近日,國家網際網路資訊辦公室公佈《個人資訊保護合規審計管理辦法》(以下簡稱《辦法》),自2025年5月1日起施行。
國家網際網路資訊辦公室有關負責人表示,《中華人民共和國個人資訊保護法》《網路資料安全管理條例》對個人資訊處理者開展個人資訊保護合規審計作了規定,《辦法》對合規審計活動的開展、合規審計機構的選擇、合規審計的頻次、個人資訊處理者和專業機構在合規審計中的義務等作出細化規定,旨在為個人資訊處理者開展個人資訊保護合規審計提供系統性、針對性、可操作性的規範,提升個人資訊處理活動合法合規水平,保護個人資訊權益。
《辦法》明確了個人資訊處理者開展合規審計的兩種情形。一是個人資訊處理者自行開展合規審計的,應當由個人資訊處理者內部機構或者委託專業機構定期對其處理個人資訊遵守法律、行政法規的情況進行合規審計。處理超過1000萬人個人資訊的個人資訊處理者,應當每兩年至少開展一次個人資訊保護合規審計。二是履行個人資訊保護職責的部門發現個人資訊處理活動存在較大風險、可能侵害眾多個人的權益或者發生個人資訊安全事件的,可以要求個人資訊處理者委託專業機構對個人資訊處理活動進行合規審計。
《辦法》明確了開展合規審計的個人資訊處理者應當履行的義務。規定個人資訊處理者按照履行個人資訊保護職責的部門要求開展合規審計的,應當為專業機構正常開展合規審計工作提供必要支援並承擔審計費用,在限定時間內完成合規審計,報送合規審計報告並進行整改。
《辦法》明確了專業機構在合規審計中的義務。一是應當具備開展個人資訊保護合規審計的能力,有與服務相適應的審計人員、場所、設施和資金等。二是應當遵守法律法規,誠信正直,公正客觀地作出合規審計職業判斷,對履職中知悉的個人資訊、商業秘密、保密商務資訊等依法予以保密。三是不得轉委託其他機構開展個人資訊保護合規審計。四是同一專業機構及其關聯機構、同一合規審計負責人不得連續三次以上對同一審計物件開展個人資訊保護合規審計。
《辦法》以附件形式提供了《個人資訊保護合規審計指引》,對個人資訊保護相關法律、行政法規的關鍵要點作了梳理,從合規審計的角度進行了細化。個人資訊處理者自行開展或者按照履行個人資訊保護職責的部門要求委託專業機構開展個人資訊保護合規審計,應當參照《個人資訊保護合規審計指引》。
《辦法》同時對履行個人資訊保護職責的部門的監督管理責任和個人資訊處理者、專業機構違反《辦法》規定的法律責任等作出了規定。
以下是全文:
《個人資訊保護合規審計管理辦法》已經2024年5月20日國家網際網路資訊辦公室2024年第15次室務會會議審議透過,現予公佈,自2025年5月1日起施行。
國家網際網路資訊辦公室主任 莊榮文
2025年2月12日
個人資訊保護合規審計管理辦法
第一條 為了規範個人資訊保護合規審計活動,保護個人資訊權益,根據《中華人民共和國個人資訊保護法》、《網路資料安全管理條例》等法律、行政法規,制定本辦法。
第二條 在中華人民共和國境內開展個人資訊保護合規審計,適用本辦法。
本辦法所稱個人資訊保護合規審計,是指對個人資訊處理者的個人資訊處理活動是否遵守法律、行政法規的情況進行審查和評價的監督活動。
第三條 個人資訊處理者自行開展個人資訊保護合規審計的,應當由個人資訊處理者內部機構或者委託專業機構定期對其處理個人資訊遵守法律、行政法規的情況進行合規審計。
第四條 處理超過1000萬人個人資訊的個人資訊處理者,應當每兩年至少開展一次個人資訊保護合規審計。
第五條 個人資訊處理者有以下情形之一的,國家網信部門和其他履行個人資訊保護職責的部門(以下統稱為保護部門),可以要求個人資訊處理者委託專業機構對個人資訊處理活動進行合規審計:
(一)發現個人資訊處理活動存在嚴重影響個人權益或者嚴重缺乏安全措施等較大風險的;
(二)個人資訊處理活動可能侵害眾多個人的權益的;
(三)發生個人資訊安全事件,導致100萬人以上個人資訊或者10萬人以上敏感個人資訊洩露、篡改、丟失、毀損的。
對同一個人資訊安全事件或者風險,不得重複要求個人資訊處理者委託專業機構開展個人資訊保護合規審計。
第六條 個人資訊處理者自行開展或者按照保護部門要求委託專業機構開展個人資訊保護合規審計的,應當參照本辦法附件《個人資訊保護合規審計指引》。
第七條 專業機構應當具備開展個人資訊保護合規審計的能力,有與服務相適應的審計人員、場所、設施和資金等。
鼓勵相關專業機構透過認證。專業機構的認證按照《中華人民共和國認證認可條例》的有關規定執行。
第八條 個人資訊處理者按照保護部門要求開展個人資訊保護合規審計的,應當為專業機構正常開展個人資訊保護合規審計工作提供必要支援,並承擔審計費用。
第九條 個人資訊處理者按照保護部門要求開展個人資訊保護合規審計的,應當按照保護部門要求選定專業機構,在限定時間內完成個人資訊保護合規審計;情況複雜的,報保護部門批准後,可以適當延長。
第十條 個人資訊處理者按照保護部門要求開展個人資訊保護合規審計的,在完成合規審計後,應當將專業機構出具的個人資訊保護合規審計報告報送保護部門。
個人資訊保護合規審計報告應當由專業機構主要負責人、合規審計負責人簽字並加蓋專業機構公章。
第十一條 個人資訊處理者按照保護部門要求開展個人資訊保護合規審計的,應當按照保護部門要求對合規審計中發現的問題進行整改。在整改完成後15個工作日內,向保護部門報送整改情況報告。
第十二條 處理100萬人以上個人資訊的個人資訊處理者應當指定個人資訊保護負責人,負責個人資訊處理者的個人資訊保護合規審計工作。
提供重要網際網路平臺服務、使用者數量巨大、業務型別複雜的個人資訊處理者,應當成立主要由外部成員組成的獨立機構對個人資訊保護合規審計情況進行監督。
第十三條 專業機構在從事個人資訊保護合規審計活動時,應當遵守法律法規,誠信正直,公正客觀地作出合規審計職業判斷,對在履行個人資訊保護合規審計職責中獲得的個人資訊、商業秘密、保密商務資訊等應當依法予以保密,不得洩露或者非法向他人提供,在合規審計工作結束後及時刪除相關資訊。
第十四條 專業機構不得轉委託其他機構開展個人資訊保護合規審計。
第十五條 同一專業機構及其關聯機構、同一合規審計負責人不得連續三次以上對同一審計物件開展個人資訊保護合規審計。
第十六條 保護部門對個人資訊處理者開展個人資訊保護合規審計情況進行監督檢查。
第十七條 任何組織、個人有權對個人資訊保護合規審計中的違法活動向保護部門進行投訴、舉報。收到投訴、舉報的部門應當依法及時處理,並將處理結果告知投訴、舉報人。
第十八條 個人資訊處理者、專業機構違反本辦法規定的,依照《中華人民共和國個人資訊保護法》、《網路資料安全管理條例》等法律法規的規定處理;構成犯罪的,依法追究刑事責任。
第十九條 對國家機關和法律、法規授權的具有管理公共事務職能的組織的個人資訊保護合規審計,不適用本辦法。
第二十條 本辦法自2025年5月1日起施行。
附件
個人資訊保護合規審計指引
一、本指引根據《中華人民共和國個人資訊保護法》、《網路資料安全管理條例》等法律、行政法規制定。
二、對個人資訊處理活動的合法性基礎進行合規審計的,應當重點審查下列事項:
(一)基於個人同意處理個人資訊的,是否取得個人同意,該同意是否由個人在充分知情的前提下自願、明確作出;
(二)基於個人同意處理個人資訊的,個人資訊的處理目的、處理方式、處理的個人資訊種類發生變更的,是否重新取得個人同意;
(三)基於個人同意處理個人資訊的,是否依照法律、行政法規取得個人單獨同意或者書面同意;
(四)處理個人資訊未取得個人同意的,是否屬於法律、行政法規規定不需要取得個人同意的情形。
三、對個人資訊處理規則進行合規審計的,應當重點審查下列事項:
(一)是否真實、準確、完整地告知個人資訊處理者的名稱或者姓名和聯絡方式;
(二)是否以清單等便於檢視的形式列明所收集的個人資訊及其處理方式和種類;
(三)是否與處理目的直接相關,採取對個人權益影響最小的方式;
(四)是否明確個人資訊儲存期限或者儲存期限的確定方法、到期後的處理方式,以及確定儲存期限為實現處理目的所必要的最短時間;
(五)是否明確個人查閱、複製、轉移、更正、補充、刪除、限制處理個人資訊以及登出賬號、撤回同意的途徑和方法。
四、對個人資訊處理者履行告知個人資訊處理規則義務進行合規審計的,應當重點審查下列事項:
(一)個人資訊處理者在處理個人資訊前,是否以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知個人資訊處理規則;
(二)告知文字的大小、字型和顏色是否便於個人完整閱讀告知事項;
(三)線下告知是否透過標註、說明等多種方式向個人履行告知義務;
(四)線上告知是否提供文字資訊或者透過適當方式向個人履行告知義務;
(五)個人資訊處理規則發生變更的,是否將變更內容及時告知個人;
(六)處理個人資訊不需要告知的,是否屬於法律、行政法規規定應當保密或者不需要告知的情形。
五、對個人資訊處理者與其他個人資訊處理者共同處理個人資訊進行合規審計的,應當重點審查下列事項:
(一)是否約定各自的權利義務;
(二)個人資訊權益保護機制;
(三)個人資訊安全事件報告機制;
(四)其他法律、行政法規規定需要約定的權利和義務。
六、對個人資訊處理者委託處理個人資訊進行合規審計的,應當重點審查下列事項:
(一)個人資訊處理者在委託處理個人資訊前,是否開展個人資訊保護影響評估;
(二)個人資訊處理者與受託人簽訂的合同,是否與受託人約定了委託處理的目的、期限、方式、個人資訊的種類、保護措施以及雙方的權利義務等;
(三)個人資訊處理者是否採取定期檢查等方式,對受託人的個人資訊處理活動進行監督。
七、個人資訊處理者存在因合併、重組、分立、解散、被宣告破產等原因需要轉移個人資訊情形的,應當重點審查個人資訊處理者是否向個人告知接收方的名稱或者姓名和聯絡方式。
八、對個人資訊處理者向其他個人資訊處理者提供其處理的個人資訊進行合規審計的,應當重點審查下列事項:
(一)基於個人同意處理個人資訊的,是否取得個人的單獨同意;
(二)是否向個人告知接收方的名稱或者姓名、聯絡方式、處理目的、處理方式和個人資訊的種類,法律、行政法規規定應當保密或者不需要告知的除外;
(三)是否事前進行個人資訊保護影響評估。
九、對個人資訊處理者利用自動化決策處理個人資訊進行合規審計的,應當重點審查下列事項:
(一)自動化決策的透明度,以及自動化決策的結果是否公平、公正;
(二)是否事前告知個人自動化決策處理個人資訊的種類及可能帶來的影響;
(三)是否事前進行個人資訊保護影響評估;
(四)是否向用戶提供保障機制,以便個人透過便捷方式拒絕透過自動化決策方式作出對個人權益有重大影響的決定,並要求個人資訊處理者就透過自動化決策方式作出對使用者個人權益有重大影響的決定予以說明;
(五)向個人進行資訊推送、商業營銷的,是否同時提供不針對個人特徵的選項,或者提供便捷的拒絕自動化決策服務的方式;
(六)是否採取了有效措施,防止自動化決策根據消費者的偏好、交易習慣等對個人在交易條件上實行不合理的差別待遇;
(七)其他可能影響自動化決策的透明度和結果公平、公正的事項。
十、對個人資訊處理者基於個人同意公開個人資訊進行合規審計的,應當重點審查下列事項:
(一)個人資訊處理者公開其處理的個人資訊前是否取得個人單獨同意,該授權是否真實、有效,是否存在違背個人意願將個人資訊予以公開的情況;
(二)個人資訊處理者公開個人資訊前,是否進行個人資訊保護影響評估。
十一、個人資訊處理者在公共場所安裝影像收集、個人身份識別裝置的,應當重點對其安裝影像收集、個人資訊身份識別裝置的合法性及所收集個人資訊的用途進行審查。審查內容包括但不限於:
(一)是否為維護公共安全所必需,是否為商業目的處理所收集的個人資訊;
(二)是否設定了顯著的提示標識;
(三)個人資訊處理者所收集的個人影像、身份識別資訊用於維護公共安全以外用途的,是否取得個人單獨同意。
十二、對個人資訊處理者處理已公開的個人資訊進行合規審計的,應當重點審查個人資訊處理者是否存在下列違法違規行為:
(一)向已公開個人資訊中的電子郵箱、手機號等傳送與其公開目的無關的商業資訊;
(二)利用已公開的個人資訊從事網路暴力、傳播網路謠言和虛假資訊等活動;
(三)處理個人明確拒絕處理的已公開個人資訊;
(四)對個人權益有重大影響,未取得個人同意;
(五)收集、留存或處理已公開個人資訊的規模、時間或使用目的超出合理範圍。
十三、對個人資訊處理者處理敏感個人資訊進行合規審計的,應當重點審查下列事項:
(一)基於個人同意處理個人資訊的,處理生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等敏感個人資訊,是否事前取得個人的單獨同意;
(二)基於個人同意處理個人資訊的,處理不滿十四周歲未成年人的個人資訊,是否事前取得未成年人的父母或者其他監護人的同意;
(三)處理敏感個人資訊的目的、方式、範圍是否合法、正當、必要;
(四)是否在事前進行個人資訊保護影響評估;
(五)是否向個人告知處理敏感個人資訊的必要性以及對個人權益的影響,法律、行政法規規定應當保密或者不需要告知的除外;
(六)法律、行政法規規定應當取得書面同意的,是否取得書面同意;
(七)是否遵守法律、行政法規對處理敏感個人資訊的限制性規定。
十四、對個人資訊處理者處理不滿十四周歲未成年人個人資訊進行合規審計的,應當重點審查下列事項:
(一)是否制定專門的個人資訊處理規則;
(二)是否向未成年人及其監護人告知未成年人個人資訊的處理目的、處理方式、處理必要性,以及處理個人資訊的種類、所採取的保護措施等,法律、行政法規規定不需要告知的除外;
(三)基於個人同意處理個人資訊,是否存在強制要求未成年人或者其監護人同意處理非必要個人資訊的行為。
十五、對個人資訊處理者向境外提供個人資訊進行合規審計的,應當重點審查下列事項:
(一)關鍵資訊基礎設施運營者向境外提供個人資訊是否經過國家網信部門組織的安全評估,法律、行政法規、國家網信部門另有規定的,從其規定;
(二)關鍵資訊基礎設施運營者以外的資料處理者自當年1月1日起累計向境外提供100萬人以上個人資訊(不含敏感個人資訊)或者1萬人以上敏感個人資訊是否經過國家網信部門組織的安全評估,法律、行政法規、國家網信部門另有規定的,從其規定;
(三)關鍵資訊基礎設施運營者以外的資料處理者自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人資訊(不含敏感個人資訊)或者不滿1萬人敏感個人資訊的,是否按照國家網信部門的規定,經個人資訊保護認證或者按照國家網信部門制定的標準合同與境外接收方簽訂合同並向所在地省級網信部門備案,或者符合法律、行政法規、國家網信部門規定的其他條件;
(四)存在向外國司法或者執法機構提供儲存於中華人民共和國境內個人資訊情形的,是否經過中華人民共和國主管機關批准;
(五)是否向被列入限制或者禁止個人資訊提供清單的組織和個人提供個人資訊。
十六、對個人資訊刪除權保障情況進行合規審計的,應當重點審查下列事項:
(一)個人資訊處理目的是否已實現、無法實現或者為實現處理目的不再必要;
(二)個人資訊處理者是否停止提供產品或者服務,或者個人是否已登出賬號;
(三)儲存期限是否已屆滿;
(四)個人是否撤回同意;
(五)個人資訊處理者是否違反法律、行政法規或者違反約定處理個人資訊;
(六)應當刪除個人資訊,但法律、行政法規規定的儲存期限未屆滿,或者刪除個人資訊從技術上難以實現的,個人資訊處理者是否停止除儲存和採取必要的安全措施之外的處理。
十七、對個人資訊處理者保障個人在個人資訊處理活動中的權利情況進行合規審計的,應當重點審查下列事項:
(一)是否建立便捷的個人行使權利的申請受理機制和處理機制;
(二)是否及時響應個人行使權利的申請,是否及時、完整、準確告知處理意見或者執行結果;
(三)拒絕個人行使權利請求的,是否向個人說明理由。
十八、個人資訊處理者應當響應個人申請,對其個人資訊處理規則進行解釋說明,合規審計時應當重點對下列內容進行評價:
(一)個人資訊處理者是否提供便捷的方式和途徑,接受、處理個人關於個人資訊處理規則解釋說明的要求;
(二)接到個人的要求後,個人資訊處理者是否在合理的時間內,使用通俗易懂的語言對其個人資訊處理規則作出解釋說明。
十九、個人資訊處理者應當依照法律、行政法規的規定製定內部管理制度和操作規程,明確組織架構、崗位職責,建立工作流程、完善內控制度,保障個人資訊處理合規與安全。合規審計時,應當重點對個人資訊處理者個人資訊保護內部管理制度和操作規程進行審查,包括但不限於:
(一)個人資訊保護工作的方針、目標、原則是否符合法律、行政法規規定;
(二)個人資訊保護組織架構、人員配備、行為規範、管理責任是否與應當履行的個人資訊保護責任相適應;
(三)是否根據個人資訊的種類、來源、敏感程度、用途等,對個人資訊進行分類;
(四)是否建立個人資訊安全事件應急響應機制;
(五)是否建立個人資訊保護影響評估制度、合規審計制度;
(六)是否建立暢通的個人資訊保護投訴舉報受理流程;
(七)是否合理制定個人資訊處理操作許可權;
(八)是否制定實施個人資訊保護安全教育和培訓計劃;
(九)是否建立個人資訊保護負責人及相關人員履職評價制度;
(十)是否建立個人資訊違法處理責任制度;
(十一)法律、行政法規規定的其他事項。
二十、個人資訊處理者應當採取與所處理個人資訊規模、型別相適應的安全技術措施,並對個人資訊處理者採取的技術措施的有效性進行評價,評價內容包括但不限於:
(一)是否採取相應安全技術措施實現個人資訊的保密性、完整性、可用性;
(二)是否採取加密、去標識化等安全技術措施,確保在不借助額外資訊的情況下,消除或者降低個人資訊的可識別性;
(三)採取的安全技術措施能否合理確定有關人員查閱、複製、傳輸個人資訊等的操作許可權,減少個人資訊在處理過程中未經授權的訪問和濫用風險。
二十一、對個人資訊處理者教育培訓計劃的制定和實施情況進行合規審計時,應當重點對下列事項進行評價:
(一)是否按計劃對管理人員、技術人員、操作人員、全員開展相應的安全教育和培訓,是否對相應人員的個人資訊保護意識和技能進行考核;
(二)培訓內容、方式、物件、頻率等能否滿足個人資訊保護需要。
二十二、對個人資訊處理者指定的個人資訊保護負責人履職情況進行合規審計的,應當重點審查下列事項:
(一)個人資訊保護負責人是否具有相關的工作經歷和專業知識,熟悉個人資訊保護相關法律、行政法規;
(二)個人資訊保護負責人是否具有明確清晰的職責,是否被賦予充分的許可權協調個人資訊處理者內部相關部門與人員;
(三)個人資訊保護負責人在個人資訊處理重大事項決策前是否有權提出相關意見和建議;
(四)個人資訊保護負責人是否有權對個人資訊處理者內部個人資訊處理的不合規操作進行制止和採取必要的糾正措施;
(五)個人資訊處理者是否公開個人資訊保護負責人的聯絡方式,並將個人資訊保護負責人的姓名、聯絡方式等報送保護部門。
二十三、對個人資訊處理者開展個人資訊保護影響評估情況進行合規審計時,應當重點對影響評估開展情況和評估內容進行審查:
(一)是否依照法律、行政法規的規定,在進行對個人權益具有重大影響的個人資訊處理活動前進行個人資訊保護影響評估;
(二)是否對個人資訊的處理目的、處理方式等進行合法、正當、必要評估;
(三)是否對個人權益的影響及安全風險進行評估;
(四)是否對所採取的保護措施的合法性、有效性,以及與風險程度的適應性進行評估。
二十四、個人資訊處理者應當制定個人資訊安全事件應急預案。合規審計時,應當對應急預案的全面性、有效性、可執行性作出評價,包括但不限於下列內容:
(一)是否結合業務實際,對面臨的個人資訊安全風險作出系統評估和預測;
(二)總體要求、基本策略,組織機構、人員,技術、物資保障,指揮處置程式,應急和支援措施等是否足以應對預測的風險;
(三)是否對相關人員進行應急預案培訓,定期對應急預案進行演練。
二十五、對個人資訊處理者個人資訊安全事件應急響應處置情況進行合規審計的,應當重點審查下列事項:
(一)是否按照應急預案、操作規程及時查明個人資訊安全事件的影響、範圍和可能造成的危害,分析、確定事件發生的原因,提出防止危害擴大的措施方案;
(二)是否建立通報渠道,在安全事件發生後按照相關規定及時通知保護部門和個人;
(三)是否採取相應措施將個人資訊安全事件可能造成的損失和可能產生的危害風險降低到最小。
二十六、對提供重要網際網路平臺服務、使用者數量巨大、業務型別複雜的個人資訊處理者制定的平臺規則進行合規審計的,應當重點審查下列事項:
(一)平臺規則是否與法律、行政法規相牴觸;
(二)平臺規則個人資訊保護條款的有效性,是否合理界定了平臺、平臺內產品或者服務提供者的個人資訊保護權利和義務;
(三)平臺規則的執行情況,是否透過抽樣等方式驗證平臺規則被有效執行。
二十七、對提供重要網際網路平臺服務、使用者數量巨大、業務型別複雜的個人資訊處理者釋出的個人資訊保護社會責任報告進行合規審計的,應當重點審查社會責任報告披露下列內容的情況:
(一)個人資訊保護組織架構和內部管理情況;
(二)個人資訊保護能力建設情況;
(三)個人資訊保護措施和成效;
(四)個人行使權利的申請受理情況;
(五)獨立監督機構履職情況;
(六)重大個人資訊安全事件處理情況;
(七)促進個人資訊保護社會共治的科普宣傳、公益活動情況;
(八)法律、行政法規規定的其他事項。
以下是答記者問:
近日,國家網際網路資訊辦公室公佈《個人資訊保護合規審計管理辦法》(以下簡稱《辦法》)。國家網際網路資訊辦公室有關負責人就《辦法》相關問題回答了記者提問。
問1:請介紹一下《辦法》的出臺背景?
答:當前,個人資訊被企業、機構甚至個人廣泛收集使用,個人資訊保護和個人資訊利用的矛盾日益突出。為壓實個人資訊處理者個人資訊保護主體責任,加強個人資訊處理活動風險控制和監督,《中華人民共和國個人資訊保護法》《網路資料安全管理條例》對個人資訊處理者開展合規審計作了規定。為有效落實法律法規要求,國家網際網路資訊辦公室制定出臺《辦法》,對個人資訊保護合規審計活動的開展、合規審計機構的選擇、合規審計的頻次、個人資訊處理者和專業機構在合規審計中的義務等作出細化規定,旨在為個人資訊處理者開展個人資訊保護合規審計提供系統性、針對性、可操作性的規範,提升個人資訊處理活動合法合規水平,保護個人資訊權益。
問2:我國法律法規中對個人資訊保護合規審計作了哪些規定?
答:《中華人民共和國個人資訊保護法》第五十四條規定,個人資訊處理者應當定期對其處理個人資訊遵守法律、行政法規的情況進行合規審計。第六十四條規定,履行個人資訊保護職責的部門在履行職責中,發現個人資訊處理活動存在較大風險或者發生個人資訊安全事件的,可以按照規定的許可權和程式對該個人資訊處理者的法定代表人或者主要負責人進行約談,或者要求個人資訊處理者委託專業機構對其個人資訊處理活動進行合規審計。《網路資料安全管理條例》第二十七條規定,網路資料處理者應當定期自行或者委託專業機構對其處理個人資訊遵守法律、行政法規的情況進行合規審計。以上法律法規明確了個人資訊保護合規審計的兩種情形:一是個人資訊處理者自行開展合規審計。二是按照履行個人資訊保護職責的部門要求,委託專業機構開展合規審計。
問3:《辦法》的主要內容是什麼?
答:《辦法》主要對下列內容進行了規定:一是明確個人資訊處理者自行開展合規審計和按照履行個人資訊保護職責的部門要求委託專業機構開展合規審計的條件,合規審計機構的選擇和合規審計的頻次。二是明確開展合規審計的個人資訊處理者應當履行的義務,規定個人資訊處理者按照履行個人資訊保護職責的部門要求開展合規審計的,應當為專業機構正常開展合規審計工作提供必要支援並承擔審計費用,在限定時間內完成合規審計,報送合規審計報告並進行整改。三是明確專業機構在合規審計中的義務,規定專業機構應當具備開展合規審計的能力,遵守法律法規,明確同一專業機構及其關聯機構、同一合規審計負責人不得連續三次以上對同一審計物件開展個人資訊保護合規審計。四是明確履行個人資訊保護職責的部門對個人資訊處理者開展合規審計情況進行監督檢查,任何組織、個人有權對合規審計中的違法活動向履行個人資訊保護職責的部門進行投訴、舉報,並規定個人資訊處理者、專業機構違反《辦法》規定的法律責任。
問4:個人資訊處理者在什麼情況下需要開展個人資訊保護合規審計?
答:個人資訊處理者開展個人資訊保護合規審計分兩種情形:一是自行開展合規審計,即個人資訊處理者應當定期對其處理個人資訊遵守法律、行政法規的情況進行合規審計。處理超過1000萬人個人資訊的個人資訊處理者,應當每兩年至少開展一次個人資訊保護合規審計。其他個人資訊處理者根據自身情況合理確定定期開展個人資訊保護合規審計的頻次。二是按照要求開展合規審計,即履行個人資訊保護職責的部門在履行職責中,發現個人資訊處理活動存在較大風險、可能侵害眾多個人的權益或者發生個人資訊安全事件的,可以要求個人資訊處理者委託專業機構對其個人資訊處理活動進行合規審計。
問5:個人資訊處理者如何選擇合規審計機構?
答:個人資訊處理者自行開展合規審計時,可以選擇由內部機構自行開展,也可以委託專業機構開展。《辦法》對採取何種審計方式、是否選擇專業機構,以及選擇哪家專業機構沒有強制性要求。個人資訊處理活動存在較大風險、可能侵害眾多個人的權益或者發生個人資訊安全事件時,履行個人資訊保護職責的部門可以要求個人資訊處理者委託專業機構開展個人資訊保護合規審計。
問6:《辦法》對專業機構提出了哪些要求?
答:專業機構接受個人資訊處理者委託開展合規審計,應當公正客觀地作出合規審計結論,提出合規審計建議,其出具的合規審計報告是履行個人資訊保護職責的部門開展監督管理工作的重要參考。《辦法》對專業機構提出以下要求:一是應當具備開展個人資訊保護合規審計的能力,有與服務相適應的審計人員、場所、設施和資金等。二是應當遵守法律法規,誠信正直,公正客觀地作出合規審計職業判斷,對在履行個人資訊保護合規審計職責中獲得的個人資訊、商業秘密、保密商務資訊等依法予以保密,不得洩露或者非法向他人提供,在合規審計工作結束後及時刪除相關資訊。三是不得轉委託其他機構開展個人資訊保護合規審計。四是同一專業機構及其關聯機構、同一合規審計負責人不得連續三次以上對同一審計物件開展個人資訊保護合規審計。
問7:《辦法》如何對專業機構進行管理?
答:《辦法》遵循自願性、市場化的原則,透過認證認可方式對專業機構進行監督管理。專業機構的認證按照《中華人民共和國認證認可條例》的有關規定執行。具備開展個人資訊保護合規審計能力,有與服務相適應的審計人員、場所、設施和資金的專業機構,可以自願申請相關服務能力認證。
問8:個人資訊處理者按照履行個人資訊保護職責的部門要求開展個人資訊保護合規審計時,應當履行哪些義務?
答:《辦法》對個人資訊處理者按照履行個人資訊保護職責的部門要求開展個人資訊保護合規審計提出以下要求:一是保障合規審計正常進行,為專業機構正常開展個人資訊保護合規審計工作提供必要支援,並承擔審計費用。二是按照履行個人資訊保護職責的部門要求選定專業機構,在限定時間內完成個人資訊保護合規審計,情況複雜的,報履行個人資訊保護職責的部門批准後,可以適當延長。三是報送合規審計報告並進行整改,個人資訊處理者在完成合規審計後,應當將專業機構出具的個人資訊保護合規審計報告報送履行個人資訊保護職責的部門,按照履行個人資訊保護職責的部門要求對合規審計中發現的問題進行整改,在整改完成後15個工作日內,向履行個人資訊保護職責的部門報送整改情況報告。
問9:個人資訊處理者開展個人資訊保護合規審計如何適用《個人資訊保護合規審計指引》?
答:《個人資訊保護合規審計指引》對個人資訊保護相關法律、行政法規的關鍵要點作了梳理,從合規審計的角度進行了細化,便於個人資訊處理者對個人資訊處理活動是否遵守法律、行政法規要求進行審查和評價。個人資訊處理者自行開展或者按照履行個人資訊保護職責的部門要求委託專業機構開展個人資訊保護合規審計,應當參照《個人資訊保護合規審計指引》。
來源:“網信中國”微信公眾號