《個人信息保護合規(guī)審計管理辦法》已經(jīng)2024年5月20日國家互聯(lián)網(wǎng)信息辦公室2024年第15次室務(wù)會會議審議通過,現(xiàn)予公布,自2025年5月1日起施行。 國家互聯(lián)網(wǎng)信息辦公室主任 莊榮文 2025年2月12日
個人信息保護合規(guī)審計管理辦法
第一條 為了規(guī)范個人信息保護合規(guī)審計活動,保護個人信息權(quán)益,根據(jù)《中華人民共和國個人信息保護法》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》等法律、行政法規(guī),制定本辦法。
第二條 在中華人民共和國境內(nèi)開展個人信息保護合規(guī)審計,適用本辦法。。 本辦法所稱個人信息保護合規(guī)審計,是指對個人信息處理者的個人信息處理活動是否遵守法律、行政法規(guī)的情況進行審查和評價的監(jiān)督活動
。 第三條 個人信息處理者自行開展個人信息保護合規(guī)審計的,應(yīng)當由個人信息處理者內(nèi)部機構(gòu)或者委托專業(yè)機構(gòu)定期對其處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計。
第四條 處理超過1000萬人個人信息的個人信息處理者,應(yīng)當每兩年至少開展一次個人信息保護合規(guī)審計。
第五條 個人信息處理者有以下情形之一的,國家網(wǎng)信部門和其他履行個人信息保護職責的部門(以下統(tǒng)稱為保護部門),可以要求個人信息處理者委托專業(yè)機構(gòu)對個人信息處理活動進行合規(guī)審計:
(一)發(fā)現(xiàn)個人信息處理活動存在嚴重影響個人權(quán)益或者嚴重缺乏安全措施等較大風險的;
(二)個人信息處理活動可能侵害眾多個人的權(quán)益的;
(三)發(fā)生個人信息安全事件,導致100萬人以上個人信息或者10萬人以上敏感個人信息泄露、篡改、丟失、毀損的。
對同一個人信息安全事件或者風險,不得重復要求個人信息處理者委托專業(yè)機構(gòu)開展個人信息保護合規(guī)審計。
第六條 個人信息處理者自行開展或者按照保護部門要求委托專業(yè)機構(gòu)開展個人信息保護合規(guī)審計的,應(yīng)當參照本辦法附件《個人信息保護合規(guī)審計指引》。
第七條 專業(yè)機構(gòu)應(yīng)當具備開展個人信息保護合規(guī)審計的能力,有與服務(wù)相適應(yīng)的審計人員、場所、設(shè)施和資金等。
鼓勵相關(guān)專業(yè)機構(gòu)通過認證。專業(yè)機構(gòu)的認證按照《中華人民共和國認證認可條例》的有關(guān)規(guī)定執(zhí)行。
第八條 個人信息處理者按照保護部門要求開展個人信息保護合規(guī)審計的,應(yīng)當為專業(yè)機構(gòu)正常開展個人信息保護合規(guī)審計工作提供必要支持,并承擔審計費用。
第九條 個人信息處理者按照保護部門要求開展個人信息保護合規(guī)審計的,應(yīng)當按照保護部門要求選定專業(yè)機構(gòu),在限定時間內(nèi)完成個人信息保護合規(guī)審計;情況復雜的,報保護部門批準后,可以適當延長。
第十條 個人信息處理者按照保護部門要求開展個人信息保護合規(guī)審計的,在完成合規(guī)審計后,應(yīng)當將專業(yè)機構(gòu)出具的個人信息保護合規(guī)審計報告報送保護部門。 個人信息保護合規(guī)審計報告應(yīng)當由專業(yè)機構(gòu)主要負責人、合規(guī)審計負責人簽字并加蓋專業(yè)機構(gòu)公章。
第十一條 個人信息處理者按照保護部門要求開展個人信息保護合規(guī)審計的,應(yīng)當按照保護部門要求對合規(guī)審計中發(fā)現(xiàn)的問題進行整改。在整改完成后15個工作日內(nèi),向保護部門報送整改情況報告。
第十二條 處理100萬人以上個人信息的個人信息處理者應(yīng)當指定個人信息保護負責人,負責個人信息處理者的個人信息保護合規(guī)審計工作。
提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復雜的個人信息處理者,應(yīng)當成立主要由外部成員組成的獨立機構(gòu)對個人信息保護合規(guī)審計情況進行監(jiān)督。
第十三條 專業(yè)機構(gòu)在從事個人信息保護合規(guī)審計活動時,應(yīng)當遵守法律法規(guī),誠信正直,公正客觀地作出合規(guī)審計職業(yè)判斷,對在履行個人信息保護合規(guī)審計職責中獲得的個人信息、商業(yè)秘密、保密商務(wù)信息等應(yīng)當依法予以保密,不得泄露或者非法向他人提供,在合規(guī)審計工作結(jié)束后及時刪除相關(guān)信息。
第十四條 專業(yè)機構(gòu)不得轉(zhuǎn)委托其他機構(gòu)開展個人信息保護合規(guī)審計。
第十五條 同一專業(yè)機構(gòu)及其關(guān)聯(lián)機構(gòu)、同一合規(guī)審計負責人不得連續(xù)三次以上對同一審計對象開展個人信息保護合規(guī)審計。
第十六條 保護部門對個人信息處理者開展個人信息保護合規(guī)審計情況進行監(jiān)督檢查。
第十七條 任何組織、個人有權(quán)對個人信息保護合規(guī)審計中的違法活動向保護部門進行投訴、舉報。收到投訴、舉報的部門應(yīng)當依法及時處理,并將處理結(jié)果告知投訴、舉報人。
第十八條 個人信息處理者、專業(yè)機構(gòu)違反本辦法規(guī)定的,依照《中華人民共和國個人信息保護法》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》等法律法規(guī)的規(guī)定處理;構(gòu)成犯罪的,依法追究刑事責任。
第十九條 對國家機關(guān)和法律、法規(guī)授權(quán)的具有管理公共事務(wù)職能的組織的個人信息保護合規(guī)審計,不適用本辦法。
第二十條 本辦法自2025年5月1日起施行。
附件 個人信息保護合規(guī)審計指引 一、本指引根據(jù)《中華人民共和國個人信息保護法》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》等法律、行政法規(guī)制定。 二、對個人信息處理活動的合法性基礎(chǔ)進行合規(guī)審計的,應(yīng)當重點審查下列事項: (一)基于個人同意處理個人信息的,是否取得個人同意,該同意是否由個人在充分知情的前提下自愿、明確作出; (二)基于個人同意處理個人信息的,個人信息的處理目的、處理方式、處理的個人信息種類發(fā)生變更的,是否重新取得個人同意; (三)基于個人同意處理個人信息的,是否依照法律、行政法規(guī)取得個人單獨同意或者書面同意; (四)處理個人信息未取得個人同意的,是否屬于法律、行政法規(guī)規(guī)定不需要取得個人同意的情形。 三、對個人信息處理規(guī)則進行合規(guī)審計的,應(yīng)當重點審查下列事項: (一)是否真實、準確、完整地告知個人信息處理者的名稱或者姓名和聯(lián)系方式; (二)是否以清單等便于查看的形式列明所收集的個人信息及其處理方式和種類; (三)是否與處理目的直接相關(guān),采取對個人權(quán)益影響最小的方式; (四)是否明確個人信息保存期限或者保存期限的確定方法、到期后的處理方式,以及確定保存期限為實現(xiàn)處理目的所必要的最短時間; (五)是否明確個人查閱、復制、轉(zhuǎn)移、更正、補充、刪除、限制處理個人信息以及注銷賬號、撤回同意的途徑和方法。 四、對個人信息處理者履行告知個人信息處理規(guī)則義務(wù)進行合規(guī)審計的,應(yīng)當重點審查下列事項: (一)個人信息處理者在處理個人信息前,是否以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知個人信息處理規(guī)則; (二)告知文本的大小、字體和顏色是否便于個人完整閱讀告知事項; (三)線下告知是否通過標注、說明等多種方式向個人履行告知義務(wù); (四)在線告知是否提供文本信息或者通過適當方式向個人履行告知義務(wù); (五)個人信息處理規(guī)則發(fā)生變更的,是否將變更內(nèi)容及時告知個人; (六)處理個人信息不需要告知的,是否屬于法律、行政法規(guī)規(guī)定應(yīng)當保密或者不需要告知的情形。 五、對個人信息處理者與其他個人信息處理者共同處理個人信息進行合規(guī)審計的,應(yīng)當重點審查下列事項: (一)是否約定各自的權(quán)利義務(wù); (二)個人信息權(quán)益保護機制; (三)個人信息安全事件報告機制; (四)其他法律、行政法規(guī)規(guī)定需要約定的權(quán)利和義務(wù)。 六、對個人信息處理者委托處理個人信息進行合規(guī)審計的,應(yīng)當重點審查下列事項: (一)個人信息處理者在委托處理個人信息前,是否開展個人信息保護影響評估; (二)個人信息處理者與受托人簽訂的合同,是否與受托人約定了委托處理的目的、期限、方式、個人信息的種類、保護措施以及雙方的權(quán)利義務(wù)等; (三)個人信息處理者是否采取定期檢查等方式,對受托人的個人信息處理活動進行監(jiān)督。 七、個人信息處理者存在因合并、重組、分立、解散、被宣告破產(chǎn)等原因需要轉(zhuǎn)移個人信息情形的,應(yīng)當重點審查個人信息處理者是否向個人告知接收方的名稱或者姓名和聯(lián)系方式。 八、對個人信息處理者向其他個人信息處理者提供其處理的個人信息進行合規(guī)審計的,應(yīng)當重點審查下列事項: (一)基于個人同意處理個人信息的,是否取得個人的單獨同意; (二)是否向個人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個人信息的種類,法律、行政法規(guī)規(guī)定應(yīng)當保密或者不需要告知的除外; (三)是否事前進行個人信息保護影響評估。 九、對個人信息處理者利用自動化決策處理個人信息進行合規(guī)審計的,應(yīng)當重點審查下列事項: (一)自動化決策的透明度,以及自動化決策的結(jié)果是否公平、公正; (二)是否事前告知個人自動化決策處理個人信息的種類及可能帶來的影響; (三)是否事前進行個人信息保護影響評估; (四)是否向用戶提供保障機制,以便個人通過便捷方式拒絕通過自動化決策方式作出對個人權(quán)益有重大影響的決定,并要求個人信息處理者就通過自動化決策方式作出對用戶個人權(quán)益有重大影響的決定予以說明; (五)向個人進行信息推送、商業(yè)營銷的,是否同時提供不針對個人特征的選項,或者提供便捷的拒絕自動化決策服務(wù)的方式; (六)是否采取了有效措施,防止自動化決策根據(jù)消費者的偏好、交易習慣等對個人在交易條件上實行不合理的差別待遇; (七)其他可能影響自動化決策的透明度和結(jié)果公平、公正的事項。 十、對個人信息處理者基于個人同意公開個人信息進行合規(guī)審計的,應(yīng)當重點審查下列事項: (一)個人信息處理者公開其處理的個人信息前是否取得個人單獨同意,該授權(quán)是否真實、有效,是否存在違背個人意愿將個人信息予以公開的情況; (二)個人信息處理者公開個人信息前,是否進行個人信息保護影響評估。 十一、個人信息處理者在公共場所安裝圖像收集、個人身份識別設(shè)備的,應(yīng)當重點對其安裝圖像收集、個人信息身份識別設(shè)備的合法性及所收集個人信息的用途進行審查。審查內(nèi)容包括但不限于: (一)是否為維護公共安全所必需,是否為商業(yè)目的處理所收集的個人信息; (二)是否設(shè)置了顯著的提示標識; (三)個人信息處理者所收集的個人圖像、身份識別信息用于維護公共安全以外用途的,是否取得個人單獨同意。 十二、對個人信息處理者處理已公開的個人信息進行合規(guī)審計的,應(yīng)當重點審查個人信息處理者是否存在下列違法違規(guī)行為: (一)向已公開個人信息中的電子郵箱、手機號等發(fā)送與其公開目的無關(guān)的商業(yè)信息; (二)利用已公開的個人信息從事網(wǎng)絡(luò)暴力、傳播網(wǎng)絡(luò)謠言和虛假信息等活動; (三)處理個人明確拒絕處理的已公開個人信息; (四)對個人權(quán)益有重大影響,未取得個人同意; (五)收集、留存或處理已公開個人信息的規(guī)模、時間或使用目的超出合理范圍。 十三、對個人信息處理者處理敏感個人信息進行合規(guī)審計的,應(yīng)當重點審查下列事項: (一)基于個人同意處理個人信息的,處理生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等敏感個人信息,是否事前取得個人的單獨同意; (二)基于個人同意處理個人信息的,處理不滿十四周歲未成年人的個人信息,是否事前取得未成年人的父母或者其他監(jiān)護人的同意; (三)處理敏感個人信息的目的、方式、范圍是否合法、正當、必要; (四)是否在事前進行個人信息保護影響評估; (五)是否向個人告知處理敏感個人信息的必要性以及對個人權(quán)益的影響,法律、行政法規(guī)規(guī)定應(yīng)當保密或者不需要告知的除外; (六)法律、行政法規(guī)規(guī)定應(yīng)當取得書面同意的,是否取得書面同意; (七)是否遵守法律、行政法規(guī)對處理敏感個人信息的限制性規(guī)定。 十四、對個人信息處理者處理不滿十四周歲未成年人個人信息進行合規(guī)審計的,應(yīng)當重點審查下列事項: (一)是否制定專門的個人信息處理規(guī)則; (二)是否向未成年人及其監(jiān)護人告知未成年人個人信息的處理目的、處理方式、處理必要性,以及處理個人信息的種類、所采取的保護措施等,法律、行政法規(guī)規(guī)定不需要告知的除外; (三)基于個人同意處理個人信息,是否存在強制要求未成年人或者其監(jiān)護人同意處理非必要個人信息的行為。 十五、對個人信息處理者向境外提供個人信息進行合規(guī)審計的,應(yīng)當重點審查下列事項: (一)關(guān)鍵信息基礎(chǔ)設(shè)施運營者向境外提供個人信息是否經(jīng)過國家網(wǎng)信部門組織的安全評估,法律、行政法規(guī)、國家網(wǎng)信部門另有規(guī)定的,從其規(guī)定; (二)關(guān)鍵信息基礎(chǔ)設(shè)施運營者以外的數(shù)據(jù)處理者自當年1月1日起累計向境外提供100萬人以上個人信息(不含敏感個人信息)或者1萬人以上敏感個人信息是否經(jīng)過國家網(wǎng)信部門組織的安全評估,法律、行政法規(guī)、國家網(wǎng)信部門另有規(guī)定的,從其規(guī)定; (三)關(guān)鍵信息基礎(chǔ)設(shè)施運營者以外的數(shù)據(jù)處理者自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息(不含敏感個人信息)或者不滿1萬人敏感個人信息的,是否按照國家網(wǎng)信部門的規(guī)定,經(jīng)個人信息保護認證或者按照國家網(wǎng)信部門制定的標準合同與境外接收方簽訂合同并向所在地省級網(wǎng)信部門備案,或者符合法律、行政法規(guī)、國家網(wǎng)信部門規(guī)定的其他條件; (四)存在向外國司法或者執(zhí)法機構(gòu)提供存儲于中華人民共和國境內(nèi)個人信息情形的,是否經(jīng)過中華人民共和國主管機關(guān)批準; (五)是否向被列入限制或者禁止個人信息提供清單的組織和個人提供個人信息。 十六、對個人信息刪除權(quán)保障情況進行合規(guī)審計的,應(yīng)當重點審查下列事項: (一)個人信息處理目的是否已實現(xiàn)、無法實現(xiàn)或者為實現(xiàn)處理目的不再必要; (二)個人信息處理者是否停止提供產(chǎn)品或者服務(wù),或者個人是否已注銷賬號; (三)保存期限是否已屆滿; (四)個人是否撤回同意; (五)個人信息處理者是否違反法律、行政法規(guī)或者違反約定處理個人信息; (六)應(yīng)當刪除個人信息,但法律、行政法規(guī)規(guī)定的保存期限未屆滿,或者刪除個人信息從技術(shù)上難以實現(xiàn)的,個人信息處理者是否停止除存儲和采取必要的安全措施之外的處理。 十七、對個人信息處理者保障個人在個人信息處理活動中的權(quán)利情況進行合規(guī)審計的,應(yīng)當重點審查下列事項: (一)是否建立便捷的個人行使權(quán)利的申請受理機制和處理機制; (二)是否及時響應(yīng)個人行使權(quán)利的申請,是否及時、完整、準確告知處理意見或者執(zhí)行結(jié)果; (三)拒絕個人行使權(quán)利請求的,是否向個人說明理由。 十八、個人信息處理者應(yīng)當響應(yīng)個人申請,對其個人信息處理規(guī)則進行解釋說明,合規(guī)審計時應(yīng)當重點對下列內(nèi)容進行評價: (一)個人信息處理者是否提供便捷的方式和途徑,接受、處理個人關(guān)于個人信息處理規(guī)則解釋說明的要求; (二)接到個人的要求后,個人信息處理者是否在合理的時間內(nèi),使用通俗易懂的語言對其個人信息處理規(guī)則作出解釋說明。 十九、個人信息處理者應(yīng)當依照法律、行政法規(guī)的規(guī)定制定內(nèi)部管理制度和操作規(guī)程,明確組織架構(gòu)、崗位職責,建立工作流程、完善內(nèi)控制度,保障個人信息處理合規(guī)與安全。合規(guī)審計時,應(yīng)當重點對個人信息處理者個人信息保護內(nèi)部管理制度和操作規(guī)程進行審查,包括但不限于: (一)個人信息保護工作的方針、目標、原則是否符合法律、行政法規(guī)規(guī)定; (二)個人信息保護組織架構(gòu)、人員配備、行為規(guī)范、管理責任是否與應(yīng)當履行的個人信息保護責任相適應(yīng); (三)是否根據(jù)個人信息的種類、來源、敏感程度、用途等,對個人信息進行分類; (四)是否建立個人信息安全事件應(yīng)急響應(yīng)機制; (五)是否建立個人信息保護影響評估制度、合規(guī)審計制度; (六)是否建立暢通的個人信息保護投訴舉報受理流程; (七)是否合理制定個人信息處理操作權(quán)限; (八)是否制定實施個人信息保護安全教育和培訓計劃; (九)是否建立個人信息保護負責人及相關(guān)人員履職評價制度; (十)是否建立個人信息違法處理責任制度; (十一)法律、行政法規(guī)規(guī)定的其他事項。 二十、個人信息處理者應(yīng)當采取與所處理個人信息規(guī)模、類型相適應(yīng)的安全技術(shù)措施,并對個人信息處理者采取的技術(shù)措施的有效性進行評價,評價內(nèi)容包括但不限于: (一)是否采取相應(yīng)安全技術(shù)措施實現(xiàn)個人信息的保密性、完整性、可用性; (二)是否采取加密、去標識化等安全技術(shù)措施,確保在不借助額外信息的情況下,消除或者降低個人信息的可識別性; (三)采取的安全技術(shù)措施能否合理確定有關(guān)人員查閱、復制、傳輸個人信息等的操作權(quán)限,減少個人信息在處理過程中未經(jīng)授權(quán)的訪問和濫用風險。 二十一、對個人信息處理者教育培訓計劃的制定和實施情況進行合規(guī)審計時,應(yīng)當重點對下列事項進行評價: (一)是否按計劃對管理人員、技術(shù)人員、操作人員、全員開展相應(yīng)的安全教育和培訓,是否對相應(yīng)人員的個人信息保護意識和技能進行考核; (二)培訓內(nèi)容、方式、對象、頻率等能否滿足個人信息保護需要。 二十二、對個人信息處理者指定的個人信息保護負責人履職情況進行合規(guī)審計的,應(yīng)當重點審查下列事項: (一)個人信息保護負責人是否具有相關(guān)的工作經(jīng)歷和專業(yè)知識,熟悉個人信息保護相關(guān)法律、行政法規(guī); (二)個人信息保護負責人是否具有明確清晰的職責,是否被賦予充分的權(quán)限協(xié)調(diào)個人信息處理者內(nèi)部相關(guān)部門與人員; (三)個人信息保護負責人在個人信息處理重大事項決策前是否有權(quán)提出相關(guān)意見和建議; (四)個人信息保護負責人是否有權(quán)對個人信息處理者內(nèi)部個人信息處理的不合規(guī)操作進行制止和采取必要的糾正措施; (五)個人信息處理者是否公開個人信息保護負責人的聯(lián)系方式,并將個人信息保護負責人的姓名、聯(lián)系方式等報送保護部門。 二十三、對個人信息處理者開展個人信息保護影響評估情況進行合規(guī)審計時,應(yīng)當重點對影響評估開展情況和評估內(nèi)容進行審查: (一)是否依照法律、行政法規(guī)的規(guī)定,在進行對個人權(quán)益具有重大影響的個人信息處理活動前進行個人信息保護影響評估; (二)是否對個人信息的處理目的、處理方式等進行合法、正當、必要評估; (三)是否對個人權(quán)益的影響及安全風險進行評估; (四)是否對所采取的保護措施的合法性、有效性,以及與風險程度的適應(yīng)性進行評估。 二十四、個人信息處理者應(yīng)當制定個人信息安全事件應(yīng)急預案。合規(guī)審計時,應(yīng)當對應(yīng)急預案的全面性、有效性、可執(zhí)行性作出評價,包括但不限于下列內(nèi)容: (一)是否結(jié)合業(yè)務(wù)實際,對面臨的個人信息安全風險作出系統(tǒng)評估和預測; (二)總體要求、基本策略,組織機構(gòu)、人員,技術(shù)、物資保障,指揮處置程序,應(yīng)急和支持措施等是否足以應(yīng)對預測的風險; (三)是否對相關(guān)人員進行應(yīng)急預案培訓,定期對應(yīng)急預案進行演練。 二十五、對個人信息處理者個人信息安全事件應(yīng)急響應(yīng)處置情況進行合規(guī)審計的,應(yīng)當重點審查下列事項: (一)是否按照應(yīng)急預案、操作規(guī)程及時查明個人信息安全事件的影響、范圍和可能造成的危害,分析、確定事件發(fā)生的原因,提出防止危害擴大的措施方案; (二)是否建立通報渠道,在安全事件發(fā)生后按照相關(guān)規(guī)定及時通知保護部門和個人; (三)是否采取相應(yīng)措施將個人信息安全事件可能造成的損失和可能產(chǎn)生的危害風險降低到最小。 二十六、對提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復雜的個人信息處理者制定的平臺規(guī)則進行合規(guī)審計的,應(yīng)當重點審查下列事項: (一)平臺規(guī)則是否與法律、行政法規(guī)相抵觸; (二)平臺規(guī)則個人信息保護條款的有效性,是否合理界定了平臺、平臺內(nèi)產(chǎn)品或者服務(wù)提供者的個人信息保護權(quán)利和義務(wù); (三)平臺規(guī)則的執(zhí)行情況,是否通過抽樣等方式驗證平臺規(guī)則被有效執(zhí)行。 二十七、對提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復雜的個人信息處理者發(fā)布的個人信息保護社會責任報告進行合規(guī)審計的,應(yīng)當重點審查社會責任報告披露下列內(nèi)容的情況: (一)個人信息保護組織架構(gòu)和內(nèi)部管理情況; (二)個人信息保護能力建設(shè)情況; (三)個人信息保護措施和成效; (四)個人行使權(quán)利的申請受理情況; (五)獨立監(jiān)督機構(gòu)履職情況; (六)重大個人信息安全事件處理情況; (七)促進個人信息保護社會共治的科普宣傳、公益活動情況; (八)法律、行政法規(guī)規(guī)定的其他事項。
