國家互聯網信息辦公室令
第18號
《個人信(xin)息(xi)保護合規審(shen)計(ji)管理辦(ban)法》已經2024年(nian)5月(yue)20日(ri)國家互聯網信(xin)息(xi)辦(ban)公(gon�������g)室202�����4年(nian)第15次室務會會議(yi)審(shen)議(yi)通過,現予公(gong)布(bu),自2025年(nian)5月(yue)1日(ri)起施行。
國(guo)家互聯網(wang)信息辦公室主(zhu)任 莊榮(rong)文
2025年2月(yue)12日(ri)
個人信息保護合規審計管理辦法
第一條 為了規范(fan)個人(ren)(ren)信息(xi)保護合(he)規審計活動,保護個人(ren)(ren)信息(xi)權益,根據(ju)(ju)《中華人(ren)(ren)民(min)共和國個人(ren)(ren)信息(xi)保護法(fa)》、《網絡數據(ju)�������(ju)安(an)全管(guan)理(li)條例》等法(fa)律、行政法(fa)規,制定本(ben)辦法(fa)。
第二條 在中華(hua)人(ren)民共(gon������g)和國境內開展個人(ren)信息保(bao)護合(he)規審計,適用本辦法。
本(ben)辦法所稱個(ge)人(ren)信息保護合規(gui)審(shen)計,是(shi)指對個(ge)人(ren)信息處理者(zhe)的個(ge)人(ren)信息處理活動是(shi)否(fou)遵(zun)守(shou�������)法律、行(xing)(xing)政法規(gui)的情況進(jin)行(xing)(xing)審(shen)查和評價的監(jian)督活動。
第三條 個人(ren)(ren)信(xin)息處(chu)理(li)者自行開展個人(ren)(ren)信(xin)息保(b���ao)護合規(gui)(gui)審(shen)計的,應當由個人(ren)(ren)信(xin)息處(chu)理(li)者內部(bu)機構或(huo)者委托(tuo)專業機構定期對其處(chu)理(li)個人(ren)(ren)信(xin)息遵(zun)守法律、行政法規(gui)(gui)的情況(kua�����ng)進行合規(gui)(gui)審(shen)計。
第四條 處理超過1000萬人(ren)個(ge)人(ren)信(xin)(xin)息(xi)的個(ge)人(ren)信(xi��������n)(xin)息(xi)處理者,應(ying)當每(mei)兩年至少(shao)開展一次(ci)個(ge)人(ren)信(xin)(xin)息(xi)保護合(he)規��������審計。
第五條 個人(ren)信息(xi)(xi)處理(li)者(zhe)有以(yi)下情形之一(yi)的,國家網信部門(men)和其他履行個人(ren)信息(xi)(xi)保護(hu)職責的部門(men)(以(yi)下統稱為保護(hu)部門(men)),可以(yi)要求(qiu)個人(ren)信息(xi)(xi)處理(li)者(zh������e)委托專業機構對個人(ren)信息(xi)(xi)處理(li)活(huo)動進行合規審計:
(一)發現個人信(xin)息處理活��������動存在嚴(yan)重影(ying)響個人權益或者(zhe)嚴(yan)重缺乏安全措施等較(jiao)大風(feng)險的;
(二)個人信������息處理活動(dong)可能侵(qin)害眾多(duo)個人的(de)權益的(de);
(三)發(fa)生個(ge)(ge)人信息安(an)全事件,導(dao)致100萬(wan)人以上(shang)個(ge)(ge)人信息或者10萬(wan)人以上(������shang)敏感個(ge)(ge)人信息泄露、篡(cuan)改、丟(diu)失、毀損的。
對(dui)同一個(ge)人信息(xi)安全事件或者風險(xian),不(bu)得重復(fu)要求個(ge)人信息(xi)處理者委(wei)托專業機構開展個(ge)人信息(xi)������������保護合規審計。
第六條 個(ge)人(ren)信息(xi)(xi)處理(li)者自行開(kai)展(zhan)或者按照保(bao)護部門(men)要求委(wei)托專(zhuan)業機構開(kai)展(zhan)個(g�����������������e)人(ren)信息(xi)(xi)保(bao)護合規審(shen)計的,應當參照本辦法附件《個(ge)人(ren)信息(xi)(xi)保(bao)護合規審(shen)計指引(yin)》。
第七條 專業(ye)機構(gou)應(ying)當具備開展個(ge)人信息保護合規審(shen)計(ji)的能力,有與服務相適應(ying)的審(shen)計(ji)人員(yu�������an)、場所、設施和資金等(deng)。
鼓勵相(xiang)關(guan)專(zhuan)業機構�������通過(guo)認(ren)證。專(zhuan)業機構的認(ren)證按照《中(zhong)華(hua)人民共和國認(ren)證認(ren)可(ke)條(tiao)例》的有關(guan)規(gui)定執行。
第八條 個(ge)(ge)人(ren)信息處理者按照保護部門要求開展個(ge)(ge)人(ren)信息保護合規審(shen)(shen)計(ji)的,應當為(wei)專業機構正常開展個(ge)(g������e)人(ren)信息保護合規審(shen)(shen)計(ji)工(gong)作提供必要支持,并(bing)承擔(dan)審(shen)(shen)計(ji)費用。
第九條 個(ge)人(ren)信(xin)(xin)息處(chu)理者按(an)照保(bao)護(hu)部門要(yao)求開(kai)展(zhan)個(ge)人(ren)信(xin)(xin)息保(bao)護(hu)合(he)規審計的,應當(dang)按(an)照保(bao)護(hu)部門要(yao)求選(xuan)定專業(ye)機構,在限(xian)定時(shi)間內完(wan)成個(�������ge)人(ren)信(xin)(xin)息保(bao)護(hu)合(he)規審計;情(qing)況復雜的,報保(bao)護(hu)部門批準(zhun)后,可以(yi)適當(dang)延長。
第十條 個(������ge)(ge)人信息處理者按照保(bao)護(hu)部門(men)要求(qiu)開展(zhan)個(ge)(ge)人信息保(bao)護(hu)�����合規審計(ji)的(de),在完成(cheng)合規審計(ji)后(hou),應當將專業機構(gou)出具的(de)個(ge)(ge)人信息保(bao)護(hu)合規審計(ji)報告(gao)報送保(bao)護(hu)部門(men)。
個人信息(xi)保護合規審計報告應當由專������業機構主要(yao)負責人、合規審計負責人簽字(zi)并加蓋(gai)專業機構公章。
第十一條 個(ge)人信(xin)息處理者按照保(bao)護(hu)部(bu)門(men)要(yao)求開展個(ge)人信(xin)息保(bao)護(hu)合(he)規審計的(de),應當按照保(bao)護(hu)部(bu)門(men)要(yao)求對合(he)規審計中發現(xian)的(de)問題進行整(zheng)改(gai)(gai)。在(zai)整(zheng)改(gai)(gai)完成(����cheng)后15個(ge)工作日(ri)內(nei),向保(bao)護(hu)部(bu)門(men)報(bao)送整(zheng)改(gai)(gai)情況報(bao)告。
第十二條 處理100萬人(ren)(ren)(�����ren)以上個(ge)人(ren)(ren)(ren)信(xin)(xin)息的個(ge)人(ren)(ren)(ren)信(xin)(xin)息處理者應當指(zhi)定(ding)個(ge)人(ren)(ren)(ren)信(xin)(xin)息保護(hu)負責人(ren)(ren)(ren),負責個(ge)人(ren)(ren)(ren)信(xin)(xin)息處理者的個(ge)人(ren)(ren)(ren)信(xin)(xin)息保護(hu)合規(gui)審計工作。
提供重要互(hu)聯網平臺服務、用(yong)戶數量巨大、業務類型復雜的個人信(xin)息(xi�������)處理者,應當成立主要由外(wai)部(bu)成員組成的獨立機構(gou)對(dui)個人信(xin)息(xi)保護合規審計情(qing)況������進行監督。
第十三條 專業(ye)機構在從事個(ge)(ge)人(ren)(ren)(ren)信(xin)(xin)息(xi)保(bao)護(hu)(hu)合規(gui)審(shen)計(ji)(ji)(ji)活動時,應當(dang)遵守法(fa)律(lv)法(fa)規(gui),誠信(xin)(xin)正直,公正客(ke)觀地作出(chu)合規(gui)審(shen)計(ji)(ji)(ji)職業(ye)判斷,對(dui)在履行(xing)個(ge)(ge)人(ren)(ren)(ren)信(xin)(xin)息(xi)保(bao)護(hu)(hu)合規(gui)審(shen)計(ji)(ji)(ji)職責中獲得(de)的個(ge)(ge)人(ren)(ren)(ren)信(xin)(xin)息(xi)、商(shang)業(ye)秘密(mi)、保(bao)密(mi)商�����(shang)務信(xin)(xin)息(xi)等應當(dang)依(yi)法(fa)予以保(bao)密(mi),不得(de)泄露(lu)或者非法(fa)向他人(ren)(ren)(ren)提供(gong),在合規(gui)審(shen)計(ji)(ji)(ji)工作結(jie)束后及(ji)時刪除相關信(xin)(xin)息(xi)。
第十四條 �����專業機(ji)(ji)構不得(de)轉委托其他機(ji)(ji)構開展個人信息(xi)保護(hu)合規審計。
第十五條 同(tong)(tong)一(yi)專(zh����uan)業機(ji)構(gou)及其關聯(lian)機(ji)構(gou)、同(tong)(tong)一(yi)合規審(shen)(shen)計負責人不得連(lian)續三次以(yi)上(shang)對同(tong)(tong)一(yi)審(shen)(shen)計對象(xiang)開展個(ge)人信息保護合規審(shen)(shen)計。
第十六條 保護部(bu)門�������對個人信(xin)息(xi)處理者開展(zhan)個人信(xin)息(xi)保護合規審計情況進行監督檢查(cha)。
第十七條 任(ren������)何組織、個(ge)人(ren)(ren)有權對個(ge)人(ren)(ren)信息保護合規審計中的(de)(de)違(wei)法活動(dong)向保護部(bu)門(men)進行投訴、舉(ju)報。收(shou)到投訴、舉(ju)報的(de)(de)部(bu)門(men)應(ying)當依(yi)法及�����(ji)時處理(li)(li),并將處理(li)(li)結(jie)果告知投訴、舉(ju)報人(ren)(ren)。
第十八條 個人信息處理者(zhe)、專業機構(gou)違(wei)反本辦法規定的(de)(de),依照《中華人民共和(he)國個人信息保護法》、《網(wang��������)絡(luo)數據安(an)全管理條(tiao)例》等(deng)法律法規的(de)(de)規定處理;構(gou)成犯罪的(de)(de),依法追究刑(xing)事責任。
第十九條 對國(guo)家機關和(he)法律、法規授(shou)權的(de)具有管(guan)理(li)公共事務職能(neng)的(de)組織的(de)個人信息(xi)保護合規審計,不適用(yong)本辦(ban)法������。
第二十條 本(ben)辦法自2025年5月1日起施行。
附件
個人信息保護合規審計指引
一、本指引根據(ju)《中華人(ren)民共和(he)國(guo)個人(ren)信息(xi)保護法(fa)(fa)》、《網絡數(shu)據(ju)安全管理條(tiao)例》等(deng)法(�������fa)(fa)律、行政法(fa)(fa)規(gui)�����制定。
二、對個人������信息處(chu)理活動的合(he)法性(xing)基礎進行合(he)規審計的,應(�����ying)當重點審查下列事項:
(一)基(ji)于個(ge)(ge)人(ren)同意處理������個(ge)(ge)人(ren)信息的,是(shi)否(fou)取得個(ge)(ge)人(ren)同意,該同意是(shi)否(fou)由個(ge)(ge)人(ren)在充分知情的前提下自愿、明確作出(chu);
(二)基于個人(ren)(ren)(ren)同意處理(li)個人(ren)(ren)(ren)信息的(de)(de),個人(ren)(ren)(ren)信息的(de)(de)處理(li)目的(de)(de)、處理(li)方式(shi)、處理(l������i)的(de)(de)個人(ren)(ren)(ren)信息��������種類發生變更的(de)(de),是否重新取得個人(ren)(ren)(ren)同意;
(三)基(ji)于個(ge)人(ren)����同意處理個(ge)人(ren)信息的,是(shi)否(fou)依照(zhao)法(fa)律、行政法(fa)規取得個(ge)人(ren)單(dan)獨同意或者書面(mian)同意;
(四)處(chu)理個人信息未取(qu)得個人同(tong)意(yi)的,是否屬于法(fa)律、行政法(fa)規規定不(bu)需�������要取(qu)得個人同(tong)意(yi)的情形。
三、對個人信息處理規則進行合規審�����計的,應(ying)當(dang)重點(dian)審查下列事項:
(一)是否真實(shi)、準確(que)、完(wan)整地告知個人信息處(chu)理者(zhe)的名(ming)稱或者(zhe)姓名(min�����g)和聯系方式;
(二(er))是(shi)否(fou)以清單等(deng)便(bia�������n)于(yu)查看(kan)的形式列明所收集(ji)的個(ge)人信(xin)息及其處理方式和種類;
(三(sa�����n))是(shi)否與處理目的直接(jie)相關,采取對個人權������(quan)益影(ying)響最小的方(fang)式(shi);
(四)是(shi)否明確(que)個人信息保(bao)存(cun)期(qi)(qi)限(xian)或者(zhe)保(bao)存(cun)期(qi)(qi)限(xian)的(de)(de)確(que)定方(fang)法、到期(qi)(qi)后的(de)(de)處理方(fang)式,以(yi)及確(que)定保(bao)存(cun)期(qi)(qi)限(xian)為實(shi)現處理目的(de)(de)所必要(yao)的(de)(�����de)最短時間;
(五(wu))是否明確個人查閱、復制(zhi)�������、轉移(yi)、更正(zheng)、補充、刪除(chu)、限制�������(zhi)處理(li)個人信息以及注銷(xiao)賬號(hao)、撤(che)回同意的途徑和(he)方(fang)法。
四、對(dui)個(ge)人(ren)信息(xi)處(chu)理者履行告知個(ge)人(ren)信息(xi)處(chu)理規(gui)(gui)則義務進(jin)行合規(gui)(gui)�����審(shen)計的,應當(dang)重點(dian)審(shen)查下列事項:
(一)個人(ren)信息(xi)處(chu)理(li)者在(zai)處(chu)理(li)個人(ren)信息(xi)前,是否以顯著(zhu)方(fang)式、清晰易懂的語言真實、準確、��������完整地向個人(ren)告知個人(ren)信息(xi)處(chu)理(li)規則;
������� (二)告知文本的大小(xiao)、字體和顏色是否便于個(ge)人完(wan)整閱讀告知事項(xiang);
(三)線下告(gao)知是否(fou)通過(guo)標(biao)注(zhu)、說明������等多種方式向個人履行告(gao)知義務(wu);
(四)在線告知是(shi)否(fou)提供文(wen)本信息(xi)或者通過適(shi)當方式(�����shi)向(xiang)個人履(lv)行(xing)告知義務;
(五)個(ge)人(ren)信息(xi)處理(li)規則發生變更的,是否將變更內容(rong)及時(shi�����)告知(zhi)個(ge)人(ren);
(六(liu))處理個人(ren)信息不(bu)需(xu)要告(gao)知的,是否(fou)屬于法律、行政法規規定應(ying)當保密或者(zhe)不(bu)需(xu)要告(gao)知的情(qing)形。������
五、對個人(ren)信息(xi)處理者與其他個人(ren)信息(xi)處理者共同處理個人(ren)信息(xi)進行合(he)規審計的,���應當重點審查(cha������)下列事項:
(一)是(shi)否約(yue)定各(ge)自的權利義(yi)務;
(二)個(ge)人信息權益保(bao)護機制;
(三)個人信息安(an)全事件報告機制;
��������(四)其他法(fa)律(lv)、行政法(fa)規(gui)規(gui)定(ding)需要約定(������ding)的(de)權利和義務。
六、對個人信(xin)(xin)息處理者(zhe)委托處理個人信(xin)(xin)息進������(jin)行合規審計的,應當重點(dian)審查下列事項:
(一(yi))個(ge)人信息(xi)處理者(zhe)在委托處理個(ge)人信息(xi)前,是否開展(z�����han)個(ge)人信息(xi)保�������護影(ying)響評估;
(二)個(ge)人信息處(chu)理者與(yu)受托(tuo)人�������簽訂的(de)合同,是否(fou)與(yu)受托(tuo)人約定了(le)委(wei)托(tuo)處(chu)理的(de)目的(de)、期限(xian)、方(fang)式、個(ge)人信息的(de)種類、保護措施以及雙方(fang)的(de)權利義務(w�������u)等;
(三)個(ge)人信息(xi)處理者是否采取定期檢查(cha)等方式,對受(shou)托人的個(ge)人信息(xi)處理活動(�������dong)進行監(jian)督。
七、個(g�������e)(ge)人信(xin)息處理者(zhe)(zhe)存在因(yin)合(he)并、重(zhong)組、分立、解散、被宣告破產等原因(yin)需(xu)要轉(zhuan)移個(ge)(ge)人信(xin)息情形(xing)的,應當重(zhong)點審查個(ge)(ge)人信(xin)息處理者(zhe)(zhe)是否向個(ge)(ge)人告知接收方的名稱或者(zhe)(zhe)姓名和聯系方式。
八、對個(ge)人信(xin)息處理(li)者向其他個(ge)人信(xin)息處理(li)者提供其處������理(li)的個(ge)人信(xin)息進行合規審計的,應當重點審查下列事項:
(一)基于(yu)個(ge)人(ren)同意處理個(ge)人(ren)信(xin)息的�����(de),是(shi)否(fou)取得(de)個(ge)人(ren)的(de)單獨同意;
������(二)是否(fou)向個(ge)人告知接收(shou)方的名稱或者(zhe)姓(xing)名、聯系(xi)方式(shi)、處理(li)目的、處理(li)方式(shi)和(he)個(ge)人信(xin)息的種類,法(fa)(fa)律、行政法(fa)(fa)規(gui)規(gui)定應當保密或者(zhe)不需要告知的除外;
(三(san))是否事前進行個人信息保護影響(xiang)評估。
九、對個(ge)人信(xin)息(xi)處理者利用�����自動(dong)化決策處理個(ge)人信(xin)息(xi)進行合規審計的,應(ying)當重點(dian)審查下列事項:
(一)自動(dong)化(hua)決策的透明度,以(yi)及自動(dong)化(hua)決策的結(jie)果是否公平(ping)、公正(zhen��������g);
(二(er))是否事前告知(zhi)個(ge)人自(zi)動(dong)化決策處(chu)理(l�������i)個(ge)人信(xin)息的(de)種類及(ji)可能帶�����(dai)來(lai)的(de)影響;
(三)是(shi)否事前進行個(ge)人信息保護影響評估(gu);
(四)是否向用(yong)戶提供(gong)保障機制,以便個(ge)人(ren)通過便捷方式(shi)拒絕通過自動(dong)化(hua)決策方式(shi)作出對個(ge)人(ren)權(quan)益(yi)有重(zhong)大(da)影(ying)響的(de)決定,并(bing)要求個(ge)人(ren)信息(xi)處理者就通過自動(dong)化(hua)決策方式(shi)作出對用(yong)戶個(ge)人(ren)權(quan)益(yi)有重(zhong)大(da)影(ying)響的(de)決定予以說(shuo)明��������;
(五)向個人(ren)進行信(xin)息推送(song)、商業(ye)營(ying)銷(xiao)的(de),是否同時(shi)提供不針對個人(ren)特征的(de)�������選項,或者提供便����捷(jie)的(de)拒絕自(zi)動化決策服務的(de)方式;
(六(liu))是否(fou)采取了(le)有�����效措施,防(fang)止自動化決策根據消費者的偏好、交易(yi)習慣(guan)等對個人在交易(yi)條件(jian)上實行不合理的差別待遇;
(七(qi))其他可能影響自動化決(jue)策的(de)透(tou)明度和(he)結果公平、公正(�����zheng)的(de)事(shi)項(xiang)。
十(shi)、對個(ge)人(ren)(ren)信(xin)息(xi)處理者(zhe)基于個(ge)人(ren)(ren)同意(yi)公開個(ge)人(ren)(ren)信(xin)息(xi)進行合規審(shen)計(ji)的,應(ying)當重(zhong)點審(shen)查下列事項:
�������
(一)個(ge)��������人(ren)信(xin)息處理(li)者(zhe)公(gong)開其處理(li)的個(ge)人(ren)信�������(xin)息前是否取得個(ge)人(ren)單(dan)獨同意,該(gai)授(shou)權是否真實、有效,是否存在違(wei)背個(ge)人(ren)意愿將個(ge)人(ren)信(xin)息予(yu)以公(gong)開的情況;
(二)個人(ren)信(xin)息(xi)處理者(zhe)公(gong)開個人(ren)信(xin)息(xi)前,是否進行個人(ren)信(xin)息(xi)保護影(ying)響���評估。
十一、個人信(xin)息處(chu)理者(zhe)在公共(gong)場(chang)所安(an)�����裝(zhuang)圖像收集(ji)(ji)、個人身份識(shi)別設備(bei)的,應(ying)當重點對其(qi)安(an)裝(zhuang)圖像收集(ji)(ji)、個人信(xin)息身份識(shi)別設備(bei)的合法性及所收集(ji)(ji)個人信(xin)息的用途進(jin)行審(shen)查。審(shen)查內(nei)容(rong)包括但(dan�������)不限于:
(一)是(shi)否為(wei)維護公(gong)共安全所必需,是(shi)否為(wei)商����(shang)業目的處理所收集的個人信(xin)息;
(二)是否設(she)置了顯著的提示標(biao)識;
(三(san))個(ge)(ge)人信息處理者所收集的個(ge)(ge)人圖像、身份識別信息用(����yong)于維護公共安全以外用(yong)途的,是否取得(de)個(ge)(ge)人單獨同意。
十(shi)二、對(dui)個人信息(xi)處理者處理已公開的(de)個����人信息(xi)進行合規(gui)(gui)審計的(de),應當重點審查個人信息(xi)處理者是否存在下列違法違規(gui)(gui)行為(wei):
(一)向�����(xiang)已公開個(ge)人信(xin)息中的(de)電子郵箱、手機號等發送(song)與其公開目的(de)無�������(wu)關的(de)商業信(xin)息;
(二)利用已公(gong)開的(de)個人信(��������xin)息從事網(wang)絡(luo)(luo)暴力、傳播網(wang)絡(luo)(luo)謠言(yan)和虛假信(xin)息等(deng)活動;
(三)處(chu)理(li)個人(ren)明確拒(ju)絕處(chu)理(l�����i)的已��������(yi)公開個人(ren)信息;
(四)對個(ge)(ge)人權益有重大(��������da)影(ying)響,未取得個(ge)(ge)人同(tong)意;
(五(wu))收集、留(liu)存(cun)或處理(l�����i)已公(gong)開個人(ren)信息的(de)規(gui)模、時間或使用目(mu)的(de)超出合理(li)范圍。
十三(san)、對個人信息處理者處理敏感個������人信息進行合規審計的,應當重點審查(cha)下列事(shi)項:
(一)基于(yu)個(ge)人(ren)同意(yi)處(chu)理(li)個(ge)人(ren)信息(xi)的(de)(de),處(chu)理(li)生(sheng)物識(shi)別(bie)、宗教信仰、特定身(shen)份(fen)、醫療健(jian)康、金融賬(zhang)戶、行蹤(zong)軌跡等敏感個(ge)人(ren)信息(xi),是(shi)否事前(qian)取得個(ge)人(ren)的(��������de)(de)單獨同意(yi);
(二)基于個人(ren)(ren)同意處理個人(ren)(ren)信(xin)息(xi)�������(xi)的,處理不滿(man)十四周(zhou)歲未(wei)成年(nian)人(ren)(ren)的個人(ren)(ren)信(xin)息(xi)(xi),是(shi)否(fou)事(shi)前取(qu)得未(wei)成年(nian)人(ren)(ren)的父母(mu)或者其他監護人(ren)(ren)的同意;
(三)處理敏感(gan)個人信息(xi)的目(������mu)的、方式(sh�������i)、范(fan)圍是否合法(fa)、正當(dang)、必要(yao);
(四)是否在事前進行個人(ren)信息保護(hu)影響(xiang)評估;
(五(wu))是否向個(ge)人告(gao)知�����處理敏感個(ge)人信息的必要性(xing)以及對個(ge)人權益的影響,法(fa)(fa)律、行政(����zheng)法(fa)(fa)規(gui)規(gui)定應(ying)當保(bao)密(mi)或者不需要告(gao)知的除外;
�������� (六)法律、行政法規規定應當取得(de)(de)書����面同意的,是否取得(de)(de)書面同意;
(七(qi))是否遵守(shou)法律(lv)、行政法規(�������gui)對處理敏感個人信(xin)息的(de)限制性規(gui)定。
������ 十(shi)(shi)四、對個人信(xin)息(xi)處(chu)理者處(chu)理不滿十(shi)(shi)四周歲未成年人個人信(xin)息(xi)進行合規審計的,應當重點審查下列事(shi)項:�����
(一)是(shi)否制定(ding)專門的個人信息處理規則;
(二(er))是否向未成(cheng)年人�����及其(qi)監護人告知未成(cheng)年人個(ge)人信息(xi)的(de)處(chu)理目的(de)、處(chu)理方式、處(chu)理必(bi)要(yao)性(xing),以及處(chu)理個(ge)人信息(xi)的(de)種類(lei)、所采取的(de)保護措施等,法律(lv)、行政(zheng)法規(gui)規(gui)定不需要(yao)告知的(de������)除(chu)外;
(三)基于個(ge)(ge)人(ren)同意(yi)處(chu)理個(ge)(ge)人(ren)信息,是(shi)否存在強制要求未成年人(ren)或(huo)者其監護人(ren)同意(yi)����處(chu)理非必要個(ge)(ge)人(ren)信息的(d������e)行為(wei)。
十五、對個人信(xin)息處理者向境(jing)外提供個人信(xin)息進行(xing)合(he)規審計的,應當重點審查(����cha)下(xia)列事項:
(一)關鍵(jian)信(xin)息基(ji)礎設(she)����施運營者向境外提(ti)供個人信(xin)息��������是否經過國家(jia)網信(xin)部(bu)門組織的安全評(ping)估,法(fa)律(lv)、行政法(fa)規、國家(jia)網信(xin)部(bu)門另有規定的,從其(qi)規定;
(二(er))關鍵信(xin)(xin)(xin)息基礎(chu)設(she)施運營者以外(wai)(wai)的(de)(de)數(shu)據處理者自當年1月1日(ri)起累計向境外(wai)(wai)提供(gong)100萬(wan)人(ren)(ren)以上個(ge)(ge)人(ren)(ren)信(xin)(xin)(xin)息(不(bu)含敏感(gan)個(ge)(ge)人(ren)(ren)信(xin)(xin)(xin)息)或(huo)者1萬(wan)人(ren)(ren)以上敏感(gan)個(ge)(ge)人(ren)(ren)信(xin)(xin)(xin)息是否經(jing)過(guo)國家(jia)網信(xin)(xin)(xin)部門組(zu)織的(de)(de)安全評�������(ping)估,法律、行政法規、國家(jia)網信(xin)(xin)(xin)部門另有規定(ding)的(de)(de),從其(qi)規定(ding);
(三)關(guan)鍵(jian)信(xin)(xin)息(xi)(xi)(xi)基礎設(she)施運營者(zhe)以外(wai)(wai)的數據(ju)處(chu)理者(zhe)自當年1月1日起累(lei)計向(xiang)境(jing)外(wai)(wai)提(ti)供10萬人(ren)以上、不滿100萬人(ren)個(ge)人(ren)信(xin)(xin)息(xi)(xi)(xi)(不含(han)敏(min)感個(ge)人(ren)信(xin)(������xin)息(xi)(xi)(xi))或者(zhe)不滿1萬人(ren)敏(min)感個(ge)人(ren)信(xin)(xin)息(xi)(xi)(xi)的,是否按照國家網信(xin)(xin)部(bu)門(men)(men)的規(gui)定,經(jing)個(ge)人(ren)信(xin)(xin)息(xi)(xi)(xi)保(bao)護認證或者(zhe)按照國家網信(xin)(xin)部(bu)門(men)(men)制(zhi)定的標(biao)準合(he)同與境(jing)外(wai)(wai)接(jie)收方簽訂(ding)合(he)同并向(xiang)所(suo)在地(di)省級網信(xin)(xin)部(bu�������)門(men)(men)備案,或者(zhe)符合(he)法律(lv)、行政法規(gui)、國家網信(xin)(xin)部(bu)門(men)(men)規(gui)定的其他條件(jian);
������
(四)存在(zai)向外國司法或者執法機構提供(gong)存儲于中華(hua)人(ren)民(min)(min)共(gong)和國境內個人(ren)信息情(qing)形的,是否經過中華(hua)人(ren)民(min)(min)共(gong)和國主(zhu)管機關批準(zhun);
(五)是否向������被列(lie)入限制或者�����禁止個(ge)(ge)人信(xin)息提供清單的組織和個(ge)(ge)人提供個(ge)(ge)人信(xin)息。
十六、對個人信息刪除權(quan)保障情況進������行合規審計的,應當重(zhong)點審查(cha)下列(lie)事(shi)項:
(一)個人信息處理目的(de)是(shi)否(fou)已實�����現、無法實現或者為(wei)實現處理目的(de)不再必要;
��������
(二)個人信息處理者是否停止提供產����品或(huo)者服務,或(huo)者個人是否已注銷賬號;
(三)保存期限(xian)是否已(yi)屆(jie)滿;
(四)個人(ren)是否撤回同(tong)意;
(五)個人(ren)信息處理者(zhe)���是否違反法律(lv)、行政法規或者(zhe)違反約(yue)定處理個�������人(ren)信息;
(六)應當(dang)刪除(chu)(chu)個(ge)人信(xin)息,但(dan)法律、行政法規規定的保存期限未(wei)屆滿,或者刪除(chu)(ch�����u)���������個(ge)人信(xin)息從技術上難以實現的,個(ge)人信(xin)息處(chu)理者是否停止除(chu)(chu)存儲(chu)和采取必要的安全措施(shi)之外的處(chu)理。
十七、對個人(ren)信息(xi)處理(li)(li)者保障個人(ren)在(zai)個人(ren)信息(xi)處理(li)(li)活動(dong)中的權(quan)利情況進�����行合規(gui)審(shen)計的,應當重點審(shen)查下列事(shi)項:
(一)是否建立便捷(ji�����e)的個人行使權利的申請受(shou)理機制(zhi)和處理機制(zhi);
(二)是否及時(shi)響應個人行使權利的申請,是否及時(shi)�����、完整、準確告知處理意見或者������(zhe)執行結果;
(三)拒絕個(ge)人(ren)行(xing)使權利(li)請求的,是否向個��������(ge)人(ren)說(shuo)明理由(you)。
十八、個人(ren)(ren)信息(xi)處(chu)理者應當(dang)響(xiang)應個人(ren)(ren)申請,對其個人(ren)(ren)信息(xi)處(chu)理規(gui)則進行(xing)解釋說明,合規(gui)審計時應當���(dang)重(zhong)點對下列內容(rong)進行(xing)評價:
(一)個人(ren)信息處理(li)者(zhe)是否提供便捷的方式和途�����徑(jing),接受(shou)、處理(li)個人(ren)關(guan)于個人(ren)信息處理(li)規則解(jie)釋說明的要(yao)求;
(二)接到(dao)個人的要求(qiu)后,個人信(xin)息處理者(zhe)是否在合理的時間內,使用通俗易懂的語(yu)言������對其個人信(xin)息處理規則作出����解(jie)釋說明(ming)。
十九、個人(ren)(ren)信息(xi)處(chu)理(li)者(zhe)應當依照法律、行(xing)政(zheng)法規的規定制(zhi)定內(nei)部管(guan)理(li)制(zhi)度(du)和操(cao)作(zuo)規程,明(ming)確組織(zhi)架構、崗(gang)位職責,建(jian)立(li)工(gong)作(zuo)流(liu)程、完善內(nei)控制(zhi)度(du),保(bao)障個人(ren)(ren)信息(xi)處(chu)理(li)合規與安�����全。合規審計時,應當重點對個人(ren)(ren)信息(xi)處(chu)理(li)者������(zhe)個人(ren)(ren)信息(xi)保(bao)護內(nei)部管(guan)理(li)制(zhi)度(du)和操(cao)作(zuo)規程進(jin)行(xing)審查(cha),包括但不限于:
(一)個人(ren)信息保護工(gong)作的方針、目(mu)標、原則是(shi)否(fou)符合法律、行政法規規定;����
������
(二)個人(ren)信息保護組(zu)織架(jia)構、人(ren)員配備、行為規范、管理責任(ren)是�������否與應當(dang)履(lv)行的個人(ren)信息保護責任(ren)相適(shi)應;
(三(san))是否根據個(ge)(ge)����人信息的種類、來源、敏感程度、用途(tu)等,對個(ge)(ge)人信息進行分類;
(四)是否建(jian)立個人信息安全(quan)事件應急響應機制;
(五)是否建立個人信息保護影響評估制(zhi)度、合規審(shen)計制(zhi)度;
(六)是否建立暢通的個人�����信(xin)息保護投(tou)訴舉報(bao)受(shou)理流程(cheng);
(七)是否合理制定個(ge)人信息(xi)處理操作權限;
(八)是否制定實施個人信息保(bao)護(hu)安全教育和培訓計劃;
(九)是否建立(li)個人(ren)信息保護(hu)負責(ze)人(ren)及相(xiang)關人(ren)員(yuan�������)履(lv)職評價制度(du);
(十)是(shi)否(fou)建立個人信息違法處理責任制度(du);
(十一)法律(lv)、行政法規規定的其他事項。
二十、個(ge)(ge)人(ren)信(xin)息(xi)處理(li)(li)者應當采取(qu)(qu)與所處理(li)(li)個(ge)(ge)人(ren)信(xin)息(xi)規模、類型相(xiang)適應的(de)安(an)全技術(shu)措施,并(bing)對個(ge)(ge)人(ren)信(xin)息(��������xi)處理(li)(li)者采取(qu)(qu)的(de)技術(shu)措施的(de)有(you)效(xiao)性進行評價,評價內容(ro�������ng)包(bao)括但(dan)不限于(yu):
(一)是否采(cai)取相應(ying)安全技(ji)術措施實現個人信息(xi)的保密(mi)性(xing)、完(�����wan)整性(xing)、可(ke)�������用(yong)性(xing);
(二)是否采取加密、去標識(shi)化等安全技術措(cuo)施,確(que)保在不(bu)借助額外(wai)信息的(de)情況(kuang�������)下,消除或者(z��������he)降低個人信息的(de)可識(shi)別(bie)性;
�����(三)采取(qu)的(de)安全技(ji)術措施能否合理確定有關人(ren)員查閱�������、復制(zhi)、傳輸個(ge)人(ren)信(xin)息等的(de)操作權限,減少(shao)個(ge)人(ren)信(xin)息在處(chu)理過程中未經授權的(de)訪問(wen)和濫用風險。
二十一(yi)、對(dui)個人信息(xi)處理者教育培訓計劃的制定和實施情(qing)況進行�����合������規審計時(shi),應當(dang)重點對(dui)下列事項進行評價:
������
(一)是否(fou)按計劃對管理人員(yuan)(yuan)、技術人員(yuan)(yuan)、操作人員(yuan)(yuan)、全員(yuan)(yuan)開展(zhan)相(xiang)應(ying)的安全教(jiao)育和培訓,是否(fou)對相(xiang)應(ying)人員(yuan)(yuan)的個人信息(xi)保護(hu)意識和技能進行考核;
(二(er))培訓內容、方式、對(dui)象、頻率等能否滿足個人信息(xi)保護需要。
二十二、對個人(ren)信息處理者指定的(de)個人(ren)信息保護負(fu)責人(���ren)履(lv)職情況進(�������jin)行合規審計的(de),應(ying)當重點審查下列事項:
(一)個(ge)(ge)人(ren)(ren)信息保護負責人(ren)(ren)是否具有相關的工作經歷和(he)專業(ye�������)知識,熟悉個(ge)(ge)人(ren)(ren)信息保護相關法律、行政法規;
�����
(二(er))個人信(xin)息(xi)保(bao)護負責(ze)人是(shi)否具有(you)明確清晰的(de)職�����責(ze),是(shi)否被賦予充(chong)分的(de)權限協調個人信(xin)息(xi)處理者內部相關部門與(yu)人員;
(三)個人信(xin)息(xi)(xi)保(bao)護負(fu)責人在個人信(xin)息�����(xi)(xi)處理重大事(shi)項決策前是否有(you)權(quan)提(ti)出相(xiang)關意見和(he)建(jian)議;
(四)個(ge)(ge)人信(xin)息保(bao)護負責人是(shi)否(fou)有(you������)權對個(ge)(ge)人信(xin)息處(chu)理者(zhe)內部個(ge)(ge)人信(xin)息處(chu)理的不合規操作進(jin)行制止和采取必要的糾正措施;
(五)個人信(�������xin)息處理(li)者(zhe)是否公開(kai)個人信(xin)息保護負責人的聯系方式(shi),并將(jiang)個人信(xin)息保護負責人的姓名、聯系方式(shi)等報(bao)送保護部門(men)。
二十三、對(dui)個(ge)人信(xin)(xin)息(xi)處理者開(��������kai)展(zhan)個(ge)人信(xin)(xin)息(xi)保護影響評(ping)(ping)估(gu)(gu)情況進(jin)行合(he)規審計時(shi),應(ying)當重點(dian)對(dui)影響評(ping)(ping)估(gu)(gu)開(kai)展(zhan)情況和評(ping)(ping)估(gu)(gu)內容進(jin)行審查:
(一)是否依(yi)照法律、行政法規的規定,在進行對個人權益(yi)具(ju)有(you)重大影響的個人信息處(chu)理活動前進行個人信息保護影響評�������估;
(二)是否對個人信(xin)息(xi)的處理目的、處理方式等進行合法�������、正當、必要(yao)評估�����(gu);
(三)是否(fou)對個人(ren)權益的影響及安全風(feng)險進行(xing)評(pi��������ng)估;
(四)是否(fou)對所采(cai)取的保護(hu)措施(shi)的合法(fa)性(xing)、有(you)效(xiao)性(xing),以及與風險程度的適(shi)應性(xing)進(jin)行評估。
�����
二(er)十四、個人(ren)信(xin)息處理者應(ying)當制定(ding)個人(ren)信(xin)息安全(quan)事件(jian)應(ying)急預(yu)案(an)(an)。合規審計時,應(ying)當對�����應(yi�������ng)急預(yu)案(an)(an)的全(quan)面性、有(you)效性、可執行性作出(chu)評價,包括但不限于下列內容:
(一)是否結合業務實際,對(du��������i)面臨的個人信息安全風險作出系(xi)統評估和預(yu)��������測;
(二)總體要求、基本策略,組織機構(gou)、人員,技術、物資保障,指揮處置(zhi)程序,應急和(he)支持措施等是(shi)否足以應�����對(dui�������)預(yu)測的風險;
(三(san))是否對相關人員進行(xing������)應急預案(an)培訓,定期對應急預案(an)進行(xing)演練。
�������
二十五、對(dui)個人(ren)信息(xi)(xi)處(chu)理者個人(ren)信息(xi)(xi)安全事件應急響(xiang)應處(chu)置情況(kuang)進行合(he)規審計(ji)的,應當重點審查下列事項(xiang):������
(一(yi))是否按照應(ying)急預案、操(cao)作規程及時查(cha)明������個人(ren)信息安全事件的(de)影響、范圍和可能造成的(de)危害(hai),分析(xi)、確定事件發(fa)生的(de)原因(yin),提出防止危害(hai)擴大的(de)措施方(fang)案;
���
(二)是否建立(li)通報(bao)渠(qu)道,在安全事件發(fa)生(sheng)后按(an)照相關規(gui)定及(ji)時通知(zhi)保護部(bu)門(men)和個人;
(三)是否采取相(xiang)應措施(s����hi)將個(ge)人信息安全事件可能(neng)造成(cheng)的損(s���������un)失和可能(neng)產生的危害(hai)風險(xian)降低到最小(xiao)。
二十(shi)六、對提供重(zhong)要互聯網平臺(tai)服務、用戶數量巨大(da)、業務類型復雜的(de)個人信息處理(li)者制定的(de)平臺(tai)規則進(jin)行合規審計的(de),應當重(zhong)點審查下列事項:
����
(一)平臺規則是否與法(fa)(fa)律、行政法(fa)(fa)規相抵觸(chu);
(二)平臺規則個(ge)人(ren)信(xin)(xin)息保(bao)護條(tiao)款的有效性(xing),是否合理界定了(le)平臺、平臺����內產(chan)品或者(zhe)服務提(ti)供者(zhe)的個(ge)人(ren)信(xin)(xin)息保(bao)護權(quan)利(li)和義務;
�����
(三)平臺規則的執(zhi)行(xing)(xing)情況,是否通過(guo)抽樣等(deng)方式驗證平臺規則被有效執(zhi)行(xing)(xing)。
二十七、對提供重要互(������hu)聯(lian)網平臺服務(wu)、用戶(hu)數量巨大、業務(wu)類型復雜的個人信息處理者發布(bu)的個人信息保護社(she)會責任(ren)(ren)��������報告(gao)進行合規審計的,應當重點審查社(she)會責任(ren)(ren)報告(gao)披露下列內(nei)容的情(qing)況(kuang):
(一)個人(ren)信息保護(hu)組織架構和內部管理情況;
(二)個(ge)人信息保護能力(li)建設情況;
(三(san))個(ge)人(ren)信息保護措施和成(cheng)效;
(四)個人行(xing)使(shi)權利的申請(qing)受(shou)理情況;
(五)獨立監督機構履職情況(kuang);
(六)重大個(ge)人信息安全(quan)事件處理情況;
(七)促(cu)進個人信息保護(hu)社會共治的科(ke)普宣傳、公益活動情況;
(八)法(fa)律(lv)、行政法(fa)規規定的(de)其(qi)他(ta)事項。
