ICS35030

CCSL.80

中華人民共和國國家標準

GB/T46903—2025

數(shù)據(jù)安全技術

個人信息保護合規(guī)審計要求

Datasecuritytechnology—Personalinformationprotectioncompliance

auditrequirements

2025-12-31發(fā)布2026-07-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標準化管理委員會

GB/T46903—2025

目次

前言

…………………………Ⅲ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義

3………………1

個人信息保護合規(guī)審計原則和總體要求

4………………2

合規(guī)審計原則

4.1………………………2

合規(guī)審計工作開展要求

4.2……………2

合規(guī)審計人員要求

4.3…………………4

個人信息保護合規(guī)審計實施流程

5………………………7

概述

5.1…………………7

審計準備階段

5.2………………………8

審計實施階段

5.3………………………10

審計報告階段

5.4………………………11

問題整改階段

5.5………………………12

歸檔管理階段

5.6………………………12

個人信息保護合規(guī)審計內(nèi)容和方法

6……………………12

個人信息處理活動的合法性

6.1………………………12

個人信息處理規(guī)則規(guī)范性

6.2…………14

個人信息處理者履行告知個人信息處理規(guī)則義務

6.3………………15

與其他個人信息處理者共同處理個人信息

6.4………17

委托處理個人信息

6.5…………………17

因合并重組分立解散被宣告破產(chǎn)等原因需要轉(zhuǎn)移個人信息

6.6、、、、………………18

向其他個人信息處理者提供其處理的個人信息

6.7…………………19

利用自動化決策處理個人信息

6.8……………………19

基于個人同意公開個人信息

6.9………………………21

在公共場所安裝圖像收集個人身份識別設備

6.10、…………………22

處理已公開的個人信息

6.11…………23

處理敏感個人信息

6.12………………24

不滿十四周歲未成年人個人信息

6.13………………26

向境外提供個人信息

6.14……………27

個人信息刪除權保障情況

6.15………………………28

保障個人在個人信息處理活動中的權利

6.16………30

響應個人并對其個人信息處理規(guī)則進行解釋說明

6.17……………31

Ⅰ

GB/T46903—2025

個人信息保護內(nèi)部管理制度和操作規(guī)程

6.18………31

安全技術措施

6.19……………………34

教育培訓計劃的制定和實施

6.20……………………35

個人信息保護負責人

6.21……………35

個人信息保護影響評估

6.22…………37

個人信息安全事件應急預案

6.23……………………38

個人信息安全事件應急響應處置

6.24………………38

大型互聯(lián)網(wǎng)平臺規(guī)則

6.25……………39

個人信息保護社會責任報告

6.26……………………40

附錄資料性個人信息保護合規(guī)審計證據(jù)

A()…………42

審計證據(jù)類型

A.1……………………42

審計證據(jù)有效性

A.2…………………42

附錄資料性個人信息保護合規(guī)審計底稿模板

B()……………………44

附錄資料性個人信息保護合規(guī)審計報告模板

C()……………………45

參考文獻

……………………48

Ⅱ

GB/T46903—2025

前言

本文件按照標準化工作導則第部分標準化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔識別專利的責任

。。

本文件由全國網(wǎng)絡安全標準化技術委員會提出并歸口

(SAC/TC260)。

本文件起草單位中國電子技術標準化研究院中央網(wǎng)信辦國家網(wǎng)信辦數(shù)據(jù)與技術保障中心

:、()、

中國電子信息產(chǎn)業(yè)發(fā)展研究院中國信息通信研究院國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心國家信

、、、

息技術安全研究中心公安部第三研究所清華大學南京審計大學北京快手科技有限公司螞蟻科技

、、、、、

集團股份有限公司北京抖音信息服務有限公司深圳市騰訊計算機系統(tǒng)有限公司聯(lián)想北京有限公

、、、()

司淘天有限公司北京小桔科技有限公司北京時代新威信息技術有限公司華為技術有限公司北京

、、、、、

火山引擎科技有限公司廣西電網(wǎng)有限責任公司阿里云計算有限公司榮耀終端股份有限公司馬上消

、、、、

費金融股份有限公司廣州南沙智慧城市大數(shù)據(jù)有限公司

、。

本文件主要起草人姚相振胡影劉行高超郝春亮王志成國震寰趙麗閆曉麗李安倫高月

:、、、、、、、、、、、

閔棟楊玲玲陳楊易立楊韜劉曦澤李卓峻王俊鄒翔陳兵劉云余小兵落紅衛(wèi)王昕白曉媛

、、、、、、、、、、、、、、、

石玉珍田申李昳婧張亞男毛安娜張忻賈雨萌顧偉魯艷孫鐵許銳王新杰衣強馬碩周羽杰

、、、、、、、、、、、、、、、

劉瑩朱時陽梁哲喆石雅榕趙曉娜尹丹娜李洪剛

、、、、、、。

Ⅲ

GB/T46903—2025

數(shù)據(jù)安全技術

個人信息保護合規(guī)審計要求

1范圍

本文件提出了個人信息保護合規(guī)審計原則規(guī)定了個人信息保護合規(guī)審計的總體要求實施流程

,、、

內(nèi)容和方法

。

本文件適用于個人信息處理者和專業(yè)機構(gòu)開展個人信息保護合規(guī)審計活動

。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息安全技術術語

GB/T25069

信息安全技術個人信息安全規(guī)范

GB/T35273

數(shù)據(jù)安全技術敏感個人信息處理安全要求

GB/T45574

3術語和定義

界定的以及下列術語和定義適用于本文件

GB/T25069、GB/T35273。

31

.

個人信息保護合規(guī)審計personalinformationprotectioncomplianceaudit

對個人信息處理者的個人信息處理活動是否遵守法律