2023-08-03 稿源：站長之家

站長之家（ChinaZ.com）8月3日 消息:8月3日，國家網(wǎng)信辦就《個人信息保護(hù)合規(guī)審計管理辦法（征求意見稿）》公開征求意見，意見反饋截止時間為2023年9月2日。

其中提出，處理超過100萬人個人信息的個人信息處理者，應(yīng)當(dāng)每年至少開展一次個人信息保護(hù)合規(guī)審計;其他個人信息處理者應(yīng)當(dāng)每二年至少開展一次個人信息保護(hù)合規(guī)審計。

個人信息保護(hù)合規(guī)審計應(yīng)當(dāng)首先審查個人信息處理活動的合法性基礎(chǔ)條件，重點(diǎn)審查的事項包括:處理個人信息是否取得個人同意，該同意是否在個人信息主體充分知情的前提下自愿、明確作出;基于個人同意處理個人信息，個人信息的處理目的、處理方式和處理的個人信息種類發(fā)生變更的，是否重新取得個人同意;基于個人同意處理個人信息，是否為個人提供便捷的撤回同意的方式等。

以下為《個人信息保護(hù)合規(guī)審計管理辦法（征求意見稿）》全文:

第一條為指導(dǎo)、規(guī)范個人信息保護(hù)合規(guī)審計活動，提高個人信息處理活動合規(guī)水平，保護(hù)個人信息權(quán)益，根據(jù)《中華人民共和國個人信息保護(hù)法》等法律、行政法規(guī)和國家有關(guān)規(guī)定，制定本辦法。

第二條個人信息處理者定期開展個人信息保護(hù)合規(guī)審計，或者按照履行個人信息保護(hù)職責(zé)的部門要求委托專業(yè)機(jī)構(gòu)對其個人信息處理活動進(jìn)行合規(guī)審計，以及對個人信息保護(hù)合規(guī)審計活動的監(jiān)督管理適用本辦法。

第三條本辦法所稱個人信息保護(hù)合規(guī)審計，是指對個人信息處理者的個人信息處理活動是否遵守法律、行政法規(guī)的情況進(jìn)行審查和評價的監(jiān)督活動。

第四條處理超過100萬人個人信息的個人信息處理者，應(yīng)當(dāng)每年至少開展一次個人信息保護(hù)合規(guī)審計;其他個人信息處理者應(yīng)當(dāng)每二年至少開展一次個人信息保護(hù)合規(guī)審計。

第五條個人信息處理者自行開展個人信息保護(hù)合規(guī)審計，可根據(jù)實(shí)際情況，由本組織內(nèi)部機(jī)構(gòu)或者委托專業(yè)機(jī)構(gòu)按照本辦法要求開展。

第六條履行個人信息保護(hù)職責(zé)的部門在履行職責(zé)中，發(fā)現(xiàn)個人信息處理活動存在較大風(fēng)險或者發(fā)生個人信息安全事件的，可以要求個人信息處理者委托專業(yè)機(jī)構(gòu)對其個人信息處理活動進(jìn)行合規(guī)審計。

第七條個人信息處理者按照履行個人信息保護(hù)職責(zé)的部門要求開展個人信息保護(hù)合規(guī)審計的，應(yīng)當(dāng)在收到通知后盡快按照要求選定專業(yè)機(jī)構(gòu)進(jìn)行個人信息保護(hù)合規(guī)審計。

第八條個人信息處理者按照履行個人信息保護(hù)職責(zé)的部門要求委托專業(yè)機(jī)構(gòu)開展個人信息保護(hù)合規(guī)審計的，應(yīng)當(dāng)保證專業(yè)機(jī)構(gòu)能夠正常行使下列權(quán)限:

（一）要求提供或者協(xié)助查閱相關(guān)文件或資料;

（二）進(jìn)入個人信息處理活動相關(guān)場所;

（三）觀察場所內(nèi)發(fā)生的個人信息處理活動;

（四）調(diào)查相關(guān)業(yè)務(wù)活動及所依賴的信息系統(tǒng);

（五）檢查、測試個人信息處理活動相關(guān)設(shè)備設(shè)施;

（六）調(diào)取、查閱個人信息處理活動相關(guān)數(shù)據(jù)或信息;

（七）訪談與個人信息處理活動有關(guān)的人員;

（八）就相關(guān)問題進(jìn)行調(diào)查、質(zhì)詢和取證;

（九）其他開展合規(guī)審計工作所必需的權(quán)限。

第九條個人信息處理者按照履行個人信息保護(hù)職責(zé)部門要求委托專業(yè)機(jī)構(gòu)開展個人信息保護(hù)合規(guī)審計的，應(yīng)當(dāng)在90個工作日內(nèi)完成個人信息保護(hù)合規(guī)審計;情況復(fù)雜的，報經(jīng)履行個人信息保護(hù)職責(zé)的部門批準(zhǔn)后可適當(dāng)延長。

第十條個人信息處理者按照履行個人信息保護(hù)職責(zé)部門要求委托專業(yè)機(jī)構(gòu)開展個人信息保護(hù)合規(guī)審計的，應(yīng)當(dāng)按照本辦法要求組織實(shí)施個人信息保護(hù)合規(guī)審計，在實(shí)施必要合規(guī)審計程序后，及時將專業(yè)機(jī)構(gòu)出具的個人信息保護(hù)合規(guī)審計報告報送履行個人信息保護(hù)職責(zé)的部門。個人信息保護(hù)合規(guī)審計報告應(yīng)當(dāng)由合規(guī)審計負(fù)責(zé)人、專業(yè)機(jī)構(gòu)負(fù)責(zé)人簽字并加蓋專業(yè)機(jī)構(gòu)公章。

第十一條個人信息處理者按照履行個人信息保護(hù)職責(zé)的部門要求委托專業(yè)機(jī)構(gòu)開展個人信息保護(hù)合規(guī)審計的，應(yīng)當(dāng)按照專業(yè)機(jī)構(gòu)給出的整改建議進(jìn)行整改，經(jīng)專業(yè)機(jī)構(gòu)復(fù)核后將整改情況報送履行個人信息保護(hù)職責(zé)的部門。

第十二條執(zhí)行個人信息保護(hù)合規(guī)審計的專業(yè)機(jī)構(gòu)應(yīng)當(dāng)保持獨(dú)立性和客觀性，連續(xù)為同一審計對象開展個人信息保護(hù)合規(guī)審計不得超過三次。

第十三條國家網(wǎng)信部門會同公安機(jī)關(guān)等國務(wù)院有關(guān)部門按照統(tǒng)籌規(guī)劃、合理布局、擇優(yōu)推薦的原則建立個人信息保護(hù)合規(guī)審計專業(yè)機(jī)構(gòu)推薦目錄，每年組織開展個人信息保護(hù)合規(guī)審計專業(yè)機(jī)構(gòu)評估評價，并根據(jù)評估評價情況動態(tài)調(diào)整個人信息保護(hù)合規(guī)審計專業(yè)機(jī)構(gòu)推薦目錄。

鼓勵個人信息處理者優(yōu)先選擇推薦目錄中的專業(yè)機(jī)構(gòu)開展個人信息保護(hù)合規(guī)審計活動。

第十四條專業(yè)機(jī)構(gòu)在從事個人信息保護(hù)合規(guī)審計活動時，應(yīng)當(dāng)誠信正直，公正客觀地作出合規(guī)審計職業(yè)判斷。

專業(yè)機(jī)構(gòu)不得轉(zhuǎn)包委托第三方開展個人信息保護(hù)合規(guī)審計。

專業(yè)機(jī)構(gòu)在履行個人信息保護(hù)合規(guī)審計職責(zé)中獲得的信息，只能用于個人信息保護(hù)合規(guī)審計的需要，不得用于其他用途;專業(yè)機(jī)構(gòu)應(yīng)當(dāng)對獲得的信息承擔(dān)保密責(zé)任;專業(yè)機(jī)構(gòu)應(yīng)當(dāng)采取相應(yīng)技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全。

專業(yè)機(jī)構(gòu)在履行個人信息保護(hù)合規(guī)審計職責(zé)時不得惡意干擾個人信息處理者的正常經(jīng)營活動。

專業(yè)機(jī)構(gòu)有出具虛假、失實(shí)報告等違規(guī)行為的，個人信息處理者及相關(guān)方可向履行個人信息保護(hù)職責(zé)的部門進(jìn)行投訴，經(jīng)履行個人信息保護(hù)職責(zé)的部門核實(shí)的，永久禁止列入個人信息保護(hù)合規(guī)審計專業(yè)機(jī)構(gòu)推薦目錄。

第十五條違反本辦法規(guī)定的，依據(jù)《中華人民共和國個人信息保護(hù)法》等法律法規(guī)處理;構(gòu)成犯罪的，依法追究刑事責(zé)任。

第十六條本辦法由國家互聯(lián)網(wǎng)信息辦公室負(fù)責(zé)解釋，自年 月 日起施行。