开元体育·(中国)官方网站国家互联网信息办公室公布《个人信息保护合规审计管理办法

作者：小编点击：发布时间：2025-02-14 21:08:54

　　开元体育·(中国)官方网站国家互联网信息办公室公布《个人信息保护合规审计管理办法据“网信中国”微信公众号2月14日消息，近日，国家互联网信息办公室公布《个人信息保护合规审计管理办法》（以下简称《办法》），自2025年5月1日起施行。

　　国家互联网信息办公室有关负责人表示，《中华人民共和国个人信息保》《网络数据安全管理条例》对个人信息处理者开展个人信息保护合规审计作了规定，《办法》对合规审计活动的开展、合规审计机构的选择、合规审计的频次、个人信息处理者和专业机构在合规审计中的义务等作出细化规定，旨在为个人信息处理者开展个人信息保护合规审计提供系统性、针对性、可操作性的规范，提升个人信息处理活动合法合规水平，保护个人信息权益。

　　《办法》明确了个人信息处理者开展合规审计的两种情形。一是个人信息处理者自行开展合规审计的，应当由个人信息处理者内部机构或者委托专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。处理超过1000万人个人信息的个人信息处理者，应当每两年至少开展一次个人信息保护合规审计。二是履行个人信息保护职责的部门发现个人信息处理活动存在较大风险、可能侵害众多个人的权益或者发生个人信息安全事件的，可以要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计。

　　《办法》明确了开展合规审计的个人信息处理者应当履行的义务。规定个人信息处理者按照履行个人信息保护职责的部门要求开展合规审计的，应当为专业机构正常开展合规审计工作提供必要支持并承担审计费用，在限定时间内完成合规审计，报送合规审计报告并进行整改。

　　《办法》明确了专业机构在合规审计中的义务。一是应当具备开展个人信息保护合规审计的能力，有与服务相适应的审计人员、场所、设施和资金等。二是应当遵守法律法规，诚信正直，公正客观地作出合规审计职业判断，对履职中知悉的个人信息、商业秘密、保密商务信息等依法予以保密。三是不得转委托其他机构开展个人信息保护合规审计。四是同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。

　　《办法》以附件形式提供了《个人信息保护合规审计指引》，对个人信息保护相关法律、行政法规的关键要点作了梳理，从合规审计的角度进行了细化。个人信息处理者自行开展或者按照履行个人信息保护职责的部门要求委托专业机构开展个人信息保护合规审计，应当参照《个人信息保护合规审计指引》。

　　《办法》同时对履行个人信息保护职责的部门的监督管理责任和个人信息处理者、专业机构违反《办法》规定的法律责任等作出了规定。

　　第一条为了规范个人信息保护合规审计活动，保护个人信息权益，根据《中华人民共和国个人信息保》、《网络数据安全管理条例》等法律、行政法规，制定本办法。

　　本办法所称个人信息保护合规审计，是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。

　　第三条个人信息处理者自行开展个人信息保护合规审计的，应当由个人信息处理者内部机构或者委托专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

　　第四条处理超过1000万人个人信息的个人信息处理者，应当每两年至少开展一次个人信息保护合规审计。

　　第五条个人信息处理者有以下情形之一的，国家网信部门和其他履行个人信息保护职责的部门（以下统称为保护部门），可以要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计：

　　（三）发生个人信息安全事件，导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的。

　　对同一个人信息安全事件或者风险，不得重复要求个人信息处理者委托专业机构开展个人信息保护合规审计。

　　第六条个人信息处理者自行开展或者按照保护部门要求委托专业机构开展个人信息保护合规审计的，应当参照本办法附件《个人信息保护合规审计指引》。

　　第七条专业机构应当具备开展个人信息保护合规审计的能力，有与服务相适应的审计人员、场所、设施和资金等。

　　第八条个人信息处理者按照保护部门要求开展个人信息保护合规审计的，应当为专业机构正常开展个人信息保护合规审计工作提供必要支持，并承担审计费用。

　　第九条个人信息处理者按照保护部门要求开展个人信息保护合规审计的，应当按照保护部门要求选定专业机构，在限定时间内完成个人信息保护合规审计；情况复杂的，报保护部门批准后，可以适当延长。

　　第十条个人信息处理者按照保护部门要求开展个人信息保护合规审计的开元体育，在完成合规审计后，应当将专业机构出具的个人信息保护合规审计报告报送保护部门。

　　第十一条个人信息处理者按照保护部门要求开展个人信息保护合规审计的，应当按照保护部门要求对合规审计中发现的问题进行整改。在整改完成后15个工作日内，向保护部门报送整改情况报告。

　　第十二条处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人，负责个人信息处理者的个人信息保护合规审计工作。

　　提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督。

　　第十三条专业机构在从事个人信息保护合规审计活动时，应当遵守法律法规，诚信正直，公正客观地作出合规审计职业判断，对在履行个人信息保护合规审计职责中获得的个人信息、商业秘密、保密商务信息等应当依法予以保密，不得泄露或者非法向他人提供，在合规审计工作结束后及时删除相关信息。

　　第十五条同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。

　　第十七条任何组织、个人有权对个人信息保护合规审计中的违法活动向保护部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理，并将处理结果告知投诉、举报人。

　　第十八条个人信息处理者、专业机构违反本办法规定的，依照《中华人民共和国个人信息保》、《网络数据安全管理条例》等法律法规的规定处理；构成犯罪的，依法追究刑事责任。

　　第十九条对国家机关和法律、法规授权的具有管理公共事务职能的组织的个人信息保护合规审计，不适用本办法。

　　一、本指引根据《中华人民共和国个人信息保》、《网络数据安全管理条例》等法律、行政法规制定。

　　（一）基于个人同意处理个人信息的，是否取得个人同意，该同意是否由个人在充分知情的前提下自愿、明确作出；

　　（二）基于个人同意处理个人信息的，个人信息的处理目的、处理方式、处理的个人信息种类发生变更的，是否重新取得个人同意；

　　（四）是否明确个人信息保存期限或者保存期限的确定方法、到期后的处理方式，以及确定保存期限为实现处理目的所必要的最短时间；

　　（五）是否明确个人查阅、复制、转移、更正、补充、删除、限制处理个人信息以及注销账号、撤回同意的途径和方法。

　　（一）个人信息处理者在处理个人信息前，是否以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理规则；

　　五、对个人信息处理者与其他个人信息处理者共同处理个人信息进行合规审计的，应当重点审查下列事项：

　　（二）个人信息处理者与受托人签订的合同，是否与受托人约定了委托处理的目的、期限、方式、个人信息的种类、保护措施以及双方的权利义务等；

　　七、个人信息处理者存在因合并、重组、分立、解散、被宣告破产等原因需要转移个人信息情形的，应当重点审查个人信息处理者是否向个人告知接收方的名称或者姓名和联系方式。

　　八、对个人信息处理者向其他个人信息处理者提供其处理的个人信息进行合规审计的，应当重点审查下列事项：

　　（二）是否向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类开元体育，法律、行政法规规定应当保密或者不需要告知的除外；

　　（四）是否向用户提供保障机制，以便个人通过便捷方式拒绝通过自动化决策方式作出对个益有重大影响的决定，并要求个人信息处理者就通过自动化决策方式作出对用户个益有重大影响的决定予以说明；

　　（五）向个人进行信息推送、商业营销的，是否同时提供不针对个人特征的选项，或者提供便捷的拒绝自动化决策服务的方式；

　　（六）是否采取了有效措施，防止自动化决策根据消费者的偏好、交易习惯等对个人在交易条件上实行不合理的差别待遇；

　　（一）个人信息处理者公开其处理的个人信息前是否取得个人单独同意，该授权是否真实、有效，是否存在违背个人意愿将个人信息予以公开的情况；

　　十一、个人信息处理者在公共场所安装图像收集、个人身份识别设备的开元体育，应当重点对其安装图像收集、个人信息身份识别设备的合法性及所收集个人信息的用途进行审查。审查内容包括但不限于：

　　（三）个人信息处理者所收集的个人图像、身份识别信息用于维护公共安全以外用途的，是否取得个人单独同意。

　　十二、对个人信息处理者处理已公开的个人信息进行合规审计的，应当重点审查个人信息处理者是否存在下列违法违规行为：

　　（一）基于个人同意处理个人信息的，处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息，是否事前取得个人的单独同意；

　　（二）基于个人同意处理个人信息的，处理不满十四周岁未成年人的个人信息，是否事前取得未成年人的父母或者其他监护人的同意；

　　（五）是否向个人告知处理敏感个人信息的必要性以及对个益的影响，法律、行政法规规定应当保密或者不需要告知的除外；

　　十四、对个人信息处理者处理不满十四周岁未成年人个人信息进行合规审计的，应当重点审查下列事项：

　　（二）是否向未成年人及其监护人告知未成年人个人信息的处理目的、处理方式、处理必要性，以及处理个人信息的种类、所采取的保护措施等，法律、行政法规规定不需要告知的除外；

　　（三）基于个人同意处理个人信息，是否存在强制要求未成年人或者其监护人同意处理非必要个人信息的行为。

　　（一）关键信息基础设施运营者向境外提供个人信息是否经过国家网信部门组织的安全评估，法律、行政法规、国家网信部门另有规定的，从其规定；

　　（二）关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供100万人以上个人信息（不含敏感个人信息）或者1万人以上敏感个人信息是否经过国家网信部门组织的安全评估，法律、行政法规、国家网信部门另有规定的，从其规定；

　　（三）关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息的，是否按照国家网信部门的规定，经个人信息保护认证或者按照国家网信部门制定的标准合同与境外接收方签订合同并向所在地省级网信部门备案，或者符合法律、行政法规、国家网信部门规定的其他条件；

　　（四）存在向外国司法或者执法机构提供存储于中华人民共和国境内个人信息情形的，是否经过中华人民共和国主管机关批准；

　　（六）应当删除个人信息，但法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者是否停止除存储和采取必要的安全措施之外的处理。

　　十七、对个人信息处理者保障个人在个人信息处理活动中的权利情况进行合规审计的，应当重点审查下列事项：

　　十八、个人信息处理者应当响应个人申请，对其个人信息处理规则进行解释说明，合规审计时应当重点对下列内容进行评价：

　　（一）个人信息处理者是否提供便捷的方式和途径，接受、处理个人关于个人信息处理规则解释说明的要求；

　　（二）接到个人的要求后，个人信息处理者是否在合理的时间内，使用通俗易懂的语言对其个人信息处理规则作出解释说明。

　　十九、个人信息处理者应当依照法律、行政法规的规定制定内部管理制度和操作规程，明确组织架构、岗位职责，建立工作流程、完善内控制度，保障个人信息处理合规与安全。合规审计时，应当重点对个人信息处理者个人信息保护内部管理制度和操作规程进行审查，包括但不限于：

　　（二）个人信息保护组织架构、人员配备、行为规范、管理责任是否与应当履行的个人信息保护责任相适应；

　　二十、个人信息处理者应当采取与所处理个人信息规模、类型相适应的安全技术措施，并对个人信息处理者采取的技术措施的有效性进行评价，评价内容包括但不限于：

　　（二）是否采取加密、去标识化等安全技术措施，确保在不借助额外信息的情况下，消除或者降低个人信息的可识别性；

　　（三）采取的安全技术措施能否合理确定有关人员查阅、复制、传输个人信息等的操作权限，减少个人信息在处理过程中未经授权的访问和滥用风险。

　　二十一、对个人信息处理者教育培训计划的制定和实施情况进行合规审计时，应当重点对下列事项进行评价：

　　（一）是否按计划对管理人员、技术人员、操作人员、全员开展相应的安全教育和培训，是否对相应人员的个人信息保护意识和技能进行考核；

　　二十二、对个人信息处理者指定的个人信息保护负责人履职情况进行合规审计的，应当重点审查下列事项：

　　（一）个人信息保护负责人是否具有相关的工作经历和专业知识，熟悉个人信息保护相关法律、行政法规；

　　（二）个人信息保护负责人是否具有明确清晰的职责，是否被赋予充分的权限协调个人信息处理者内部相关部门与人员；

　　（四）个人信息保护负责人是否有权对个人信息处理者内部个人信息处理的不合规操作进行制止和采取必要的纠正措施；

　　（五）个人信息处理者是否公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送保护部门。

　　二十三、对个人信息处理者开展个人信息保护影响评估情况进行合规审计时，应当重点对影响评估开展情况和评估内容进行审查：

　　（一）是否依照法律、行政法规的规定，在进行对个益具有重大影响的个人信息处理活动前进行个人信息保护影响评估；

　　二十四、个人信息处理者应当制定个人信息安全事件应急预案。合规审计时，应当对应急预案的全面性、有效性、可执行性作出评价，包括但不限于下列内容：

　　（二）总体要求、基本策略，组织机构、人员，技术、物资保障，指挥处置程序，应急和支持措施等是否足以应对预测的风险；

　　二十五、对个人信息处理者个人信息安全事件应急响应处置情况进行合规审计的，应当重点审查下列事项：

　　（一）是否按照应急预案、操作规程及时查明个人信息安全事件的影响、范围和可能造成的危害，分析、确定事件发生的原因，提出防止危害扩大的措施方案；

　　二十六、对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者制定的平台规则进行合规审计的，应当重点审查下列事项：

　　（二）平台规则个人信息保护条款的有效性，是否合理界定了平台、平台内产品或者服务提供者的个人信息保护权利和义务；

　　二十七、对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者发布的个人信息保护社会责任报告进行合规审计的，应当重点审查社会责任报告披露下列内容的情况：

　　近日，国家互联网信息办公室公布《个人信息保护合规审计管理办法》（以下简称《办法》）。国家互联网信息办公室有关负责人就《办法》相关问题回答了记者提问。

　　答：当前，个人信息被企业、机构甚至个人广泛收集使用，个人信息保护和个人信息利用的矛盾日益突出。为压实个人信息处理者个人信息保护主体责任，加强个人信息处理活动风险控制和监督，《中华人民共和国个人信息保》《网络数据安全管理条例》对个人信息处理者开展合规审计作了规定。为有效落实法律法规要求，国家互联网信息办公室制定出台《办法》，对个人信息保护合规审计活动的开展、合规审计机构的选择、合规审计的频次、个人信息处理者和专业机构在合规审计中的义务等作出细化规定，旨在为个人信息处理者开展个人信息保护合规审计提供系统性、针对性、可操作性的规范，提升个人信息处理活动合法合规水平，保护个人信息权益。

　　答：《中华人民共和国个人信息保》第五十四条规定，个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。第六十四条规定，履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈，或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。《网络数据安全管理条例》第二十七条规定，网络数据处理者应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计。以上法律法规明确了个人信息保护合规审计的两种情形：一是个人信息处理者自行开展合规审计。二是按照履行个人信息保护职责的部门要求，委托专业机构开展合规审计。

　　答：《办法》主要对下列内容进行了规定：一是明确个人信息处理者自行开展合规审计和按照履行个人信息保护职责的部门要求委托专业机构开展合规审计的条件，合规审计机构的选择和合规审计的频次。二是明确开展合规审计的个人信息处理者应当履行的义务，规定个人信息处理者按照履行个人信息保护职责的部门要求开展合规审计的，应当为专业机构正常开展合规审计工作提供必要支持并承担审计费用，在限定时间内完成合规审计，报送合规审计报告并进行整改。三是明确专业机构在合规审计中的义务，规定专业机构应当具备开展合规审计的能力，遵守法律法规，明确同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。四是明确履行个人信息保护职责的部门对个人信息处理者开展合规审计情况进行监督检查，任何组织、个人有权对合规审计中的违法活动向履行个人信息保护职责的部门进行投诉、举报，并规定个人信息处理者、专业机构违反《办法》规定的法律责任。

　　答：个人信息处理者开展个人信息保护合规审计分两种情形：一是自行开展合规审计，即个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。处理超过1000万人个人信息的个人信息处理者，应当每两年至少开展一次个人信息保护合规审计。其他个人信息处理者根据自身情况合理确定定期开展个人信息保护合规审计的频次。二是按照要求开展合规审计，即履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险、可能侵害众多个人的权益或者发生个人信息安全事件的，可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。

　　答：个人信息处理者自行开展合规审计时，可以选择由内部机构自行开展，也可以委托专业机构开展。《办法》对采取何种审计方式、是否选择专业机构，以及选择哪家专业机构没有强制性要求。个人信息处理活动存在较大风险、可能侵害众多个人的权益或者发生个人信息安全事件时，履行个人信息保护职责的部门可以要求个人信息处理者委托专业机构开展个人信息保护合规审计。

　　答：专业机构接受个人信息处理者委托开展合规审计，应当公正客观地作出合规审计结论，提出合规审计建议，其出具的合规审计报告是履行个人信息保护职责的部门开展监督管理工作的重要参考。《办法》对专业机构提出以下要求：一是应当具备开展个人信息保护合规审计的能力，有与服务相适应的审计人员、场所、设施和资金等。二是应当遵守法律法规，诚信正直，公正客观地作出合规审计职业判断，对在履行个人信息保护合规审计职责中获得的个人信息、商业秘密、保密商务信息等依法予以保密，不得泄露或者非法向他人提供，在合规审计工作结束后及时删除相关信息。三是不得转委托其他机构开展个人信息保护合规审计。四是同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。

　　答：《办法》遵循自愿性、市场化的原则，通过认证认可方式对专业机构进行监督管理。专业机构的认证按照《中华人民共和国认证认可条例》的有关规定执行。具备开展个人信息保护合规审计能力，有与服务相适应的审计人员、场所、设施和资金的专业机构，可以自愿申请相关服务能力认证。

　　问8：个人信息处理者按照履行个人信息保护职责的部门要求开展个人信息保护合规审计时，应当履行哪些义务？

　　答：《办法》对个人信息处理者按照履行个人信息保护职责的部门要求开展个人信息保护合规审计提出以下要求：一是保障合规审计正常进行，为专业机构正常开展个人信息保护合规审计工作提供必要支持，并承担审计费用。二是按照履行个人信息保护职责的部门要求选定专业机构，在限定时间内完成个人信息保护合规审计，情况复杂的，报履行个人信息保护职责的部门批准后，可以适当延长。三是报送合规审计报告并进行整改，个人信息处理者在完成合规审计后，应当将专业机构出具的个人信息保护合规审计报告报送履行个人信息保护职责的部门，按照履行个人信息保护职责的部门要求对合规审计中发现的问题进行整改，在整改完成后15个工作日内，向履行个人信息保护职责的部门报送整改情况报告。

　　答：《个人信息保护合规审计指引》对个人信息保护相关法律、行政法规的关键要点作了梳理，从合规审计的角度进行了细化，便于个人信息处理者对个人信息处理活动是否遵守法律、行政法规要求进行审查和评价。个人信息处理者自行开展或者按照履行个人信息保护职责的部门要求委托专业机构开展个人信息保护合规审计，应当参照《个人信息保护合规审计指引》。