國(guó)家網(wǎng)信辦：處理超過(guò) 100 萬(wàn)人個(gè)人信息的處理者，應(yīng)當(dāng)每年至少開(kāi)展一次保護(hù)合規(guī)審計(jì)

IT之家 8 月 3 日消息，國(guó)家網(wǎng)信辦今日發(fā)布公告，為指導(dǎo)、規(guī)范個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng)，根據(jù)《中華人民共和國(guó)個(gè)人信息保護(hù)法》等法律法規(guī)，國(guó)家互聯(lián)網(wǎng)信息辦公室起草了《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法（征求意見(jiàn)稿）》，現(xiàn)向社會(huì)公開(kāi)征求意見(jiàn)。

征求意見(jiàn)稿提到，處理超過(guò) 100 萬(wàn)人個(gè)人信息的個(gè)人信息處理者，應(yīng)當(dāng)每年至少開(kāi)展一次個(gè)人信息保護(hù)合規(guī)審計(jì)；其他個(gè)人信息處理者應(yīng)當(dāng)每二年至少開(kāi)展一次個(gè)人信息保護(hù)合規(guī)審計(jì)。

公眾可以通過(guò)以下途徑和方式提出反饋意見(jiàn)：

• 1.登錄中華人民共和國(guó)司法部 中國(guó)政府法制信息網(wǎng)（www.moj.gov.cn、www.chinalaw.gov.cn），進(jìn)入首頁(yè)主菜單的“立法意見(jiàn)征集”欄目提出意見(jiàn)。

• 2.通過(guò)電子郵件方式發(fā)送至：shujuju@cac.gov.cn。

• 3.通過(guò)信函方式將意見(jiàn)寄至：北京市海淀區(qū)阜成路 15 號(hào)國(guó)家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò)數(shù)據(jù)管理局，郵編 100048，并在信封上注明“個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法征求意見(jiàn)”。

IT之家注：意見(jiàn)反饋截止時(shí)間為 2023 年 9 月 2 日。

《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法（征求意見(jiàn)稿）》全文：

第一條 為指導(dǎo)、規(guī)范個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng)，提高個(gè)人信息處理活動(dòng)合規(guī)水平，保護(hù)個(gè)人信息權(quán)益，根據(jù)《中華人民共和國(guó)個(gè)人信息保護(hù)法》等法律、行政法規(guī)和國(guó)家有關(guān)規(guī)定，制定本辦法。

第二條 個(gè)人信息處理者定期開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)，或者按照履行個(gè)人信息保護(hù)職責(zé)的部門(mén)要求委托專業(yè)機(jī)構(gòu)對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)，以及對(duì)個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng)的監(jiān)督管理適用本辦法。

第三條 本辦法所稱個(gè)人信息保護(hù)合規(guī)審計(jì)，是指對(duì)個(gè)人信息處理者的個(gè)人信息處理活動(dòng)是否遵守法律、行政法規(guī)的情況進(jìn)行審查和評(píng)價(jià)的監(jiān)督活動(dòng)。

第四條 處理超過(guò) 100 萬(wàn)人個(gè)人信息的個(gè)人信息處理者，應(yīng)當(dāng)每年至少開(kāi)展一次個(gè)人信息保護(hù)合規(guī)審計(jì)；其他個(gè)人信息處理者應(yīng)當(dāng)每二年至少開(kāi)展一次個(gè)人信息保護(hù)合規(guī)審計(jì)。

第五條 個(gè)人信息處理者自行開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)，可根據(jù)實(shí)際情況，由本組織內(nèi)部機(jī)構(gòu)或者委托專業(yè)機(jī)構(gòu)按照本辦法要求開(kāi)展。

第六條 履行個(gè)人信息保護(hù)職責(zé)的部門(mén)在履行職責(zé)中，發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件的，可以要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)。

第七條 個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)的部門(mén)要求開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)的，應(yīng)當(dāng)在收到通知后盡快按照要求選定專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)合規(guī)審計(jì)。

第八條 個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)的部門(mén)要求委托專業(yè)機(jī)構(gòu)開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)的，應(yīng)當(dāng)保證專業(yè)機(jī)構(gòu)能夠正常行使下列權(quán)限：

（一）要求提供或者協(xié)助查閱相關(guān)文件或資料；

（二）進(jìn)入個(gè)人信息處理活動(dòng)相關(guān)場(chǎng)所；

（三）觀察場(chǎng)所內(nèi)發(fā)生的個(gè)人信息處理活動(dòng)；

（四）調(diào)查相關(guān)業(yè)務(wù)活動(dòng)及所依賴的信息系統(tǒng)；

（五）檢查、測(cè)試個(gè)人信息處理活動(dòng)相關(guān)設(shè)備設(shè)施；

（六）調(diào)取、查閱個(gè)人信息處理活動(dòng)相關(guān)數(shù)據(jù)或信息；

（七）訪談與個(gè)人信息處理活動(dòng)有關(guān)的人員；

（八）就相關(guān)問(wèn)題進(jìn)行調(diào)查、質(zhì)詢和取證；

（九）其他開(kāi)展合規(guī)審計(jì)工作所必需的權(quán)限。

第九條 個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)部門(mén)要求委托專業(yè)機(jī)構(gòu)開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)的，應(yīng)當(dāng)在 90 個(gè)工作日內(nèi)完成個(gè)人信息保護(hù)合規(guī)審計(jì)；情況復(fù)雜的，報(bào)經(jīng)履行個(gè)人信息保護(hù)職責(zé)的部門(mén)批準(zhǔn)后可適當(dāng)延長(zhǎng)。

第十條 個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)部門(mén)要求委托專業(yè)機(jī)構(gòu)開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)的，應(yīng)當(dāng)按照本辦法要求組織實(shí)施個(gè)人信息保護(hù)合規(guī)審計(jì)，在實(shí)施必要合規(guī)審計(jì)程序后，及時(shí)將專業(yè)機(jī)構(gòu)出具的個(gè)人信息保護(hù)合規(guī)審計(jì)報(bào)告報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門(mén)。個(gè)人信息保護(hù)合規(guī)審計(jì)報(bào)告應(yīng)當(dāng)由合規(guī)審計(jì)負(fù)責(zé)人、專業(yè)機(jī)構(gòu)負(fù)責(zé)人簽字并加蓋專業(yè)機(jī)構(gòu)公章。

第十一條 個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)的部門(mén)要求委托專業(yè)機(jī)構(gòu)開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)的，應(yīng)當(dāng)按照專業(yè)機(jī)構(gòu)給出的整改建議進(jìn)行整改，經(jīng)專業(yè)機(jī)構(gòu)復(fù)核后將整改情況報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門(mén)。

第十二條 執(zhí)行個(gè)人信息保護(hù)合規(guī)審計(jì)的專業(yè)機(jī)構(gòu)應(yīng)當(dāng)保持獨(dú)立性和客觀性，連續(xù)為同一審計(jì)對(duì)象開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)不得超過(guò)三次。

第十三條 國(guó)家網(wǎng)信部門(mén)會(huì)同公安機(jī)關(guān)等國(guó)務(wù)院有關(guān)部門(mén)按照統(tǒng)籌規(guī)劃、合理布局、擇優(yōu)推薦的原則建立個(gè)人信息保護(hù)合規(guī)審計(jì)專業(yè)機(jī)構(gòu)推薦目錄，每年組織開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)專業(yè)機(jī)構(gòu)評(píng)估評(píng)價(jià)，并根據(jù)評(píng)估評(píng)價(jià)情況動(dòng)態(tài)調(diào)整個(gè)人信息保護(hù)合規(guī)審計(jì)專業(yè)機(jī)構(gòu)推薦目錄。

鼓勵(lì)個(gè)人信息處理者優(yōu)先選擇推薦目錄中的專業(yè)機(jī)構(gòu)開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng)。

第十四條 專業(yè)機(jī)構(gòu)在從事個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng)時(shí)，應(yīng)當(dāng)誠(chéng)信正直，公正客觀地作出合規(guī)審計(jì)職業(yè)判斷。

專業(yè)機(jī)構(gòu)不得轉(zhuǎn)包委托第三方開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)。

專業(yè)機(jī)構(gòu)在履行個(gè)人信息保護(hù)合規(guī)審計(jì)職責(zé)中獲得的信息，只能用于個(gè)人信息保護(hù)合規(guī)審計(jì)的需要，不得用于其他用途；專業(yè)機(jī)構(gòu)應(yīng)當(dāng)對(duì)獲得的信息承擔(dān)保密責(zé)任；專業(yè)機(jī)構(gòu)應(yīng)當(dāng)采取相應(yīng)技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全。

專業(yè)機(jī)構(gòu)在履行個(gè)人信息保護(hù)合規(guī)審計(jì)職責(zé)時(shí)不得惡意干擾個(gè)人信息處理者的正常經(jīng)營(yíng)活動(dòng)。

專業(yè)機(jī)構(gòu)有出具虛假、失實(shí)報(bào)告等違規(guī)行為的，個(gè)人信息處理者及相關(guān)方可向履行個(gè)人信息保護(hù)職責(zé)的部門(mén)進(jìn)行投訴，經(jīng)履行個(gè)人信息保護(hù)職責(zé)的部門(mén)核實(shí)的，永久禁止列入個(gè)人信息保護(hù)合規(guī)審計(jì)專業(yè)機(jī)構(gòu)推薦目錄。

第十五條 違反本辦法規(guī)定的，依據(jù)《中華人民共和國(guó)個(gè)人信息保護(hù)法》等法律法規(guī)處理；構(gòu)成犯罪的，依法追究刑事責(zé)任。

第十六條 本辦法由國(guó)家互聯(lián)網(wǎng)信息辦公室負(fù)責(zé)解釋，自 年 月 日起施行。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。