前言
2025年10月,中国网络空间协会牵头开展的第一批个人信息保护合规审计人员能力评价工作正式落幕。
此次共计评价1592人,其中初级555人,中级850人,高级187人。同时通过个人信息保护合规审计服务认证的13家专业机构,均来自网络安全与等保测评领域。
更值得关注的是,参与评价的人员中,与网络安全、等保测评紧密相关的技术人员占比超三分之二(不完全统计)。
从这份人员与机构构成数据不难看出,在个人信息保护合规审计领域,网络安全技术人员仍是当之无愧的主力军。
而个人信息保护合规审计本身涉及规则、技术、管理、审计四大维度,今天我们暂不探讨技术主导型的合规审计是否契合个保立法本意这一深层话题,而是从基础概念出发,聊聊等保测评与个人信息保护合规审计(以下简称“个保合规审计”)之间那些既不同又相融的关系。
一、先搞清楚:等保测评与个保合规审计,到底不一样在哪?
等保测评(全称为“网络安全等级保护测评”)与个保合规审计,虽同属数据安全与合规领域的核心工作,但前者聚焦网络系统的安全防护能力,后者聚焦个人信息处理的合规性。
两者在法律依据、核心目标、覆盖范围、结果评价四个关键维度,存在明显差异。
(一)法律依据与标准体系
1.等保测评的开展,有着明确的法律条文与国家标准支撑,属于有法可依、有标可循的专业技术活动。
其法律依据包括《网络安全法》第21条“国家实行网络安全等级保护制度”、《数据安全法》第27条“数据处理需以网络安全等级保护制度为基础”,以及《关键信息基础设施安全保护条例》中关于运营者需开展安全检测与评估的相关条款。
在国家标准层面,等保测评围绕等级保护形成完整体系:
以《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)为核心,搭配《网络安全等级保护测评要求》(GB/T 28448-2020)的测评方法、《网络安全等级保护定级指南》(GB/T 22240)的等级确定规则,再加上《网络安全等级保护安全设计技术要求》(GB/T 25070-2019)的技术支持,构成了等保测评的标准矩阵。
2.个保合规审计的法律依据更聚焦个人信息保护相关条款,核心是《个人信息保护法》对个人信息处理全流程的合规要求,同时参考《网络安全法》第41-44条关于个人信息收集使用的规则,以及《个人信息保护合规审计管理办法》对审计活动的规范。
不过目前个保合规审计暂无专门独立的国家标准,主要依据《信息安全技术个人信息安全规范》(GB/T 35273-2020)、《个人信息安全影响评估指南》(GB/T 39335-2020)、《个人信息处理中告知同意的实施指南》(GB/T 42574-2023)等法规与指引性文件开展。
(二)核心目标
等保测评的目标很明确:通过标准化测评,验证网络系统是否达到对应安全保护等级(从一级到五级,等级越高要求越严)的要求,最终提升系统抵御安全威胁的能力,保障信息的保密性、完整性、可用性,确保满足监管合规要求。
简单说,等保测评是为了让系统更安全。
个保合规审计的核心则围绕个人信息权益展开:一方面规范个人信息处理者的处理行为,另一方面识别处理活动中的合规风险,避免因违规操作引发法律责任,最终保障数据主体的合法权益。
一句话概括,个保合规审计是为了让处理行为更合规。
(三)覆盖范围
等保测评的范围是信息系统整体安全防护能力,不仅限于个人信息,还包括商业秘密、业务数据、国家秘密等各类信息,覆盖信息系统的全要素,具体可分为技术与管理两个层面:
·技术层面:物理环境(机房门禁、监控)、网络安全(防火墙、入侵检测)、 主机安全(操作系统加固、病毒防护)、应用安全(代码审计、漏洞扫描)、 数据安全(备份恢复、加密、脱敏)
·管理层面:安全管理制度(如应急预案、人员离岗离职管理)、人员安全(背景审查、培训)、运维管理(变更流程、日志审计)
个保合规审计则聚焦个人信息处理全生命周期,核心是判断个人信息处理的合规性,仅针对个人信息,不涉及非个人信息的安全,也不覆盖系统整体的物理安全、网络架构等。其范围集中在五大环节:
·收集环节:是否告知处理规则、是否获得用户明确同意、是否符合最小必要原则;
·存储环节:存储期限是否超过必要期限、是否加密、委托第三方存储时是否签订安全协议;
·使用/处理环节:是否超出告知范围、向第三方提供个人信息时是否获得单独同意;
·数据主体权利:用户是否能便捷行使查询、更正、删除、撤回同意等权利;
·风险防控:是否对高风险处理活动开展个人信息影响评估(PIA)、是否建立个人信息泄露应急机制。
(四)结果评价
等保测评的评价标准是--是否满足对应等级的技术与管理要求,关注安全防护措施是否达标,结果可量化为符合、部分符合、不符合三类,比如某三级系统的“敏感数据加密”要求未达标,即可判定为不符合。
个保合规审计的评价标准是--是否违反《个人信息保护法》及相关法规,关注处理行为是否合法,结果以定性为主,分为合规、不合规,并需明确指出具体违规点——例如收集用户手机号时未告知用途,违反《个保法》第13条等。
二、再看关联:等保测评与个保合规审计,如何相辅相成?
虽然两者差异明显,但从实际应用场景来看,等保测评与个保合规审计并非独立存在,反而深度协同,甚至可以说缺一不可。
(一)等保测评是个保合规的技术基石
个人信息的安全保护,离不开信息系统的安全能力支撑,而等保测评正是对系统安全能力的直接验证。
举几个具体例子:
- 访问控制:等保测评要求“严格限制非授权访问”,比如权限最小化、操作日志审计,这恰好是个保合规审计中“防止个人信息未授权访问”的技术基础。
毕竟若系统连谁能访问信息都无法管控,《个保法》第47条“保障个人信息安全”的要求便无从谈起;
- 数据加密:等保测评明确“三级及以上系统需对敏感数据加密”,这与《个人信息安全规范》(GB/T 35273)中“传输和存储个人信息需采用加密技术”的要求完全契合,是保障个人信息保密性的核心措施;
- 备份恢复:等保测评要求建立“数据备份与恢复机制”,这是个保合规审计中“保障个人信息可用性”的前提。一旦用户数据丢失且无法恢复,处理者便违反了保障数据安全的法定义务。
换句话说,若等保测评未通过(比如系统存在严重漏洞),个人信息必然面临泄露、丢失的风险,即便处理流程看似合规,个保合规审计也会因技术措施不到位,判定为不合规。
(二)个保合规审计是等保测评的合规延伸
等保测评关注系统安全措施是否达标,但无法覆盖处理流程是否合法,而个保合规审计恰好填补了这一空白。
比如:
- 等保测评可能验证“系统支持用户修改密码”(技术功能正常),但个保合规审计需要进一步确认“用户能否便捷修改个人信息中的手机号、地址等核心信息”——这直接关系到《个保法》第44条赋予用户的“查询、更正权”是否落地;
- 等保测评可能验证“数据传输过程已加密”(技术措施有效),但个保合规审计需要核查“将个人信息传输给第三方时,是否获得用户单独同意”——毕竟《个保法》第23条明确要求,向第三方提供个人信息需单独取得同意,仅靠技术加密无法满足法律要求;
- 等保测评可能验证“日志审计功能正常”(技术层面达标),但个保合规审计需要确认“日志是否完整记录个人信息访问行为,且保存至少6个月”——这是《个人信息安全规范》的明确要求,也是后续追溯个人信息泄露责任的关键依据。
(三)技术措施与审计方法可复用
实际操作中,等保测评与个保合规审计的部分技术手段、工作方法可以相互复用,既能提高效率,也能避免重复工作:
- 技术测试:等保测评中开展的漏洞扫描、渗透测试结果,可直接作为个保合规审计判断系统是否存在个人信息泄露风险的依据;反过来,个保合规审计中模拟用户申请删除数据的测试,也能验证等保测评中应用系统功能完整性是否达标;
- 文档审查:等保测评时收集的数据分类分级制度,可支撑个保合规审计判断个人信息分类分级是否合理;而个保合规审计中的PIA报告,也能辅助等保测评验证系统风险评估机制是否完善;
- 访谈对象:两者均需与IT部门(了解系统安全措施)、业务部门(了解个人信息处理流程)、法务部门(了解合规制度)沟通,无需重复访谈,只需根据各自关注重点调整问题即可。
(四)共同服务于个人信息全面保护的目标
无论是等保测评还是个保合规审计,最终目标都是降低风险:
等保测评通过提升系统安全能力,减少个人信息泄露、丢失等安全事件;个保合规审计通过规范处理流程,减少未获同意、超范围使用等合规事件。
只有将两者结合,才能实现技术安全与法律合规的双重保障,从而避免出现重技术安全、轻合规流程(比如系统安全但未获得用户同意就收集信息),或重合规流程、轻技术安全(比如流程合规但系统有漏洞导致数据泄露)的问题,最终真正实现个人信息的全面保护。
三、结语:从人员构成看行业趋势,技术与合规需两手抓
回到开篇提到的个人信息保护合规审计人员能力评价,超三分之二的参与者来自网络安全与等保测评领域,13家认证机构均为等保测评机构,这一数据本身就传递出一个重要信号:
在个人信息保护合规领域,技术能力与合规认知缺一不可。
对企业而言,想要做好个人信息保护,既不能只盯着等保测评搞技术,也不能只关注个保合规走流程,而是要将两者融合:
以等保测评筑牢技术安全防线,以个保合规审计规范处理全流程,让技术为合规兜底,让合规为技术定向,才能在数据安全与合规的道路上行稳致远。
声明:本文来自个保合规实务,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
