ICS35.030 CCSL80 中华人民共和国国家标准 GB/T46903—2025 数据安全技术 个人信息保护合规审计要求 Datasecuritytechnology—Personalinformationprotectioncompliance auditrequirements 2025-12-31发布 2026-07-01实施 国家市场监督管理总局 国家标准化管理委员会发布目 次 前言 Ⅲ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 个人信息保护合规审计原则和总体要求 2 ……………………………………………………………… 4.1 合规审计原则 2 ……………………………………………………………………………………… 4.2 合规审计工作开展要求 2 …………………………………………………………………………… 4.3 合规审计人员要求 4 ………………………………………………………………………………… 5 个人信息保护合规审计实施流程 7 ……………………………………………………………………… 5.1 概述 7 ………………………………………………………………………………………………… 5.2 审计准备阶段 8 ……………………………………………………………………………………… 5.3 审计实施阶段 10 ……………………………………………………………………………………… 5.4 审计报告阶段 11 ……………………………………………………………………………………… 5.5 问题整改阶段 12 ……………………………………………………………………………………… 5.6 归档管理阶段 12 ……………………………………………………………………………………… 6 个人信息保护合规审计内容和方法 12 …………………………………………………………………… 6.1 个人信息处理活动的合法性 12 ……………………………………………………………………… 6.2 个人信息处理规则规范性 14 ………………………………………………………………………… 6.3 个人信息处理者履行告知个人信息处理规则义务 15 ……………………………………………… 6.4 与其他个人信息处理者共同处理个人信息 17 ……………………………………………………… 6.5 委托处理个人信息 17 ………………………………………………………………………………… 6.6 因合并、重组、分立、解散、被宣告破产等原因需要转移个人信息 18 ……………………………… 6.7 向其他个人信息处理者提供其处理的个人信息 19 ………………………………………………… 6.8 利用自动化决策处理个人信息 19 …………………………………………………………………… 6.9 基于个人同意公开个人信息 21 ……………………………………………………………………… 6.10 在公共场所安装图像收集、个人身份识别设备 22 ………………………………………………… 6.11 处理已公开的个人信息 23 ………………………………………………………………………… 6.12 处理敏感个人信息 24 ……………………………………………………………………………… 6.13 不满十四周岁未成年人个人信息 26 ……………………………………………………………… 6.14 向境外提供个人信息 27 …………………………………………………………………………… 6.15 个人信息删除权保障情况 28 ……………………………………………………………………… 6.16 保障个人在个人信息处理活动中的权利 30 ……………………………………………………… 6.17 响应个人并对其个人信息处理规则进行解释说明 31 …………………………………………… ⅠGB/T46903—2025 6.18 个人信息保护内部管理制度和操作规程 31 ……………………………………………………… 6.19 安全技术措施 34 …………………………………………………………………………………… 6.20 教育培训计划的制定和实施 35 …………………………………………………………………… 6.21 个人信息保护负责人 35 …………………………………………………………………………… 6.22 个人信息保护影响评估 37 ………………………………………………………………………… 6.23 个人信息安全事件应急预案 38 …………………………………………………………………… 6.24 个人信息安全事件应急响应处置 38 ……………………………………………………………… 6.25 大型互联网平台规则 39 …………………………………………………………………………… 6.26 个人信息保护社会责任报告 40 …………………………………………………………………… 附录A(资料性) 个人信息保护合规审计证据 42 ………………………………………………………… A.1 审计证据类型 42 …………………………………………………………………………………… A.2 审计证据有效性 42 ………………………………………………………………………………… 附录B(资料性) 个人信息保护合规审计底稿模板 44 …………………………………………………… 附录C(资料性) 个人信息保护合规审计报告模板 45 …………………………………………………… 参考文献 48 …………………………………………………………………………………………………… ⅡGB/T46903—2025 前 言 本文件按照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。 本文件起草单位:中国电子技术标准化研究院、中央网信办(国家网信办)数据与技术保障中心、 中国电子信息产业发展研究院、中国信息通信研究院、国家计算机网络应急技术处理协调中心、国家信 息技术安全研究中心、公安部第三研究所、清华大学、南京审计大学、北京快手科技有限公司、蚂蚁科技 集团股份有限公司、北京抖音信息服务有限公司、深圳市腾讯计算机系统有限公司、联想(北京)有限公 司、淘天有限公司、北京小桔科技有限公司、北京时代新威信息技术有限公司、华为技术有限公司、北京 火山引擎科技有限公司、广西电网有限责任公司、阿里云计算有限公司、荣耀终端股份有限公司、马上消 费金融股份有限公司、广州南沙智慧城市大数据有限公司。 本文件主要起草人:姚相振、胡影、刘行、高超、郝春亮、王志成、国震寰、赵丽、闫晓丽、李安伦、高月、 闵栋、杨玲玲、陈杨、易立、杨韬、刘曦泽、李卓峻、王俊、邹翔、陈兵、刘云、余小兵、落红卫、王昕、白晓媛、 石玉珍、田申、李昳婧、张亚男、毛安娜、张忻、贾雨萌、顾伟、鲁艳、孙铁、许锐、王新杰、衣强、马硕、周羽杰、 刘莹、朱时阳、梁哲喆、石雅榕、赵晓娜、尹丹娜、李洪刚。 ⅢGB/T46903—2025 数据安全技术 个人信息保护合规审计要求 1 范围 本文件提出了个人信息保护合规审计原则,规定了个人信息保护合规审计的总体要求、实施流程、 内容和方法。 本文件适用于个人信息处理者和专业机构开展个人信息保护合规审计活动。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 GB/T25069 信息安全技术 术语 GB/T35273 信息安全技术 个人信息安全规范 GB/T45574 数据安全技术 敏感个人信息处理安全要求 3 术语和定义 GB/T25069、GB/T35273界定的以及下列术语和定义适用于本文件。 3.1 个人信息保护合规审计 personalinformationprotectioncomplianceaudit 对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督 活动。 注:简称合规审计。 3.2 个人信息保护合规审计专业机构 professionalinstitutionsspecializedinpersonalinformationpro- tectioncomplianceaudit 具备开展个人信息保护合规审计的能力,有与服务相适应的审计人员、场所、设施和资金等,能够提 供个人信息保护合规审计服务的机构。 注:简称专业机构。 3.3 审计人员 auditor 个人信息处理者或专业机构中,具备开展个人信息保护合规审计的能力,对个人信息处理活动是否 遵守法律、行政法规进行独立审查和评价的人员。 3.4 审计发现 auditfinding 合规审计人员在执行审计程序后,识别出的与审计对象相关的事实、差异、风险或问题。 1GB/T46903—2025 3.5 审计证