國家網(wǎng)信辦公布《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》

國家互聯(lián)網(wǎng)信息辦公室令第18號

《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》已經(jīng)2024年5月20日國家互聯(lián)網(wǎng)信息辦公室2024年第15次室務(wù)會(huì)會(huì)議審議通過,，現(xiàn)予公布,，自2025年5月1日起施行。

國家互聯(lián)網(wǎng)信息辦公室主任

莊榮文2025年2月12日

個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法

第一條 為了規(guī)范個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng)，保護(hù)個(gè)人信息權(quán)益,，根據(jù)《中華人民共和國個(gè)人信息保護(hù)法》,、《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》等法律,、行政法規(guī),，制定本辦法。

第二條 在中華人民共和國境內(nèi)開展個(gè)人信息保護(hù)合規(guī)審計(jì),，適用本辦法,。

本辦法所稱個(gè)人信息保護(hù)合規(guī)審計(jì)，是指對個(gè)人信息處理者的個(gè)人信息處理活動(dòng)是否遵守法律,、行政法規(guī)的情況進(jìn)行審查和評價(jià)的監(jiān)督活動(dòng),。

第三條 個(gè)人信息處理者自行開展個(gè)人信息保護(hù)合規(guī)審計(jì)的，應(yīng)當(dāng)由個(gè)人信息處理者內(nèi)部機(jī)構(gòu)或者委托專業(yè)機(jī)構(gòu)定期對其處理個(gè)人信息遵守法律,、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì),。

第四條 處理超過1000萬人個(gè)人信息的個(gè)人信息處理者，應(yīng)當(dāng)每兩年至少開展一次個(gè)人信息保護(hù)合規(guī)審計(jì),。

第五條 個(gè)人信息處理者有以下情形之一的,，國家網(wǎng)信部門和其他履行個(gè)人信息保護(hù)職責(zé)的部門（以下統(tǒng)稱為保護(hù)部門），可以要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)：

（一）發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在嚴(yán)重影響個(gè)人權(quán)益或者嚴(yán)重缺乏安全措施等較大風(fēng)險(xiǎn)的,；

（二）個(gè)人信息處理活動(dòng)可能侵害眾多個(gè)人的權(quán)益的,；

（三）發(fā)生個(gè)人信息安全事件，導(dǎo)致100萬人以上個(gè)人信息或者10萬人以上敏感個(gè)人信息泄露,、篡改,、丟失、毀損的,。

對同一個(gè)人信息安全事件或者風(fēng)險(xiǎn),，不得重復(fù)要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)。

第六條 個(gè)人信息處理者自行開展或者按照保護(hù)部門要求委托專業(yè)機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)的,，應(yīng)當(dāng)參照本辦法附件《個(gè)人信息保護(hù)合規(guī)審計(jì)指引》,。

第七條 專業(yè)機(jī)構(gòu)應(yīng)當(dāng)具備開展個(gè)人信息保護(hù)合規(guī)審計(jì)的能力，有與服務(wù)相適應(yīng)的審計(jì)人員,、場所,、設(shè)施和資金等。

鼓勵(lì)相關(guān)專業(yè)機(jī)構(gòu)通過認(rèn)證,。專業(yè)機(jī)構(gòu)的認(rèn)證按照《中華人民共和國認(rèn)證認(rèn)可條例》的有關(guān)規(guī)定執(zhí)行,。

第八條 個(gè)人信息處理者按照保護(hù)部門要求開展個(gè)人信息保護(hù)合規(guī)審計(jì)的，應(yīng)當(dāng)為專業(yè)機(jī)構(gòu)正常開展個(gè)人信息保護(hù)合規(guī)審計(jì)工作提供必要支持,，并承擔(dān)審計(jì)費(fèi)用,。

第九條 個(gè)人信息處理者按照保護(hù)部門要求開展個(gè)人信息保護(hù)合規(guī)審計(jì)的，應(yīng)當(dāng)按照保護(hù)部門要求選定專業(yè)機(jī)構(gòu),，在限定時(shí)間內(nèi)完成個(gè)人信息保護(hù)合規(guī)審計(jì),；情況復(fù)雜的，報(bào)保護(hù)部門批準(zhǔn)后,，可以適當(dāng)延長,。

第十條 個(gè)人信息處理者按照保護(hù)部門要求開展個(gè)人信息保護(hù)合規(guī)審計(jì)的，在完成合規(guī)審計(jì)后,，應(yīng)當(dāng)將專業(yè)機(jī)構(gòu)出具的個(gè)人信息保護(hù)合規(guī)審計(jì)報(bào)告報(bào)送保護(hù)部門,。

個(gè)人信息保護(hù)合規(guī)審計(jì)報(bào)告應(yīng)當(dāng)由專業(yè)機(jī)構(gòu)主要負(fù)責(zé)人、合規(guī)審計(jì)負(fù)責(zé)人簽字并加蓋專業(yè)機(jī)構(gòu)公章,。

第十一條 個(gè)人信息處理者按照保護(hù)部門要求開展個(gè)人信息保護(hù)合規(guī)審計(jì)的,，應(yīng)當(dāng)按照保護(hù)部門要求對合規(guī)審計(jì)中發(fā)現(xiàn)的問題進(jìn)行整改。在整改完成后15個(gè)工作日內(nèi),，向保護(hù)部門報(bào)送整改情況報(bào)告,。

第十二條 處理100萬人以上個(gè)人信息的個(gè)人信息處理者應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人，負(fù)責(zé)個(gè)人信息處理者的個(gè)人信息保護(hù)合規(guī)審計(jì)工作,。

提供重要互聯(lián)網(wǎng)平臺服務(wù),、用戶數(shù)量巨大,、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者，應(yīng)當(dāng)成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對個(gè)人信息保護(hù)合規(guī)審計(jì)情況進(jìn)行監(jiān)督,。

第十三條 專業(yè)機(jī)構(gòu)在從事個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng)時(shí),，應(yīng)當(dāng)遵守法律法規(guī)，誠信正直,，公正客觀地作出合規(guī)審計(jì)職業(yè)判斷,，對在履行個(gè)人信息保護(hù)合規(guī)審計(jì)職責(zé)中獲得的個(gè)人信息、商業(yè)秘密,、保密商務(wù)信息等應(yīng)當(dāng)依法予以保密,，不得泄露或者非法向他人提供，在合規(guī)審計(jì)工作結(jié)束后及時(shí)刪除相關(guān)信息,。

第十四條 專業(yè)機(jī)構(gòu)不得轉(zhuǎn)委托其他機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì),。

第十五條 同一專業(yè)機(jī)構(gòu)及其關(guān)聯(lián)機(jī)構(gòu)、同一合規(guī)審計(jì)負(fù)責(zé)人不得連續(xù)三次以上對同一審計(jì)對象開展個(gè)人信息保護(hù)合規(guī)審計(jì),。

第十六條 保護(hù)部門對個(gè)人信息處理者開展個(gè)人信息保護(hù)合規(guī)審計(jì)情況進(jìn)行監(jiān)督檢查,。

第十七條 任何組織、個(gè)人有權(quán)對個(gè)人信息保護(hù)合規(guī)審計(jì)中的違法活動(dòng)向保護(hù)部門進(jìn)行投訴,、舉報(bào),。收到投訴、舉報(bào)的部門應(yīng)當(dāng)依法及時(shí)處理,，并將處理結(jié)果告知投訴,、舉報(bào)人。

第十八條 個(gè)人信息處理者,、專業(yè)機(jī)構(gòu)違反本辦法規(guī)定的,，依照《中華人民共和國個(gè)人信息保護(hù)法》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》等法律法規(guī)的規(guī)定處理,；構(gòu)成犯罪的,，依法追究刑事責(zé)任。

第十九條 對國家機(jī)關(guān)和法律,、法規(guī)授權(quán)的具有管理公共事務(wù)職能的組織的個(gè)人信息保護(hù)合規(guī)審計(jì),，不適用本辦法。

第二十條 本辦法自2025年5月1日起施行,。

附件

個(gè)人信息保護(hù)合規(guī)審計(jì)指引

一,、本指引根據(jù)《中華人民共和國個(gè)人信息保護(hù)法》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》等法律,、行政法規(guī)制定,。

二、對個(gè)人信息處理活動(dòng)的合法性基礎(chǔ)進(jìn)行合規(guī)審計(jì)的,，應(yīng)當(dāng)重點(diǎn)審查下列事項(xiàng)：

（一）基于個(gè)人同意處理個(gè)人信息的,，是否取得個(gè)人同意,，該同意是否由個(gè)人在充分知情的前提下自愿、明確作出,；

（二）基于個(gè)人同意處理個(gè)人信息的,，個(gè)人信息的處理目的、處理方式,、處理的個(gè)人信息種類發(fā)生變更的，是否重新取得個(gè)人同意,；

（三）基于個(gè)人同意處理個(gè)人信息的,，是否依照法律、行政法規(guī)取得個(gè)人單獨(dú)同意或者書面同意,；

（四）處理個(gè)人信息未取得個(gè)人同意的,，是否屬于法律、行政法規(guī)規(guī)定不需要取得個(gè)人同意的情形,。

三,、對個(gè)人信息處理規(guī)則進(jìn)行合規(guī)審計(jì)的，應(yīng)當(dāng)重點(diǎn)審查下列事項(xiàng)：

（一）是否真實(shí),、準(zhǔn)確,、完整地告知個(gè)人信息處理者的名稱或者姓名和聯(lián)系方式；

（二）是否以清單等便于查看的形式列明所收集的個(gè)人信息及其處理方式和種類,；

（三）是否與處理目的直接相關(guān),，采取對個(gè)人權(quán)益影響最小的方式；

（四）是否明確個(gè)人信息保存期限或者保存期限的確定方法,、到期后的處理方式,，以及確定保存期限為實(shí)現(xiàn)處理目的所必要的最短時(shí)間；

（五）是否明確個(gè)人查閱,、復(fù)制,、轉(zhuǎn)移、更正,、補(bǔ)充,、刪除、限制處理個(gè)人信息以及注銷賬號,、撤回同意的途徑和方法,。

四、對個(gè)人信息處理者履行告知個(gè)人信息處理規(guī)則義務(wù)進(jìn)行合規(guī)審計(jì)的,，應(yīng)當(dāng)重點(diǎn)審查下列事項(xiàng)：

（一）個(gè)人信息處理者在處理個(gè)人信息前,，是否以顯著方式、清晰易懂的語言真實(shí),、準(zhǔn)確,、完整地向個(gè)人告知個(gè)人信息處理規(guī)則,；

（二）告知文本的大小、字體和顏色是否便于個(gè)人完整閱讀告知事項(xiàng),；

（三）線下告知是否通過標(biāo)注,、說明等多種方式向個(gè)人履行告知義務(wù)；

（四）在線告知是否提供文本信息或者通過適當(dāng)方式向個(gè)人履行告知義務(wù),；

（五）個(gè)人信息處理規(guī)則發(fā)生變更的,，是否將變更內(nèi)容及時(shí)告知個(gè)人；

（六）處理個(gè)人信息不需要告知的,，是否屬于法律,、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知的情形。

五,、對個(gè)人信息處理者與其他個(gè)人信息處理者共同處理個(gè)人信息進(jìn)行合規(guī)審計(jì)的,，應(yīng)當(dāng)重點(diǎn)審查下列事項(xiàng)：

（一）是否約定各自的權(quán)利義務(wù)；

（二）個(gè)人信息權(quán)益保護(hù)機(jī)制,；

（三）個(gè)人信息安全事件報(bào)告機(jī)制,；

（四）其他法律、行政法規(guī)規(guī)定需要約定的權(quán)利和義務(wù),。

六,、對個(gè)人信息處理者委托處理個(gè)人信息進(jìn)行合規(guī)審計(jì)的，應(yīng)當(dāng)重點(diǎn)審查下列事項(xiàng)：

（一）個(gè)人信息處理者在委托處理個(gè)人信息前,，是否開展個(gè)人信息保護(hù)影響評估,；

（二）個(gè)人信息處理者與受托人簽訂的合同，是否與受托人約定了委托處理的目的,、期限,、方式、個(gè)人信息的種類,、保護(hù)措施以及雙方的權(quán)利義務(wù)等,；

（三）個(gè)人信息處理者是否采取定期檢查等方式，對受托人的個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督,。

七,、個(gè)人信息處理者存在因合并、重組,、分立,、解散、被宣告破產(chǎn)等原因需要轉(zhuǎn)移個(gè)人信息情形的,，應(yīng)當(dāng)重點(diǎn)審查個(gè)人信息處理者是否向個(gè)人告知接收方的名稱或者姓名和聯(lián)系方式,。

八、對個(gè)人信息處理者向其他個(gè)人信息處理者提供其處理的個(gè)人信息進(jìn)行合規(guī)審計(jì)的，應(yīng)當(dāng)重點(diǎn)審查下列事項(xiàng)：

（一）基于個(gè)人同意處理個(gè)人信息的,，是否取得個(gè)人的單獨(dú)同意,；

（二）是否向個(gè)人告知接收方的名稱或者姓名、聯(lián)系方式,、處理目的,、處理方式和個(gè)人信息的種類，法律,、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知的除外,；

（三）是否事前進(jìn)行個(gè)人信息保護(hù)影響評估。

九,、對個(gè)人信息處理者利用自動(dòng)化決策處理個(gè)人信息進(jìn)行合規(guī)審計(jì)的,，應(yīng)當(dāng)重點(diǎn)審查下列事項(xiàng)：

（一）自動(dòng)化決策的透明度，以及自動(dòng)化決策的結(jié)果是否公平,、公正；

（二）是否事前告知個(gè)人自動(dòng)化決策處理個(gè)人信息的種類及可能帶來的影響,；

（三）是否事前進(jìn)行個(gè)人信息保護(hù)影響評估,；

（四）是否向用戶提供保障機(jī)制，以便個(gè)人通過便捷方式拒絕通過自動(dòng)化決策方式作出對個(gè)人權(quán)益有重大影響的決定,，并要求個(gè)人信息處理者就通過自動(dòng)化決策方式作出對用戶個(gè)人權(quán)益有重大影響的決定予以說明,；

（五）向個(gè)人進(jìn)行信息推送、商業(yè)營銷的,，是否同時(shí)提供不針對個(gè)人特征的選項(xiàng),，或者提供便捷的拒絕自動(dòng)化決策服務(wù)的方式；

（六）是否采取了有效措施,，防止自動(dòng)化決策根據(jù)消費(fèi)者的偏好,、交易習(xí)慣等對個(gè)人在交易條件上實(shí)行不合理的差別待遇；

（七）其他可能影響自動(dòng)化決策的透明度和結(jié)果公平,、公正的事項(xiàng),。

十、對個(gè)人信息處理者基于個(gè)人同意公開個(gè)人信息進(jìn)行合規(guī)審計(jì)的,，應(yīng)當(dāng)重點(diǎn)審查下列事項(xiàng)：

（一）個(gè)人信息處理者公開其處理的個(gè)人信息前是否取得個(gè)人單獨(dú)同意,，該授權(quán)是否真實(shí)、有效,，是否存在違背個(gè)人意愿將個(gè)人信息予以公開的情況,；

（二）個(gè)人信息處理者公開個(gè)人信息前，是否進(jìn)行個(gè)人信息保護(hù)影響評估,。

十一,、個(gè)人信息處理者在公共場所安裝圖像收集、個(gè)人身份識別設(shè)備的，應(yīng)當(dāng)重點(diǎn)對其安裝圖像收集,、個(gè)人信息身份識別設(shè)備的合法性及所收集個(gè)人信息的用途進(jìn)行審查,。審查內(nèi)容包括但不限于：

（一）是否為維護(hù)公共安全所必需，是否為商業(yè)目的處理所收集的個(gè)人信息,；

（二）是否設(shè)置了顯著的提示標(biāo)識,；

（三）個(gè)人信息處理者所收集的個(gè)人圖像、身份識別信息用于維護(hù)公共安全以外用途的,，是否取得個(gè)人單獨(dú)同意,。

十二、對個(gè)人信息處理者處理已公開的個(gè)人信息進(jìn)行合規(guī)審計(jì)的,，應(yīng)當(dāng)重點(diǎn)審查個(gè)人信息處理者是否存在下列違法違規(guī)行為：

（一）向已公開個(gè)人信息中的電子郵箱,、手機(jī)號等發(fā)送與其公開目的無關(guān)的商業(yè)信息；

（二）利用已公開的個(gè)人信息從事網(wǎng)絡(luò)暴力,、傳播網(wǎng)絡(luò)謠言和虛假信息等活動(dòng),；

（三）處理個(gè)人明確拒絕處理的已公開個(gè)人信息；

（四）對個(gè)人權(quán)益有重大影響,，未取得個(gè)人同意,；

（五）收集、留存或處理已公開個(gè)人信息的規(guī)模,、時(shí)間或使用目的超出合理范圍,。

十三、對個(gè)人信息處理者處理敏感個(gè)人信息進(jìn)行合規(guī)審計(jì)的,，應(yīng)當(dāng)重點(diǎn)審查下列事項(xiàng)：

（一）基于個(gè)人同意處理個(gè)人信息的,，處理生物識別、宗教信仰,、特定身份,、醫(yī)療健康、金融賬戶,、行蹤軌跡等敏感個(gè)人信息,，是否事前取得個(gè)人的單獨(dú)同意；

（二）基于個(gè)人同意處理個(gè)人信息的,，處理不滿十四周歲未成年人的個(gè)人信息,，是否事前取得未成年人的父母或者其他監(jiān)護(hù)人的同意；

（三）處理敏感個(gè)人信息的目的,、方式,、范圍是否合法、正當(dāng),、必要,；

（四）是否在事前進(jìn)行個(gè)人信息保護(hù)影響評估；

（五）是否向個(gè)人告知處理敏感個(gè)人信息的必要性以及對個(gè)人權(quán)益的影響，法律,、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知的除外,；

（六）法律、行政法規(guī)規(guī)定應(yīng)當(dāng)取得書面同意的,，是否取得書面同意,；

（七）是否遵守法律、行政法規(guī)對處理敏感個(gè)人信息的限制性規(guī)定,。

十四,、對個(gè)人信息處理者處理不滿十四周歲未成年人個(gè)人信息進(jìn)行合規(guī)審計(jì)的，應(yīng)當(dāng)重點(diǎn)審查下列事項(xiàng)：

（一）是否制定專門的個(gè)人信息處理規(guī)則,；

（二）是否向未成年人及其監(jiān)護(hù)人告知未成年人個(gè)人信息的處理目的,、處理方式、處理必要性,，以及處理個(gè)人信息的種類,、所采取的保護(hù)措施等，法律,、行政法規(guī)規(guī)定不需要告知的除外,；

（三）基于個(gè)人同意處理個(gè)人信息，是否存在強(qiáng)制要求未成年人或者其監(jiān)護(hù)人同意處理非必要個(gè)人信息的行為,。

十五、對個(gè)人信息處理者向境外提供個(gè)人信息進(jìn)行合規(guī)審計(jì)的,，應(yīng)當(dāng)重點(diǎn)審查下列事項(xiàng)：

（一）關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者向境外提供個(gè)人信息是否經(jīng)過國家網(wǎng)信部門組織的安全評估,，法律、行政法規(guī),、國家網(wǎng)信部門另有規(guī)定的,，從其規(guī)定；

（二）關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者以外的數(shù)據(jù)處理者自當(dāng)年1月1日起累計(jì)向境外提供100萬人以上個(gè)人信息（不含敏感個(gè)人信息）或者1萬人以上敏感個(gè)人信息是否經(jīng)過國家網(wǎng)信部門組織的安全評估,，法律,、行政法規(guī)、國家網(wǎng)信部門另有規(guī)定的,，從其規(guī)定,；

（三）關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者以外的數(shù)據(jù)處理者自當(dāng)年1月1日起累計(jì)向境外提供10萬人以上、不滿100萬人個(gè)人信息（不含敏感個(gè)人信息）或者不滿1萬人敏感個(gè)人信息的,，是否按照國家網(wǎng)信部門的規(guī)定,，經(jīng)個(gè)人信息保護(hù)認(rèn)證或者按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方簽訂合同并向所在地省級網(wǎng)信部門備案，或者符合法律,、行政法規(guī),、國家網(wǎng)信部門規(guī)定的其他條件；

（四）存在向外國司法或者執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于中華人民共和國境內(nèi)個(gè)人信息情形的，是否經(jīng)過中華人民共和國主管機(jī)關(guān)批準(zhǔn),；

（五）是否向被列入限制或者禁止個(gè)人信息提供清單的組織和個(gè)人提供個(gè)人信息,。

十六、對個(gè)人信息刪除權(quán)保障情況進(jìn)行合規(guī)審計(jì)的,，應(yīng)當(dāng)重點(diǎn)審查下列事項(xiàng)：

（一）個(gè)人信息處理目的是否已實(shí)現(xiàn),、無法實(shí)現(xiàn)或者為實(shí)現(xiàn)處理目的不再必要；

（二）個(gè)人信息處理者是否停止提供產(chǎn)品或者服務(wù),，或者個(gè)人是否已注銷賬號,；

（三）保存期限是否已屆滿；

（四）個(gè)人是否撤回同意,；

（五）個(gè)人信息處理者是否違反法律,、行政法規(guī)或者違反約定處理個(gè)人信息；

（六）應(yīng)當(dāng)刪除個(gè)人信息,，但法律,、行政法規(guī)規(guī)定的保存期限未屆滿，或者刪除個(gè)人信息從技術(shù)上難以實(shí)現(xiàn)的,，個(gè)人信息處理者是否停止除存儲(chǔ)和采取必要的安全措施之外的處理,。

十七、對個(gè)人信息處理者保障個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利情況進(jìn)行合規(guī)審計(jì)的,，應(yīng)當(dāng)重點(diǎn)審查下列事項(xiàng)：

（一）是否建立便捷的個(gè)人行使權(quán)利的申請受理機(jī)制和處理機(jī)制,；

（二）是否及時(shí)響應(yīng)個(gè)人行使權(quán)利的申請，是否及時(shí),、完整,、準(zhǔn)確告知處理意見或者執(zhí)行結(jié)果；

（三）拒絕個(gè)人行使權(quán)利請求的,，是否向個(gè)人說明理由,。

十八、個(gè)人信息處理者應(yīng)當(dāng)響應(yīng)個(gè)人申請,，對其個(gè)人信息處理規(guī)則進(jìn)行解釋說明,，合規(guī)審計(jì)時(shí)應(yīng)當(dāng)重點(diǎn)對下列內(nèi)容進(jìn)行評價(jià)：

（一）個(gè)人信息處理者是否提供便捷的方式和途徑，接受,、處理個(gè)人關(guān)于個(gè)人信息處理規(guī)則解釋說明的要求,；

（二）接到個(gè)人的要求后，個(gè)人信息處理者是否在合理的時(shí)間內(nèi),，使用通俗易懂的語言對其個(gè)人信息處理規(guī)則作出解釋說明,。

十九、個(gè)人信息處理者應(yīng)當(dāng)依照法律,、行政法規(guī)的規(guī)定制定內(nèi)部管理制度和操作規(guī)程,，明確組織架構(gòu),、崗位職責(zé)，建立工作流程,、完善內(nèi)控制度,，保障個(gè)人信息處理合規(guī)與安全。合規(guī)審計(jì)時(shí),，應(yīng)當(dāng)重點(diǎn)對個(gè)人信息處理者個(gè)人信息保護(hù)內(nèi)部管理制度和操作規(guī)程進(jìn)行審查,，包括但不限于：

（一）個(gè)人信息保護(hù)工作的方針、目標(biāo),、原則是否符合法律,、行政法規(guī)規(guī)定；

（二）個(gè)人信息保護(hù)組織架構(gòu),、人員配備,、行為規(guī)范、管理責(zé)任是否與應(yīng)當(dāng)履行的個(gè)人信息保護(hù)責(zé)任相適應(yīng),；

（三）是否根據(jù)個(gè)人信息的種類,、來源、敏感程度,、用途等,，對個(gè)人信息進(jìn)行分類；

（四）是否建立個(gè)人信息安全事件應(yīng)急響應(yīng)機(jī)制,；

（五）是否建立個(gè)人信息保護(hù)影響評估制度,、合規(guī)審計(jì)制度；

（六）是否建立暢通的個(gè)人信息保護(hù)投訴舉報(bào)受理流程,；

（七）是否合理制定個(gè)人信息處理操作權(quán)限,；

（八）是否制定實(shí)施個(gè)人信息保護(hù)安全教育和培訓(xùn)計(jì)劃；

（九）是否建立個(gè)人信息保護(hù)負(fù)責(zé)人及相關(guān)人員履職評價(jià)制度,；

（十）是否建立個(gè)人信息違法處理責(zé)任制度,；

（十一）法律,、行政法規(guī)規(guī)定的其他事項(xiàng),。

二十、個(gè)人信息處理者應(yīng)當(dāng)采取與所處理個(gè)人信息規(guī)模,、類型相適應(yīng)的安全技術(shù)措施,，并對個(gè)人信息處理者采取的技術(shù)措施的有效性進(jìn)行評價(jià)，評價(jià)內(nèi)容包括但不限于：

（一）是否采取相應(yīng)安全技術(shù)措施實(shí)現(xiàn)個(gè)人信息的保密性,、完整性,、可用性；

（二）是否采取加密,、去標(biāo)識化等安全技術(shù)措施,，確保在不借助額外信息的情況下,，消除或者降低個(gè)人信息的可識別性；

（三）采取的安全技術(shù)措施能否合理確定有關(guān)人員查閱,、復(fù)制,、傳輸個(gè)人信息等的操作權(quán)限，減少個(gè)人信息在處理過程中未經(jīng)授權(quán)的訪問和濫用風(fēng)險(xiǎn),。

二十一,、對個(gè)人信息處理者教育培訓(xùn)計(jì)劃的制定和實(shí)施情況進(jìn)行合規(guī)審計(jì)時(shí)，應(yīng)當(dāng)重點(diǎn)對下列事項(xiàng)進(jìn)行評價(jià)：

（一）是否按計(jì)劃對管理人員,、技術(shù)人員,、操作人員、全員開展相應(yīng)的安全教育和培訓(xùn),，是否對相應(yīng)人員的個(gè)人信息保護(hù)意識和技能進(jìn)行考核,；

（二）培訓(xùn)內(nèi)容、方式,、對象,、頻率等能否滿足個(gè)人信息保護(hù)需要。

二十二,、對個(gè)人信息處理者指定的個(gè)人信息保護(hù)負(fù)責(zé)人履職情況進(jìn)行合規(guī)審計(jì)的,，應(yīng)當(dāng)重點(diǎn)審查下列事項(xiàng)：

（一）個(gè)人信息保護(hù)負(fù)責(zé)人是否具有相關(guān)的工作經(jīng)歷和專業(yè)知識，熟悉個(gè)人信息保護(hù)相關(guān)法律,、行政法規(guī),；

（二）個(gè)人信息保護(hù)負(fù)責(zé)人是否具有明確清晰的職責(zé)，是否被賦予充分的權(quán)限協(xié)調(diào)個(gè)人信息處理者內(nèi)部相關(guān)部門與人員,；

（三）個(gè)人信息保護(hù)負(fù)責(zé)人在個(gè)人信息處理重大事項(xiàng)決策前是否有權(quán)提出相關(guān)意見和建議,；

（四）個(gè)人信息保護(hù)負(fù)責(zé)人是否有權(quán)對個(gè)人信息處理者內(nèi)部個(gè)人信息處理的不合規(guī)操作進(jìn)行制止和采取必要的糾正措施；

（五）個(gè)人信息處理者是否公開個(gè)人信息保護(hù)負(fù)責(zé)人的聯(lián)系方式,，并將個(gè)人信息保護(hù)負(fù)責(zé)人的姓名,、聯(lián)系方式等報(bào)送保護(hù)部門。

二十三,、對個(gè)人信息處理者開展個(gè)人信息保護(hù)影響評估情況進(jìn)行合規(guī)審計(jì)時(shí),，應(yīng)當(dāng)重點(diǎn)對影響評估開展情況和評估內(nèi)容進(jìn)行審查：

（一）是否依照法律、行政法規(guī)的規(guī)定,，在進(jìn)行對個(gè)人權(quán)益具有重大影響的個(gè)人信息處理活動(dòng)前進(jìn)行個(gè)人信息保護(hù)影響評估,；

（二）是否對個(gè)人信息的處理目的、處理方式等進(jìn)行合法,、正當(dāng),、必要評估；

（三）是否對個(gè)人權(quán)益的影響及安全風(fēng)險(xiǎn)進(jìn)行評估,；

（四）是否對所采取的保護(hù)措施的合法性,、有效性,，以及與風(fēng)險(xiǎn)程度的適應(yīng)性進(jìn)行評估。

二十四,、個(gè)人信息處理者應(yīng)當(dāng)制定個(gè)人信息安全事件應(yīng)急預(yù)案,。合規(guī)審計(jì)時(shí)，應(yīng)當(dāng)對應(yīng)急預(yù)案的全面性,、有效性,、可執(zhí)行性作出評價(jià)，包括但不限于下列內(nèi)容：

（一）是否結(jié)合業(yè)務(wù)實(shí)際,，對面臨的個(gè)人信息安全風(fēng)險(xiǎn)作出系統(tǒng)評估和預(yù)測,；

（二）總體要求、基本策略,，組織機(jī)構(gòu),、人員，技術(shù),、物資保障,，指揮處置程序，應(yīng)急和支持措施等是否足以應(yīng)對預(yù)測的風(fēng)險(xiǎn),；

（三）是否對相關(guān)人員進(jìn)行應(yīng)急預(yù)案培訓(xùn),，定期對應(yīng)急預(yù)案進(jìn)行演練。

二十五,、對個(gè)人信息處理者個(gè)人信息安全事件應(yīng)急響應(yīng)處置情況進(jìn)行合規(guī)審計(jì)的,，應(yīng)當(dāng)重點(diǎn)審查下列事項(xiàng)：

（一）是否按照應(yīng)急預(yù)案、操作規(guī)程及時(shí)查明個(gè)人信息安全事件的影響,、范圍和可能造成的危害,，分析、確定事件發(fā)生的原因,，提出防止危害擴(kuò)大的措施方案,；

（二）是否建立通報(bào)渠道，在安全事件發(fā)生后按照相關(guān)規(guī)定及時(shí)通知保護(hù)部門和個(gè)人,；

（三）是否采取相應(yīng)措施將個(gè)人信息安全事件可能造成的損失和可能產(chǎn)生的危害風(fēng)險(xiǎn)降低到最小,。

二十六、對提供重要互聯(lián)網(wǎng)平臺服務(wù),、用戶數(shù)量巨大,、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者制定的平臺規(guī)則進(jìn)行合規(guī)審計(jì)的,，應(yīng)當(dāng)重點(diǎn)審查下列事項(xiàng)：

（一）平臺規(guī)則是否與法律,、行政法規(guī)相抵觸；

（二）平臺規(guī)則個(gè)人信息保護(hù)條款的有效性,，是否合理界定了平臺,、平臺內(nèi)產(chǎn)品或者服務(wù)提供者的個(gè)人信息保護(hù)權(quán)利和義務(wù),；

（三）平臺規(guī)則的執(zhí)行情況，是否通過抽樣等方式驗(yàn)證平臺規(guī)則被有效執(zhí)行,。

二十七,、對提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大,、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者發(fā)布的個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告進(jìn)行合規(guī)審計(jì)的,，應(yīng)當(dāng)重點(diǎn)審查社會(huì)責(zé)任報(bào)告披露下列內(nèi)容的情況：

（一）個(gè)人信息保護(hù)組織架構(gòu)和內(nèi)部管理情況；

（二）個(gè)人信息保護(hù)能力建設(shè)情況,；

（三）個(gè)人信息保護(hù)措施和成效,；

（四）個(gè)人行使權(quán)利的申請受理情況；

（五）獨(dú)立監(jiān)督機(jī)構(gòu)履職情況,；

（六）重大個(gè)人信息安全事件處理情況,；

（七）促進(jìn)個(gè)人信息保護(hù)社會(huì)共治的科普宣傳、公益活動(dòng)情況,；

（八）法律,、行政法規(guī)規(guī)定的其他事項(xiàng)。

（免責(zé)聲明：如轉(zhuǎn)載稿件涉及版權(quán)等問題,，請與涪陵網(wǎng)聯(lián)系刪除,。）