2023-08-03 稿源：站長(zhǎng)之家

站長(zhǎng)之家（ChinaZ.com）8月3日 消息:8月3日，國(guó)家網(wǎng)信辦就《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法（征求意見(jiàn)稿）》公開(kāi)征求意見(jiàn)，意見(jiàn)反饋截止時(shí)間為2023年9月2日。

其中提出，處理超過(guò)100萬(wàn)人個(gè)人信息的個(gè)人信息處理者，應(yīng)當(dāng)每年至少開(kāi)展一次個(gè)人信息保護(hù)合規(guī)審計(jì);其他個(gè)人信息處理者應(yīng)當(dāng)每二年至少開(kāi)展一次個(gè)人信息保護(hù)合規(guī)審計(jì)。

個(gè)人信息保護(hù)合規(guī)審計(jì)應(yīng)當(dāng)首先審查個(gè)人信息處理活動(dòng)的合法性基礎(chǔ)條件，重點(diǎn)審查的事項(xiàng)包括:處理個(gè)人信息是否取得個(gè)人同意，該同意是否在個(gè)人信息主體充分知情的前提下自愿、明確作出;基于個(gè)人同意處理個(gè)人信息，個(gè)人信息的處理目的、處理方式和處理的個(gè)人信息種類發(fā)生變更的，是否重新取得個(gè)人同意;基于個(gè)人同意處理個(gè)人信息，是否為個(gè)人提供便捷的撤回同意的方式等。

以下為《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法（征求意見(jiàn)稿）》全文:

第一條為指導(dǎo)、規(guī)范個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng)，提高個(gè)人信息處理活動(dòng)合規(guī)水平，保護(hù)個(gè)人信息權(quán)益，根據(jù)《中華人民共和國(guó)個(gè)人信息保護(hù)法》等法律、行政法規(guī)和國(guó)家有關(guān)規(guī)定，制定本辦法。

第二條個(gè)人信息處理者定期開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)，或者按照履行個(gè)人信息保護(hù)職責(zé)的部門(mén)要求委托專業(yè)機(jī)構(gòu)對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)，以及對(duì)個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng)的監(jiān)督管理適用本辦法。

第三條本辦法所稱個(gè)人信息保護(hù)合規(guī)審計(jì)，是指對(duì)個(gè)人信息處理者的個(gè)人信息處理活動(dòng)是否遵守法律、行政法規(guī)的情況進(jìn)行審查和評(píng)價(jià)的監(jiān)督活動(dòng)。

第四條處理超過(guò)100萬(wàn)人個(gè)人信息的個(gè)人信息處理者，應(yīng)當(dāng)每年至少開(kāi)展一次個(gè)人信息保護(hù)合規(guī)審計(jì);其他個(gè)人信息處理者應(yīng)當(dāng)每二年至少開(kāi)展一次個(gè)人信息保護(hù)合規(guī)審計(jì)。

第五條個(gè)人信息處理者自行開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)，可根據(jù)實(shí)際情況，由本組織內(nèi)部機(jī)構(gòu)或者委托專業(yè)機(jī)構(gòu)按照本辦法要求開(kāi)展。

第六條履行個(gè)人信息保護(hù)職責(zé)的部門(mén)在履行職責(zé)中，發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件的，可以要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)。

第七條個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)的部門(mén)要求開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)的，應(yīng)當(dāng)在收到通知后盡快按照要求選定專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)合規(guī)審計(jì)。

第八條個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)的部門(mén)要求委托專業(yè)機(jī)構(gòu)開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)的，應(yīng)當(dāng)保證專業(yè)機(jī)構(gòu)能夠正常行使下列權(quán)限:

（一）要求提供或者協(xié)助查閱相關(guān)文件或資料;

（二）進(jìn)入個(gè)人信息處理活動(dòng)相關(guān)場(chǎng)所;

（三）觀察場(chǎng)所內(nèi)發(fā)生的個(gè)人信息處理活動(dòng);

（四）調(diào)查相關(guān)業(yè)務(wù)活動(dòng)及所依賴的信息系統(tǒng);

（五）檢查、測(cè)試個(gè)人信息處理活動(dòng)相關(guān)設(shè)備設(shè)施;

（六）調(diào)取、查閱個(gè)人信息處理活動(dòng)相關(guān)數(shù)據(jù)或信息;

（七）訪談與個(gè)人信息處理活動(dòng)有關(guān)的人員;

（八）就相關(guān)問(wèn)題進(jìn)行調(diào)查、質(zhì)詢和取證;

（九）其他開(kāi)展合規(guī)審計(jì)工作所必需的權(quán)限。

第九條個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)部門(mén)要求委托專業(yè)機(jī)構(gòu)開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)的，應(yīng)當(dāng)在90個(gè)工作日內(nèi)完成個(gè)人信息保護(hù)合規(guī)審計(jì);情況復(fù)雜的，報(bào)經(jīng)履行個(gè)人信息保護(hù)職責(zé)的部門(mén)批準(zhǔn)后可適當(dāng)延長(zhǎng)。

第十條個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)部門(mén)要求委托專業(yè)機(jī)構(gòu)開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)的，應(yīng)當(dāng)按照本辦法要求組織實(shí)施個(gè)人信息保護(hù)合規(guī)審計(jì)，在實(shí)施必要合規(guī)審計(jì)程序后，及時(shí)將專業(yè)機(jī)構(gòu)出具的個(gè)人信息保護(hù)合規(guī)審計(jì)報(bào)告報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門(mén)。個(gè)人信息保護(hù)合規(guī)審計(jì)報(bào)告應(yīng)當(dāng)由合規(guī)審計(jì)負(fù)責(zé)人、專業(yè)機(jī)構(gòu)負(fù)責(zé)人簽字并加蓋專業(yè)機(jī)構(gòu)公章。

第十一條個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)的部門(mén)要求委托專業(yè)機(jī)構(gòu)開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)的，應(yīng)當(dāng)按照專業(yè)機(jī)構(gòu)給出的整改建議進(jìn)行整改，經(jīng)專業(yè)機(jī)構(gòu)復(fù)核后將整改情況報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門(mén)。

第十二條執(zhí)行個(gè)人信息保護(hù)合規(guī)審計(jì)的專業(yè)機(jī)構(gòu)應(yīng)當(dāng)保持獨(dú)立性和客觀性，連續(xù)為同一審計(jì)對(duì)象開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)不得超過(guò)三次。

第十三條國(guó)家網(wǎng)信部門(mén)會(huì)同公安機(jī)關(guān)等國(guó)務(wù)院有關(guān)部門(mén)按照統(tǒng)籌規(guī)劃、合理布局、擇優(yōu)推薦的原則建立個(gè)人信息保護(hù)合規(guī)審計(jì)專業(yè)機(jī)構(gòu)推薦目錄，每年組織開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)專業(yè)機(jī)構(gòu)評(píng)估評(píng)價(jià)，并根據(jù)評(píng)估評(píng)價(jià)情況動(dòng)態(tài)調(diào)整個(gè)人信息保護(hù)合規(guī)審計(jì)專業(yè)機(jī)構(gòu)推薦目錄。

鼓勵(lì)個(gè)人信息處理者優(yōu)先選擇推薦目錄中的專業(yè)機(jī)構(gòu)開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng)。

第十四條專業(yè)機(jī)構(gòu)在從事個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng)時(shí)，應(yīng)當(dāng)誠(chéng)信正直，公正客觀地作出合規(guī)審計(jì)職業(yè)判斷。

專業(yè)機(jī)構(gòu)不得轉(zhuǎn)包委托第三方開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)。

專業(yè)機(jī)構(gòu)在履行個(gè)人信息保護(hù)合規(guī)審計(jì)職責(zé)中獲得的信息，只能用于個(gè)人信息保護(hù)合規(guī)審計(jì)的需要，不得用于其他用途;專業(yè)機(jī)構(gòu)應(yīng)當(dāng)對(duì)獲得的信息承擔(dān)保密責(zé)任;專業(yè)機(jī)構(gòu)應(yīng)當(dāng)采取相應(yīng)技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全。

專業(yè)機(jī)構(gòu)在履行個(gè)人信息保護(hù)合規(guī)審計(jì)職責(zé)時(shí)不得惡意干擾個(gè)人信息處理者的正常經(jīng)營(yíng)活動(dòng)。

專業(yè)機(jī)構(gòu)有出具虛假、失實(shí)報(bào)告等違規(guī)行為的，個(gè)人信息處理者及相關(guān)方可向履行個(gè)人信息保護(hù)職責(zé)的部門(mén)進(jìn)行投訴，經(jīng)履行個(gè)人信息保護(hù)職責(zé)的部門(mén)核實(shí)的，永久禁止列入個(gè)人信息保護(hù)合規(guī)審計(jì)專業(yè)機(jī)構(gòu)推薦目錄。

第十五條違反本辦法規(guī)定的，依據(jù)《中華人民共和國(guó)個(gè)人信息保護(hù)法》等法律法規(guī)處理;構(gòu)成犯罪的，依法追究刑事責(zé)任。

第十六條本辦法由國(guó)家互聯(lián)網(wǎng)信息辦公室負(fù)責(zé)解釋，自年 月 日起施行。