个人信息保护合规审计管理办法 （征求意见稿） 第一条 为指导、规范个人信息保护合规审计活 动，提高个人信息处理活动合规水平，保护个人信息 权益，根据《中华人民共和国个人信息保护法》等法 律、行政法规和国家有关规定，制定本办法。 第二条 个人信息处理者定期开展个人信息保护 合规审计，或者按照履行个人信息保护职责的部门要 求委托专业机构对其个人信息处理活动进行合规审计， 以及对个人信息保护合规审计活动的监督管理适用本 办法。 第三条 本办法所称个人信息保护合规审计，是 指对个人信息处理者的个人信息处理活动是否遵守法 律、行政法规的情况进行审查和评价的监督活动。 第四条 处理超过 1 00 万人个人信息的个人信息 处理者，应当每年至少开展一次个人信息保护合规审 计；其他个人信息处理者应当每二年至少开展一次个 人信息保护合规审计。 第五条 个人信息处理者自行开展个人信息保护 合规审计，可根据实际情况，由本组织内部机构或者 委托专业机构按照本办法要求开展。 第六条履行个人信息保护职责的部门在履行职责 中，发现个人信息处理活动存在较大风险或者发生个 人信息安全事件的，可以要求个人信息处理者委托专 业机构对其个人信息处理活动进行合规审计。 第七条 个人信息处理者按照履行个人信息保护 职责的部门要求开展个人信息保护合规审计的，应当 在收到通知后尽快按照要求选定专业机构进行个人信 息保护合规审计。 第八条 个人信息处理者按照履行个人信息保护 职责的部门要求委托专业机构开展个人信息保护合规 审计的，应当保证专业机构能够正常行使下列权限： （一）要求提供或者协助查阅相关文件或资料； （二）进入个人信息处理活动相关场所； （三）观察场所内发生的个人信息处理活动； （四）调查相关业务活动及所依赖的信息系统； （五）检查、测试个人信息处理活动相关设备设 施； （六）调取、查阅个人信息处理活动相关数据或 信息； （七）访谈与个人信息处理活动有关的人员； （八）就相关问题进行调查、质询和取证； （九）其他开展合规审计工作所必需的权限。 第九条 个人信息处理者按照履行个人信息保护 职责部门要求委托专业机构开展个人信息保护合规审 计的，应当在 90 个工作日内完成个人信息保护合规审 计；情况复杂的，报经履行个人信息保护职责的部门 批准后可适当延长。 第十条 个人信息处理者按照履行个人信息保护 职责部门要求委托专业机构开展个人信息保护合规审 计的，应当按照本办法要求组织实施个人信息保护合 规审计，在实施必要合规审计程序后，及时将专业机 构出具的个人信息保护合规审计报告报送履行个人信 息保护职责的部门。个人信息保护合规审计报告应当 由合规审计负责人、专业机构负责人签字并加盖专业 机构公章。 第十一条 个人信息处理者按照履行个人信息保 护职责的部门要求委托专业机构开展个人信息保护合 规审计的，应当按照专业机构给出的整改建议进行整 改，经专业机构复核后将整改情况报送履行个人信息 保护职责的部门。 第十二条 执行个人信息保护合规审计的专业机 构应当保持独立性和客观性，连续为同一审计对象开 展个人信息保护合规审计不得超过三次。 第十三条 国家网信部门会同公安机关等国务院 有关部门按照统筹规划、合理布局、择优推荐的原则 建立个人信息保护合规审计专业机构推荐目录，每年 组织开展个人信息保护合规审计专业机构评估评价， 并根据评估评价情况动态调整个人信息保护合规审计 专业机构推荐目录。 鼓励个人信息处理者优先选择推荐目录中的专业 机构开展个人信息保护合规审计活动。 第十四条 专业机构在从事个人信息保护合规审 计活动时，应当诚信正直，公正客观地作出合规审计 职业判断。 专业机构不得转包委托第三方开展个人信息保护 合规审计。 专业机构在履行个人信息保护合规审计职责中获 得的信息，只能用于个人信息保护合规审计的需要， 不得用于其他用途；专业机构应当对获得的信息承担 保密责任；专业机构应当采取相应技术措施和其他必 要措施，保障数据安全。 专业机构在履行个人信息保护合规审计职责时不 得恶意干扰个人信息处理者的正常经营活动。 专业机构有出具虚假、失实报告等违规行为的， 个人信息处理者及相关方可向履行个人信息保护职责 的部门进行投诉，经履行个人信息保护职责的部门核 实的，永久禁止列入个人信息保护合规审计专业机构 推荐目录。 第十五条 违反本办法规定的，依据《中华人民 共和国个人信息保护法》等法律法规处理；构成犯罪 的，依法追究刑事责任。 第十六条 本办法由国家互联网信息办公室负责 解释，自 年 月 日起施行。 附件：个人信息保护合规审计参考要点 第一条 本要点依据《中华人民共和国个人信息 保护法》等法律、行政法规和国家标准的强制性要求 制定，为开展个人信息保护合规审计提供参考。 第二条 个人信息保护合规审计应当首先审查个 人信息处理活动的合法性基础条件，重点审查下列事 项： （一）处理个人信息是否取得个人同意，该同意 是否在个人信息主体充分知情的前提下自愿、明确作 出； （二）基于个人同意处理个人信息，个人信息的 处理目的、处理方式和处理的个人信息种类发生变更 的，是否重新取得个人同意； （三）基于个人同意处理个人信息，是否为个人 提供便捷的撤回同意的方式； （四）基于个人同意处理个人信息，是否对个人 同意的操作进行记录； （五）基于个人同意处理个人信息，是否存在以 个人不同意处理其个人信息或者撤回同意为由，拒绝 提供产品或者服务的情况；处理个人信息属于提供产 品或者服务所必需的除外； （六）处理个人信息未取得个人同意，是否属于 法律、行政法规规定不需取得个人同意的情形。 第三条 对个人信息处理规则进行审计时，应当 重点审查下列事项： （一）是否真实、准确、完整地告知个人信息处 理者的名称或者姓名和联系方式； （二）是否以清单形式列明所收集的个人信息及 其处理目的、方式、范围； （三）是否明确个人信息存储期限或者存储期限 的确定方法、到期后的处理方式，以及确保存储期限 为实现处理目的所必要的最短时间； （四）是否明确个人查阅、复制、加工、转移、 更正、补充、删除、公开、限制处理个人信息以及注 销账号、撤回同意的途径和方法； （五）向第三方提供个人信息的，是否明确向个 人告知接收方的名称或者姓名、联系方式、处理目的、 处理方式和个人信息的种类，是否取得个人的单独同 意； （六）法律、行政法规规定的其他事项。 第四条 个人信息处理者处理个人信息应当履行 告知义务，审计时应当重点审查下列事项： （一）个人信息处理者在处理个人信息前，是否 以显著方式、清晰易懂的语言真实、准确、完整地向 个人告知个人信息处理规则； （二）告知文本的大小、字体和颜色是否便于个 人完整阅读告知事项； （三）线下告知是否通过标注、说明等多种方式 向个人履行告知义务； （四）在线告知是否提供文本信息或者通过适当 方式向个人履行告知义务； （五）个人信息处理规则发生变更的，是否将变 更内容及时告知个人。 第五条 个人信息处理者存在与他人共同处理个 人信息情形的，应当重点审查下列事项： （一）是否约定各自的权利义务； （二）各方采取的个人信息保护措施； （三）个人信息权益保护机制； （四）个人信息安全事件报告机制； （五）侵害个人信息权益造成损害的，各方应当 承担的责任； （六）其他法律、行政法规规定需要约定的权利 和义务。 第六条 个人信息处理者存在委托处理个人信息 情形的，应当重点审查下列事项： （一）个人信息处理者在委托处理个人信息前， 是否开展个人信息保护影响评估； （二）个人信息处理者与受托人签订的合同，是 否约定了委托处理的目的、期限、方式及个人信息的 种类、受托人应当采取的技术措施和管理措施、双方 的权利义务等； （三）个人信息处理者是否采取定期检查等方式， 对受托人的个人信息处理活动进行监督，以确保委托 处理个人信息的活动符合法律规定； （四）受托人是否严格按照委托合同的约定处理 个人信息，是否存在超出约定的处理目的、处理方式 处理个人信息的情况； （五）当委托合同不生效、无效、被撤销或者终 止时，受托人是否将个人信息返还个人信息处理者或 者予以删除； （六）受托人是否存在转委托他人处理个人信息 的情况，是否得到个人信息处理者的同意。 第七条 个人信息处理者存在因合并、重组、分 立、解散、被宣告破产等原因需要转移个人信息情形 的，应当重点审查下列事项： （一）个人信息处理者是否向个人告知接收方的 名称或者姓名和联系方式； （二）接收方是否继续履行个人信息处理者的义 务； （三）接收方变更原先处理目的、处理方式的， 是否依照法律、行政法规有关规定重新取得个人同意。 第八条 个人信息处理者存在向其他个人信息处 理者提供其处理的个人信息的，应当重点审查下列事 项： （一）是否取得个人的单独同意； （二）是否向个人告知接收方的名称或者姓名、 联系方式、处理目的、处理方式和个人信息的种类； （三）接收方是否在双方约定的处理目的、处理 方式和个人信息的种类等范围内处理个人信息； （四）变更处理目的、处理方式的，是否依照法 律、行政法规规定重新取得个人同意； （五）是否事前进行个人信息保护影响评估。 第九条 个人信息处理者利用自动化决策处理个 人信息的，审计时应当重点评价自动化决策的透明度 和结果的公平性、公正性： （一）是否事前主动告知个人自动化决策处理个 人信息的种类及可能带来的影响； （二）是否事前对算法模型进行安全评估，并按 国家相关规定进行备案，以尽可能减少自动化决策算 法模型存在的缺陷，当应用场景和主要功能发生变化 时，是否对算法模型重新进行评估； （三）是否事前对算法模型进行科技伦理审查； （四）是否事前进行个人信息保护影响评估； （五）是否向用户提供保障机制，以便用户可以 通过便捷方式拒绝通过自动化决策方式作出对个人权 益有重大影响的决定，或要求个人信息处理者就应用 自动化决策方式作出对用户个人权益有重大影响的决 定予以说明； （六）是否向用户提供删除或者修改用于自动化 决策服务的针对其个人特征的用户标签功能； （七）是否采取必要措施对算法和参数模型进行 保护； （八）是否对个人信息处理、标签管理、模型训 练等自动化决策过程中的人工操作进行记录，防范人 为恶意操纵自动化决策信息和结果； （九）向个人进行信息推送、商业营销时，是否 同时提供不针对个人特征的选项，或者提供便捷的拒 绝自动化决策服务的方式； （十）是否采取了有效措施，防止自动化决策根 据消费者的偏好、交易习惯等对个人在交易条件上实 行不合理的差别待遇； （十一）其他可能影响自动化决策的透明度和结 果公平、公正的事项。 第十条 个人信息处理者存在公开其处理的个人 信息情形的，应当重点审查下列事