一、违法行为对应法律条款，迪奥案成典型反面教材

近日，法国知名公司迪奥在中国大陆地区发生大规模用户数据泄露，事件迅速引发社会广泛关注。根据国家网络安全通报中心公布的消息，公安网安部门已对迪奥（上海）公司依法开展行政调查，并查明其存在多项严重违法违规行为，包括：未履行数据出境安全评估及合规手续、未充分告知并取得用户“单独同意”、未对个人信息采取加密和去标识化等必要技术措施。

原文链接：https://mp.weixin.qq.com/s/0NZ852z1Jo7w4HkYiGJgVg

事件暴露出迪奥公司在《中华人民共和国个人信息保护法》（以下简称《个保法》）的遵守方面存在严重不足，未能切实履行个人信息保护的主体责任及法定的合规义务。依据《个保法》第六十六条，国家网信部门等相关履行个人信息保护职责的部门可依法对其作出如下处罚：责令改正、给予警告、没收违法所得，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。若情节严重，还可处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、吊销相关业务许可或营业执照。

二、审计新规：确立强制审计频次与触发情形

《个人信息保护合规审计管理办法》已于2025年2月发布，5月1日起正式施行，从制度层面为企业设定了系统化的合规审计义务。该《办法》明确提出，处理超过1000万人个人信息的处理者应每两年至少开展一次审计；同时，出现如处理活动存在较高风险、可能侵害众多个人权益，或发生涉及百万人以上信息泄露的安全事件等情形，网信部门等监管机构可强制要求企业委托专业机构实施审计。以迪奥事件为例，该类重大数据泄露主体将不可避免地成为强制审计的对象。企业藉由定期或触发式审计，可系统性识别合规漏洞，加强数据治理，切实将《个人信息保护法》的各项要求融入运营全流程。

三、体系建设：国际国内标准为审计与合规提供双重支撑

除履行法定的审计义务，企业还可依托国际国内标准体系，全面提升个人信息保护管理能力。ISO/IEC 27701作为隐私信息管理体系的国际标准，为企业建立和维护PIMS提供了系统框架；GB/T 35273《信息安全技术 个人信息安全规范》则从具体实践和审计方法层面给出明确指引。通过贯标和认证，企业不仅可强化合规意识、规范处理活动，也为高效落实《办法》要求的审计工作奠定了基础。

四、生态培育：以机构认证提升审计服务质量，推动行业自律

在企业完善内部合规体系的同时，合规审计专业机构的服务能力也成为推动行业健康发展的重要支撑。赛西认证已正式面向个人信息保护合规审计专业机构开展认证服务，通过对审计服务机构及其合规服务能力进行评价与认证，推动其不断提升专业水平与服务规范性，确保广大企业能够获得高质量、可信赖的第三方审计支持。此举不仅有助于企业高效满足监管审计要求，也有助于构建起“机构自律、服务可信、监管有据”的良性生态，从而切实保障《个人信息保护法》与《合规审计办法》有效落地实施。