國家互聯(lián)網(wǎng)信息辦公室令
第18號
《個(gè)人信息保護合規審計管理辦法》已經(jīng)2024年5月20日國家互聯(lián)網(wǎng)信息辦公室2024年第15次室務(wù)會(huì )會(huì )議審議通過(guò)�,現予公布���,自2025年5月1日起施行�。
國家互聯(lián)網(wǎng)信息辦公室主任 莊榮文
2025年2月12日
個(gè)人信息保護合規審計管理辦法
第一條 為了規范個(gè)人信息保護合規審計活動(dòng)��,保護個(gè)人信息權益����,根據《中華人民共和國個(gè)人信息保護法》���、《網(wǎng)絡(luò )數據安全管理條例》等法律�����、行政法規�,制定本辦法��。
第二條 在中華人民共和國境內開(kāi)展個(gè)人信息保護合規審計�,適用本辦法�����。
本辦法所稱(chēng)個(gè)人信息保護合規審計��,是指對個(gè)人信息處理者的個(gè)人信息處理活動(dòng)是否遵守法律�����、行政法規的情況進(jìn)行審查和評價(jià)的監督活動(dòng)��。
第三條 個(gè)人信息處理者自行開(kāi)展個(gè)人信息保護合規審計的���,應當由個(gè)人信息處理者內部機構或者委托專(zhuān)業(yè)機構定期對其處理個(gè)人信息遵守法律�、行政法規的情況進(jìn)行合規審計���。
第四條 處理超過(guò)1000萬(wàn)人個(gè)人信息的個(gè)人信息處理者�����,應當每?jì)赡曛辽匍_(kāi)展一次個(gè)人信息保護合規審計����。
第五條 個(gè)人信息處理者有以下情形之一的�,國家網(wǎng)信部門(mén)和其他履行個(gè)人信息保護職責的部門(mén)(以下統稱(chēng)為保護部門(mén))���,可以要求個(gè)人信息處理者委托專(zhuān)業(yè)機構對個(gè)人信息處理活動(dòng)進(jìn)行合規審計:
(一)發(fā)現個(gè)人信息處理活動(dòng)存在嚴重影響個(gè)人權益或者嚴重缺乏安全措施等較大風(fēng)險的���;
(二)個(gè)人信息處理活動(dòng)可能侵害眾多個(gè)人的權益的�;
(三)發(fā)生個(gè)人信息安全事件�����,導致100萬(wàn)人以上個(gè)人信息或者10萬(wàn)人以上敏感個(gè)人信息泄露�、篡改����、丟失���、毀損的���。
對同一個(gè)人信息安全事件或者風(fēng)險�,不得重復要求個(gè)人信息處理者委托專(zhuān)業(yè)機構開(kāi)展個(gè)人信息保護合規審計����。
第六條 個(gè)人信息處理者自行開(kāi)展或者按照保護部門(mén)要求委托專(zhuān)業(yè)機構開(kāi)展個(gè)人信息保護合規審計的��,應當參照本辦法附件《個(gè)人信息保護合規審計指引》��。
第七條 專(zhuān)業(yè)機構應當具備開(kāi)展個(gè)人信息保護合規審計的能力�����,有與服務(wù)相適應的審計人員��、場(chǎng)所�����、設施和資金等�����。
鼓勵相關(guān)專(zhuān)業(yè)機構通過(guò)認證��。專(zhuān)業(yè)機構的認證按照《中華人民共和國認證認可條例》的有關(guān)規定執行����。
第八條 個(gè)人信息處理者按照保護部門(mén)要求開(kāi)展個(gè)人信息保護合規審計的����,應當為專(zhuān)業(yè)機構正常開(kāi)展個(gè)人信息保護合規審計工作提供必要支持��,并承擔審計費用��。
第九條 個(gè)人信息處理者按照保護部門(mén)要求開(kāi)展個(gè)人信息保護合規審計的����,應當按照保護部門(mén)要求選定專(zhuān)業(yè)機構�����,在限定時(shí)間內完成個(gè)人信息保護合規審計�;情況復雜的�,報保護部門(mén)批準后�����,可以適當延長(cháng)�。
第十條 個(gè)人信息處理者按照保護部門(mén)要求開(kāi)展個(gè)人信息保護合規審計的���,在完成合規審計后���,應當將專(zhuān)業(yè)機構出具的個(gè)人信息保護合規審計報告報送保護部門(mén)�����。
個(gè)人信息保護合規審計報告應當由專(zhuān)業(yè)機構主要負責人����、合規審計負責人簽字并加蓋專(zhuān)業(yè)機構公章�����。
第十一條 個(gè)人信息處理者按照保護部門(mén)要求開(kāi)展個(gè)人信息保護合規審計的�����,應當按照保護部門(mén)要求對合規審計中發(fā)現的問(wèn)題進(jìn)行整改����。在整改完成后15個(gè)工作日內�����,向保護部門(mén)報送整改情況報告���。
第十二條 處理100萬(wàn)人以上個(gè)人信息的個(gè)人信息處理者應當指定個(gè)人信息保護負責人���,負責個(gè)人信息處理者的個(gè)人信息保護合規審計工作�����。
提供重要互聯(lián)網(wǎng)平臺服務(wù)����、用戶(hù)數量巨大�����、業(yè)務(wù)類(lèi)型復雜的個(gè)人信息處理者�,應當成立主要由外部成員組成的獨立機構對個(gè)人信息保護合規審計情況進(jìn)行監督�。
第十三條 專(zhuān)業(yè)機構在從事個(gè)人信息保護合規審計活動(dòng)時(shí)���,應當遵守法律法規�����,誠信正直�,公正客觀(guān)地作出合規審計職業(yè)判斷�,對在履行個(gè)人信息保護合規審計職責中獲得的個(gè)人信息�����、商業(yè)秘密��、保密商務(wù)信息等應當依法予以保密����,不得泄露或者非法向他人提供�����,在合規審計工作結束后及時(shí)刪除相關(guān)信息��。
第十四條 專(zhuān)業(yè)機構不得轉委托其他機構開(kāi)展個(gè)人信息保護合規審計��。
第十五條 同一專(zhuān)業(yè)機構及其關(guān)聯(lián)機構��、同一合規審計負責人不得連續三次以上對同一審計對象開(kāi)展個(gè)人信息保護合規審計����。
第十六條 保護部門(mén)對個(gè)人信息處理者開(kāi)展個(gè)人信息保護合規審計情況進(jìn)行監督檢查�����。
第十七條 任何組織����、個(gè)人有權對個(gè)人信息保護合規審計中的違法活動(dòng)向保護部門(mén)進(jìn)行投訴��、舉報���。收到投訴��、舉報的部門(mén)應當依法及時(shí)處理���,并將處理結果告知投訴�����、舉報人��。
第十八條 個(gè)人信息處理者��、專(zhuān)業(yè)機構違反本辦法規定的����,依照《中華人民共和國個(gè)人信息保護法》����、《網(wǎng)絡(luò )數據安全管理條例》等法律法規的規定處理����;構成犯罪的��,依法追究刑事責任���。
第十九條 對國家機關(guān)和法律���、法規授權的具有管理公共事務(wù)職能的組織的個(gè)人信息保護合規審計�,不適用本辦法�����。
第二十條 本辦法自2025年5月1日起施行�����。
附件
個(gè)人信息保護合規審計指引
一�����、本指引根據《中華人民共和國個(gè)人信息保護法》��、《網(wǎng)絡(luò )數據安全管理條例》等法律���、行政法規制定���。
二��、對個(gè)人信息處理活動(dòng)的合法性基礎進(jìn)行合規審計的����,應當重點(diǎn)審查下列事項:
(一)基于個(gè)人同意處理個(gè)人信息的�,是否取得個(gè)人同意��,該同意是否由個(gè)人在充分知情的前提下自愿���、明確作出�;
(二)基于個(gè)人同意處理個(gè)人信息的�����,個(gè)人信息的處理目的��、處理方式�����、處理的個(gè)人信息種類(lèi)發(fā)生變更的����,是否重新取得個(gè)人同意�����;
(三)基于個(gè)人同意處理個(gè)人信息的��,是否依照法律�、行政法規取得個(gè)人單獨同意或者書(shū)面同意����;
(四)處理個(gè)人信息未取得個(gè)人同意的�����,是否屬于法律���、行政法規規定不需要取得個(gè)人同意的情形�����。
三��、對個(gè)人信息處理規則進(jìn)行合規審計的�,應當重點(diǎn)審查下列事項:
(一)是否真實(shí)�����、準確�、完整地告知個(gè)人信息處理者的名稱(chēng)或者姓名和聯(lián)系方式�;
(二)是否以清單等便于查看的形式列明所收集的個(gè)人信息及其處理方式和種類(lèi)�;
(三)是否與處理目的直接相關(guān)�����,采取對個(gè)人權益影響最小的方式�;
(四)是否明確個(gè)人信息保存期限或者保存期限的確定方法��、到期后的處理方式�����,以及確定保存期限為實(shí)現處理目的所必要的最短時(shí)間���;
(五)是否明確個(gè)人查閱����、復制�����、轉移�、更正��、補充�、刪除�����、限制處理個(gè)人信息以及注銷(xiāo)賬號�、撤回同意的途徑和方法�����。
四��、對個(gè)人信息處理者履行告知個(gè)人信息處理規則義務(wù)進(jìn)行合規審計的����,應當重點(diǎn)審查下列事項:
(一)個(gè)人信息處理者在處理個(gè)人信息前��,是否以顯著(zhù)方式�、清晰易懂的語(yǔ)言真實(shí)�����、準確�����、完整地向個(gè)人告知個(gè)人信息處理規則����;
(二)告知文本的大小��、字體和顏色是否便于個(gè)人完整閱讀告知事項���;
(三)線(xiàn)下告知是否通過(guò)標注����、說(shuō)明等多種方式向個(gè)人履行告知義務(wù)�;
(四)在線(xiàn)告知是否提供文本信息或者通過(guò)適當方式向個(gè)人履行告知義務(wù)����;
(五)個(gè)人信息處理規則發(fā)生變更的��,是否將變更內容及時(shí)告知個(gè)人���;
(六)處理個(gè)人信息不需要告知的����,是否屬于法律�、行政法規規定應當保密或者不需要告知的情形��。
五����、對個(gè)人信息處理者與其他個(gè)人信息處理者共同處理個(gè)人信息進(jìn)行合規審計的�,應當重點(diǎn)審查下列事項:
(一)是否約定各自的權利義務(wù)����;
(二)個(gè)人信息權益保護機制�����;
(三)個(gè)人信息安全事件報告機制��;
(四)其他法律�、行政法規規定需要約定的權利和義務(wù)���。
六���、對個(gè)人信息處理者委托處理個(gè)人信息進(jìn)行合規審計的����,應當重點(diǎn)審查下列事項:
(一)個(gè)人信息處理者在委托處理個(gè)人信息前����,是否開(kāi)展個(gè)人信息保護影響評估���;
(二)個(gè)人信息處理者與受托人簽訂的合同����,是否與受托人約定了委托處理的目的���、期限��、方式���、個(gè)人信息的種類(lèi)�����、保護措施以及雙方的權利義務(wù)等�;
(三)個(gè)人信息處理者是否采取定期檢查等方式���,對受托人的個(gè)人信息處理活動(dòng)進(jìn)行監督��。
七��、個(gè)人信息處理者存在因合并��、重組����、分立���、解散����、被宣告破產(chǎn)等原因需要轉移個(gè)人信息情形的����,應當重點(diǎn)審查個(gè)人信息處理者是否向個(gè)人告知接收方的名稱(chēng)或者姓名和聯(lián)系方式�。
八���、對個(gè)人信息處理者向其他個(gè)人信息處理者提供其處理的個(gè)人信息進(jìn)行合規審計的�,應當重點(diǎn)審查下列事項:
(一)基于個(gè)人同意處理個(gè)人信息的��,是否取得個(gè)人的單獨同意����;
(二)是否向個(gè)人告知接收方的名稱(chēng)或者姓名����、聯(lián)系方式��、處理目的��、處理方式和個(gè)人信息的種類(lèi)��,法律�、行政法規規定應當保密或者不需要告知的除外�;
(三)是否事前進(jìn)行個(gè)人信息保護影響評估��。
九�����、對個(gè)人信息處理者利用自動(dòng)化決策處理個(gè)人信息進(jìn)行合規審計的�,應當重點(diǎn)審查下列事項:
(一)自動(dòng)化決策的透明度�,以及自動(dòng)化決策的結果是否公平�����、公正�����;
(二)是否事前告知個(gè)人自動(dòng)化決策處理個(gè)人信息的種類(lèi)及可能帶來(lái)的影響�;
(三)是否事前進(jìn)行個(gè)人信息保護影響評估�����;
(四)是否向用戶(hù)提供保障機制�����,以便個(gè)人通過(guò)便捷方式拒絕通過(guò)自動(dòng)化決策方式作出對個(gè)人權益有重大影響的決定����,并要求個(gè)人信息處理者就通過(guò)自動(dòng)化決策方式作出對用戶(hù)個(gè)人權益有重大影響的決定予以說(shuō)明�;
(五)向個(gè)人進(jìn)行信息推送���、商業(yè)營(yíng)銷(xiāo)的��,是否同時(shí)提供不針對個(gè)人特征的選項�,或者提供便捷的拒絕自動(dòng)化決策服務(wù)的方式�����;
(六)是否采取了有效措施�,防止自動(dòng)化決策根據消費者的偏好�、交易習慣等對個(gè)人在交易條件上實(shí)行不合理的差別待遇�;
(七)其他可能影響自動(dòng)化決策的透明度和結果公平���、公正的事項�����。
十���、對個(gè)人信息處理者基于個(gè)人同意公開(kāi)個(gè)人信息進(jìn)行合規審計的�,應當重點(diǎn)審查下列事項:
(一)個(gè)人信息處理者公開(kāi)其處理的個(gè)人信息前是否取得個(gè)人單獨同意����,該授權是否真實(shí)�����、有效�����,是否存在違背個(gè)人意愿將個(gè)人信息予以公開(kāi)的情況�;
(二)個(gè)人信息處理者公開(kāi)個(gè)人信息前��,是否進(jìn)行個(gè)人信息保護影響評估�����。
十一����、個(gè)人信息處理者在公共場(chǎng)所安裝圖像收集��、個(gè)人身份識別設備的�����,應當重點(diǎn)對其安裝圖像收集��、個(gè)人信息身份識別設備的合法性及所收集個(gè)人信息的用途進(jìn)行審查���。審查內容包括但不限于:
(一)是否為維護公共安全所必需���,是否為商業(yè)目的處理所收集的個(gè)人信息�;
(二)是否設置了顯著(zhù)的提示標識����;
(三)個(gè)人信息處理者所收集的個(gè)人圖像���、身份識別信息用于維護公共安全以外用途的�����,是否取得個(gè)人單獨同意�。
十二�����、對個(gè)人信息處理者處理已公開(kāi)的個(gè)人信息進(jìn)行合規審計的�,應當重點(diǎn)審查個(gè)人信息處理者是否存在下列違法違規行為:
(一)向已公開(kāi)個(gè)人信息中的電子郵箱��、手機號等發(fā)送與其公開(kāi)目的無(wú)關(guān)的商業(yè)信息�;
(二)利用已公開(kāi)的個(gè)人信息從事網(wǎng)絡(luò )暴力��、傳播網(wǎng)絡(luò )謠言和虛假信息等活動(dòng)����;
(三)處理個(gè)人明確拒絕處理的已公開(kāi)個(gè)人信息�;
(四)對個(gè)人權益有重大影響��,未取得個(gè)人同意�����;
(五)收集���、留存或處理已公開(kāi)個(gè)人信息的規模��、時(shí)間或使用目的超出合理范圍��。
十三����、對個(gè)人信息處理者處理敏感個(gè)人信息進(jìn)行合規審計的����,應當重點(diǎn)審查下列事項:
(一)基于個(gè)人同意處理個(gè)人信息的�����,處理生物識別�����、宗教信仰�、特定身份��、醫療健康��、金融賬戶(hù)����、行蹤軌跡等敏感個(gè)人信息�����,是否事前取得個(gè)人的單獨同意���;
(二)基于個(gè)人同意處理個(gè)人信息的��,處理不滿(mǎn)十四周歲未成年人的個(gè)人信息��,是否事前取得未成年人的父母或者其他監護人的同意��;
(三)處理敏感個(gè)人信息的目的�����、方式�、范圍是否合法�、正當���、必要�����;
(四)是否在事前進(jìn)行個(gè)人信息保護影響評估��;
(五)是否向個(gè)人告知處理敏感個(gè)人信息的必要性以及對個(gè)人權益的影響�����,法律����、行政法規規定應當保密或者不需要告知的除外��;
(六)法律�、行政法規規定應當取得書(shū)面同意的��,是否取得書(shū)面同意����;
(七)是否遵守法律�����、行政法規對處理敏感個(gè)人信息的限制性規定���。
十四�、對個(gè)人信息處理者處理不滿(mǎn)十四周歲未成年人個(gè)人信息進(jìn)行合規審計的�����,應當重點(diǎn)審查下列事項:
(一)是否制定專(zhuān)門(mén)的個(gè)人信息處理規則��;
(二)是否向未成年人及其監護人告知未成年人個(gè)人信息的處理目的����、處理方式�����、處理必要性�����,以及處理個(gè)人信息的種類(lèi)����、所采取的保護措施等�,法律����、行政法規規定不需要告知的除外���;
(三)基于個(gè)人同意處理個(gè)人信息��,是否存在強制要求未成年人或者其監護人同意處理非必要個(gè)人信息的行為��。
十五��、對個(gè)人信息處理者向境外提供個(gè)人信息進(jìn)行合規審計的�,應當重點(diǎn)審查下列事項:
(一)關(guān)鍵信息基礎設施運營(yíng)者向境外提供個(gè)人信息是否經(jīng)過(guò)國家網(wǎng)信部門(mén)組織的安全評估��,法律���、行政法規�����、國家網(wǎng)信部門(mén)另有規定的��,從其規定�����;
(二)關(guān)鍵信息基礎設施運營(yíng)者以外的數據處理者自當年1月1日起累計向境外提供100萬(wàn)人以上個(gè)人信息(不含敏感個(gè)人信息)或者1萬(wàn)人以上敏感個(gè)人信息是否經(jīng)過(guò)國家網(wǎng)信部門(mén)組織的安全評估�����,法律���、行政法規�����、國家網(wǎng)信部門(mén)另有規定的�,從其規定��;
(三)關(guān)鍵信息基礎設施運營(yíng)者以外的數據處理者自當年1月1日起累計向境外提供10萬(wàn)人以上����、不滿(mǎn)100萬(wàn)人個(gè)人信息(不含敏感個(gè)人信息)或者不滿(mǎn)1萬(wàn)人敏感個(gè)人信息的��,是否按照國家網(wǎng)信部門(mén)的規定����,經(jīng)個(gè)人信息保護認證或者按照國家網(wǎng)信部門(mén)制定的標準合同與境外接收方簽訂合同并向所在地省級網(wǎng)信部門(mén)備案����,或者符合法律�、行政法規���、國家網(wǎng)信部門(mén)規定的其他條件����;
(四)存在向外國司法或者執法機構提供存儲于中華人民共和國境內個(gè)人信息情形的�,是否經(jīng)過(guò)中華人民共和國主管機關(guān)批準��;
(五)是否向被列入限制或者禁止個(gè)人信息提供清單的組織和個(gè)人提供個(gè)人信息����。
十六�、對個(gè)人信息刪除權保障情況進(jìn)行合規審計的��,應當重點(diǎn)審查下列事項:
(一)個(gè)人信息處理目的是否已實(shí)現�����、無(wú)法實(shí)現或者為實(shí)現處理目的不再必要�;
(二)個(gè)人信息處理者是否停止提供產(chǎn)品或者服務(wù)���,或者個(gè)人是否已注銷(xiāo)賬號��;
(三)保存期限是否已屆滿(mǎn)���;
(四)個(gè)人是否撤回同意����;
(五)個(gè)人信息處理者是否違反法律��、行政法規或者違反約定處理個(gè)人信息�;
(六)應當刪除個(gè)人信息���,但法律��、行政法規規定的保存期限未屆滿(mǎn)�,或者刪除個(gè)人信息從技術(shù)上難以實(shí)現的����,個(gè)人信息處理者是否停止除存儲和采取必要的安全措施之外的處理�。
十七�����、對個(gè)人信息處理者保障個(gè)人在個(gè)人信息處理活動(dòng)中的權利情況進(jìn)行合規審計的���,應當重點(diǎn)審查下列事項:
(一)是否建立便捷的個(gè)人行使權利的申請受理機制和處理機制����;
(二)是否及時(shí)響應個(gè)人行使權利的申請�����,是否及時(shí)�����、完整��、準確告知處理意見(jiàn)或者執行結果��;
(三)拒絕個(gè)人行使權利請求的����,是否向個(gè)人說(shuō)明理由���。
十八���、個(gè)人信息處理者應當響應個(gè)人申請��,對其個(gè)人信息處理規則進(jìn)行解釋說(shuō)明��,合規審計時(shí)應當重點(diǎn)對下列內容進(jìn)行評價(jià):
(一)個(gè)人信息處理者是否提供便捷的方式和途徑��,接受�����、處理個(gè)人關(guān)于個(gè)人信息處理規則解釋說(shuō)明的要求��;
(二)接到個(gè)人的要求后�����,個(gè)人信息處理者是否在合理的時(shí)間內�����,使用通俗易懂的語(yǔ)言對其個(gè)人信息處理規則作出解釋說(shuō)明��。
十九�、個(gè)人信息處理者應當依照法律�、行政法規的規定制定內部管理制度和操作規程�����,明確組織架構����、崗位職責���,建立工作流程�����、完善內控制度���,保障個(gè)人信息處理合規與安全�����。合規審計時(shí)���,應當重點(diǎn)對個(gè)人信息處理者個(gè)人信息保護內部管理制度和操作規程進(jìn)行審查���,包括但不限于:
(一)個(gè)人信息保護工作的方針����、目標����、原則是否符合法律��、行政法規規定�;
(二)個(gè)人信息保護組織架構���、人員配備���、行為規范���、管理責任是否與應當履行的個(gè)人信息保護責任相適應�;
(三)是否根據個(gè)人信息的種類(lèi)���、來(lái)源�����、敏感程度����、用途等�,對個(gè)人信息進(jìn)行分類(lèi)����;
(四)是否建立個(gè)人信息安全事件應急響應機制��;
(五)是否建立個(gè)人信息保護影響評估制度�、合規審計制度���;
(六)是否建立暢通的個(gè)人信息保護投訴舉報受理流程���;
(七)是否合理制定個(gè)人信息處理操作權限�;
(八)是否制定實(shí)施個(gè)人信息保護安全教育和培訓計劃��;
(九)是否建立個(gè)人信息保護負責人及相關(guān)人員履職評價(jià)制度��;
(十)是否建立個(gè)人信息違法處理責任制度��;
(十一)法律�、行政法規規定的其他事項��。
二十�����、個(gè)人信息處理者應當采取與所處理個(gè)人信息規模�、類(lèi)型相適應的安全技術(shù)措施��,并對個(gè)人信息處理者采取的技術(shù)措施的有效性進(jìn)行評價(jià)����,評價(jià)內容包括但不限于:
(一)是否采取相應安全技術(shù)措施實(shí)現個(gè)人信息的保密性����、完整性����、可用性����;
(二)是否采取加密���、去標識化等安全技術(shù)措施���,確保在不借助額外信息的情況下���,消除或者降低個(gè)人信息的可識別性�;
(三)采取的安全技術(shù)措施能否合理確定有關(guān)人員查閱�、復制��、傳輸個(gè)人信息等的操作權限��,減少個(gè)人信息在處理過(guò)程中未經(jīng)授權的訪(fǎng)問(wèn)和濫用風(fēng)險���。
二十一����、對個(gè)人信息處理者教育培訓計劃的制定和實(shí)施情況進(jìn)行合規審計時(shí)����,應當重點(diǎn)對下列事項進(jìn)行評價(jià):
(一)是否按計劃對管理人員�、技術(shù)人員���、操作人員���、全員開(kāi)展相應的安全教育和培訓���,是否對相應人員的個(gè)人信息保護意識和技能進(jìn)行考核����;
(二)培訓內容����、方式�、對象�����、頻率等能否滿(mǎn)足個(gè)人信息保護需要�����。
二十二��、對個(gè)人信息處理者指定的個(gè)人信息保護負責人履職情況進(jìn)行合規審計的��,應當重點(diǎn)審查下列事項:
(一)個(gè)人信息保護負責人是否具有相關(guān)的工作經(jīng)歷和專(zhuān)業(yè)知識��,熟悉個(gè)人信息保護相關(guān)法律����、行政法規����;
(二)個(gè)人信息保護負責人是否具有明確清晰的職責����,是否被賦予充分的權限協(xié)調個(gè)人信息處理者內部相關(guān)部門(mén)與人員�����;
(三)個(gè)人信息保護負責人在個(gè)人信息處理重大事項決策前是否有權提出相關(guān)意見(jiàn)和建議���;
(四)個(gè)人信息保護負責人是否有權對個(gè)人信息處理者內部個(gè)人信息處理的不合規操作進(jìn)行制止和采取必要的糾正措施����;
(五)個(gè)人信息處理者是否公開(kāi)個(gè)人信息保護負責人的聯(lián)系方式��,并將個(gè)人信息保護負責人的姓名�、聯(lián)系方式等報送保護部門(mén)�����。
二十三�、對個(gè)人信息處理者開(kāi)展個(gè)人信息保護影響評估情況進(jìn)行合規審計時(shí)�����,應當重點(diǎn)對影響評估開(kāi)展情況和評估內容進(jìn)行審查:
(一)是否依照法律����、行政法規的規定���,在進(jìn)行對個(gè)人權益具有重大影響的個(gè)人信息處理活動(dòng)前進(jìn)行個(gè)人信息保護影響評估����;
(二)是否對個(gè)人信息的處理目的��、處理方式等進(jìn)行合法���、正當�����、必要評估����;
(三)是否對個(gè)人權益的影響及安全風(fēng)險進(jìn)行評估�����;
(四)是否對所采取的保護措施的合法性��、有效性���,以及與風(fēng)險程度的適應性進(jìn)行評估�����。
二十四���、個(gè)人信息處理者應當制定個(gè)人信息安全事件應急預案�����。合規審計時(shí)�����,應當對應急預案的全面性�、有效性���、可執行性作出評價(jià)��,包括但不限于下列內容:
(一)是否結合業(yè)務(wù)實(shí)際����,對面臨的個(gè)人信息安全風(fēng)險作出系統評估和預測�;
(二)總體要求�����、基本策略�����,組織機構�、人員�,技術(shù)��、物資保障�����,指揮處置程序�����,應急和支持措施等是否足以應對預測的風(fēng)險��;
(三)是否對相關(guān)人員進(jìn)行應急預案培訓��,定期對應急預案進(jìn)行演練���。
二十五��、對個(gè)人信息處理者個(gè)人信息安全事件應急響應處置情況進(jìn)行合規審計的�,應當重點(diǎn)審查下列事項:
(一)是否按照應急預案�、操作規程及時(shí)查明個(gè)人信息安全事件的影響���、范圍和可能造成的危害��,分析��、確定事件發(fā)生的原因��,提出防止危害擴大的措施方案����;
(二)是否建立通報渠道�����,在安全事件發(fā)生后按照相關(guān)規定及時(shí)通知保護部門(mén)和個(gè)人���;
(三)是否采取相應措施將個(gè)人信息安全事件可能造成的損失和可能產(chǎn)生的危害風(fēng)險降低到最小����。
二十六�、對提供重要互聯(lián)網(wǎng)平臺服務(wù)�、用戶(hù)數量巨大����、業(yè)務(wù)類(lèi)型復雜的個(gè)人信息處理者制定的平臺規則進(jìn)行合規審計的�����,應當重點(diǎn)審查下列事項:
(一)平臺規則是否與法律��、行政法規相抵觸��;
(二)平臺規則個(gè)人信息保護條款的有效性����,是否合理界定了平臺���、平臺內產(chǎn)品或者服務(wù)提供者的個(gè)人信息保護權利和義務(wù)��;
(三)平臺規則的執行情況����,是否通過(guò)抽樣等方式驗證平臺規則被有效執行����。
二十七��、對提供重要互聯(lián)網(wǎng)平臺服務(wù)�、用戶(hù)數量巨大�����、業(yè)務(wù)類(lèi)型復雜的個(gè)人信息處理者發(fā)布的個(gè)人信息保護社會(huì )責任報告進(jìn)行合規審計的���,應當重點(diǎn)審查社會(huì )責任報告披露下列內容的情況:
(一)個(gè)人信息保護組織架構和內部管理情況��;
(二)個(gè)人信息保護能力建設情況�;
(三)個(gè)人信息保護措施和成效�����;
(四)個(gè)人行使權利的申請受理情況�����;
(五)獨立監督機構履職情況����;
(六)重大個(gè)人信息安全事件處理情況����;
(七)促進(jìn)個(gè)人信息保護社會(huì )共治的科普宣傳��、公益活動(dòng)情況�;
(八)法律�����、行政法規規定的其他事項���。
