雷火app-中国电竞赛事及体育赛事平台

業務資訊

 

《個人信息保護合規審計管理辦法》

自2025年5月1日起施

 

 

國家互聯網信息辦公室令

第18號

《個人信息保護合規審計管理辦法》已經2024年5月20日國家互聯網信息辦公室2024年第15次室務會會議審議通過，現予公布，自2025年5月1日起施行。

  

 

國家互聯網信息辦公室主任 莊榮文

2025年2月12日

 

 

 

個人信息保護合規審計管理辦法

 

第一條  為了規范個人信息保護合規審計活動，保護個人信息權益，根據《中華人民共和國個人信息保護法》、《網絡數據安全管理條例》等法律、行政法規，制定本辦法。

第二條  在中華人民共和國境內開展個人信息保護合規審計，適用本辦法。

本辦法所稱個人信息保護合規審計，是指對個人信息處理者的個人信息處理活動是否遵守法律、行政法規的情況進行審查和評價的監督活動。

第三條  個人信息處理者自行開展個人信息保護合規審計的，應當由個人信息處理者內部機構或者委托專業機構定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。

第四條  處理超過1000萬人個人信息的個人信息處理者，應當每兩年至少開展一次個人信息保護合規審計。

第五條  個人信息處理者有以下情形之一的，國家網信部門和其他履行個人信息保護職責的部門（以下統稱為保護部門），可以要求個人信息處理者委托專業機構對個人信息處理活動進行合規審計：

（一）發現個人信息處理活動存在嚴重影響個人權益或者嚴重缺乏安全措施等較大風險的；

（二）個人信息處理活動可能侵害眾多個人的權益的；

（三）發生個人信息安全事件，導致100萬人以上個人信息或者10萬人以上敏感個人信息泄露、篡改、丟失、毀損的。

對同一個人信息安全事件或者風險，不得重復要求個人信息處理者委托專業機構開展個人信息保護合規審計。

第六條  個人信息處理者自行開展或者按照保護部門要求委托專業機構開展個人信息保護合規審計的，應當參照本辦法附件《個人信息保護合規審計指引》。

第七條  專業機構應當具備開展個人信息保護合規審計的能力，有與服務相適應的審計人員、場所、設施和資金等。

鼓勵相關專業機構通過認證。專業機構的認證按照《中華人民共和國認證認可條例》的有關規定執行。

第八條  個人信息處理者按照保護部門要求開展個人信息保護合規審計的，應當為專業機構正常開展個人信息保護合規審計工作提供必要支持，并承擔審計費用。

第九條  個人信息處理者按照保護部門要求開展個人信息保護合規審計的，應當按照保護部門要求選定專業機構，在限定時間內完成個人信息保護合規審計；情況復雜的，報保護部門批準后，可以適當延長。

第十條  個人信息處理者按照保護部門要求開展個人信息保護合規審計的，在完成合規審計后，應當將專業機構出具的個人信息保護合規審計報告報送保護部門。

個人信息保護合規審計報告應當由專業機構主要負責人、合規審計負責人簽字并加蓋專業機構公章。

第十一條  個人信息處理者按照保護部門要求開展個人信息保護合規審計的，應當按照保護部門要求對合規審計中發現的問題進行整改。在整改完成后15個工作日內，向保護部門報送整改情況報告。

第十二條  處理100萬人以上個人信息的個人信息處理者應當指定個人信息保護負責人，負責個人信息處理者的個人信息保護合規審計工作。

提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者，應當成立主要由外部成員組成的獨立機構對個人信息保護合規審計情況進行監督。

第十三條  專業機構在從事個人信息保護合規審計活動時，應當遵守法律法規，誠信正直，公正客觀地作出合規審計職業判斷，對在履行個人信息保護合規審計職責中獲得的個人信息、商業秘密、保密商務信息等應當依法予以保密，不得泄露或者非法向他人提供，在合規審計工作結束后及時刪除相關信息。

第十四條  專業機構不得轉委托其他機構開展個人信息保護合規審計。

第十五條  同一專業機構及其關聯機構、同一合規審計負責人不得連續三次以上對同一審計對象開展個人信息保護合規審計。

第十六條  保護部門對個人信息處理者開展個人信息保護合規審計情況進行監督檢查。

第十七條  任何組織、個人有權對個人信息保護合規審計中的違法活動向保護部門進行投訴、舉報。收到投訴、舉報的部門應當依法及時處理，并將處理結果告知投訴、舉報人。

第十八條  個人信息處理者、專業機構違反本辦法規定的，依照《中華人民共和國個人信息保護法》、《網絡數據安全管理條例》等法律法規的規定處理；構成犯罪的，依法追究刑事責任。

第十九條  對國家機關和法律、法規授權的具有管理公共事務職能的組織的個人信息保護合規審計，不適用本辦法。

第二十條  本辦法自2025年5月1日起施行。