據(jù)“網(wǎng)信中國(guó)”微信公眾號(hào)2月14日消息，近日，國(guó)家互聯(lián)網(wǎng)信息辦公室公布《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》（以下簡(jiǎn)稱《辦法》），自2025年5月1日起施行。

　　國(guó)家互聯(lián)網(wǎng)信息辦公室有關(guān)負(fù)責(zé)人表示，《中華人民共和國(guó)個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》對(duì)個(gè)人信息處理者開展個(gè)人信息保護(hù)合規(guī)審計(jì)作了規(guī)定，《辦法》對(duì)合規(guī)審計(jì)活動(dòng)的開展、合規(guī)審計(jì)機(jī)構(gòu)的選擇、合規(guī)審計(jì)的頻次、個(gè)人信息處理者和專業(yè)機(jī)構(gòu)在合規(guī)審計(jì)中的義務(wù)等作出細(xì)化規(guī)定，旨在為個(gè)人信息處理者開展個(gè)人信息保護(hù)合規(guī)審計(jì)提供系統(tǒng)性、針對(duì)性、可操作性的規(guī)范，提升個(gè)人信息處理活動(dòng)合法合規(guī)水平，保護(hù)個(gè)人信息權(quán)益。

　　《辦法》明確了個(gè)人信息處理者開展合規(guī)審計(jì)的兩種情形。一是個(gè)人信息處理者自行開展合規(guī)審計(jì)的，應(yīng)當(dāng)由個(gè)人信息處理者內(nèi)部機(jī)構(gòu)或者委托專業(yè)機(jī)構(gòu)定期對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)。處理超過1000萬人個(gè)人信息的個(gè)人信息處理者，應(yīng)當(dāng)每?jī)赡曛辽匍_展一次個(gè)人信息保護(hù)合規(guī)審計(jì)。二是履行個(gè)人信息保護(hù)職責(zé)的部門發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)、可能侵害眾多個(gè)人的權(quán)益或者發(fā)生個(gè)人信息安全事件的，可以要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對(duì)個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)。

　　《辦法》明確了開展合規(guī)審計(jì)的個(gè)人信息處理者應(yīng)當(dāng)履行的義務(wù)。規(guī)定個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)的部門要求開展合規(guī)審計(jì)的，應(yīng)當(dāng)為專業(yè)機(jī)構(gòu)正常開展合規(guī)審計(jì)工作提供必要支持并承擔(dān)審計(jì)費(fèi)用，在限定時(shí)間內(nèi)完成合規(guī)審計(jì)，報(bào)送合規(guī)審計(jì)報(bào)告并進(jìn)行整改。

　　《辦法》明確了專業(yè)機(jī)構(gòu)在合規(guī)審計(jì)中的義務(wù)。一是應(yīng)當(dāng)具備開展個(gè)人信息保護(hù)合規(guī)審計(jì)的能力，有與服務(wù)相適應(yīng)的審計(jì)人員、場(chǎng)所、設(shè)施和資金等。二是應(yīng)當(dāng)遵守法律法規(guī)，誠(chéng)信正直，公正客觀地作出合規(guī)審計(jì)職業(yè)判斷，對(duì)履職中知悉的個(gè)人信息、商業(yè)秘密、保密商務(wù)信息等依法予以保密。三是不得轉(zhuǎn)委托其他機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)。四是同一專業(yè)機(jī)構(gòu)及其關(guān)聯(lián)機(jī)構(gòu)、同一合規(guī)審計(jì)負(fù)責(zé)人不得連續(xù)三次以上對(duì)同一審計(jì)對(duì)象開展個(gè)人信息保護(hù)合規(guī)審計(jì)。

　　《辦法》以附件形式提供了《個(gè)人信息保護(hù)合規(guī)審計(jì)指引》，對(duì)個(gè)人信息保護(hù)相關(guān)法律、行政法規(guī)的關(guān)鍵要點(diǎn)作了梳理，從合規(guī)審計(jì)的角度進(jìn)行了細(xì)化。個(gè)人信息處理者自行開展或者按照履行個(gè)人信息保護(hù)職責(zé)的部門要求委托專業(yè)機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)，應(yīng)當(dāng)參照《個(gè)人信息保護(hù)合規(guī)審計(jì)指引》。

　　《辦法》同時(shí)對(duì)履行個(gè)人信息保護(hù)職責(zé)的部門的監(jiān)督管理責(zé)任和個(gè)人信息處理者、專業(yè)機(jī)構(gòu)違反《辦法》規(guī)定的法律責(zé)任等作出了規(guī)定。

　　第一條 為了規(guī)范個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng)，保護(hù)個(gè)人信息權(quán)益，根據(jù)《中華人民共和國(guó)個(gè)人信息保護(hù)法》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》等法律、行政法規(guī)，制定本辦法。

　　本辦法所稱個(gè)人信息保護(hù)合規(guī)審計(jì)，是指對(duì)個(gè)人信息處理者的個(gè)人信息處理活動(dòng)是否遵守法律、行政法規(guī)的情況進(jìn)行審查和評(píng)價(jià)的監(jiān)督活動(dòng)。

　　第三條 個(gè)人信息處理者自行開展個(gè)人信息保護(hù)合規(guī)審計(jì)的，應(yīng)當(dāng)由個(gè)人信息處理者內(nèi)部機(jī)構(gòu)或者委托專業(yè)機(jī)構(gòu)定期對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)。

　　第四條 處理超過1000萬人個(gè)人信息的個(gè)人信息處理者，應(yīng)當(dāng)每?jī)赡曛辽匍_展一次個(gè)人信息保護(hù)合規(guī)審計(jì)。

　　第五條 個(gè)人信息處理者有以下情形之一的，國(guó)家網(wǎng)信部門和其他履行個(gè)人信息保護(hù)職責(zé)的部門（以下統(tǒng)稱為保護(hù)部門），可以要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對(duì)個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)：

　?。ㄒ唬┌l(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在嚴(yán)重影響個(gè)人權(quán)益或者嚴(yán)重缺乏安全措施等較大風(fēng)險(xiǎn)的；

　　（三）發(fā)生個(gè)人信息安全事件，導(dǎo)致100萬人以上個(gè)人信息或者10萬人以上敏感個(gè)人信息泄露、篡改、丟失、毀損的。

　　對(duì)同一個(gè)人信息安全事件或者風(fēng)險(xiǎn)，不得重復(fù)要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)。

　　第六條 個(gè)人信息處理者自行開展或者按照保護(hù)部門要求委托專業(yè)機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)的，應(yīng)當(dāng)參照本辦法附件《個(gè)人信息保護(hù)合規(guī)審計(jì)指引》。

　　第七條 專業(yè)機(jī)構(gòu)應(yīng)當(dāng)具備開展個(gè)人信息保護(hù)合規(guī)審計(jì)的能力，有與服務(wù)相適應(yīng)的審計(jì)人員、場(chǎng)所、設(shè)施和資金等。

　　鼓勵(lì)相關(guān)專業(yè)機(jī)構(gòu)通過認(rèn)證。專業(yè)機(jī)構(gòu)的認(rèn)證按照《中華人民共和國(guó)認(rèn)證認(rèn)可條例》的有關(guān)規(guī)定執(zhí)行。

　　第八條 個(gè)人信息處理者按照保護(hù)部門要求開展個(gè)人信息保護(hù)合規(guī)審計(jì)的，應(yīng)當(dāng)為專業(yè)機(jī)構(gòu)正常開展個(gè)人信息保護(hù)合規(guī)審計(jì)工作提供必要支持，并承擔(dān)審計(jì)費(fèi)用。

　　第九條 個(gè)人信息處理者按照保護(hù)部門要求開展個(gè)人信息保護(hù)合規(guī)審計(jì)的，應(yīng)當(dāng)按照保護(hù)部門要求選定專業(yè)機(jī)構(gòu)，在限定時(shí)間內(nèi)完成個(gè)人信息保護(hù)合規(guī)審計(jì)；情況復(fù)雜的，報(bào)保護(hù)部門批準(zhǔn)后，可以適當(dāng)延長(zhǎng)。

　　第十條 個(gè)人信息處理者按照保護(hù)部門要求開展個(gè)人信息保護(hù)合規(guī)審計(jì)的，在完成合規(guī)審計(jì)后，應(yīng)當(dāng)將專業(yè)機(jī)構(gòu)出具的個(gè)人信息保護(hù)合規(guī)審計(jì)報(bào)告報(bào)送保護(hù)部門。

　　個(gè)人信息保護(hù)合規(guī)審計(jì)報(bào)告應(yīng)當(dāng)由專業(yè)機(jī)構(gòu)主要負(fù)責(zé)人、合規(guī)審計(jì)負(fù)責(zé)人簽字并加蓋專業(yè)機(jī)構(gòu)公章。

　　第十一條 個(gè)人信息處理者按照保護(hù)部門要求開展個(gè)人信息保護(hù)合規(guī)審計(jì)的，應(yīng)當(dāng)按照保護(hù)部門要求對(duì)合規(guī)審計(jì)中發(fā)現(xiàn)的問題進(jìn)行整改。在整改完成后15個(gè)工作日內(nèi)，向保護(hù)部門報(bào)送整改情況報(bào)告。

　　第十二條 處理100萬人以上個(gè)人信息的個(gè)人信息處理者應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人，負(fù)責(zé)個(gè)人信息處理者的個(gè)人信息保護(hù)合規(guī)審計(jì)工作。

　　提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者，應(yīng)當(dāng)成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)合規(guī)審計(jì)情況進(jìn)行監(jiān)督。

　　第十三條 專業(yè)機(jī)構(gòu)在從事個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng)時(shí)，應(yīng)當(dāng)遵守法律法規(guī)，誠(chéng)信正直，公正客觀地作出合規(guī)審計(jì)職業(yè)判斷，對(duì)在履行個(gè)人信息保護(hù)合規(guī)審計(jì)職責(zé)中獲得的個(gè)人信息、商業(yè)秘密、保密商務(wù)信息等應(yīng)當(dāng)依法予以保密，不得泄露或者非法向他人提供，在合規(guī)審計(jì)工作結(jié)束后及時(shí)刪除相關(guān)信息。

　　第十五條 同一專業(yè)機(jī)構(gòu)及其關(guān)聯(lián)機(jī)構(gòu)、同一合規(guī)審計(jì)負(fù)責(zé)人不得連續(xù)三次以上對(duì)同一審計(jì)對(duì)象開展個(gè)人信息保護(hù)合規(guī)審計(jì)。

　　第十六條 保護(hù)部門對(duì)個(gè)人信息處理者開展個(gè)人信息保護(hù)合規(guī)審計(jì)情況進(jìn)行監(jiān)督檢查。

　　第十七條 任何組織、個(gè)人有權(quán)對(duì)個(gè)人信息保護(hù)合規(guī)審計(jì)中的違法活動(dòng)向保護(hù)部門進(jìn)行投訴、舉報(bào)。收到投訴、舉報(bào)的部門應(yīng)當(dāng)依法及時(shí)處理，并將處理結(jié)果告知投訴、舉報(bào)人。

　　第十八條 個(gè)人信息處理者、專業(yè)機(jī)構(gòu)違反本辦法規(guī)定的，依照《中華人民共和國(guó)個(gè)人信息保護(hù)法》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》等法律法規(guī)的規(guī)定處理；構(gòu)成犯罪的，依法追究刑事責(zé)任。

　　第十九條 對(duì)國(guó)家機(jī)關(guān)和法律、法規(guī)授權(quán)的具有管理公共事務(wù)職能的組織的個(gè)人信息保護(hù)合規(guī)審計(jì)，不適用本辦法。

　　一、本指引根據(jù)《中華人民共和國(guó)個(gè)人信息保護(hù)法》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》等法律、行政法規(guī)制定。

　　二、對(duì)個(gè)人信息處理活動(dòng)的合法性基礎(chǔ)進(jìn)行合規(guī)審計(jì)的，應(yīng)當(dāng)重點(diǎn)審查下列事項(xiàng)：

　?。ㄒ唬┗趥€(gè)人同意處理個(gè)人信息的，是否取得個(gè)人同意，該同意是否由個(gè)人在充分知情的前提下自愿、明確作出；

　?。ǘ┗趥€(gè)人同意處理個(gè)人信息的，個(gè)人信息的處理目的、處理方式、處理的個(gè)人信息種類發(fā)生變更的，是否重新取得個(gè)人同意；

　　（三）基于個(gè)人同意處理個(gè)人信息的，是否依照法律、行政法規(guī)取得個(gè)人單獨(dú)同意或者書面同意；

　?。ㄋ模┨幚韨€(gè)人信息未取得個(gè)人同意的，是否屬于法律、行政法規(guī)規(guī)定不需要取得個(gè)人同意的情形。

　?。ㄒ唬┦欠裾鎸?shí)、準(zhǔn)確、完整地告知個(gè)人信息處理者的名稱或者姓名和聯(lián)系方式；

　?。ǘ┦欠褚郧鍐蔚缺阌诓榭吹男问搅忻魉占膫€(gè)人信息及其處理方式和種類；

　　（四）是否明確個(gè)人信息保存期限或者保存期限的確定方法、到期后的處理方式，以及確定保存期限為實(shí)現(xiàn)處理目的所必要的最短時(shí)間；

　?。ㄎ澹┦欠衩鞔_個(gè)人查閱、復(fù)制、轉(zhuǎn)移、更正、補(bǔ)充、刪除、限制處理個(gè)人信息以及注銷賬號(hào)、撤回同意的途徑和方法。

　　四、對(duì)個(gè)人信息處理者履行告知個(gè)人信息處理規(guī)則義務(wù)進(jìn)行合規(guī)審計(jì)的，應(yīng)當(dāng)重點(diǎn)審查下列事項(xiàng)：

　?。ㄒ唬﹤€(gè)人信息處理者在處理個(gè)人信息前，是否以顯著方式、清晰易懂的語言真實(shí)、準(zhǔn)確、完整地向個(gè)人告知個(gè)人信息處理規(guī)則；

　?。┨幚韨€(gè)人信息不需要告知的，是否屬于法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知的情形。

　　五、對(duì)個(gè)人信息處理者與其他個(gè)人信息處理者共同處理個(gè)人信息進(jìn)行合規(guī)審計(jì)的，應(yīng)當(dāng)重點(diǎn)審查下列事項(xiàng)：

　　六、對(duì)個(gè)人信息處理者委托處理個(gè)人信息進(jìn)行合規(guī)審計(jì)的，應(yīng)當(dāng)重點(diǎn)審查下列事項(xiàng)：

　?。ㄒ唬﹤€(gè)人信息處理者在委托處理個(gè)人信息前，是否開展個(gè)人信息保護(hù)影響評(píng)估；

　　九游體育ninegame 九游體育官方平臺(tái)

　?。ǘ﹤€(gè)人信息處理者與受托人簽訂的合同，是否與受托人約定了委托處理的目的、期限、方式、個(gè)人信息的種類、保護(hù)措施以及雙方的權(quán)利義務(wù)等；

　?。ㄈ﹤€(gè)人信息處理者是否采取定期檢查等方式，對(duì)受托人的個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督。

　　七、個(gè)人信息處理者存在因合并、重組、分立、解散、被宣告破產(chǎn)等原因需要轉(zhuǎn)移個(gè)人信息情形的，應(yīng)當(dāng)重點(diǎn)審查個(gè)人信息處理者是否向個(gè)人告知接收方的名稱或者姓名和聯(lián)系方式。

　　八、對(duì)個(gè)人信息處理者向其他個(gè)人信息處理者提供其處理的個(gè)人信息進(jìn)行合規(guī)審計(jì)的，應(yīng)當(dāng)重點(diǎn)審查下列事項(xiàng)：

　　（二）是否向個(gè)人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類，法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知的除外；

　　九、對(duì)個(gè)人信息處理者利用自動(dòng)化決策處理個(gè)人信息進(jìn)行合規(guī)審計(jì)的，應(yīng)當(dāng)重點(diǎn)審查下列事項(xiàng)：

　?。ㄋ模┦欠裣蛴脩籼峁┍Ｕ蠙C(jī)制，以便個(gè)人通過便捷方式拒絕通過自動(dòng)化決策方式作出對(duì)個(gè)人權(quán)益有重大影響的決定，并要求個(gè)人信息處理者就通過自動(dòng)化決策方式作出對(duì)用戶個(gè)人權(quán)益有重大影響的決定予以說明；

　　（五）向個(gè)人進(jìn)行信息推送、商業(yè)營(yíng)銷的，是否同時(shí)提供不針對(duì)個(gè)人特征的選項(xiàng)，或者提供便捷的拒絕自動(dòng)化決策服務(wù)的方式；

　?。┦欠癫扇×擞行Т胧?，防止自動(dòng)化決策根據(jù)消費(fèi)者的偏好、交易習(xí)慣等對(duì)個(gè)人在交易條件上實(shí)行不合理的差別待遇；

　　十、對(duì)個(gè)人信息處理者基于個(gè)人同意公開個(gè)人信息進(jìn)行合規(guī)審計(jì)的，應(yīng)當(dāng)重點(diǎn)審查下列事項(xiàng)：

　?。ㄒ唬﹤€(gè)人信息處理者公開其處理的個(gè)人信息前是否取得個(gè)人單獨(dú)同意，該授權(quán)是否真實(shí)、有效，是否存在違背個(gè)人意愿將個(gè)人信息予以公開的情況；

　　十一、個(gè)人信息處理者在公共場(chǎng)所安裝圖像收集、個(gè)人身份識(shí)別設(shè)備的，應(yīng)當(dāng)重點(diǎn)對(duì)其安裝圖像收集、個(gè)人信息身份識(shí)別設(shè)備的合法性及所收集個(gè)人信息的用途進(jìn)行審查。審查內(nèi)容包括但不限于：

　?。ㄈ﹤€(gè)人信息處理者所收集的個(gè)人圖像、身份識(shí)別信息用于維護(hù)公共安全以外用途的，是否取得個(gè)人單獨(dú)同意。

　　十二、對(duì)個(gè)人信息處理者處理已公開的個(gè)人信息進(jìn)行合規(guī)審計(jì)的，應(yīng)當(dāng)重點(diǎn)審查個(gè)人信息處理者是否存在下列違法違規(guī)行為：

　?。ㄒ唬┫蛞压_個(gè)人信息中的電子郵箱、手機(jī)號(hào)等發(fā)送與其公開目的無關(guān)的商業(yè)信息；

　?。ㄎ澹┦占?、留存或處理已公開個(gè)人信息的規(guī)模、時(shí)間或使用目的超出合理范圍。

　　十三、對(duì)個(gè)人信息處理者處理敏感個(gè)人信息進(jìn)行合規(guī)審計(jì)的，應(yīng)當(dāng)重點(diǎn)審查下列事項(xiàng)：

　?。ㄒ唬┗趥€(gè)人同意處理個(gè)人信息的，處理生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等敏感個(gè)人信息，是否事前取得個(gè)人的單獨(dú)同意；

　?。ǘ┗趥€(gè)人同意處理個(gè)人信息的，處理不滿十四周歲未成年人的個(gè)人信息，是否事前取得未成年人的父母或者其他監(jiān)護(hù)人的同意；

　?。ㄎ澹┦欠裣騻€(gè)人告知處理敏感個(gè)人信息的必要性以及對(duì)個(gè)人權(quán)益的影響，法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知的除外；

　　十四、對(duì)個(gè)人信息處理者處理不滿十四周歲未成年人個(gè)人信息進(jìn)行合規(guī)審計(jì)的，應(yīng)當(dāng)重點(diǎn)審查下列事項(xiàng)：

　　（二）是否向未成年人及其監(jiān)護(hù)人告知未成年人個(gè)人信息的處理目的、處理方式、處理必要性，以及處理個(gè)人信息的種類、所采取的保護(hù)措施等，法律、行政法規(guī)規(guī)定不需要告知的除外；

　?。ㄈ┗趥€(gè)人同意處理個(gè)人信息，是否存在強(qiáng)制要求未成年人或者其監(jiān)護(hù)人同意處理非必要個(gè)人信息的行為。

　　十五、對(duì)個(gè)人信息處理者向境外提供個(gè)人信息進(jìn)行合規(guī)審計(jì)的，應(yīng)當(dāng)重點(diǎn)審查下列事項(xiàng)：

　?。ㄒ唬╆P(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者向境外提供個(gè)人信息是否經(jīng)過國(guó)家網(wǎng)信部門組織的安全評(píng)估，法律、行政法規(guī)、國(guó)家網(wǎng)信部門另有規(guī)定的，從其規(guī)定；

　　（二）關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者以外的數(shù)據(jù)處理者自當(dāng)年1月1日起累計(jì)向境外提供100萬人以上個(gè)人信息（不含敏感個(gè)人信息）或者1萬人以上敏感個(gè)人信息是否經(jīng)過國(guó)家網(wǎng)信部門組織的安全評(píng)估，法律、行政法規(guī)、國(guó)家網(wǎng)信部門另有規(guī)定的，從其規(guī)定；

　?。ㄈ╆P(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者以外的數(shù)據(jù)處理者自當(dāng)年1月1日起累計(jì)向境外提供10萬人以上、不滿100萬人個(gè)人信息（不含敏感個(gè)人信息）或者不滿1萬人敏感個(gè)人信息的，是否按照國(guó)家網(wǎng)信部門的規(guī)定，經(jīng)個(gè)人信息保護(hù)認(rèn)證或者按照國(guó)家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方簽訂合同并向所在地省級(jí)網(wǎng)信部門備案，或者符合法律、行政法規(guī)、國(guó)家網(wǎng)信部門規(guī)定的其他條件；

　?。ㄋ模┐嬖谙蛲鈬?guó)司法或者執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于中華人民共和國(guó)境內(nèi)個(gè)人信息情形的，是否經(jīng)過中華人民共和國(guó)主管機(jī)關(guān)批準(zhǔn)；

　?。ㄎ澹┦欠裣虮涣腥胂拗苹蛘呓箓€(gè)人信息提供清單的組織和個(gè)人提供個(gè)人信息。

　?。?yīng)當(dāng)刪除個(gè)人信息，但法律、行政法規(guī)規(guī)定的保存期限未屆滿，或者刪除個(gè)人信息從技術(shù)上難以實(shí)現(xiàn)的，個(gè)人信息處理者是否停止除存儲(chǔ)和采取必要的安全措施之外的處理。

　　十七、對(duì)個(gè)人信息處理者保障個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利情況進(jìn)行合規(guī)審計(jì)的，應(yīng)當(dāng)重點(diǎn)審查下列事項(xiàng)：

　?。ǘ┦欠窦皶r(shí)響應(yīng)個(gè)人行使權(quán)利的申請(qǐng)，是否及時(shí)、完整、準(zhǔn)確告知處理意見或者執(zhí)行結(jié)果；

　　十八、個(gè)人信息處理者應(yīng)當(dāng)響應(yīng)個(gè)人申請(qǐng)，對(duì)其個(gè)人信息處理規(guī)則進(jìn)行解釋說明，合規(guī)審計(jì)時(shí)應(yīng)當(dāng)重點(diǎn)對(duì)下列內(nèi)容進(jìn)行評(píng)價(jià)：

　?。ㄒ唬﹤€(gè)人信息處理者是否提供便捷的方式和途徑，接受、處理個(gè)人關(guān)于個(gè)人信息處理規(guī)則解釋說明的要求；

　　（二）接到個(gè)人的要求后，個(gè)人信息處理者是否在合理的時(shí)間內(nèi)，使用通俗易懂的語言對(duì)其個(gè)人信息處理規(guī)則作出解釋說明。

　　十九、個(gè)人信息處理者應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定制定內(nèi)部管理制度和操作規(guī)程，明確組織架構(gòu)、崗位職責(zé)，建立工作流程、完善內(nèi)控制度，保障個(gè)人信息處理合規(guī)與安全。合規(guī)審計(jì)時(shí)，應(yīng)當(dāng)重點(diǎn)對(duì)個(gè)人信息處理者個(gè)人信息保護(hù)內(nèi)部管理制度和操作規(guī)程進(jìn)行審查，包括但不限于：

　　（二）個(gè)人信息保護(hù)組織架構(gòu)、人員配備、行為規(guī)范、管理責(zé)任是否與應(yīng)當(dāng)履行的個(gè)人信息保護(hù)責(zé)任相適應(yīng)；

　　（三）是否根據(jù)個(gè)人信息的種類、來源、敏感程度、用途等，對(duì)個(gè)人信息進(jìn)行分類；

　　二十、個(gè)人信息處理者應(yīng)當(dāng)采取與所處理個(gè)人信息規(guī)模、類型相適應(yīng)的安全技術(shù)措施，并對(duì)個(gè)人信息處理者采取的技術(shù)措施的有效性進(jìn)行評(píng)價(jià)，評(píng)價(jià)內(nèi)容包括但不限于：

　?。ǘ┦欠癫扇〖用?、去標(biāo)識(shí)化等安全技術(shù)措施，確保在不借助額外信息的情況下，消除或者降低個(gè)人信息的可識(shí)別性；

　?。ㄈ┎扇〉陌踩夹g(shù)措施能否合理確定有關(guān)人員查閱、復(fù)制、傳輸個(gè)人信息等的操作權(quán)限，減少個(gè)人信息在處理過程中未經(jīng)授權(quán)的訪問和濫用風(fēng)險(xiǎn)。

　　二十一、對(duì)個(gè)人信息處理者教育培訓(xùn)計(jì)劃的制定和實(shí)施情況進(jìn)行合規(guī)審計(jì)時(shí)，應(yīng)當(dāng)重點(diǎn)對(duì)下列事項(xiàng)進(jìn)行評(píng)價(jià)：

　?。ㄒ唬┦欠癜从?jì)劃對(duì)管理人員、技術(shù)人員、操作人員、全員開展相應(yīng)的安全教育和培訓(xùn)，是否對(duì)相應(yīng)人員的個(gè)人信息保護(hù)意識(shí)和技能進(jìn)行考核；

　　二十二、對(duì)個(gè)人信息處理者指定的個(gè)人信息保護(hù)負(fù)責(zé)人履職情況進(jìn)行合規(guī)審計(jì)的，應(yīng)當(dāng)重點(diǎn)審查下列事項(xiàng)：

　　（一）個(gè)人信息保護(hù)負(fù)責(zé)人是否具有相關(guān)的工作經(jīng)歷和專業(yè)知識(shí)，熟悉個(gè)人信息保護(hù)相關(guān)法律、行政法規(guī)；

　?。ǘ﹤€(gè)人信息保護(hù)負(fù)責(zé)人是否具有明確清晰的職責(zé)，是否被賦予充分的權(quán)限協(xié)調(diào)個(gè)人信息處理者內(nèi)部相關(guān)部門與人員；

　?。ㄈ﹤€(gè)人信息保護(hù)負(fù)責(zé)人在個(gè)人信息處理重大事項(xiàng)決策前是否有權(quán)提出相關(guān)意見和建議；

　?。ㄋ模﹤€(gè)人信息保護(hù)負(fù)責(zé)人是否有權(quán)對(duì)個(gè)人信息處理者內(nèi)部個(gè)人信息處理的不合規(guī)操作進(jìn)行制止和采取必要的糾正措施；

　?。ㄎ澹﹤€(gè)人信息處理者是否公開個(gè)人信息保護(hù)負(fù)責(zé)人的聯(lián)系方式，并將個(gè)人信息保護(hù)負(fù)責(zé)人的姓名、聯(lián)系方式等報(bào)送保護(hù)部門。

　　二十三、對(duì)個(gè)人信息處理者開展個(gè)人信息保護(hù)影響評(píng)估情況進(jìn)行合規(guī)審計(jì)時(shí)，應(yīng)當(dāng)重點(diǎn)對(duì)影響評(píng)估開展情況和評(píng)估內(nèi)容進(jìn)行審查：

　　（一）是否依照法律、行政法規(guī)的規(guī)定，在進(jìn)行對(duì)個(gè)人權(quán)益具有重大影響的個(gè)人信息處理活動(dòng)前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估；

　?。ㄋ模┦欠駥?duì)所采取的保護(hù)措施的合法性、有效性，以及與風(fēng)險(xiǎn)程度的適應(yīng)性進(jìn)行評(píng)估。

　　二十四、個(gè)人信息處理者應(yīng)當(dāng)制定個(gè)人信息安全事件應(yīng)急預(yù)案。合規(guī)審計(jì)時(shí)，應(yīng)當(dāng)對(duì)應(yīng)急預(yù)案的全面性、有效性、可執(zhí)行性作出評(píng)價(jià)，包括但不限于下列內(nèi)容：

　?。ǘ┛傮w要求、基本策略，組織機(jī)構(gòu)、人員，技術(shù)、物資保障，指揮處置程序，應(yīng)急和支持措施等是否足以應(yīng)對(duì)預(yù)測(cè)的風(fēng)險(xiǎn)；

　　二十五、對(duì)個(gè)人信息處理者個(gè)人信息安全事件應(yīng)急響應(yīng)處置情況進(jìn)行合規(guī)審計(jì)的，應(yīng)當(dāng)重點(diǎn)審查下列事項(xiàng)：

　?。ㄒ唬┦欠癜凑諔?yīng)急預(yù)案、操作規(guī)程及時(shí)查明個(gè)人信息安全事件的影響、范圍和可能造成的危害，分析、確定事件發(fā)生的原因，提出防止危害擴(kuò)大的措施方案；

　?。ǘ┦欠窠⑼▓?bào)渠道，在安全事件發(fā)生后按照相關(guān)規(guī)定及時(shí)通知保護(hù)部門和個(gè)人；

　　（三）是否采取相應(yīng)措施將個(gè)人信息安全事件可能造成的損失和可能產(chǎn)生的危害風(fēng)險(xiǎn)降低到最小。

　　二十六、對(duì)提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者制定的平臺(tái)規(guī)則進(jìn)行合規(guī)審計(jì)的，應(yīng)當(dāng)重點(diǎn)審查下列事項(xiàng)：

　?。ǘ┢脚_(tái)規(guī)則個(gè)人信息保護(hù)條款的有效性，是否合理界定了平臺(tái)、平臺(tái)內(nèi)產(chǎn)品或者服務(wù)提供者的個(gè)人信息保護(hù)權(quán)利和義務(wù)；

　　二十七、對(duì)提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者發(fā)布的個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告進(jìn)行合規(guī)審計(jì)的，應(yīng)當(dāng)重點(diǎn)審查社會(huì)責(zé)任報(bào)告披露下列內(nèi)容的情況：

　　近日，國(guó)家互聯(lián)網(wǎng)信息辦公室公布《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》（以下簡(jiǎn)稱《辦法》）。國(guó)家互聯(lián)網(wǎng)信息辦公室有關(guān)負(fù)責(zé)人就《辦法》相關(guān)問題回答了記者提問。

　　答：當(dāng)前，個(gè)人信息被企業(yè)、機(jī)構(gòu)甚至個(gè)人廣泛收集使用，個(gè)人信息保護(hù)和個(gè)人信息利用的矛盾日益突出。為壓實(shí)個(gè)人信息處理者個(gè)人信息保護(hù)主體責(zé)任，加強(qiáng)個(gè)人信息處理活動(dòng)風(fēng)險(xiǎn)控制和監(jiān)督，《中華人民共和國(guó)個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》對(duì)個(gè)人信息處理者開展合規(guī)審計(jì)作了規(guī)定。為有效落實(shí)法律法規(guī)要求，國(guó)家互聯(lián)網(wǎng)信息辦公室制定出臺(tái)《辦法》，對(duì)個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng)的開展、合規(guī)審計(jì)機(jī)構(gòu)的選擇、合規(guī)審計(jì)的頻次、個(gè)人信息處理者和專業(yè)機(jī)構(gòu)在合規(guī)審計(jì)中的義務(wù)等作出細(xì)化規(guī)定，旨在為個(gè)人信息處理者開展個(gè)人信息保護(hù)合規(guī)審計(jì)提供系統(tǒng)性、針對(duì)性、可操作性的規(guī)范，提升個(gè)人信息處理活動(dòng)合法合規(guī)水平，保護(hù)個(gè)人信息權(quán)益。

　　答：《中華人民共和國(guó)個(gè)人信息保護(hù)法》第五十四條規(guī)定，個(gè)人信息處理者應(yīng)當(dāng)定期對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)。第六十四條規(guī)定，履行個(gè)人信息保護(hù)職責(zé)的部門在履行職責(zé)中，發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件的，可以按照規(guī)定的權(quán)限和程序?qū)υ搨€(gè)人信息處理者的法定代表人或者主要負(fù)責(zé)人進(jìn)行約談，或者要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)?！毒W(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》第二十七條規(guī)定，網(wǎng)絡(luò)數(shù)據(jù)處理者應(yīng)當(dāng)定期自行或者委托專業(yè)機(jī)構(gòu)對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)。以上法律法規(guī)明確了個(gè)人信息保護(hù)合規(guī)審計(jì)的兩種情形：一是個(gè)人信息處理者自行開展合規(guī)審計(jì)。二是按照履行個(gè)人信息保護(hù)職責(zé)的部門要求，委托專業(yè)機(jī)構(gòu)開展合規(guī)審計(jì)。

　　答：《辦法》主要對(duì)下列內(nèi)容進(jìn)行了規(guī)定：一是明確個(gè)人信息處理者自行開展合規(guī)審計(jì)和按照履行個(gè)人信息保護(hù)職責(zé)的部門要求委托專業(yè)機(jī)構(gòu)開展合規(guī)審計(jì)的條件，合規(guī)審計(jì)機(jī)構(gòu)的選擇和合規(guī)審計(jì)的頻次。二是明確開展合規(guī)審計(jì)的個(gè)人信息處理者應(yīng)當(dāng)履行的義務(wù)，規(guī)定個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)的部門要求開展合規(guī)審計(jì)的，應(yīng)當(dāng)為專業(yè)機(jī)構(gòu)正常開展合規(guī)審計(jì)工作提供必要支持并承擔(dān)審計(jì)費(fèi)用，在限定時(shí)間內(nèi)完成合規(guī)審計(jì)，報(bào)送合規(guī)審計(jì)報(bào)告并進(jìn)行整改。三是明確專業(yè)機(jī)構(gòu)在合規(guī)審計(jì)中的義務(wù)，規(guī)定專業(yè)機(jī)構(gòu)應(yīng)當(dāng)具備開展合規(guī)審計(jì)的能力，遵守法律法規(guī)，明確同一專業(yè)機(jī)構(gòu)及其關(guān)聯(lián)機(jī)構(gòu)、同一合規(guī)審計(jì)負(fù)責(zé)人不得連續(xù)三次以上對(duì)同一審計(jì)對(duì)象開展個(gè)人信息保護(hù)合規(guī)審計(jì)。四是明確履行個(gè)人信息保護(hù)職責(zé)的部門對(duì)個(gè)人信息處理者開展合規(guī)審計(jì)情況進(jìn)行監(jiān)督檢查，任何組織、個(gè)人有權(quán)對(duì)合規(guī)審計(jì)中的違法活動(dòng)向履行個(gè)人信息保護(hù)職責(zé)的部門進(jìn)行投訴、舉報(bào)，并規(guī)定個(gè)人信息處理者、專業(yè)機(jī)構(gòu)違反《辦法》規(guī)定的法律責(zé)任。

　　答：個(gè)人信息處理者開展個(gè)人信息保護(hù)合規(guī)審計(jì)分兩種情形：一是自行開展合規(guī)審計(jì)，即個(gè)人信息處理者應(yīng)當(dāng)定期對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)。處理超過1000萬人個(gè)人信息的個(gè)人信息處理者，應(yīng)當(dāng)每?jī)赡曛辽匍_展一次個(gè)人信息保護(hù)合規(guī)審計(jì)。其他個(gè)人信息處理者根據(jù)自身情況合理確定定期開展個(gè)人信息保護(hù)合規(guī)審計(jì)的頻次。二是按照要求開展合規(guī)審計(jì)，即履行個(gè)人信息保護(hù)職責(zé)的部門在履行職責(zé)中，發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)、可能侵害眾多個(gè)人的權(quán)益或者發(fā)生個(gè)人信息安全事件的，可以要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)。

　　答：個(gè)人信息處理者自行開展合規(guī)審計(jì)時(shí)，可以選擇由內(nèi)部機(jī)構(gòu)自行開展，也可以委托專業(yè)機(jī)構(gòu)開展?！掇k法》對(duì)采取何種審計(jì)方式、是否選擇專業(yè)機(jī)構(gòu)，以及選擇哪家專業(yè)機(jī)構(gòu)沒有強(qiáng)制性要求。個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)、可能侵害眾多個(gè)人的權(quán)益或者發(fā)生個(gè)人信息安全事件時(shí)，履行個(gè)人信息保護(hù)職責(zé)的部門可以要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)。

　　答：專業(yè)機(jī)構(gòu)接受個(gè)人信息處理者委托開展合規(guī)審計(jì)，應(yīng)當(dāng)公正客觀地作出合規(guī)審計(jì)結(jié)論，提出合規(guī)審計(jì)建議，其出具的合規(guī)審計(jì)報(bào)告是履行個(gè)人信息保護(hù)職責(zé)的部門開展監(jiān)督管理工作的重要參考?！掇k法》對(duì)專業(yè)機(jī)構(gòu)提出以下要求：一是應(yīng)當(dāng)具備開展個(gè)人信息保護(hù)合規(guī)審計(jì)的能力，有與服務(wù)相適應(yīng)的審計(jì)人員、場(chǎng)所、設(shè)施和資金等。二是應(yīng)當(dāng)遵守法律法規(guī)，誠(chéng)信正直，公正客觀地作出合規(guī)審計(jì)職業(yè)判斷，對(duì)在履行個(gè)人信息保護(hù)合規(guī)審計(jì)職責(zé)中獲得的個(gè)人信息、商業(yè)秘密、保密商務(wù)信息等依法予以保密，不得泄露或者非法向他人提供，在合規(guī)審計(jì)工作結(jié)束后及時(shí)刪除相關(guān)信息。三是不得轉(zhuǎn)委托其他機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)。四是同一專業(yè)機(jī)構(gòu)及其關(guān)聯(lián)機(jī)構(gòu)、同一合規(guī)審計(jì)負(fù)責(zé)人不得連續(xù)三次以上對(duì)同一審計(jì)對(duì)象開展個(gè)人信息保護(hù)合規(guī)審計(jì)。

　　答：《辦法》遵循自愿性、市場(chǎng)化的原則，通過認(rèn)證認(rèn)可方式對(duì)專業(yè)機(jī)構(gòu)進(jìn)行監(jiān)督管理。專業(yè)機(jī)構(gòu)的認(rèn)證按照《中華人民共和國(guó)認(rèn)證認(rèn)可條例》的有關(guān)規(guī)定執(zhí)行。具備開展個(gè)人信息保護(hù)合規(guī)審計(jì)能力，有與服務(wù)相適應(yīng)的審計(jì)人員、場(chǎng)所、設(shè)施和資金的專業(yè)機(jī)構(gòu)，可以自愿申請(qǐng)相關(guān)服務(wù)能力認(rèn)證。

　　問8：個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)的部門要求開展個(gè)人信息保護(hù)合規(guī)審計(jì)時(shí)，應(yīng)當(dāng)履行哪些義務(wù)？

　　答：《辦法》對(duì)個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)的部門要求開展個(gè)人信息保護(hù)合規(guī)審計(jì)提出以下要求：一是保障合規(guī)審計(jì)正常進(jìn)行，為專業(yè)機(jī)構(gòu)正常開展個(gè)人信息保護(hù)合規(guī)審計(jì)工作提供必要支持，并承擔(dān)審計(jì)費(fèi)用。二是按照履行個(gè)人信息保護(hù)職責(zé)的部門要求選定專業(yè)機(jī)構(gòu)，在限定時(shí)間內(nèi)完成個(gè)人信息保護(hù)合規(guī)審計(jì)，情況復(fù)雜的，報(bào)履行個(gè)人信息保護(hù)職責(zé)的部門批準(zhǔn)后，可以適當(dāng)延長(zhǎng)。三是報(bào)送合規(guī)審計(jì)報(bào)告并進(jìn)行整改，個(gè)人信息處理者在完成合規(guī)審計(jì)后，應(yīng)當(dāng)將專業(yè)機(jī)構(gòu)出具的個(gè)人信息保護(hù)合規(guī)審計(jì)報(bào)告報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門，按照履行個(gè)人信息保護(hù)職責(zé)的部門要求對(duì)合規(guī)審計(jì)中發(fā)現(xiàn)的問題進(jìn)行整改，在整改完成后15個(gè)工作日內(nèi)，向履行個(gè)人信息保護(hù)職責(zé)的部門報(bào)送整改情況報(bào)告。

　　問9：個(gè)人信息處理者開展個(gè)人信息保護(hù)合規(guī)審計(jì)如何適用《個(gè)人信息保護(hù)合規(guī)審計(jì)指引》？

　　答：《個(gè)人信息保護(hù)合規(guī)審計(jì)指引》對(duì)個(gè)人信息保護(hù)相關(guān)法律、行政法規(guī)的關(guān)鍵要點(diǎn)作了梳理，從合規(guī)審計(jì)的角度進(jìn)行了細(xì)化，便于個(gè)人信息處理者對(duì)個(gè)人信息處理活動(dòng)是否遵守法律、行政法規(guī)要求進(jìn)行審查和評(píng)價(jià)。個(gè)人信息處理者自行開展或者按照履行個(gè)人信息保護(hù)職責(zé)的部門要求委托專業(yè)機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)，應(yīng)當(dāng)參照《個(gè)人信息保護(hù)合規(guī)審計(jì)指引》。