個人信息保護合規審計管理辦法

2023年8月，國家網際網路信息辦煉鞏愉公室發布《個人信息保護合規審計管理辦法（徵求意見稿）》。

為指導、規範個人信息保護合規審計活動，根據《中華人民共和國個人信息保護法》等法律法規，國家網際網路信息辦公室起草了《個人信息保護合規審計管理辦法（徵求意見稿）》，現向社會公開徵求意見。公眾可以通過以下途徑和方式提出反饋意見：

1.登錄中華人民共和國法務部 中國政府法制信息網（略），進入首頁主選單的“立法意見徵集”欄目提出意見。

2.通過電子郵件方式傳送至：【略】。

3.通過信函方式將意見寄至：北京市海淀區阜成路15號國家網際網路信息辦公室網路數據管理局，郵編100048，並在信封上註明“個人信息保護合規審計管理辦法徵求意見”。

意見反饋截止時間為2023年9月2日。

國家網際網路信息辦公室

2023年8月3日

第一條 為指導、規範個人信息保護合規審計活動，提高個人信息處理活動合規水平，保護個人信息權益，根據《中華人民共和國個人信息保護法》等法律、行政法規和國家有關規定，制定本辦法。

第二條 個人信息處理者定期開展個人信息保護合規審計，或者按照履行個人信息保護職責的部門要求委託專業機構對其個人信息處理活動進行合規審計，以及對個人信息保護合規審計活動的監督管理適用本辦法。

第三條 本辦法所稱個人信息保護合規審計，是指對束捆項達個人信息處理者的個人信息處理活動是否遵守法律、行政法規的情況進行審查和評價的監督活動。

第四條 處理超過100萬人個人信息的個人信息處理者，應當每年至少開展一次個人信息保護合規審計；其他個人信息處理雅驗雄者應當每二年至少開展一次個人信息保護合規審計。

第五條 個人信息處理者自行開展個人信息保護合規審計，可根據實際情況，由本組織內部機構或者委託專業機構按照本辦法要求開展。

第六條 履行個人信息保護職責的部門在履行職責中，發現個人信息處理活動存在較大風險或者發生個人信息安全事件的，可以要求個人信息處理者委託專業機構對其個人信息處理活動進行合規審計。

第七條 個人信息處理者按照履行個人信息保護職責的部門要求開展個人踏設信息保護合規審計的，應當在收到通知後儘快按照要求選定專業機構進行個人信息保護合規審計。

第八條 個人信息處理者按照履行個人信息保護職責的部門要求委託專業機構開展個人信息保護合規審計的，應當保證專業機構能夠正常行使下列許可權：

（一）要求提供或者協助查閱相關檔案或資料；

（二）進入個人信息處理活動相關場所；

（三）觀察場所內發生的個人信息處理活動；

（四）調查相關業務活動及所依賴的信息系統；

（五）檢查、測試個人信息處理活動相關設備設施；

（六）調取、查閱個人信息處理活動相關數據或信息；

（七）訪談與個人信息處理活動有關的人員；

（八）就相關問題進行調查、質詢和取證；

（九）其他開展合屑歡組規審計工作所必需的許可權。

第九條 個人信息處理者按照履行個人信息保護職責部門要求委託專業機構開展個人信息保護合規審計的，應當在90個工作日內完成個人信息保護合規審計；情況複雜的，報經履行個人信息保護職責的部門批准後可適當延長。

第十條 個人信息處理者按照履行個人信息保護職責部門要求委託專業機構開展個人信息保護合規審計的，應當按照本辦法要求組織實施個人信息保護合規審計，在實施必要合規審計程式後，及時將專業循踏葛機構出具的個人信息保護合規審計報告報送履行個人信息保護職責的部門。個人信息保護合規審計報告應當由合規審計負責人、專業機構負責人簽字並加蓋專業機構公章。

第十一條 個人信息處理者按照履行個人信息保護職責的部門要求委託專業機構開展個人信息保護合規審堡榜旬影計的，應當按照專業機構給出的整改建議進行整改，經專業機構覆核後將整改情況報送履行個人信息保護職責的部門。

第十二條 執行個人信息保護合規審計的專業機構應當保持獨立性和客觀性，連續為同一審計對象開展個人信息保護合規審計不得超過三次。

第十三條 國家網信部門會同公安機關等國務院有關部門按照統籌規劃、合理布局、擇優推薦的原則建立個人信息保護合規審計專業機構推薦目錄，每年組織開展個人信息保護合規審計專業機構評估評價，並根據評估評價情況動態調整個人信息保護合規審計專業機構推薦目錄。

鼓勵個人信息處理者優先選擇推薦目錄中的專業機構開展個人信息保護合規審計活動。

第十四條 專業機構在從事個人信息保護合規審計活動時，應當誠信正直，公正客觀地作出合規審計職業判斷。

專業機構不得轉包委託第三方開展個人信息保護合規審計。

專業機構在履行個人信息保護合規審計職責中獲得的信息，只能用於個人信息保護合規審計的需要，不得用於其他用途；專業機構應當對獲得的信息承擔保密責任；專業機構應當採取相應技術措施和其他必要措施，保障數據安全。

專業機構在履行個人信息保護合規審計職責時不得惡意干擾個人信息處理者的正常經營活動。

專業機構有出具虛假、失實報告等違規行為的，個人信息處理者及相關方可向履行個人信息保護職責的部門進行投訴，經履行個人信息保護職責的部門核實的，永久禁止列入個人信息保護合規審計專業機構推薦目錄。

第十五條 違反本辦法規定的，依據《中華人民共和國個人信息保護法》等法律法規處理；構成犯罪的，依法追究刑事責任。

第十六條 本辦法由國家網際網路信息辦公室負責解釋，自 年 月 日起施行。

第一條 本要點依據《中華人民共和國個人信息保護法》等法律、行政法規和國家標準的強制性要求制定，為開展個人信息保護合規審計提供參考。

第二條 個人信息保護合規審計應當首先審查個人信息處理活動的合法性基礎條件，重點審查下列事項：

（一）處理個人信息是否取得個人同意，該同意是否在個人信息主體充分知情的前提下自願、明確作出；

（二）基於個人同意處理個人信息，個人信息的處理目的、處理方式和處理的個人信息種類發生變更的，是否重新取得個人同意；

（三）基於個人同意處理個人信息，是否為個人提供便捷的撤回同意的方式；

（四）基於個人同意處理個人信息，是否對個人同意的操作進行記錄；

（五）基於個人同意處理個人信息，是否存在以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產品或者服務的情況；處理個人信息屬於提供產品或者服務所必需的除外；

（六）處理個人信息未取得個人同意，是否屬於法律、行政法規規定不需取得個人同意的情形。

第三條 對個人信息處理規則進行審計時，應當重點審查下列事項：

（一）是否真實、準確、完整地告知個人信息處理者的名稱或者姓名和聯繫方式；

（二）是否以清單形式列明所收集的個人信息及其處理目的、方式、範圍；

（三）是否明確個人信息存儲期限或者存儲期限的確定方法、到期後的處理方式，以及確保存儲期限為實現處理目的所必要的最短時間；

（四）是否明確個人查閱、複製、加工、轉移、更正、補充、刪除、公開、限制處理個人信息以及註銷賬號、撤回同意的途徑和方法；

（五）向第三方提供個人信息的，是否明確向個人告知接收方的名稱或者姓名、聯繫方式、處理目的、處理方式和個人信息的種類，是否取得個人的單獨同意；

（六）法律、行政法規規定的其他事項。

第四條 個人信息處理者處理個人信息應當履行告知義務，審計時應當重點審查下列事項：

（一）個人信息處理者在處理個人信息前，是否以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知個人信息處理規則；

（二）告知文本的大小、字型和顏色是否便於個人完整閱讀告知事項；

（三）線下告知是否通過標註、說明等多種方式向個人履行告知義務；

（四）線上告知是否提供文本信息或者通過適當方式向個人履行告知義務；

（五）個人信息處理規則發生變更的，是否將變更內容及時告知個人。

第五條 個人信息處理者存在與他人共同處理個人信息情形的，應當重點審查下列事項：

（一）是否約定各自的權利義務；

（二）各方採取的個人信息保護措施；

（三）個人信息權益保護機制；

（四）個人信息安全事件報告機制；

（五）侵害個人信息權益造成損害的，各方應當承擔的責任；

（六）其他法律、行政法規規定需要約定的權利和義務。

第六條 個人信息處理者存在委託處理個人信息情形的，應當重點審查下列事項：

（一）個人信息處理者在委託處理個人信息前，是否開展個人信息保護影響評估；

（二）個人信息處理者與受託人簽訂的契約，是否約定了委託處理的目的、期限、方式及個人信息的種類、受託人應當採取的技術措施和管理措施、雙方的權利義務等；

（三）個人信息處理者是否採取定期檢查等方式，對受託人的個人信息處理活動進行監督，以確保委託處理個人信息的活動符合法律規定；

（四）受託人是否嚴格按照委託契約的約定處理個人信息，是否存在超出約定的處理目的、處理方式處理個人信息的情況；

（五）當委託契約不生效、無效、被撤銷或者終止時，受託人是否將個人信息返還個人信息處理者或者予以刪除；

（六）受託人是否存在轉委託他人處理個人信息的情況，是否得到個人信息處理者的同意。

第七條 個人信息處理者存在因合併、重組、分立、解散、被宣告破產等原因需要轉移個人信息情形的，應當重點審查下列事項：

（一）個人信息處理者是否向個人告知接收方的名稱或者姓名和聯繫方式；

（二）接收方是否繼續履行個人信息處理者的義務；

（三）接收方變更原先處理目的、處理方式的，是否依照法律、行政法規有關規定重新取得個人同意。

第八條 個人信息處理者存在向其他個人信息處理者提供其處理的個人信息的，應當重點審查下列事項：

（一）是否取得個人的單獨同意；

（二）是否向個人告知接收方的名稱或者姓名、聯繫方式、處理目的、處理方式和個人信息的種類；

（三）接收方是否在雙方約定的處理目的、處理方式和個人信息的種類等範圍內處理個人信息；

（四）變更處理目的、處理方式的，是否依照法律、行政法規規定重新取得個人同意；

（五）是否事前進行個人信息保護影響評估。

第九條 個人信息處理者利用自動化決策處理個人信息的，審計時應當重點評價自動化決策的透明度和結果的公平性、公正性：

（一）是否事前主動告知個人自動化決策處理個人信息的種類及可能帶來的影響；

（二）是否事前對算法模型進行安全評估，並按國家相關規定進行備案，以儘可能減少自動化決策算法模型存在的缺陷，當套用場景和主要功能發生變化時，是否對算法模型重新進行評估；

（三）是否事前對算法模型進行科技倫理審查；

（四）是否事前進行個人信息保護影響評估；

（五）是否向用戶提供保障機制，以便用戶可以通過便捷方式拒絕通過自動化決策方式作出對個人權益有重大影響的決定，或要求個人信息處理者就套用自動化決策方式作出對用戶個人權益有重大影響的決定予以說明；

（六）是否向用戶提供刪除或者修改用於自動化決策服務的針對其個人特徵的用戶標籤功能；

（七）是否採取必要措施對算法和參數模型進行保護；

（八）是否對個人信息處理、標籤管理、模型訓練等自動化決策過程中的人工操作進行記錄，防範人為惡意操縱自動化決策信息和結果；

（九）向個人進行信息推送、商業行銷時，是否同時提供不針對個人特徵的選項，或者提供便捷的拒絕自動化決策服務的方式；

（十）是否採取了有效措施，防止自動化決策根據消費者的偏好、交易習慣等對個人在交易條件上實行不合理的差別待遇；

（十一）其他可能影響自動化決策的透明度和結果公平、公正的事項。

第十條 個人信息處理者存在公開其處理的個人信息情形的，應當重點審查下列事項：

（一）個人信息處理者公開其處理的個人信息前是否取得個人單獨同意，該授權是否真實、有效，是否存在違背個人意願將個人信息予以公開的情況；

（二）個人信息處理者公開個人信息前，是否進行了個人信息保護影響評估。

第十一條 個人信息處理者在公共場所安裝圖像採集、個人身份識別設備的，應當重點對其安裝圖像採集、個人信息身份識別設備的合法性及所收集個人信息的用途進行審查。審查內容包括但不限於：

（一）是否為維護公共安全所必需，是否存在為商業目的處理所採集信息的情況；

（二）是否設定了顯著的提示標誌；

（三）若個人信息處理者所收集的個人圖像、身份識別信息用於維護公共安全以外用途的，是否取得個人單獨同意。

第十二條 個人信息處理者處理已公開個人信息的，審計時應當重點審查個人信息處理者是否存在下列違規行為：

（一）向已公開個人信息中的電子信箱、手機號等傳送與其公開目的無關的信息；

（二）利用已公開的個人信息從事網路暴力活動；

（三）處理個人明確拒絕處理的已公開個人信息；

（四）未取得個人同意處理已公開的個人信息對個人權益造成重大影響。

第十三條 個人信息處理者處理敏感個人信息的，審計時應當重點審查下列事項：

（一）處理生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等敏感個人信息的，是否事前取得個人的單獨同意；

（二）處理不滿十四周歲未成年人的個人信息，是否事前取得未成年人的父母或者其他監護人的同意；

（三）處理敏感個人信息的目的、方式是否合法、正當、必要；

（四）敏感個人信息處理是否與提供商品或者服務、履行法定職責或者法定義務等特定的目的密切相關，是否以非必要不處理為原則；

（五）是否在事前進行個人信息保護影響評估，並向個人告知處理敏感個人信息的必要性以及對個人權益的影響；

（六）法律、行政法規規定應當取得書面同意的，是否取得書面同意；

（七）是否對處理敏感個人信息的過程進行了記錄，以保障處理敏感個人信息流程合法合規。

第十四條 個人信息處理者業務涉及處理不滿十四周歲未成年人個人信息的，審計時應當重點審查下列事項：

（一）是否制定專門的未成年人個人信息處理規則；

（二）是否向未成年人及其監護人告知未成年人個人信息的處理目的、處理方式、處理必要性及處理個人信息的種類、所採取的保護措施等；

（三）是否存在強制要求未成年人或者其監護人同意非必要的個人信息處理的行為。

第十五條 個人信息處理者存在向境外提供個人信息情形的，應當重點審查下列事項：

（一）關鍵信息基礎設施運營者和處理100萬人以上個人信息的個人信息處理者向境外提供個人信息是否經過國家網信部門組織的安全評估；

（二）自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的個人信息處理者向境外提供個人信息是否經過國家網信部門組織的安全評估；

（三）是否存在向外國司法或者執法機構提供存儲於中華人民共和國境內的個人信息的情形，若有，是否經過中華人民共和國主管機關批准；

（四）中華人民共和國締結或者參加的國際條約、協定對向中華人民共和國境外提供個人信息的條件等有規定的，是否按照其規定執行；

（五）是否按照國家網信部門的規定，經專業機構進行個人信息保護認證或者按照國家網信部門制定的標準契約與境外接收方簽訂契約，或者符合法律、行政法規、國家網信部門規定的其他條件；

（六）是否了解境外接收方所在國家或者地區的個人信息保護政策和網路安全環境對出境個人信息的影響；

（七）是否存在違規向被列入限制或者禁止個人信息提供清單的組織和個人提供個人信息的情形。

第十六條 個人信息處理者向境外提供個人信息，應當採取必要措施，保障境外接收方處理個人信息的活動達到《中華人民共和國個人信息保護法》規定的個人信息保護標準。審計時應當重點審查個人信息處理者對境外接收方採取監督措施的有效性，包括但不限於：

（一）是否了解和掌握境外接收方的情況，特別是接收方是否具備必要的個人信息保護能力；

（二）是否向境外接收方告知我國法律、行政法規對個人信息保護的要求，並要求境外接收方採取相應的保護措施；

（三）是否採取簽訂協定、定期核查等方式，督促境外接收方切實履行個人信息保護義務。

第十七條 對個人信息刪除權保障情況進行審計時，應當重點審查下列情形個人信息刪除的情況：

（一）個人信息處理目的已實現、無法實現或者為實現處理目的不再必要；

（二）停止提供產品或者服務，或者個人註銷賬號；

（三）達到與個人約定的存儲期限；

（四）個人撤回同意；

（五）因使用自動化採集技術等，無法避免採集到非必要個人信息或者未經同意的個人信息；

（六）個人信息處理者違反法律、行政法規或者違反約定處理個人信息。

法律、行政法規規定的保存期限未屆滿，或者刪除個人信息從技術上難以實現的，個人信息處理者應當停止除存儲和採取必要的安全措施之外的處理。

第十八條 個人信息處理者應當保障個人行使個人信息權益的權利，審計時應當重點審查下列事項：

（一）是否建立個人行使權利的申請受理機制；

（二）是否向個人提供便捷的查閱、複製、轉移、更正、補充、刪除個人信息的方法；

（三）是否及時回響個人行使權利的申請，是否及時、完整、準確告知處理意見或者執行結果。

第十九條 個人信息處理者應當回響個人申請，對其個人信息處理規則進行解釋說明，審計時應當重點對下列內容進行評價：

（一）個人信息處理者是否提供便捷的方式和途徑，接受、處理個人關於個人信息處理規則解釋說明的要求；

（二）接到個人的要求後，個人信息處理者是否在合理的時間內，使用通俗易懂的語言對其個人信息處理規則作出解釋說明。

第二十條 個人信息處理者對個人信息保護承擔主體責任，審計時應當重點對個人信息處理者履行主體責任情況進行評價，包括但不限於下列事項：

（一）個人信息保護制度制定、組織架構、管理程式與處理個人信息的性質、規模、複雜程度、風險程度的適應性；

（二）個人信息保護職責分工是否合理、職責是否明確、報告關係是否清晰；

（三）個人信息處理者為個人信息保護提供的人、財、物保障與企業業務規模、運營計畫、個人信息合規風險管理的匹配性。

第二十一條 個人信息處理者應當依照法律、行政法規的規定製定內部管理制度和操作規程，明確組織架構、崗位職責，建立工作流程、完善內控制度，保障個人信息處理合規與安全。審計時，應當重點對個人信息處理者個人信息保護內部管理制度和操作規程進行審查，包括但不限於：

（一）個人信息保護工作的方針、目標、原則是否符合法律、行政法規規定；

（二）個人信息保護組織架構、人員配備、行為規範、管理責任是否與應當履行的個人信息保護責任相適應；

（三）是否根據個人信息的種類、來源、敏感程度、用途等，對個人信息進行分類，並採取有針對性的管理或者安全技術措施；

（四）是否建立個人信息安全事件應急回響機制；

（五）是否建立個人信息保護影響評估、合規審計制度；

（六）是否建立暢通的個人信息保護投訴舉報受理流程；

（七）是否制定實施個人信息保護安全教育和培訓計畫；

（八）是否建立個人信息保護負責人及相關人員履職評價制度；

（九）是否建立針對個人信息處理相關人員的個人信息違規處置或者違規行為責任制度，並有效實施；

（十）法律、行政法規規定的其他內容。

第二十二條 個人信息處理者應當採取與所處理個人信息規模、類型相適應的安全技術措施，並對個人信息處理者採取的技術措施的有效性進行評價，評價內容包括但不限於：

（一）是否參照有關國家標準或者技術要求，採取相應安全技術措施實現個人信息的保密性、完整性、可用性；

（二）是否採取加密、去標識化等安全技術措施，確保在不藉助額外信息的情況下，消除或者降低個人信息的可識別性；

（三）採取的安全技術措施能否合理確定有關人員查閱、複製、傳輸等個人信息的操作許可權，減少個人信息在處理過程中未經授權的訪問和濫用風險。

第二十三條 對個人信息處理者教育培訓計畫的制定和實施情況進行審計時，應當重點對下列事項進行評價：

（一）是否按計畫對管理人員、技術人員、操作人員、全員開展相應的安全教育和培訓，是否對相應人員的個人信息保護意識和技能進行考核；

（二）培訓內容、培訓方式、培訓對象、培訓頻率等能否滿足個人信息保護需要。

第二十四條 處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人，對個人信息處理活動的合規性負責。審計時，應當重點審查下列事項：

（一）個人信息保護負責人是否具有相關的工作經歷和專業知識，熟悉個人信息保護相關法律、行政法規；

（二）個人信息保護負責人是否具有明確清晰的職責，是否被賦予充分的許可權協調組織內個人信息處理相關部門與人員；

（三）個人信息保護負責人是否有權提名個人信息保護團隊負責人，並與其保持順暢的溝通和聯繫；

（四）個人信息保護負責人在個人信息處理重大事項決策前是否有權提出相關意見和建議；

（五）個人信息保護負責人是否有權對組織內部個人信息處理的不合規操作進行制止和採取必要的糾正措施；

（六）個人信息處理者是否公開個人信息保護負責人的聯繫方式，並將個人信息保護負責人的姓名、聯繫方式等報送履行個人信息保護職責的部門。

第二十五條 對個人信息處理者開展個人信息保護影響評估情況進行審計時，應當重點對影響評估開展情況和評估內容進行審查：

（一）是否依照法律、行政法規的規定，在進行對個人權益具有重大影響的個人信息處理活動前通過個人信息保護影響評估；

（二）是否對個人處理活動的合法性、正當性和必要性進行了分析評估，是否存在過度收集個人信息的情況；

（三）是否對限制個人自主決定權、引發差別性待遇、導致個人名譽受損或者遭受精神壓力、造成人身財產受損等安全風險進行了分析評估；

（四）是否對所採取的保護措施的合法性、有效性、適應性進行了分析評估；

（五）個人信息保護影響評估報告和處理記錄是否至少保存三年。

第二十六條 個人信息處理者應當制定個人信息安全事件應急預案。審計時，應當對應急預案的全面性、有效性、可執行性作出評價，包括但不限於下列內容：

（一）是否結合業務實際，對面臨的個人信息安全風險作出了系統評估和預測；

（二）指導思想、基本策略，組織機構、人員，技術、物資保障及指揮處置程式、應急和支持措施等是否足以應對預測的風險；

（三）是否對相關人員進行應急預案培訓，定期對應急預案進行演練。

第二十七條 對個人信息處理者個人信息安全事件應急回響處置情況進行評價時，應當重點考慮下列因素：

（一）是否按照應急預案、操作規程及時查明個人信息安全事件的影響、範圍和可能造成的危害，分析、確定事件發生的原因，提出防止危害擴大的措施方案；

（二）是否建立通報渠道，能否在事件發生後72小時內通知履行個人信息保護職責的部門和個人；

（三）是否採取相應措施將個人信息安全事件可能造成的損失和可能產生的危害風險降低到最小。

第二十八條 大型網際網路平台運營者應當成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督。審計時，應當對獨立機構的獨立性、履職能力、監督作用等進行評價。

（一）評價獨立機構對個人信息保護情況進行監督的獨立性，重點審查外部成員與個人信息處理者及其主要股東是否存在可能妨礙其進行獨立客觀判斷的關係；

（二）評價外部成員的履職能力，重點審查外部成員是否具備相應的專業知識、能力和經驗，能否對個人信息處理者的個人信息保護情況進行監督、指導，發表客觀公正的意見建議；

（三）評價獨立機構的監督作用，重點審查獨立機構在個人信息處理者合規制度體系建設、平台規則制定、重大個人信息安全事件處置、督促企業履行社會責任等方面發揮的作用。

第二十九條 針對大型網際網路平台規則，應當重點審計下列事項：

（一）評價平台規則的合法合規性，是否存在與法律、行政法規相牴觸的情況；

（二）評價平台規則的公平公正性，是否存在惡意競爭、影響消費者權益等違反公平競爭原則、誠實信用原則、公序良俗的內容；

（三）評價平台規則個人信息保護條款的有效性，是否合理界定了平台、平台內產品或者服務提供者的個人信息保護權利和義務，是否對平台內經營者處理個人信息行為進行規範，平台內經營者的個人信息保護義務是否明確；

（四）檢查平台規則的執行情況，通過抽樣等方式驗證平台規則是否被有效執行。

第三十條 大型網際網路平台運營者應當對其平台內產品或者服務提供者的個人信息處理活動進行監督。審計時，應當重點審查下列事項：

（一）是否定期審核平台內產品或者服務提供者個人信息處理規則的合法性、合理性；

（二）是否定期對平台內產品或者服務提供者處理個人信息遵守法律、行政法規情況進行審核；

（三）對於嚴重違反法律、行政法規處理個人信息的產品或者服務提供者，平台是否及時停止向其提供服務。

第三十一條 大型網際網路平台運營者應當每年發布個人信息保護社會責任報告。審計時，應當重點審查社會責任報告下列內容的披露情況：

（一）個人信息保護組織架構和內部管理情況；

（二）個人信息保護能力建設情況；

（三）個人信息保護措施和成效；

（四）個人行使權利的申請受理情況；

（五）獨立監督機構履職情況；

（六）重大個人信息安全事件處理情況；

（七）法律、行政法規規定的其他情況。

（二）進入個人信息處理活動相關場所；

（三）觀察場所內發生的個人信息處理活動；

（四）調查相關業務活動及所依賴的信息系統；

（五）檢查、測試個人信息處理活動相關設備設施；

（六）調取、查閱個人信息處理活動相關數據或信息；

（七）訪談與個人信息處理活動有關的人員；

（八）就相關問題進行調查、質詢和取證；

（九）其他開展合規審計工作所必需的許可權。

第九條 個人信息處理者按照履行個人信息保護職責部門要求委託專業機構開展個人信息保護合規審計的，應當在90個工作日內完成個人信息保護合規審計；情況複雜的，報經履行個人信息保護職責的部門批准後可適當延長。

第十條 個人信息處理者按照履行個人信息保護職責部門要求委託專業機構開展個人信息保護合規審計的，應當按照本辦法要求組織實施個人信息保護合規審計，在實施必要合規審計程式後，及時將專業機構出具的個人信息保護合規審計報告報送履行個人信息保護職責的部門。個人信息保護合規審計報告應當由合規審計負責人、專業機構負責人簽字並加蓋專業機構公章。

第十一條 個人信息處理者按照履行個人信息保護職責的部門要求委託專業機構開展個人信息保護合規審計的，應當按照專業機構給出的整改建議進行整改，經專業機構覆核後將整改情況報送履行個人信息保護職責的部門。

第十二條 執行個人信息保護合規審計的專業機構應當保持獨立性和客觀性，連續為同一審計對象開展個人信息保護合規審計不得超過三次。

第十三條 國家網信部門會同公安機關等國務院有關部門按照統籌規劃、合理布局、擇優推薦的原則建立個人信息保護合規審計專業機構推薦目錄，每年組織開展個人信息保護合規審計專業機構評估評價，並根據評估評價情況動態調整個人信息保護合規審計專業機構推薦目錄。

鼓勵個人信息處理者優先選擇推薦目錄中的專業機構開展個人信息保護合規審計活動。

第十四條 專業機構在從事個人信息保護合規審計活動時，應當誠信正直，公正客觀地作出合規審計職業判斷。

專業機構不得轉包委託第三方開展個人信息保護合規審計。

專業機構在履行個人信息保護合規審計職責中獲得的信息，只能用於個人信息保護合規審計的需要，不得用於其他用途；專業機構應當對獲得的信息承擔保密責任；專業機構應當採取相應技術措施和其他必要措施，保障數據安全。

專業機構在履行個人信息保護合規審計職責時不得惡意干擾個人信息處理者的正常經營活動。

專業機構有出具虛假、失實報告等違規行為的，個人信息處理者及相關方可向履行個人信息保護職責的部門進行投訴，經履行個人信息保護職責的部門核實的，永久禁止列入個人信息保護合規審計專業機構推薦目錄。

第十五條 違反本辦法規定的，依據《中華人民共和國個人信息保護法》等法律法規處理；構成犯罪的，依法追究刑事責任。

第十六條 本辦法由國家網際網路信息辦公室負責解釋，自 年 月 日起施行。

第一條 本要點依據《中華人民共和國個人信息保護法》等法律、行政法規和國家標準的強制性要求制定，為開展個人信息保護合規審計提供參考。

第二條 個人信息保護合規審計應當首先審查個人信息處理活動的合法性基礎條件，重點審查下列事項：

（一）處理個人信息是否取得個人同意，該同意是否在個人信息主體充分知情的前提下自願、明確作出；

（二）基於個人同意處理個人信息，個人信息的處理目的、處理方式和處理的個人信息種類發生變更的，是否重新取得個人同意；

（三）基於個人同意處理個人信息，是否為個人提供便捷的撤回同意的方式；

（四）基於個人同意處理個人信息，是否對個人同意的操作進行記錄；

（五）基於個人同意處理個人信息，是否存在以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產品或者服務的情況；處理個人信息屬於提供產品或者服務所必需的除外；

（六）處理個人信息未取得個人同意，是否屬於法律、行政法規規定不需取得個人同意的情形。

第三條 對個人信息處理規則進行審計時，應當重點審查下列事項：

（一）是否真實、準確、完整地告知個人信息處理者的名稱或者姓名和聯繫方式；

（二）是否以清單形式列明所收集的個人信息及其處理目的、方式、範圍；

（三）是否明確個人信息存儲期限或者存儲期限的確定方法、到期後的處理方式，以及確保存儲期限為實現處理目的所必要的最短時間；

（四）是否明確個人查閱、複製、加工、轉移、更正、補充、刪除、公開、限制處理個人信息以及註銷賬號、撤回同意的途徑和方法；

（五）向第三方提供個人信息的，是否明確向個人告知接收方的名稱或者姓名、聯繫方式、處理目的、處理方式和個人信息的種類，是否取得個人的單獨同意；

（六）法律、行政法規規定的其他事項。

第四條 個人信息處理者處理個人信息應當履行告知義務，審計時應當重點審查下列事項：

（一）個人信息處理者在處理個人信息前，是否以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知個人信息處理規則；

（二）告知文本的大小、字型和顏色是否便於個人完整閱讀告知事項；

（三）線下告知是否通過標註、說明等多種方式向個人履行告知義務；

（四）線上告知是否提供文本信息或者通過適當方式向個人履行告知義務；

（五）個人信息處理規則發生變更的，是否將變更內容及時告知個人。

第五條 個人信息處理者存在與他人共同處理個人信息情形的，應當重點審查下列事項：

（一）是否約定各自的權利義務；

（二）各方採取的個人信息保護措施；

（三）個人信息權益保護機制；

（四）個人信息安全事件報告機制；

（五）侵害個人信息權益造成損害的，各方應當承擔的責任；

（六）其他法律、行政法規規定需要約定的權利和義務。

第六條 個人信息處理者存在委託處理個人信息情形的，應當重點審查下列事項：

（一）個人信息處理者在委託處理個人信息前，是否開展個人信息保護影響評估；

（二）個人信息處理者與受託人簽訂的契約，是否約定了委託處理的目的、期限、方式及個人信息的種類、受託人應當採取的技術措施和管理措施、雙方的權利義務等；

（三）個人信息處理者是否採取定期檢查等方式，對受託人的個人信息處理活動進行監督，以確保委託處理個人信息的活動符合法律規定；

（四）受託人是否嚴格按照委託契約的約定處理個人信息，是否存在超出約定的處理目的、處理方式處理個人信息的情況；

（五）當委託契約不生效、無效、被撤銷或者終止時，受託人是否將個人信息返還個人信息處理者或者予以刪除；

（六）受託人是否存在轉委託他人處理個人信息的情況，是否得到個人信息處理者的同意。

第七條 個人信息處理者存在因合併、重組、分立、解散、被宣告破產等原因需要轉移個人信息情形的，應當重點審查下列事項：

（一）個人信息處理者是否向個人告知接收方的名稱或者姓名和聯繫方式；

（二）接收方是否繼續履行個人信息處理者的義務；

（三）接收方變更原先處理目的、處理方式的，是否依照法律、行政法規有關規定重新取得個人同意。

第八條 個人信息處理者存在向其他個人信息處理者提供其處理的個人信息的，應當重點審查下列事項：

（一）是否取得個人的單獨同意；

（二）是否向個人告知接收方的名稱或者姓名、聯繫方式、處理目的、處理方式和個人信息的種類；

（三）接收方是否在雙方約定的處理目的、處理方式和個人信息的種類等範圍內處理個人信息；

（四）變更處理目的、處理方式的，是否依照法律、行政法規規定重新取得個人同意；

（五）是否事前進行個人信息保護影響評估。

第九條 個人信息處理者利用自動化決策處理個人信息的，審計時應當重點評價自動化決策的透明度和結果的公平性、公正性：

（一）是否事前主動告知個人自動化決策處理個人信息的種類及可能帶來的影響；

（二）是否事前對算法模型進行安全評估，並按國家相關規定進行備案，以儘可能減少自動化決策算法模型存在的缺陷，當套用場景和主要功能發生變化時，是否對算法模型重新進行評估；

（三）是否事前對算法模型進行科技倫理審查；

（四）是否事前進行個人信息保護影響評估；

（五）是否向用戶提供保障機制，以便用戶可以通過便捷方式拒絕通過自動化決策方式作出對個人權益有重大影響的決定，或要求個人信息處理者就套用自動化決策方式作出對用戶個人權益有重大影響的決定予以說明；

（六）是否向用戶提供刪除或者修改用於自動化決策服務的針對其個人特徵的用戶標籤功能；

（七）是否採取必要措施對算法和參數模型進行保護；

（八）是否對個人信息處理、標籤管理、模型訓練等自動化決策過程中的人工操作進行記錄，防範人為惡意操縱自動化決策信息和結果；

（九）向個人進行信息推送、商業行銷時，是否同時提供不針對個人特徵的選項，或者提供便捷的拒絕自動化決策服務的方式；

（十）是否採取了有效措施，防止自動化決策根據消費者的偏好、交易習慣等對個人在交易條件上實行不合理的差別待遇；

（十一）其他可能影響自動化決策的透明度和結果公平、公正的事項。

第十條 個人信息處理者存在公開其處理的個人信息情形的，應當重點審查下列事項：

（一）個人信息處理者公開其處理的個人信息前是否取得個人單獨同意，該授權是否真實、有效，是否存在違背個人意願將個人信息予以公開的情況；

（二）個人信息處理者公開個人信息前，是否進行了個人信息保護影響評估。

第十一條 個人信息處理者在公共場所安裝圖像採集、個人身份識別設備的，應當重點對其安裝圖像採集、個人信息身份識別設備的合法性及所收集個人信息的用途進行審查。審查內容包括但不限於：

（一）是否為維護公共安全所必需，是否存在為商業目的處理所採集信息的情況；

（二）是否設定了顯著的提示標誌；

（三）若個人信息處理者所收集的個人圖像、身份識別信息用於維護公共安全以外用途的，是否取得個人單獨同意。

第十二條 個人信息處理者處理已公開個人信息的，審計時應當重點審查個人信息處理者是否存在下列違規行為：

（一）向已公開個人信息中的電子信箱、手機號等傳送與其公開目的無關的信息；

（二）利用已公開的個人信息從事網路暴力活動；

（三）處理個人明確拒絕處理的已公開個人信息；

（四）未取得個人同意處理已公開的個人信息對個人權益造成重大影響。

第十三條 個人信息處理者處理敏感個人信息的，審計時應當重點審查下列事項：

（一）處理生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等敏感個人信息的，是否事前取得個人的單獨同意；

（二）處理不滿十四周歲未成年人的個人信息，是否事前取得未成年人的父母或者其他監護人的同意；

（三）處理敏感個人信息的目的、方式是否合法、正當、必要；

（四）敏感個人信息處理是否與提供商品或者服務、履行法定職責或者法定義務等特定的目的密切相關，是否以非必要不處理為原則；

（五）是否在事前進行個人信息保護影響評估，並向個人告知處理敏感個人信息的必要性以及對個人權益的影響；

（六）法律、行政法規規定應當取得書面同意的，是否取得書面同意；

（七）是否對處理敏感個人信息的過程進行了記錄，以保障處理敏感個人信息流程合法合規。

第十四條 個人信息處理者業務涉及處理不滿十四周歲未成年人個人信息的，審計時應當重點審查下列事項：

（一）是否制定專門的未成年人個人信息處理規則；

（二）是否向未成年人及其監護人告知未成年人個人信息的處理目的、處理方式、處理必要性及處理個人信息的種類、所採取的保護措施等；

（三）是否存在強制要求未成年人或者其監護人同意非必要的個人信息處理的行為。

第十五條 個人信息處理者存在向境外提供個人信息情形的，應當重點審查下列事項：

（一）關鍵信息基礎設施運營者和處理100萬人以上個人信息的個人信息處理者向境外提供個人信息是否經過國家網信部門組織的安全評估；

（二）自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的個人信息處理者向境外提供個人信息是否經過國家網信部門組織的安全評估；

（三）是否存在向外國司法或者執法機構提供存儲於中華人民共和國境內的個人信息的情形，若有，是否經過中華人民共和國主管機關批准；

（四）中華人民共和國締結或者參加的國際條約、協定對向中華人民共和國境外提供個人信息的條件等有規定的，是否按照其規定執行；

（五）是否按照國家網信部門的規定，經專業機構進行個人信息保護認證或者按照國家網信部門制定的標準契約與境外接收方簽訂契約，或者符合法律、行政法規、國家網信部門規定的其他條件；

（六）是否了解境外接收方所在國家或者地區的個人信息保護政策和網路安全環境對出境個人信息的影響；

（七）是否存在違規向被列入限制或者禁止個人信息提供清單的組織和個人提供個人信息的情形。

第十六條 個人信息處理者向境外提供個人信息，應當採取必要措施，保障境外接收方處理個人信息的活動達到《中華人民共和國個人信息保護法》規定的個人信息保護標準。審計時應當重點審查個人信息處理者對境外接收方採取監督措施的有效性，包括但不限於：

（一）是否了解和掌握境外接收方的情況，特別是接收方是否具備必要的個人信息保護能力；

（二）是否向境外接收方告知我國法律、行政法規對個人信息保護的要求，並要求境外接收方採取相應的保護措施；

（三）是否採取簽訂協定、定期核查等方式，督促境外接收方切實履行個人信息保護義務。

第十七條 對個人信息刪除權保障情況進行審計時，應當重點審查下列情形個人信息刪除的情況：

（一）個人信息處理目的已實現、無法實現或者為實現處理目的不再必要；

（二）停止提供產品或者服務，或者個人註銷賬號；

（三）達到與個人約定的存儲期限；

（四）個人撤回同意；

（五）因使用自動化採集技術等，無法避免採集到非必要個人信息或者未經同意的個人信息；

（六）個人信息處理者違反法律、行政法規或者違反約定處理個人信息。

法律、行政法規規定的保存期限未屆滿，或者刪除個人信息從技術上難以實現的，個人信息處理者應當停止除存儲和採取必要的安全措施之外的處理。

第十八條 個人信息處理者應當保障個人行使個人信息權益的權利，審計時應當重點審查下列事項：

（一）是否建立個人行使權利的申請受理機制；

（二）是否向個人提供便捷的查閱、複製、轉移、更正、補充、刪除個人信息的方法；

（三）是否及時回響個人行使權利的申請，是否及時、完整、準確告知處理意見或者執行結果。

第十九條 個人信息處理者應當回響個人申請，對其個人信息處理規則進行解釋說明，審計時應當重點對下列內容進行評價：

（一）個人信息處理者是否提供便捷的方式和途徑，接受、處理個人關於個人信息處理規則解釋說明的要求；

（二）接到個人的要求後，個人信息處理者是否在合理的時間內，使用通俗易懂的語言對其個人信息處理規則作出解釋說明。

第二十條 個人信息處理者對個人信息保護承擔主體責任，審計時應當重點對個人信息處理者履行主體責任情況進行評價，包括但不限於下列事項：

（一）個人信息保護制度制定、組織架構、管理程式與處理個人信息的性質、規模、複雜程度、風險程度的適應性；

（二）個人信息保護職責分工是否合理、職責是否明確、報告關係是否清晰；

（三）個人信息處理者為個人信息保護提供的人、財、物保障與企業業務規模、運營計畫、個人信息合規風險管理的匹配性。

第二十一條 個人信息處理者應當依照法律、行政法規的規定製定內部管理制度和操作規程，明確組織架構、崗位職責，建立工作流程、完善內控制度，保障個人信息處理合規與安全。審計時，應當重點對個人信息處理者個人信息保護內部管理制度和操作規程進行審查，包括但不限於：

（一）個人信息保護工作的方針、目標、原則是否符合法律、行政法規規定；

（二）個人信息保護組織架構、人員配備、行為規範、管理責任是否與應當履行的個人信息保護責任相適應；

（三）是否根據個人信息的種類、來源、敏感程度、用途等，對個人信息進行分類，並採取有針對性的管理或者安全技術措施；

（四）是否建立個人信息安全事件應急回響機制；

（五）是否建立個人信息保護影響評估、合規審計制度；

（六）是否建立暢通的個人信息保護投訴舉報受理流程；

（七）是否制定實施個人信息保護安全教育和培訓計畫；

（八）是否建立個人信息保護負責人及相關人員履職評價制度；

（九）是否建立針對個人信息處理相關人員的個人信息違規處置或者違規行為責任制度，並有效實施；

（十）法律、行政法規規定的其他內容。

第二十二條 個人信息處理者應當採取與所處理個人信息規模、類型相適應的安全技術措施，並對個人信息處理者採取的技術措施的有效性進行評價，評價內容包括但不限於：

（一）是否參照有關國家標準或者技術要求，採取相應安全技術措施實現個人信息的保密性、完整性、可用性；

（二）是否採取加密、去標識化等安全技術措施，確保在不藉助額外信息的情況下，消除或者降低個人信息的可識別性；

（三）採取的安全技術措施能否合理確定有關人員查閱、複製、傳輸等個人信息的操作許可權，減少個人信息在處理過程中未經授權的訪問和濫用風險。

第二十三條 對個人信息處理者教育培訓計畫的制定和實施情況進行審計時，應當重點對下列事項進行評價：

（一）是否按計畫對管理人員、技術人員、操作人員、全員開展相應的安全教育和培訓，是否對相應人員的個人信息保護意識和技能進行考核；

（二）培訓內容、培訓方式、培訓對象、培訓頻率等能否滿足個人信息保護需要。

第二十四條 處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人，對個人信息處理活動的合規性負責。審計時，應當重點審查下列事項：

（一）個人信息保護負責人是否具有相關的工作經歷和專業知識，熟悉個人信息保護相關法律、行政法規；

（二）個人信息保護負責人是否具有明確清晰的職責，是否被賦予充分的許可權協調組織內個人信息處理相關部門與人員；

（三）個人信息保護負責人是否有權提名個人信息保護團隊負責人，並與其保持順暢的溝通和聯繫；

（四）個人信息保護負責人在個人信息處理重大事項決策前是否有權提出相關意見和建議；

（五）個人信息保護負責人是否有權對組織內部個人信息處理的不合規操作進行制止和採取必要的糾正措施；

（六）個人信息處理者是否公開個人信息保護負責人的聯繫方式，並將個人信息保護負責人的姓名、聯繫方式等報送履行個人信息保護職責的部門。

第二十五條 對個人信息處理者開展個人信息保護影響評估情況進行審計時，應當重點對影響評估開展情況和評估內容進行審查：

（一）是否依照法律、行政法規的規定，在進行對個人權益具有重大影響的個人信息處理活動前通過個人信息保護影響評估；

（二）是否對個人處理活動的合法性、正當性和必要性進行了分析評估，是否存在過度收集個人信息的情況；

（三）是否對限制個人自主決定權、引發差別性待遇、導致個人名譽受損或者遭受精神壓力、造成人身財產受損等安全風險進行了分析評估；

（四）是否對所採取的保護措施的合法性、有效性、適應性進行了分析評估；

（五）個人信息保護影響評估報告和處理記錄是否至少保存三年。

第二十六條 個人信息處理者應當制定個人信息安全事件應急預案。審計時，應當對應急預案的全面性、有效性、可執行性作出評價，包括但不限於下列內容：

（一）是否結合業務實際，對面臨的個人信息安全風險作出了系統評估和預測；

（二）指導思想、基本策略，組織機構、人員，技術、物資保障及指揮處置程式、應急和支持措施等是否足以應對預測的風險；

（三）是否對相關人員進行應急預案培訓，定期對應急預案進行演練。

第二十七條 對個人信息處理者個人信息安全事件應急回響處置情況進行評價時，應當重點考慮下列因素：

（一）是否按照應急預案、操作規程及時查明個人信息安全事件的影響、範圍和可能造成的危害，分析、確定事件發生的原因，提出防止危害擴大的措施方案；

（二）是否建立通報渠道，能否在事件發生後72小時內通知履行個人信息保護職責的部門和個人；

（三）是否採取相應措施將個人信息安全事件可能造成的損失和可能產生的危害風險降低到最小。

第二十八條 大型網際網路平台運營者應當成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督。審計時，應當對獨立機構的獨立性、履職能力、監督作用等進行評價。

（一）評價獨立機構對個人信息保護情況進行監督的獨立性，重點審查外部成員與個人信息處理者及其主要股東是否存在可能妨礙其進行獨立客觀判斷的關係；

（二）評價外部成員的履職能力，重點審查外部成員是否具備相應的專業知識、能力和經驗，能否對個人信息處理者的個人信息保護情況進行監督、指導，發表客觀公正的意見建議；

（三）評價獨立機構的監督作用，重點審查獨立機構在個人信息處理者合規制度體系建設、平台規則制定、重大個人信息安全事件處置、督促企業履行社會責任等方面發揮的作用。

第二十九條 針對大型網際網路平台規則，應當重點審計下列事項：

（一）評價平台規則的合法合規性，是否存在與法律、行政法規相牴觸的情況；

（二）評價平台規則的公平公正性，是否存在惡意競爭、影響消費者權益等違反公平競爭原則、誠實信用原則、公序良俗的內容；

（三）評價平台規則個人信息保護條款的有效性，是否合理界定了平台、平台內產品或者服務提供者的個人信息保護權利和義務，是否對平台內經營者處理個人信息行為進行規範，平台內經營者的個人信息保護義務是否明確；

（四）檢查平台規則的執行情況，通過抽樣等方式驗證平台規則是否被有效執行。

第三十條 大型網際網路平台運營者應當對其平台內產品或者服務提供者的個人信息處理活動進行監督。審計時，應當重點審查下列事項：

（一）是否定期審核平台內產品或者服務提供者個人信息處理規則的合法性、合理性；

（二）是否定期對平台內產品或者服務提供者處理個人信息遵守法律、行政法規情況進行審核；

（三）對於嚴重違反法律、行政法規處理個人信息的產品或者服務提供者，平台是否及時停止向其提供服務。

第三十一條 大型網際網路平台運營者應當每年發布個人信息保護社會責任報告。審計時，應當重點審查社會責任報告下列內容的披露情況：

（一）個人信息保護組織架構和內部管理情況；

（二）個人信息保護能力建設情況；

（三）個人信息保護措施和成效；

（四）個人行使權利的申請受理情況；

（五）獨立監督機構履職情況；

（六）重大個人信息安全事件處理情況；

（七）法律、行政法規規定的其他情況。