2023-08-03 稿源：站長之家

站長之家（ChinaZ.com）8月3日 消息:8月3日，國家網信辦就《個人信息保護合規審計管理辦法（征求意見稿）》公開征求意見，意見反饋截止時間為2023年9月2日。

其中提出，處理超過100萬人個人信息的個人信息處理者，應當每年至少開展一次個人信息保護合規審計;其他個人信息處理者應當每二年至少開展一次個人信息保護合規審計。

個人信息保護合規審計應當首先審查個人信息處理活動的合法性基礎條件，重點審查的事項包括:處理個人信息是否取得個人同意，該同意是否在個人信息主體充分知情的前提下自愿、明確作出;基于個人同意處理個人信息，個人信息的處理目的、處理方式和處理的個人信息種類發生變更的，是否重新取得個人同意;基于個人同意處理個人信息，是否為個人提供便捷的撤回同意的方式等。

以下為《個人信息保護合規審計管理辦法（征求意見稿）》全文:

第一條為指導、規范個人信息保護合規審計活動，提高個人信息處理活動合規水平，保護個人信息權益，根據《中華人民共和國個人信息保護法》等法律、行政法規和國家有關規定，制定本辦法。

第二條個人信息處理者定期開展個人信息保護合規審計，或者按照履行個人信息保護職責的部門要求委托專業機構對其個人信息處理活動進行合規審計，以及對個人信息保護合規審計活動的監督管理適用本辦法。

第三條本辦法所稱個人信息保護合規審計，是指對個人信息處理者的個人信息處理活動是否遵守法律、行政法規的情況進行審查和評價的監督活動。

第四條處理超過100萬人個人信息的個人信息處理者，應當每年至少開展一次個人信息保護合規審計;其他個人信息處理者應當每二年至少開展一次個人信息保護合規審計。

第五條個人信息處理者自行開展個人信息保護合規審計，可根據實際情況，由本組織內部機構或者委托專業機構按照本辦法要求開展。

第六條履行個人信息保護職責的部門在履行職責中，發現個人信息處理活動存在較大風險或者發生個人信息安全事件的，可以要求個人信息處理者委托專業機構對其個人信息處理活動進行合規審計。

第七條個人信息處理者按照履行個人信息保護職責的部門要求開展個人信息保護合規審計的，應當在收到通知后盡快按照要求選定專業機構進行個人信息保護合規審計。

第八條個人信息處理者按照履行個人信息保護職責的部門要求委托專業機構開展個人信息保護合規審計的，應當保證專業機構能夠正常行使下列權限:

（一）要求提供或者協助查閱相關文件或資料;

（二）進入個人信息處理活動相關場所;

（三）觀察場所內發生的個人信息處理活動;

（四）調查相關業務活動及所依賴的信息系統;

（五）檢查、測試個人信息處理活動相關設備設施;

（六）調取、查閱個人信息處理活動相關數據或信息;

（七）訪談與個人信息處理活動有關的人員;

（八）就相關問題進行調查、質詢和取證;

（九）其他開展合規審計工作所必需的權限。

第九條個人信息處理者按照履行個人信息保護職責部門要求委托專業機構開展個人信息保護合規審計的，應當在90個工作日內完成個人信息保護合規審計;情況復雜的，報經履行個人信息保護職責的部門批準后可適當延長。

第十條個人信息處理者按照履行個人信息保護職責部門要求委托專業機構開展個人信息保護合規審計的，應當按照本辦法要求組織實施個人信息保護合規審計，在實施必要合規審計程序后，及時將專業機構出具的個人信息保護合規審計報告報送履行個人信息保護職責的部門。個人信息保護合規審計報告應當由合規審計負責人、專業機構負責人簽字并加蓋專業機構公章。

第十一條個人信息處理者按照履行個人信息保護職責的部門要求委托專業機構開展個人信息保護合規審計的，應當按照專業機構給出的整改建議進行整改，經專業機構復核后將整改情況報送履行個人信息保護職責的部門。

第十二條執行個人信息保護合規審計的專業機構應當保持獨立性和客觀性，連續為同一審計對象開展個人信息保護合規審計不得超過三次。

第十三條國家網信部門會同公安機關等國務院有關部門按照統籌規劃、合理布局、擇優推薦的原則建立個人信息保護合規審計專業機構推薦目錄，每年組織開展個人信息保護合規審計專業機構評估評價，并根據評估評價情況動態調整個人信息保護合規審計專業機構推薦目錄。

鼓勵個人信息處理者優先選擇推薦目錄中的專業機構開展個人信息保護合規審計活動。

第十四條專業機構在從事個人信息保護合規審計活動時，應當誠信正直，公正客觀地作出合規審計職業判斷。

專業機構不得轉包委托第三方開展個人信息保護合規審計。

專業機構在履行個人信息保護合規審計職責中獲得的信息，只能用于個人信息保護合規審計的需要，不得用于其他用途;專業機構應當對獲得的信息承擔保密責任;專業機構應當采取相應技術措施和其他必要措施，保障數據安全。

專業機構在履行個人信息保護合規審計職責時不得惡意干擾個人信息處理者的正常經營活動。

專業機構有出具虛假、失實報告等違規行為的，個人信息處理者及相關方可向履行個人信息保護職責的部門進行投訴，經履行個人信息保護職責的部門核實的，永久禁止列入個人信息保護合規審計專業機構推薦目錄。

第十五條違反本辦法規定的，依據《中華人民共和國個人信息保護法》等法律法規處理;構成犯罪的，依法追究刑事責任。

第十六條本辦法由國家互聯網信息辦公室負責解釋，自年 月 日起施行。