关于个人信息保护审计几个重要问题的问答
发文时间:2025-11-11
作者:陈文昊 原舒仪 孙杨 李诗
来源:植德律师事务所
收藏
1116

2025年2月14日晚,国家网信办发布了《个人信息保护合规审计管理办法》(以下简称“个保审计办法”),并自2025年5月1日起施行。个人信息保护合规审计(以下简称“个保审计”)是继数据出境合规之后又一项对于全行业数据处理者来说需要普遍关注的重要数据合规义务。

  个保审计有着很强的实践操作性,因此本文意在结合我们对个保审计法规与相关国标的理解,以及我们在已经协助客户开展的个保审计项目中的实践经验,直接回应企业关心的关于个保审计的重要问题。

  Q1:个保审计是一项新的法律义务吗?

  A:并不是,《个人信息保护法》(以下简称“个保法”)(第54条)与《网络数据安全管理条例》(以下简称“网数条例”)(第27条)已经规定了个人信息处理者/网络数据处理者进行个保审计的义务。个保审计办法是对上述法律法规义务的落地,与此前数据出境落地执行相类似。

  Q2:个保审计的对象是个人信息处理者对“法律、行政法规”的遵守情况,那对“国标”、特别是推荐性国标的遵守情况要不要纳入审计范围?

  A:我们认为对于该问题的回答,应当秉持“实用主义”原则。尽管个保审计办法、个保法、网数条例仅提及了对“法律、法规”的遵守情况进行审计,但实践中数据合规领域不乏推荐性国标被作为法律法规的“实施细则”,进而被监管执法部门直接引用为执法依据的情况。因此我们建议将对这一类国家标准的遵守情况纳入审计范畴。

  需要说明的是,实践中并非所有推荐性国标都会被监管与执法部门作为执法依据,因此哪些国标需要被重点参考,还有赖于审计机构或审计部门的经验。

  Q3:个保审计分为哪些类型?

  A:按照审计发起的原因,分为“自主审计”与“监管审计”。所谓“自主审计”,是指个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计,其中,处理超过1000万人个人信息的个人信息处理者,应当每两年至少开展一次个人信息保护合规审计。虽然个保审计办法并未明确要求处理个人信息数量不足1000万人的个人信息处理者开展个保审计,但个保审计办法也并未明确豁免其他个人信息处理者履行个保审计义务。鉴于开展个保审计是《个人信息保护法》规定应由个人信息处理者履行的合规义务,我们仍建议其他个人信息处理者开展个保审计工作。而“监管审计”是指在发生包括三类高风险场景:存在严重侵害个人信息权益风险、可能影响众多个体权益、发生重大数据安全事件时,监管部门要求个人信息处理者开展个保审计。

  关于“监管审计”,需要提醒企业的是,由于该类审计由监管机关发起,特定情形是否属于三类高风险场景,将由监管部门独立做出认定,因此企业应当建立内部合规监控体系,如果发生相关数据安全事件,除了根据法律法规要求启动数据安全事件应急响应机制之外,还要做好启动个保审计的准备。

  Q4:个保审计由谁来做?有完成时限要求吗?

  A:“自主审计”可自行进行,亦可以委托专业机构进行;“监管审计”应委托第三方进行。

  “自主审计”无时限要求,“监管审计”应当在限定时间内完成,但具体时间如何限定没有进一步规定,我们理解监管部门将结合企业处理数据规模、触发“监管审计”的原因来综合确定审计时限。

  Q5:只要处理超过1000万人个人信息,都需要自主做个保审计吗?

  A:个保审计办法规定处理超过1000万人个人信息的个人信息处理者,应当每两年至少开展一次个人信息保护合规审计。适用这条的前提条件不但需要考察处理个人信息的数量,还需要考察处理个人信息的数据法律地位,即是否构成数据处理者。如果以数据处理受托方的身份处理的数据,我们认为不应纳入此处数据统计范围。

  但需要说明的是,参考我们在数据出境项目中的经验,在实践中监管部门可能对“数据处理者”的认定比较宽泛,因此我们建议企业在签署相关数据处理协议或商业合同时,明确双方的数据处理法律关系。

  此外,需要说明的是,如果处理未成年人个人信息,根据《未成年人网络保护条例》的规定,个人信息处理者每年对其处理未成年人个人信息的情况进行合规审计。而对于特定行业(例如金融、医疗行业),还需要关注行业监管部门的特别要求。

  Q6:委托什么类型的专业机构?

  A:相较征求意见稿,个保审计办法没有采取制定“专业机构推荐目录”这一做法,且没有强制要求专业机构通过认证。很多企业纠结委托哪一类机构作为审计专业机构(律师事务所、技术检测专业机构等),我们建议企业可参考个保审计办法附件《个人信息保护合规审计指引》以及国家标准《数据安全技术 个人信息保护合规审计要求(送审稿)》规定的审计项,就不难得出个保审计的审计项主要是考察法律合规问题,部分审计项需要进行技术验证。因此我们推荐由律师事务所作为外部专业机构进行审计,并辅以技术验证或检测。

  Q7:审计团队可以由内部与外部团队组合构成吗?

  A:个保审计办法没有限制该等组合。事实上,通常一家专业机构很难做到全面覆盖法律合规与技术部分的审计,因此实践中可以考虑委托不同专业机构负责不同板块内容,或者委托一家专业机构并由其将部分工作内容分包给其他机构完成,或者由内部与外部团队共同组成审计团队(如外部专业机构提供法律合规审计,内部团队进行技术验证与检测)。

  需要说明的是,无论何种配合方式,都需要遵循个保审计诚信正直、公正客观的原则,并做好审计团队内部工作界面的划分与协调。

  Q8:审计范围需要100%覆盖吗?

  A:我们认为个保审计办法附件《个人信息保护合规审计指引》中所列重点审查事项,在适用的情况下应当全面覆盖。但现实中针对某些事项,可采取抽样的审计方式,例如零售企业旗下可能拥有众多零售店铺,审计团队可采取抽样方式选取特定店铺进行合规审计,并在报告中予以说明。

  Q9:审计结论必须是无保留的“清洁”意见吗?

  A:遵循客观原则,企业实际情况是什么样审计结论就是什么样。个保审计制度设计的初衷就是“以审促改”,审计的目的是帮助企业发现问题,重点是后续的整改环节。

  从个保审计项目工作内容来看,整改并非“自主审计”范围,但属于“监管审计”事项的必要工作范围。在“自主审计”中,企业可请审计团队对整改结果进行进一步的审查,或者在后续审计中进行审查。

  Q10:外部专业审计机构可以协助企业进行整改吗?如果协助企业进行整改,可以后续进一步做审计业务吗?

  A:我们认为是可以的。个保审计办法强调的是专业机构需秉承“诚信正直、公正客观”的原则,但并不意味着参与了整改或者日常服务工作,就有违该等原则。而且同一专业机构发现问题后,更有助于后续协助企业完成整改。整改的最终落地毕竟还需靠企业自身完成,所以专业机构对整改效果的核查或进一步审计,也是对企业合规落地情况的检验。

  Q11:企业内部谁来牵头个保审计项目?

  A:超过100万人的个人信息处理者应当指定个人信息保护负责人,并负责进行个保审计。

  需要说明的是,个保负责人的设置仍可以进一步细化,且设立条件也并非仅仅考察处理个人信息的数量。例如,如果处理儿童个人信息的,应当指定专人负责儿童个人信息保护(《儿童个人信息网络保护规定》第8条)。

  Q12:集团公司可否合并审计?

  A:我们认为存在业务关联,特别是数据交互(如共用系统或数据相互流转)的集团公司是可以的。若非前述情况,将不同集团公司合并审计,恐缺乏合理性和必要性,建议还是分开审计。需要注意在报告中要说明审计范围涵盖哪些主体,特别是这些主体之间的数据处理关系。

  我们认为存在数据交互的集团公司合并审计更能反映数据处理实际情况,更容易发现相关合规问题,但同时毫无疑问也会增加相应的工作量与工作难度。

 Q13:个保审计的审计要点都有哪些?

  A:个保审计参考要点如下:

5bace08218625e9763a1a317daaccaef_7838ae87789a9242ff76ff7cc6731ab1.png

Q14:相较于其他数据合规项目,个保审计项目需要特别注意什么吗?

  A:个保审计是对企业个人信息处理情况的全面盘点,因此工作范围覆盖面非常之广。个保审计是实质性审查,而非形式审查,且个保审计强调程序与流程。相较一般个人信息保护项目,个保审计项目对于审计底稿、审计证据提出了很高的要求,因此在开展个保审计的过程中,企业与专业审计机构应该特别关注相关程序性要求。

  植德数据合规组

  植德数据合规组,目前有5名以上的合伙人重点发展数据合规业务,组员超过20名。植德北京、上海、深圳、武汉、青岛、成都各地办公室共有15名以上合伙人、律师加入深圳数据交易所认证的DEXCO(数据交易合规师)成员;6名以上成员持有工业和信息化部教育与考试中心认证的数据安全管理审计(高级)证书;10名以上合伙人、律师持有其他数据合规相关资质。

  目前,植德数据合规组拥有成熟的数据合规产品体系,覆盖投资端、资产端、交易端到争议解决端,服务对象包括政府监管部门、事业单位、行业协会、央企、国企、民企、外资企业和公益组织,覆盖的行业包括金融、金融科技、互联网、先进制造业、能源、医疗、跨境电商、酒店、零售等行业。具体产品包括境内外IPO数据合规专项服务、企业数据出境安全评估业务、企业个人信息出境标准合同备案业务、拟IPO企业网络安全审查法律服务、App合规法律服务、个人信息审计法律服务、数据产品交易挂牌法律服务、数据资源入表法律服务、数据合规体系建设服务、AIGC算法备案服务、数据争议解决服务、投融资并购数据合规服务、员工个人信息保护法律服务等。

我要补充
0

推荐阅读

审计署通报中国银行“私募”扮“公募”被认定违规或属实,但被定性逃税则未必……

  一、审计署的通报内容

  6月23日,审计署发布2025年度中央预算执行和其他财政收支审计工作报告。金融风险领域的一则通报引发市场强烈震动。国有大行中国银行被查实存在系统性涉税违规问题:2023年4月至2025年8月,该行借助两家下属金融机构通道,组织大量本行员工以1元至100元小额出资“凑人头”,将11只私募基金违规包装为公募基金,利用公募基金免征所得税的政策红利,累计逃避缴纳税款23.67亿元。

  二、私募基金合格合格投资者的条件

  (一)《中华人民共和国证券投资基金法》(主席令第七十一号)

  “第八十八条 非公开募集基金应当向合格投资者募集,合格投资者累计不得超过二百人。

  前款所称合格投资者,是指达到规定资产规模或者收入水平,并且具备相应的风险识别能力和风险承担能力、其基金份额认购金额不低于规定限额的单位和个人。

  合格投资者的具体标准由国务院证券监督管理机构规定。”

  (二)《私募投资基金监督管理条例》(国务院令第762号)

  “第十八条 私募基金应当向合格投资者募集或者转让,单只私募基金的投资者累计不得超过法律规定的人数。私募基金管理人不得采取为单一融资项目设立多只私募基金等方式,突破法律规定的人数限制;不得采取将私募基金份额或者收益权进行拆分转让等方式,降低合格投资者标准。

  前款所称合格投资者,是指达到规定的资产规模或者收入水平,并且具备相应的风险识别能力和风险承担能力,其认购金额不低于规定限额的单位和个人。

  合格投资者的具体标准由国务院证券监督管理机构规定。”

  (三)《私募投资基金监督管理暂行办法》(中国证券监督委员会2017-12-29 )

  “第十二条 私募基金的合格投资者是指具备相应风险识别能力和风险承担能力,投资于单只私募基金的金额不低于100万元且符合下列相关标准的单位和个人:

  (一)净资产不低于1000万元的单位;

  (二)金融资产不低于300万元或者最近三年个人年均收入不低于50万元的个人。

  前款所称金融资产包括银行存款、股票、债券、基金份额、资产管理计划、银行理财产品、信托计划、保险产品、期货权益等。

  第十三条 下列投资者视为合格投资者:

  (一)社会保障基金、企业年金等养老基金,慈善基金等社会公益基金;

  (二)依法设立并在基金业协会备案的投资计划;

  (三)投资于所管理私募基金的私募基金管理人及其从业人员;

  (四)中国证监会规定的其他投资者。

  以合伙企业、契约等非法人形式,通过汇集多数投资者的资金直接或者间接投资于私募基金的,私募基金管理人或者私募基金销售机构应当穿透核查最终投资者是否为合格投资者,并合并计算投资者人数。但是,符合本条第(一)、(二)、(四)项规定的投资者投资私募基金的,不再穿透核查最终投资者是否为合格投资者和合并计算投资者人数。”

  【对照上述法律法规文件,中国银行被认定为违规或属实】

  三、证券投资基金的所得税政策

  《财政部 国家税务总局关于企业所得税若干优惠政策的通知》(财税[2008]1号):

      “二、关于鼓励证券投资基金发展的优惠政策

  (一)对证券投资基金从证券市场中取得的收入,包括买卖股票、债券的差价收入,股权的股息、红利收入,债券的利息收入及其他收入,暂不征收企业所得税。

  (二)对投资者从证券投资基金分配中取得的收入,暂不征收企业所得税。

       (三)对证券投资基金管理人运用基金买卖股票、债券的差价收入,暂不征收企业所得税。”

  【从财税[2008]1号中可以得出:

       1、对证券投资基金从证券市场中取得的收入,暂不征收企业所得税;

       2、也可以得出并没有将证券投资基金区分为公募和私募而分别对待;

       3、截止2026年审计署发布2025年度中央预算执行和其他财政收支审计工作报告,也没有查到财政部或国家税务总局明确的将私募证券投资基金从财税[2008]1号文适用范围中排除的明确的文件规定】

  四、百思不得其解的问题

  有稽查案例支持,有专家撰文背书,现在又有审计署也这么说。

  但谁能明确指出:私募证券投资基金不适应财税[2008]1号文的暂免征收企业所得税的规定到底出自哪法哪规哪文呢?

疑问:私募基金征收企业所得税有法律依据吗?

  这个问题的答案,关乎当前资本市场中大量私募基金及其投资者的纳税义务边界,也关乎财税〔2008〕1号文施行近二十年后仍在制造的征纳争议。从税法和政策两个维度展开分析,结论指向一个严肃的判断:现行法律框架下,对私募基金征收企业所得税的依据并不充分,当前的征管实践建立在扩大解释和内部口径之上,缺乏正式规范性文件的支撑。

       企业所得税实务操作政策指引(北京税务)

       2.证券投资投资基金分红免税问题

       2012 年修订后的《中华人民共和国证券投资基金法》(从2013年6月1日起施行)将证券投资基金分为公开募集基金和非公开募集基金,公开募集基金简称公募基金,非公开募集基金简称私募基金,而修订前的《证券投资基金法》不包括私募基金。按照《财政部 国家税务总局关于企业所得税若干优惠政策的通知》(财税〔2008〕1号)第二条第(二)项的规定,对投资者从证券投资基金分配中取得的收入,暂不征收企业所得税。

       问:对投资者从私募基金分配中取得的收入能否享受暂不征收企业所得税的税收优惠?

       答:考虑到一是财税〔2008〕1号出台时,是针对原《证券投资基金法》中规定的公募基金给予免税,政策出台时不包括私募基金;二是私募基金操作方式灵活,受监管程度低,且其投资者多为高净值人群,不适用于社会普通大众,大众参与度低,因此从优惠取向和维护社会公平的角度,不应对投资者从私募基金取得的分红适用免税政策。因此,对投资者从私募基金取得的分红暂不享受免税政策。

  一、财税〔2008〕1号的文义:证券投资基金未作任何排除

  《财政部 国家税务总局关于企业所得税若干优惠政策的通知》(财税〔2008〕1号)第二条规定,对证券投资基金从证券市场中取得的收入,包括买卖股票、债券的差价收入,股权的股息、红利收入,债券的利息收入及其他收入,暂不征收企业所得税。对投资者从证券投资基金分配中取得的收入,暂不征收企业所得税。对证券投资基金管理人运用基金买卖股票、债券的差价收入,暂不征收企业所得税。

  该条文三款并列,分别覆盖基金本身、投资者、管理人三个层面的所得税优惠。条文使用的核心概念是“证券投资基金”,未出现“公开募集”“非公开募集”“仅限公募”或任何排除性表述。

  从文义解释的基本原则出发,当法律条文的表述清晰、没有歧义时,应当按照条文的字面含义予以适用,不得随意添加限制条件或扩大适用范围。财税〔2008〕1号第二条的“证券投资基金”一词,在字面上不设任何限定,解释者无权在条文中添加“公募”二字。

  二、证券投资基金法的统一定义:私募基金属于证券投资基金

  《中华人民共和国证券投资基金法》第二条开宗明义:在中华人民共和国境内,公开或者非公开募集资金设立证券投资基金,由基金管理人管理,基金托管人托管,为基金份额持有人的利益,进行证券投资活动,适用本法。

  该条文对“证券投资基金”作出统一法律定义,明确将公开募集基金和非公开募集基金共同纳入“证券投资基金”的法律概念之内。这是法律层面的定义,是全国人大常委会通过立法程序确立的分类体系,具有最高层级的法规范效力。

  证券投资基金法于2012年12月28日修订通过,自2013年6月1日起施行。原2003年版本的证券投资基金法仅规范公募基金,修订后的法律在第十章专门增设“非公开募集基金”,将私募基金正式纳入证券投资基金的法律框架。这一修订不是对概念的简单扩张,而是法律对经济现实的确认和规范。

  三、上位法与下位法的关系:规范性文件不得与法律相抵触

  《中华人民共和国立法法》第九十六条规定,下位法违反上位法规定的,由有关机关依照权限予以改变或者撤销。

  财税〔2008〕1号是财政部和国家税务总局制定的规范性文件,在效力层级上低于全国人大常委会制定的证券投资基金法。证券投资基金法对“证券投资基金”作出了统一的法律定义,财税〔2008〕1号作为下位规范性文件,没有对该概念作出特别定义或作出限缩规定。

  当上位法对某一法律概念作出明确界定时,下位法使用同一概念时应当遵循上位法的定义,除非下位法明确作出了不同的规定。财税〔2008〕1号既没有对“证券投资基金”给出自己的定义,也没有表述为“公开募集的证券投资基金”,更没有表述为“本法所称证券投资基金仅限于公开募集基金”。按照法律解释的一般规则,下位法使用与上位法相同的术语时,应当推定其含义与上位法一致。

  四、十三年不作修订的制度含义

  证券投资基金法修订施行至今已逾十三年。在这十三年间,财政部和国家税务总局完全有条件、有机会对财税〔2008〕1号进行修订,明确“证券投资基金”是否包含私募基金,或者明确将私募基金排除在优惠范围之外。

  十三年不作修订,这一立法不作为本身传递了一个制度信号。如果政策制定机关认为私募基金不应享受该优惠,出台一纸补充通知或修订条文并不存在法律障碍或程序障碍。长期不作表态,意味着政策制定机关至少在主观上没有形成排除私募基金的明确意志。在这种情况下,由税务机关通过内部口径、纳税咨询答复、稽查实务等方式事实上限制法律条文的适用范围,实质上绕开了正式的制度修正程序。

  五、税务机关口径的法律效力问题

  当前税务征管实践中,多地税务机关通过12366纳税咨询、内部政策指引等方式,表达“私募基金不适用财税〔2008〕1号优惠”的立场。国家税务总局及广东、江苏、湖北、深圳、北京等多地税务机关的统一口径是:该优惠的立法背景仅针对公募基金,私募基金不属于适用主体。

  这种口径在法律效力层面面临根本性困境。

  《中华人民共和国税收征收管理法》第三条规定,税收的开征、停征以及减税、免税、退税、补税,依照法律的规定执行;法律授权国务院规定的,依照国务院制定的行政法规的规定执行。任何机关、单位和个人不得违反法律、行政法规的规定,擅自作出税收开征、停征以及减税、免税、退税、补税和其他同税收法律、行政法规相抵触的决定。

  税收优惠的限制和取消,与税收的开征具有同等性质,属于税收法定原则的核心内容。如果财税〔2008〕1号在文义上包含私募基金,那么限制私募基金适用该优惠,实质上是对现行有效规范性文件适用范围的限缩,必须通过正式修订或出台同等效力的规范性文件来完成。各地税务机关的内部口径和纳税咨询答复,不属于法律、行政法规或正式规范性文件,不具备限制或取消税收优惠的法律效力。

  从纳税人的角度来看,一个合规设立的私募基金依据证券投资基金法属于“证券投资基金”,依据财税〔2008〕1号主张享受所得税免税优惠,在文义层面具有充分的法律依据。税务机关以内部口径否定纳税人的主张,一旦进入行政复议或行政诉讼程序,税务机关的执法依据将面临严格的司法审查。

  六、私募基金与公募基金适用同一优惠条款的实质合理性

  反对私募基金享受优惠的主要理由是政策目的论:财税〔2008〕1号的立法初衷是扶持面向社会公众的普惠型公募理财,降低普通居民理财税负。私募基金面向合格投资者,不具备普惠属性,不应纳入扶持范围。

  这种目的论解释存在两个层面的问题。

  第一,法律解释应当以条文文义为基础,目的论解释只能在文义存在模糊时作为补充,不能在文义清晰时替代文义解释。财税〔2008〕1号的“证券投资基金”一词,在证券投资基金法已经作出统一定义的前提下,文义上不存在模糊空间。以政策目的为由限缩文义的适用范围,不是法律解释,而是法律修改。

  第二,即使从政策目的角度分析,证券投资基金法在2013年修订时将私募基金纳入法律规范框架,本身就是为了规范和发展私募基金行业,将其纳入多层次资本市场的组成部分。法律给予私募基金合法地位,就是为了促进私募基金行业的健康发展。财税优惠政策跟随法律概念同步覆盖私募基金,在法律政策体系上具有一致性。

  七、国务院制定税收优惠的权限与约束

  《中华人民共和国企业所得税法》第三十六条规定,根据国民经济和社会发展的需要,或者由于突发事件等原因对企业经营活动产生重大影响的,国务院可以制定企业所得税专项优惠政策,报全国人民代表大会常务委员会备案。

  财税〔2008〕1号开篇即明确“根据《中华人民共和国企业所得税法》第三十六条的规定,经国务院批准”。这是国务院依据企业所得税法授权制定的专项优惠政策,具有法律授权的正当性,在效力层级上属于经法律授权制定的行政法规性文件。

  国务院在制定该优惠时,依据当时有效的2003年版证券投资基金法,彼时“证券投资基金”仅指公募基金。但当全国人大常委会通过修订证券投资基金法,将私募基金纳入“证券投资基金”的法律定义后,国务院依据原授权制定的优惠政策,在文义上自动覆盖了法律重新定义的“证券投资基金”全部范围。国务院如果要限缩范围,应当通过相同层级的程序重新明确,而不是由下属部门通过内部口径操作。

  八、总结:对私募基金征收企业所得税的法律依据不充分

  综合以上分析,从税法和政策角度可以得出以下判断。

  第一,财税〔2008〕1号第二条“证券投资基金”的文义包含私募基金。条文未作排除,解释者无权添加限制条件。

  第二,证券投资基金法第二条将私募基金纳入“证券投资基金”的法定定义。下位规范性文件使用同一术语,应当遵循上位法的定义。

  第三,税收法定原则要求税收优惠的限制和取消必须通过正式规范性文件完成。各地税务机关的内部口径不具备限制优惠适用范围的法律效力。

  第四,十三年不作修订的制度事实,客观上形成了私募基金适用优惠的合理期待,政策制定机关的沉默不能成为税务机关扩大征税权力的依据。

  第五,当前对私募基金征收企业所得税的征管实践,建立在内部口径和政策解释之上,缺乏正式规范性文件的明确支撑。在法律层面,对私募基金征收企业所得税的依据不充分。

  制度层面的真正问题在于:财税〔2008〕1号长期未根据证券投资基金法的修订作出同步调整,制造了长达十余年的法律适用模糊地带。纳税人依据文义主张免税有充分理由,税务机关依据内部口径要求征税也有行政惯性,而真正的解决方案只能是财政部和国家税务总局出台正式文件,对“证券投资基金”在财税〔2008〕1号中的含义作出明确界定。在正式文件出台之前,向私募基金征收企业所得税的法律依据,始终处于争议之中,而这种不确定性本身,就是对税收法治原则的一种持续消解。