

  该案件反映了有限合伙人LP在私募基金中出资占比极高但放弃投资决策权的典型合规争议,涉及专业基金管理人的资质评估、有限合伙人事务执行边界、管理费预付合理性问题,也涉及关联交易防范及投资者保护机制等核心问题。其处理方式为同类架构提供了重要的参考样本。