國家網(wǎng)信辦：處理超過(guò)100萬(wàn)人個(gè)人信息的處理者，應當每年至少開(kāi)展一次保護合規審計

　　國家網(wǎng)信辦今日發(fā)布公告，為指導、規范個(gè)人信息保護合規審計活動(dòng)，根據《中華人民共和國個(gè)人信息保護法》等法律法規，國家互聯(lián)網(wǎng)信息辦公室起草了《個(gè)人信息保護合規審計管理辦法（征求意見(jiàn)稿）》，現向社會(huì )公開(kāi)征求意見(jiàn)。

　　征求意見(jiàn)稿提到，處理超過(guò) 100 萬(wàn)人個(gè)人信息的個(gè)人信息處理者，應當每年至少開(kāi)展一次個(gè)人信息保護合規審計；其他個(gè)人信息處理者應當每二年至少開(kāi)展一次個(gè)人信息保護合規審計。

　　公眾可以通過(guò)以下途徑和方式提出反饋意見(jiàn)：

　　1.登錄中華人民共和國司法部 中國政府法制信息網(wǎng)（www.moj.gov.cn、www.chinalaw.gov.cn），進(jìn)入首頁(yè)主菜單的立法意見(jiàn)征集欄目提出意見(jiàn)。

　　2.通過(guò)電子郵件方式發(fā)送至：shujuju@cac.gov.cn。

　　3.通過(guò)信函方式將意見(jiàn)寄至：北京市海淀區阜成路 15 號國家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò )數據管理局，郵編 100048，并在信封上注明個(gè)人信息保護合規審計管理辦法征求意見(jiàn)。

　　IT之家注：意見(jiàn)反饋截止時(shí)間為 2023 年 9 月 2 日。

　　《個(gè)人信息保護合規審計管理辦法（征求意見(jiàn)稿）》全文：

　　第一條 為指導、規范個(gè)人信息保護合規審計活動(dòng)，提高個(gè)人信息處理活動(dòng)合規水平，保護個(gè)人信息權益，根據《中華人民共和國個(gè)人信息保護法》等法律、行政法規和國家有關(guān)規定，制定本辦法。

　　第二條 個(gè)人信息處理者定期開(kāi)展個(gè)人信息保護合規審計，或者按照履行個(gè)人信息保護職責的部門(mén)要求委托專(zhuān)業(yè)機構對其個(gè)人信息處理活動(dòng)進(jìn)行合規審計，以及對個(gè)人信息保護合規審計活動(dòng)的監督管理適用本辦法。

　　第三條 本辦法所稱(chēng)個(gè)人信息保護合規審計，是指對個(gè)人信息處理者的個(gè)人信息處理活動(dòng)是否遵守法律、行政法規的情況進(jìn)行審查和評價(jià)的監督活動(dòng)。

　　第四條 處理超過(guò) 100 萬(wàn)人個(gè)人信息的個(gè)人信息處理者，應當每年至少開(kāi)展一次個(gè)人信息保護合規審計；其他個(gè)人信息處理者應當每二年至少開(kāi)展一次個(gè)人信息保護合規審計。

　　第五條 個(gè)人信息處理者自行開(kāi)展個(gè)人信息保護合規審計，可根據實(shí)際情況，由本組織內部機構或者委托專(zhuān)業(yè)機構按照本辦法要求開(kāi)展。

　　第六條 履行個(gè)人信息保護職責的部門(mén)在履行職責中，發(fā)現個(gè)人信息處理活動(dòng)存在較大風(fēng)險或者發(fā)生個(gè)人信息安全事件的，可以要求個(gè)人信息處理者委托專(zhuān)業(yè)機構對其個(gè)人信息處理活動(dòng)進(jìn)行合規審計。

　　第七條 個(gè)人信息處理者按照履行個(gè)人信息保護職責的部門(mén)要求開(kāi)展個(gè)人信息保護合規審計的，應當在收到通知后盡快按照要求選定專(zhuān)業(yè)機構進(jìn)行個(gè)人信息保護合規審計。

　　第八條 個(gè)人信息處理者按照履行個(gè)人信息保護職責的部門(mén)要求委托專(zhuān)業(yè)機構開(kāi)展個(gè)人信息保護合規審計的，應當保證專(zhuān)業(yè)機構能夠正常行使下列權限：

　?。ㄒ唬┮筇峁┗蛘邊f(xié)助查閱相關(guān)文件或資料；

　?。ǘ┻M(jìn)入個(gè)人信息處理活動(dòng)相關(guān)場(chǎng)所；

　?。ㄈ┯^(guān)察場(chǎng)所內發(fā)生的個(gè)人信息處理活動(dòng)；

　?。ㄋ模┱{查相關(guān)業(yè)務(wù)活動(dòng)及所依賴(lài)的信息系統；

　?。ㄎ澹z查、測試個(gè)人信息處理活動(dòng)相關(guān)設備設施；

　?。┱{取、查閱個(gè)人信息處理活動(dòng)相關(guān)數據或信息；

　?。ㄆ撸┰L(fǎng)談與個(gè)人信息處理活動(dòng)有關(guān)的人員；

　?。ò耍┚拖嚓P(guān)問(wèn)題進(jìn)行調查、質(zhì)詢(xún)和取證；

　?。ň牛┢渌_(kāi)展合規審計工作所必需的權限。

　　第九條 個(gè)人信息處理者按照履行個(gè)人信息保護職責部門(mén)要求委托專(zhuān)業(yè)機構開(kāi)展個(gè)人信息保護合規審計的，應當在 90 個(gè)工作日內完成個(gè)人信息保護合規審計；情況復雜的，報經(jīng)履行個(gè)人信息保護職責的部門(mén)批準后可適當延長(cháng)。

　　第十條 個(gè)人信息處理者按照履行個(gè)人信息保護職責部門(mén)要求委托專(zhuān)業(yè)機構開(kāi)展個(gè)人信息保護合規審計的，應當按照本辦法要求組織實(shí)施個(gè)人信息保護合規審計，在實(shí)施必要合規審計程序后，及時(shí)將專(zhuān)業(yè)機構出具的個(gè)人信息保護合規審計報告報送履行個(gè)人信息保護職責的部門(mén)。個(gè)人信息保護合規審計報告應當由合規審計負責人、專(zhuān)業(yè)機構負責人簽字并加蓋專(zhuān)業(yè)機構公章。

　　第十一條 個(gè)人信息處理者按照履行個(gè)人信息保護職責的部門(mén)要求委托專(zhuān)業(yè)機構開(kāi)展個(gè)人信息保護合規審計的，應當按照專(zhuān)業(yè)機構給出的整改建議進(jìn)行整改，經(jīng)專(zhuān)業(yè)機構復核后將整改情況報送履行個(gè)人信息保護職責的部門(mén)。

　　第十二條 執行個(gè)人信息保護合規審計的專(zhuān)業(yè)機構應當保持獨立性和客觀(guān)性，連續為同一審計對象開(kāi)展個(gè)人信息保護合規審計不得超過(guò)三次。

　　第十三條 國家網(wǎng)信部門(mén)會(huì )同公安機關(guān)等國務(wù)院有關(guān)部門(mén)按照統籌規劃、合理布局、擇優(yōu)推薦的原則建立個(gè)人信息保護合規審計專(zhuān)業(yè)機構推薦目錄，每年組織開(kāi)展個(gè)人信息保護合規審計專(zhuān)業(yè)機構評估評價(jià)，并根據評估評價(jià)情況動(dòng)態(tài)調整個(gè)人信息保護合規審計專(zhuān)業(yè)機構推薦目錄。

　　鼓勵個(gè)人信息處理者優(yōu)先選擇推薦目錄中的專(zhuān)業(yè)機構開(kāi)展個(gè)人信息保護合規審計活動(dòng)。

　　第十四條 專(zhuān)業(yè)機構在從事個(gè)人信息保護合規審計活動(dòng)時(shí)，應當誠信正直，公正客觀(guān)地作出合規審計職業(yè)判斷。

　　專(zhuān)業(yè)機構不得轉包委托第三方開(kāi)展個(gè)人信息保護合規審計。

　　專(zhuān)業(yè)機構在履行個(gè)人信息保護合規審計職責中獲得的信息，只能用于個(gè)人信息保護合規審計的需要，不得用于其他用途；專(zhuān)業(yè)機構應當對獲得的信息承擔保密責任；專(zhuān)業(yè)機構應當采取相應技術(shù)措施和其他必要措施，保障數據安全。

　　專(zhuān)業(yè)機構在履行個(gè)人信息保護合規審計職責時(shí)不得惡意干擾個(gè)人信息處理者的正常經(jīng)營(yíng)活動(dòng)。

　　專(zhuān)業(yè)機構有出具虛假、失實(shí)報告等違規行為的，個(gè)人信息處理者及相關(guān)方可向履行個(gè)人信息保護職責的部門(mén)進(jìn)行投訴，經(jīng)履行個(gè)人信息保護職責的部門(mén)核實(shí)的，永久禁止列入個(gè)人信息保護合規審計專(zhuān)業(yè)機構推薦目錄。

　　第十五條 違反本辦法規定的，依據《中華人民共和國個(gè)人信息保護法》等法律法規處理；構成犯罪的，依法追究刑事責任。

　　第十六條 本辦法由國家互聯(lián)網(wǎng)信息辦公室負責解釋?zhuān)?年 月 日起施行。