業(yè)務(wù)資訊
《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》
自2025年5月1日起施
國(guó)家互聯(lián)網(wǎng)信息辦公室令
第18號(hào)
《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》已經(jīng)2024年5月20日國(guó)家互聯(lián)網(wǎng)信息辦公室2024年第15次室務(wù)會(huì)會(huì)議審議通過(guò),現(xiàn)予公布,自2025年5月1日起施行。
國(guó)家互聯(lián)網(wǎng)信息辦公室主任 莊榮文
2025年2月12日
個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法
第一條 為了規(guī)范個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng),保護(hù)個(gè)人信息權(quán)益,根據(jù)《中華人民共和國(guó)個(gè)人信息保護(hù)法》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》等法律、行政法規(guī),制定本辦法。
第二條 在中華人民共和國(guó)境內(nèi)開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì),適用本辦法。
本辦法所稱(chēng)個(gè)人信息保護(hù)合規(guī)審計(jì),是指對(duì)個(gè)人信息處理者的個(gè)人信息處理活動(dòng)是否遵守法律、行政法規(guī)的情況進(jìn)行審查和評(píng)價(jià)的監(jiān)督活動(dòng)。
第三條 個(gè)人信息處理者自行開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)的,應(yīng)當(dāng)由個(gè)人信息處理者內(nèi)部機(jī)構(gòu)或者委托專(zhuān)業(yè)機(jī)構(gòu)定期對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)。
第四條 處理超過(guò)1000萬(wàn)人個(gè)人信息的個(gè)人信息處理者,應(yīng)當(dāng)每?jī)赡曛辽匍_(kāi)展一次個(gè)人信息保護(hù)合規(guī)審計(jì)。
第五條 個(gè)人信息處理者有以下情形之一的,國(guó)家網(wǎng)信部門(mén)和其他履行個(gè)人信息保護(hù)職責(zé)的部門(mén)(以下統(tǒng)稱(chēng)為保護(hù)部門(mén)),可以要求個(gè)人信息處理者委托專(zhuān)業(yè)機(jī)構(gòu)對(duì)個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì):
(一)發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在嚴(yán)重影響個(gè)人權(quán)益或者嚴(yán)重缺乏安全措施等較大風(fēng)險(xiǎn)的;
(二)個(gè)人信息處理活動(dòng)可能侵害眾多個(gè)人的權(quán)益的;
(三)發(fā)生個(gè)人信息安全事件,導(dǎo)致100萬(wàn)人以上個(gè)人信息或者10萬(wàn)人以上敏感個(gè)人信息泄露、篡改、丟失、毀損的。
對(duì)同一個(gè)人信息安全事件或者風(fēng)險(xiǎn),不得重復(fù)要求個(gè)人信息處理者委托專(zhuān)業(yè)機(jī)構(gòu)開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)。
第六條 個(gè)人信息處理者自行開(kāi)展或者按照保護(hù)部門(mén)要求委托專(zhuān)業(yè)機(jī)構(gòu)開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)的,應(yīng)當(dāng)參照本辦法附件《個(gè)人信息保護(hù)合規(guī)審計(jì)指引》。
第七條 專(zhuān)業(yè)機(jī)構(gòu)應(yīng)當(dāng)具備開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)的能力,有與服務(wù)相適應(yīng)的審計(jì)人員、場(chǎng)所、設(shè)施和資金等。
鼓勵(lì)相關(guān)專(zhuān)業(yè)機(jī)構(gòu)通過(guò)認(rèn)證。專(zhuān)業(yè)機(jī)構(gòu)的認(rèn)證按照《中華人民共和國(guó)認(rèn)證認(rèn)可條例》的有關(guān)規(guī)定執(zhí)行。
第八條 個(gè)人信息處理者按照保護(hù)部門(mén)要求開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)的,應(yīng)當(dāng)為專(zhuān)業(yè)機(jī)構(gòu)正常開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)工作提供必要支持,并承擔(dān)審計(jì)費(fèi)用。
第九條 個(gè)人信息處理者按照保護(hù)部門(mén)要求開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)的,應(yīng)當(dāng)按照保護(hù)部門(mén)要求選定專(zhuān)業(yè)機(jī)構(gòu),在限定時(shí)間內(nèi)完成個(gè)人信息保護(hù)合規(guī)審計(jì);情況復(fù)雜的,報(bào)保護(hù)部門(mén)批準(zhǔn)后,可以適當(dāng)延長(zhǎng)。
第十條 個(gè)人信息處理者按照保護(hù)部門(mén)要求開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)的,在完成合規(guī)審計(jì)后,應(yīng)當(dāng)將專(zhuān)業(yè)機(jī)構(gòu)出具的個(gè)人信息保護(hù)合規(guī)審計(jì)報(bào)告報(bào)送保護(hù)部門(mén)。
個(gè)人信息保護(hù)合規(guī)審計(jì)報(bào)告應(yīng)當(dāng)由專(zhuān)業(yè)機(jī)構(gòu)主要負(fù)責(zé)人、合規(guī)審計(jì)負(fù)責(zé)人簽字并加蓋專(zhuān)業(yè)機(jī)構(gòu)公章。
第十一條 個(gè)人信息處理者按照保護(hù)部門(mén)要求開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)的,應(yīng)當(dāng)按照保護(hù)部門(mén)要求對(duì)合規(guī)審計(jì)中發(fā)現(xiàn)的問(wèn)題進(jìn)行整改。在整改完成后15個(gè)工作日內(nèi),向保護(hù)部門(mén)報(bào)送整改情況報(bào)告。
第十二條 處理100萬(wàn)人以上個(gè)人信息的個(gè)人信息處理者應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人,負(fù)責(zé)個(gè)人信息處理者的個(gè)人信息保護(hù)合規(guī)審計(jì)工作。
提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶(hù)數(shù)量巨大、業(yè)務(wù)類(lèi)型復(fù)雜的個(gè)人信息處理者,應(yīng)當(dāng)成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)合規(guī)審計(jì)情況進(jìn)行監(jiān)督。
第十三條 專(zhuān)業(yè)機(jī)構(gòu)在從事個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng)時(shí),應(yīng)當(dāng)遵守法律法規(guī),誠(chéng)信正直,公正客觀地作出合規(guī)審計(jì)職業(yè)判斷,對(duì)在履行個(gè)人信息保護(hù)合規(guī)審計(jì)職責(zé)中獲得的個(gè)人信息、商業(yè)秘密、保密商務(wù)信息等應(yīng)當(dāng)依法予以保密,不得泄露或者非法向他人提供,在合規(guī)審計(jì)工作結(jié)束后及時(shí)刪除相關(guān)信息。
第十四條 專(zhuān)業(yè)機(jī)構(gòu)不得轉(zhuǎn)委托其他機(jī)構(gòu)開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)。
第十五條 同一專(zhuān)業(yè)機(jī)構(gòu)及其關(guān)聯(lián)機(jī)構(gòu)、同一合規(guī)審計(jì)負(fù)責(zé)人不得連續(xù)三次以上對(duì)同一審計(jì)對(duì)象開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)。
第十六條 保護(hù)部門(mén)對(duì)個(gè)人信息處理者開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)情況進(jìn)行監(jiān)督檢查。
第十七條 任何組織、個(gè)人有權(quán)對(duì)個(gè)人信息保護(hù)合規(guī)審計(jì)中的違法活動(dòng)向保護(hù)部門(mén)進(jìn)行投訴、舉報(bào)。收到投訴、舉報(bào)的部門(mén)應(yīng)當(dāng)依法及時(shí)處理,并將處理結(jié)果告知投訴、舉報(bào)人。
第十八條 個(gè)人信息處理者、專(zhuān)業(yè)機(jī)構(gòu)違反本辦法規(guī)定的,依照《中華人民共和國(guó)個(gè)人信息保護(hù)法》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》等法律法規(guī)的規(guī)定處理;構(gòu)成犯罪的,依法追究刑事責(zé)任。
第十九條 對(duì)國(guó)家機(jī)關(guān)和法律、法規(guī)授權(quán)的具有管理公共事務(wù)職能的組織的個(gè)人信息保護(hù)合規(guī)審計(jì),不適用本辦法。
第二十條 本辦法自2025年5月1日起施行。