钧衡 WAN.NOW / 合规问答 / 个保合规审计
// PIPL AUDIT个人信息保护合规审计多久做一次?哪些企业必须做?
依据《个人信息保护合规审计管理办法》(2025-05-01 施行),处理超过 1000 万人个人信息的处理者,应当每 2 年至少开展一次个人信息保护合规审计;其余处理者在出现较大风险或发生安全事件时,可被监管要求开展审计。它不是「全员每年强制」。而员工把数据贴进外部 AI,正是审计员最常开的留痕缺口。
常见问题
《个人信息保护合规审计管理办法》自 2025 年 5 月 1 日施行。核心频率要求是:处理 超过 1000 万人个人信息的处理者,应当每两年至少开展一次合规审计。未达该门槛的处理者,通常在出现重大合规风险、发生个人信息安全事件、或监管认为必要时,被要求开展审计。
审计可以自行开展,也可以委托专业机构。把频率讲成「每年、全员强制」是常见误读,会被合规官一眼识破——诚实的表述比夸张更重要。
会。审计的本质是核查「个人信息处理活动是否合法、是否留痕、能否举证」。员工把客户名单、合同、简历、客服记录、源码粘贴进 ChatGPT / Claude / Gemini,本质上是一次个人信息的对外提供,且很可能同时构成出境。
问题在于:绝大多数企业对这类行为零留痕——谁、在什么时间、对哪个外部模型、提交了什么内容,完全说不清。当审计员问「请提供过去一年员工使用外部 AI 处理个人信息的记录」时,拿不出来。这就是它成为高频缺口的原因。
至少要能回答四件事:
- 谁在用:哪些员工 / 部门,使用哪些外部模型;
- 用了什么:每次调用的输入 / 输出内容能否调取,且能证明未被篡改;
- 有没有个人信息 / 出境:是否命中个人信息,数据去了境内还是境外,有无台账;
- 谁能看:访问控制、权限与操作留痕。
钧衡 / WAN.NOW 的做法:见证(全量留痕,信封加密,内容不出私网)+ 存证(防篡改哈希链,单条记录可一键验真)+ 按员工 / 部门归因的审计报表——「谁、何时、对哪个模型、说了什么」一次给齐。
《个人信息保护法》第 55 条要求,对「向他人提供个人信息、公开个人信息、跨境提供」等高风险处理活动,应事前开展个人信息保护影响评估(PIA)并留存处理记录(记录至少保存三年)。员工使用外部 AI 同时触及「对外提供」与可能的「跨境」,落在 PIA 范围内。
没有逐次调用的留痕,PIA 既无法支撑事前评估,也经不起事后核验。可证、可查、未被篡改的调用记录,是合规审计与 PIA 的共同地基。