個人信息保護合規審計管理辦法
國家互聯網信息辦公室令 第18號
《個人信息保護合規審計管理辦法》已經2024年5月20日國家互聯網信息辦公室2024年第15次室務會會議審議通過,現予公佈,自2025年5月1日起施行。
國家互聯網信息辦公室主任 莊榮文
2025年2月12日
個人信息保護合規審計管理辦法
第一條 為了規範個人信息保護合規審計活動,保護個人信息權益,根據《中華人民共和國個人信息保護法》、《網絡數據安全管理條例》等法律、行政法規,制定本辦法。
第二條 在中華人民共和國境內開展個人信息保護合規審計,適用本辦法。
本辦法所稱個人信息保護合規審計,是指對個人信息處理者的個人信息處理活動是否遵守法律、行政法規的情況進行審查和評價的監督活動。
第三條 個人信息處理者自行開展個人信息保護合規審計的,應當由個人信息處理者內部機構或者委託專業機構定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。
第四條 處理超過1000萬人個人信息的個人信息處理者,應當每兩年至少開展一次個人信息保護合規審計。
第五條 個人信息處理者有以下情形之一的,國家網信部門和其他履行個人信息保護職責的部門(以下統稱為保護部門),可以要求個人信息處理者委託專業機構對個人信息處理活動進行合規審計:
(一)發現個人信息處理活動存在嚴重影響個人權益或者嚴重缺乏安全措施等較大風險的;
(二)個人信息處理活動可能侵害眾多個人的權益的;
(三)發生個人信息安全事件,導致100萬人以上個人信息或者10萬人以上敏感個人信息洩露、篡改、丟失、毀損的。
對同一個人信息安全事件或者風險,不得重複要求個人信息處理者委託專業機構開展個人信息保護合規審計。
第六條 個人信息處理者自行開展或者按照保護部門要求委託專業機構開展個人信息保護合規審計的,應當參照本辦法附件《個人信息保護合規審計指引》。
第七條 專業機構應當具備開展個人信息保護合規審計的能力,有與服務相適應的審計人員、場所、設施和資金等。
鼓勵相關專業機構通過認證。專業機構的認證按照《中華人民共和國認證認可條例》的有關規定執行。
第八條 個人信息處理者按照保護部門要求開展個人信息保護合規審計的,應當為專業機構正常開展個人信息保護合規審計工作提供必要支持,並承擔審計費用。
第九條 個人信息處理者按照保護部門要求開展個人信息保護合規審計的,應當按照保護部門要求選定專業機構,在限定時間內完成個人信息保護合規審計;情況復雜的,報保護部門批准後,可以適當延長。
第十條 個人信息處理者按照保護部門要求開展個人信息保護合規審計的,在完成合規審計後,應當將專業機構出具的個人信息保護合規審計報告報送保護部門。
個人信息保護合規審計報告應當由專業機構主要負責人、合規審計負責人簽字並加蓋專業機構公章。
第十一條 個人信息處理者按照保護部門要求開展個人信息保護合規審計的,應當按照保護部門要求對合規審計中發現的問題進行整改。在整改完成後15個工作日內,向保護部門報送整改情況報告。
第十二條 處理100万人以上个人信息的个人信息處理者应当指定个人信息保护负责人,负责个人信息處理者的个人信息保护合规审计工作。
提供重要互聯網平台服務、用戶數量巨大、業務類型複雜的個人信息處理者,應當成立主要由外部成員組成的獨立機構對個人信息保護合規審計情況進行監督。
第十三條 專業機構在從事個人信息保護合規審計活動時,應當遵守法律法規,誠信正直,公正客觀地作出合規審計職業判斷,對在履行個人信息保護合規審計職責中獲得的個人信息、商業秘密、保密商務信息等應當依法予以保密,不得洩露或者非法向他人提供,在合規審計工作結束後及時刪除相關信息。
第十四條 專業機構不得轉委託其他機構開展個人信息保護合規審計。
第十五條 同一專業機構及其關聯機構、同一合規審計負責人不得連續三次以上對同一審計對像開展個人信息保護合規審計。
第十六條 保護部門對個人信息處理者開展個人信息保護合規審計情況進行監督檢查。
第十七條 任何組織、個人有權對個人信息保護合規審計中的違法活動向保護部門進行投訴、舉報。收到投訴、舉報的部门应当依法及时处理,並將處理結果告知投訴、舉報人。
第十八條 個人信息處理者、專業機構違反本辦法規定的,依照《中華人民共和國個人信息保護法》、《網絡數據安全管理條例》等法律法規的規定處理;構成犯罪的,依法追究刑事責任。
第十九條 對國家機關和法律、法規授權的具有管理公共事務職能的組織的個人信息保護合規審計,不適用本辦法。
第二十條 本辦法自2025年5月1日起施行。
附件個人信息保護合規審計指引
一、本指引根據《中華人民共和國個人信息保護法》、《網絡數據安全管理條例》等法律、行政法規制定。
二、對個人信息處理活動的合法性基礎進行合規審計的,應當重點審查下列事項:
(一)基於個人同意處理個人信息的,是否取得個人同意,該同意是否由個人在充分知情的前提下自願、明確作出;
(二)基於個人同意處理個人信息的,個人信息的處理目的、處理方式、處理的個人信息種類發生變更的,是否重新取得個人同意;
(三)基於個人同意處理個人信息的,是否依照法律、行政法規取得個人單獨同意或者書面同意;
(四)處理個人信息未取得個人同意的,是否屬於法律、行政法規規定不需要取得個人同意的情形。
三、對個人信息處理規則進行合規審計的,應當重點審查下列事項:
(一)是否真實、準確、完整地告知個人信息處理者的名稱或者姓名和聯繫方式;
(二)是否以清單等便於查看的形式列明所收集的個人信息及其處理方式和種類;
(三)是否與處理目的直接相關,採取對個人權益影響最小的方式;
(四)是否明確個人信息保存期限或者保存期限的確定方法、到期後的處理方式,以及確定保存期限為實現處理目的所必要的最短時間;
(五)是否明確個人查閱、複製、轉移、更正、補充、刪除、限制處理個人信息以及註銷賬號、撤回同意的途徑和方法。
四、對個人信息處理者履行告知個人信息處理規則義務進行合規審計的,應當重點審查下列事項:
(一)個人信息處理者在處理個人信息前,是否以显著方式、清晰易懂的語言真實、準確、完整地向個人告知個人信息處理規則;
(二)告知文本的大小、字體和顏色是否便於個人完整閱讀告知事項;
(三)線下告知是否通過標註、說明等多種方式向個人履行告知義務;
(四)在線告知是否提供文本信息或者通過適當方式向個人履行告知義務;
(五)個人信息處理規則發生變更的,是否將變更內容及時告知個人;
(六)處理個人信息不需要告知的,是否屬於法律、行政法規規定應當保密或者不需要告知的情形。
五、對個人信息處理者與其他個人信息處理者共同處理個人信息進行合規審計的,應當重點審查下列事項:
(一)是否約定各自的權利義務;
(二)個人信息權益保護機制;
(三)個人信息安全事件報告機制;
(四)其他法律、行政法規規定需要約定的權利和義務。
六、對個人信息處理者委託處理個人信息進行合規審計的,應當重點審查下列事項:
(一)個人信息處理者在委託處理個人信息前,是否開展個人信息保護影響評估;
(二)個人信息處理者與受託人簽訂的合同,是否與受託人約定了委託處理的目的、期限、方式、個人信息的種類、保護措施以及雙方的權利義務等;
(三)個人信息處理者是否採取定期檢查等方式,對受託人的個人信息處理活動進行監督。
七、個人信息處理者存在因合併、重組、分立、解散、被宣告破產等原因需要轉移個人信息情形的,應當重點審查個人信息處理者是否向個人告知接收方的名稱或者姓名和聯繫方式。
八、對個人信息處理者向其他個人信息處理者提供其處理的個人信息進行合規審計的,應當重點審查下列事項:
(一)基於個人同意處理個人信息的,是否取得個人的單獨同意;
(二)是否向個人告知接收方的名稱或者姓名、聯繫方式、處理目的、處理方式和個人信息的種類,法律、行政法規規定應當保密或者不需要告知的除外;
(三)是否事前進行個人信息保護影響評估。
九、對個人信息處理者利用自動化決策處理個人信息進行合規審計的,應當重點審查下列事項:
(一)自動化決策的透明度,以及自動化決策的結果是否公平、公正;
(二)是否事前告知個人自動化決策處理個人信息的種類及可能帶來的影響;
(三)是否事前進行個人信息保護影響評估;
(四)是否向用戶提供保障機制,以便個人通過便捷方式拒絕通過自動化決策方式作出對個人權益有重大影響的決定,並要求個人信息處理者就通過自動化決策方式作出對用戶個人權益有重大影響的決定予以說明;
(五)向個人進行信息推送、商業營銷的,是否同時提供不針對個人特徵的選項,或者提供便捷的拒絕自動化決策服務的方式;
(六)是否採取了有效措施,防止自動化決策根據消費者的偏好、交易習慣等對個人在交易條件上實行不合理的差別待遇;
(七)其他可能影響自動化決策的透明度和結果公平、公正的事項。
十、對個人信息處理者基於個人同意公開個人信息進行合規審計的,應當重點審查下列事項:
(一)個人信息處理者公開其處理的個人信息前是否取得個人單獨同意,該授權是否真實、有效,是否存在違背個人意願將個人信息予以公開的情況;
(二)個人信息處理者公開個人信息前,是否進行個人信息保護影響評估。
十一、個人信息處理者在公共場所安裝圖像收集、個人身份識別設備的,應當重點對其安裝圖像收集、個人信息身份識別設備的合法性及所收集個人信息的用途進行審查。審查內容包括但不限於:
(一)是否為維護公共安全所必需,是否為商業目的處理所收集的個人信息;
(二)是否设置了显著的提示标识;
(三)個人信息處理者所收集的個人圖像、身份識別信息用於維護公共安全以外用途的,是否取得個人單獨同意。
十二、對個人信息處理者處理已公開的個人信息進行合規審計的,應當重點審查個人信息處理者是否存在下列違法違規行為:
(一)向已公開個人信息中的電子郵箱、手機號等發送與其公開目的無關的商業信息;
(二)利用已公開的個人信息從事網絡暴力、傳播網絡謠言和虛假信息等活動;
(三)處理個人明確拒絕處理的已公開個人信息;
(四)對個人權益有重大影響,未取得個人同意;
(五)收集、留存或處理已公開個人信息的規模、時間或使用目的超出合理範圍。
十三、對個人信息處理者處理敏感個人信息進行合規審計的,應當重點審查下列事項:
(一)基於個人同意處理個人信息的,處理生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行踪軌蹟等敏感個人信息,是否事前取得個人的單獨同意;
(二)基於個人同意處理個人信息的,處理不滿十四周歲未成年人的個人信息,是否事前取得未成年人的父母或者其他監護人的同意;
(三)處理敏感個人信息的目的、方式、範圍是否合法、正當、必要;
(四)是否在事前進行個人信息保護影響評估;
(五)是否向個人告知處理敏感個人信息的必要性以及對個人權益的影響,法律、行政法規規定應當保密或者不需要告知的除外;
(六)法律、行政法規規定應當取得書面同意的,是否取得書面同意;
(七)是否遵守法律、行政法規對處理敏感個人信息的限制性規定。
十四、對個人信息處理者處理不滿十四周歲未成年人個人信息進行合規審計的,應當重點審查下列事項:
(一)是否制定專門的個人信息處理規則;
(二)是否向未成年人及其監護人告知未成年人個人信息的處理目的、處理方式、處理必要性,以及處理個人信息的種類、所採取的保護措施等,法律、行政法規規定不需要告知的除外;
(三)基於個人同意處理個人信息,是否存在強制要求未成年人或者其監護人同意處理非必要個人信息的行為。
十五、對個人信息處理者向境外提供個人信息進行合規審計的,應當重點審查下列事項:
(一)關鍵信息基礎設施運營者向境外提供個人信息是否經過國家網信部門組織的安全評估,法律、行政法規、國家網信部門另有規定的,從其規定;
(二)關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供100萬人以上個人信息(不含敏感個人信息)或者1萬人以上敏感個人信息是否經過國家網信部門組織的安全評估,法律、行政法規、國家網信部門另有規定的,從其規定;
(三)關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息(不含敏感個人信息)或者不滿1萬人敏感個人信息的,是否按照國家網信部門的規定,經個人信息保護認證或者按照國家網信部門製定的標準合同與境外接收方簽訂合同並向所在地省級網信部門備案,或者符合法律、行政法規、國家網信部門規定的其他條件;
(四)存在向外國司法或者執法機構提供存儲於中華人民共和國境內個人信息情形的,是否經過中華人民共和國主管機關批准;
(五)是否向被列入限製或者禁止個人信息提供清單的組織和個人提供個人信息。
十六、對個人信息刪除權保障情況進行合規審計的,應當重點審查下列事項:
(一)個人信息處理目的是否已實現、無法實現或者為實現處理目的不再必要;
(二)個人信息處理者是否停止提供產品或者服務,或者個人是否已註銷賬號;
(三)保存期限是否已屆滿;
(四)個人是否撤回同意;
(五)個人信息處理者是否違反法律、行政法規或者違反約定處理個人信息;
(六)應當刪除個人信息,但法律、行政法規規定的保存期限未屆滿,或者刪除個人信息從技術上難以實現的,個人信息處理者是否停止除存儲和採取必要的安全措施之外的處理。
十七、對個人信息處理者保障個人在個人信息處理活動中的權利情況進行合規審計的,應當重點審查下列事項:
(一)是否建立便捷的個人行使權利的申請受理機制和處理機制;
(二)是否及時響應個人行使權利的申請,是否及時、完整、準確告知處理意見或者執行結果;
(三)拒絕個人行使權利請求的,是否向個人說明理由。
十八、個人信息處理者應當響應個人申請,對其個人信息處理規則進行解釋說明,合規審計時應當重點對下列內容進行評價:
(一)個人信息處理者是否提供便捷的方式和途徑,接受、處理個人關於個人信息處理規則解釋說明的要求;
(二)接到個人的要求後,個人信息處理者是否在合理的時間內,使用通俗易懂的語言對其個人信息處理規則作出解釋說明。
十九、個人信息處理者應當依照法律、行政法規的規定制定內部管理制度和操作規程,明確組織架構、崗位職責,建立工作流程、完善內控制度,保障個人信息處理合規與安全。合規審計時,應當重點對個人信息處理者個人信息保護內部管理制度和操作規程進行審查,包括但不限於:
(一)個人信息保護工作的方針、目標、原則是否符合法律、行政法規規定;
(二)個人信息保護組織架構、人員配備、行為規範、管理責任是否與應當履行的個人信息保護責任相適應;
(三)是否根據個人信息的種類、來源、敏感程度、用途等,對個人信息進行分類;
(四)是否建立個人信息安全事件應急響應機制;
(五)是否建立個人信息保護影響評估制度、合規審計製度;
(六)是否建立暢通的個人信息保護投訴舉報受理流程;
(七)是否合理制定個人信息處理操作權限;
(八)是否制定實施個人信息保護安全教育和培訓計劃;
(九)是否建立個人信息保護負責人及相關人員履職評價制度;
(十)是否建立個人信息違法處理責任制度;
(十一)法律、行政法規規定的其他事項。
二十、個人信息處理者應當採取與所處理個人信息規模、類型相適應的安全技術措施,並對個人信息處理者採取的技術措施的有效性進行評價,評價內容包括但不限於:
(一)是否採取相應安全技術措施實現個人信息的保密性、完整性、可用性;
(二)是否採取加密、去標識化等安全技術措施,確保在不借助額外信息的情況下,消除或者降低個人信息的可識別性;
(三)採取的安全技術措施能否合理確定有關人員查閱、複製、傳輸個人信息等的操作權限,減少個人信息在處理過程中未經授權的訪問和濫用風險。
二十一、對個人信息處理者教育培訓計劃的製定和實施情況進行合規審計時,應當重點對下列事項進行評價:
(一)是否按計劃對管理人員、技術人員、操作人員、全員開展相應的安全教育和培訓,是否對相應人員的個人信息保護意識和技能進行考核;
(二)培訓內容、方式、對象、頻率等能否滿足個人信息保護需要。
二十二、對個人信息處理者指定的個人信息保護負責人履職情況進行合規審計的,應當重點審查下列事項:
(一)個人信息保護負責人是否具有相關的工作經歷和專業知識,熟悉個人信息保護相關法律、行政法規;
(二)個人信息保護負責人是否具有明確清晰的職責,是否被賦予充分的權限協調個人信息處理者內部相關部門與人員;
(三)個人信息保護負責人在個人信息處理重大事項決策前是否有權提出相關意見和建議;
(四)個人信息保護負責人是否有權對個人信息處理者內部個人信息處理的不合規操作進行製止和採取必要的糾正措施;
(五)個人信息處理者是否公開個人信息保護負責人的聯繫方式,並將個人信息保護負責人的姓名、聯繫方式等報送保護部門。
二十三、對個人信息處理者開展個人信息保護影響評估情況進行合規審計時,應當重點對影響評估開展情況和評估內容進行審查:
(一)是否依照法律、行政法規的規定,在進行對個人權益具有重大影響的個人信息處理活動前進行個人信息保護影響評估;
(二)是否對個人信息的處理目的、處理方式等進行合法、正當、必要評估;
(三)是否對個人權益的影響及安全風險進行評估;
(四)是否對所採取的保護措施的合法性、有效性,以及與風險程度的適應性進行評估。
二十四、個人信息處理者應當制定個人信息安全事件應急預案。合規審計時,應當對應急預案的全面性、有效性、可執行性作出評價,包括但不限於下列內容:
(一)是否結合業務實際,對面臨的個人信息安全風險作出系統評估和預測;
(二)總體要求、基本策略,組織機構、人員,技術、物資保障,指揮處置程序,應急和支持措施等是否足以應對預測的風險;
(三)是否對相關人員進行應急預案培訓,定期對應急預案進行演練。
二十五、對個人信息處理者個人信息安全事件應急響應處置情況進行合規審計的,應當重點審查下列事項:
(一)是否按照應急預案、操作規程及時查明個人信息安全事件的影響、範圍和可能造成的危害,分析、確定事件發生的原因,提出防止危害擴大的措施方案;
(二)是否建立通報渠道,在安全事件發生後按照相關規定及時通知保護部門和個人;
(三)是否採取相應措施將個人信息安全事件可能造成的損失和可能產生的危害風險降低到最小。
二十六、對提供重要互聯網平台服務、用戶數量巨大、業務類型複雜的個人信息處理者制定的平台規則進行合規審計的,應當重點審查下列事項:
(一)平台規則是否與法律、行政法規相抵觸;
(二)平台規則個人信息保護條款的有效性,是否合理界定了平台、平台內產品或者服務提供者的個人信息保護權利和義務;
(三)平台規則的執行情況,是否通過抽樣等方式驗證平台規則被有效執行。
二十七、對提供重要互聯網平台服務、用戶數量巨大、業務類型複雜的個人信息處理者發布的個人信息保護社會責任報告進行合規審計的,應當重點審查社會責任報告披露下列內容的情況:
(一)個人信息保護組織架構和內部管理情況;
(二)個人信息保護能力建設情況;
(三)個人信息保護措施和成效;
(四)個人行使權利的申請受理情況;
(五)獨立監督機構履職情況;
(六)重大個人信息安全事件處理情況;
(七)促進個人信息保護社會共治的科普宣傳、公益活動情況;
(八)法律、行政法規規定的其他事項。
《個人信息保護合規審計管理辦法》答記者問
近日,國家互聯網信息辦公室公佈《個人信息保護合規審計管理辦法》(以下簡稱《辦法》)。國家互聯網信息辦公室有關負責人就《辦法》相關問題回答了記者提問。
問1:請介紹一下《辦法》的出台背景?
答:當前,個人信息被企業、機構甚至個人廣泛收集使用,個人信息保護和個人信息利用的矛盾日益突出。為壓實個人信息處理者個人信息保護主體責任,加強個人信息處理活動風險控制和監督,《中華人民共和國個人信息保護法》《網絡數據安全管理條例》對個人信息處理者開展合規審計作了規定。為有效落實法律法規要求,國家互聯網信息辦公室制定出台《辦法》,對個人信息保護合規審計活動的開展、合規審計機構的選擇、合規審計的頻次、個人信息處理者和專業機構在合規審計中的義務等作出細化規定,旨在為個人信息處理者開展個人信息保護合規審計提供系統性、針對性、可操作性的規範,提升個人信息處理活動合法合規水平,保護個人信息權益。
問2:我國法律法規中對個人信息保護合規審計作了哪些規定?
答:《中華人民共和國個人信息保護法》第五十四條規定,個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。第六十四條規定,履行個人信息保護職責的部門在履行職責中,發現個人信息處理活動存在較大風險或者發生個人信息安全事件的,可以按照規定的權限和程序對該個人信息處理者的法定代表人或者主要負責人進行約談,或者要求個人信息處理者委託專業機構對其個人信息處理活動進行合規審計。《網絡數據安全管理條例》第二十七條規定,網絡數據處理者應當定期自行或者委託專業機構對其處理個人信息遵守法律、行政法規的情況進行合規審計。以上法律法規明確了個人信息保護合規審計的兩種情形:一是個人信息處理者自行開展合規審計。二是按照履行個人信息保護職責的部門要求,委託專業機構開展合規審計。
問3:《辦法》的主要內容是什麼?
答:《辦法》主要對下列內容進行了規定:一是明確個人信息處理者自行開展合規審計和按照履行個人信息保護職責的部門要求委託專業機構開展合規審計的條件,合規審計機構的選擇和合規審計的頻次。二是明確開展合規審計的個人信息處理者應當履行的義務,規定個人信息處理者按照履行個人信息保護職責的部門要求開展合規審計的,應當為專業機構正常開展合規審計工作提供必要支持並承擔審計費用,在限定時間內完成合規審計,報送合規審計報告並進行整改。三是明確專業機構在合規審計中的義務,規定專業機構應當具備開展合規審計的能力,遵守法律法規,明確同一專業機構及其關聯機構、同一合規審計負責人不得連續三次以上對同一審計對像開展個人信息保護合規審計。四是明確履行個人信息保護職責的部門對個人信息處理者開展合規審計情況進行監督檢查,任何組織、個人有權對合規審計中的違法活動向履行個人信息保護職責的部門進行投訴、舉報,並規定個人信息處理者、專業機構違反《辦法》規定的法律責任。
問4:個人信息處理者在什麼情況下需要開展個人信息保護合規審計?
答:個人信息處理者開展個人信息保護合規審計分兩種情形:一是自行開展合規審計,即個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。處理超過1000萬人個人信息的個人信息處理者,應當每兩年至少開展一次個人信息保護合規審計。其他個人信息處理者根據自身情況合理確定定期開展個人信息保護合規審計的頻次。二是按照要求開展合規審計,即履行個人信息保護職責的部門在履行職責中,發現個人信息處理活動存在較大風險、可能侵害眾多個人的權益或者發生個人信息安全事件的,可以要求個人信息處理者委託專業機構對其個人信息處理活動進行合規審計。
問5:個人信息處理者如何選擇合規審計機構?
答:個人信息處理者自行開展合規審計時,可以選擇由內部機構自行開展,也可以委託專業機構開展。《辦法》對採取何種審計方式、是否選擇專業機構,以及選擇哪家專業機構沒有強制性要求。個人信息處理活動存在較大風險、可能侵害眾多個人的權益或者發生個人信息安全事件時,履行個人信息保護職責的部門可以要求個人信息處理者委託專業機構開展個人信息保護合規審計。
問6:《辦法》對專業機構提出了哪些要求?
答:專業機構接受個人信息處理者委託開展合規審計,應當公正客觀地作出合規審計結論,提出合規審計建議,其出具的合規審計報告是履行個人信息保護職責的部門開展監督管理工作的重要參考。《辦法》對專業機構提出以下要求:一是應當具備開展個人信息保護合規審計的能力,有與服務相適應的審計人員、場所、設施和資金等。二是應當遵守法律法規,誠信正直,公正客觀地作出合規審計職業判斷,對在履行個人信息保護合規審計職責中獲得的個人信息、商業秘密、保密商務信息等依法予以保密,不得洩露或者非法向他人提供,在合規審計工作結束後及時刪除相關信息。三是不得轉委託其他機構開展個人信息保護合規審計。四是同一專業機構及其關聯機構、同一合規審計負責人不得連續三次以上對同一審計對像開展個人信息保護合規審計。
問7:《辦法》如何對專業機構進行管理?
答:《辦法》遵循自願性、市場化的原則,通過認證認可方式對專業機構進行監督管理。專業機構的認證按照《中華人民共和國認證認可條例》的有關規定執行。具備開展個人信息保護合規審計能力,有與服務相適應的審計人員、場所、設施和資金的專業機構,可以自願申請相關服務能力認證。
問8:個人信息處理者按照履行個人信息保護職責的部門要求開展個人信息保護合規審計時,應當履行哪些義務?
答:《辦法》對個人信息處理者按照履行個人信息保護職責的部門要求開展個人信息保護合規審計提出以下要求:一是保障合規審計正常進行,為專業機構正常開展個人信息保護合規審計工作提供必要支持,並承擔審計費用。二是按照履行個人信息保護職責的部門要求選定專業機構,在限定時間內完成個人信息保護合規審計,情況復雜的,報履行個人信息保護職責的部門批准後,可以適當延長。三是報送合規審計報告並進行整改,個人信息處理者在完成合規審計後,應當將專業機構出具的個人信息保護合規審計報告報送履行個人信息保護職責的部門,按照履行個人信息保護職責的部門要求對合規審計中發現的問題進行整改,在整改完成後15個工作日內,向履行個人信息保護職責的部門報送整改情況報告。
問9:個人信息處理者開展個人信息保護合規審計如何適用《個人信息保護合規審計指引》?
答:《個人信息保護合規審計指引》對個人信息保護相關法律、行政法規的關鍵要點作了梳理,從合規審計的角度進行了細化,便於個人信息處理者對個人信息處理活動是否遵守法律、行政法規要求進行審查和評價。個人信息處理者自行開展或者按照履行個人信息保護職責的部門要求委託專業機構開展個人信息保護合規審計,應當參照《個人信息保護合規審計指引》。
本文轉自“網信中國”微信公眾號;FOREXBNB編輯:陳筱亦。
