央視網(wǎng)消息：據(jù)國家互聯(lián)網(wǎng)信息辦公室，為指導(dǎo)、規(guī)范個人信息保護合規(guī)審計活動，根據(jù)《中華人民共和國個人信息保護法》等法律法規(guī)，國家互聯(lián)網(wǎng)信息辦公室起草了《個人信息保護合規(guī)審計管理辦法（征求意見稿）》，現(xiàn)向社會公開征求意見。公眾可以通過以下途徑和方式提出反饋意見：

　　1.登錄中華人民共和國司法部 中國政府法制信息網(wǎng)（www.moj.gov.cn、www.chinalaw.gov.cn），進入首頁主菜單的“立法意見征集”欄目提出意見。

　　2.通過電子郵件方式發(fā)送至：shujuju@cac.gov.cn。

　　3.通過信函方式將意見寄至：北京市海淀區(qū)阜成路15號國家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò)數(shù)據(jù)管理局，郵編100048，并在信封上注明“個人信息保護合規(guī)審計管理辦法征求意見”。

　　意見反饋截止時間為2023年9月2日。

　　個人信息保護合規(guī)審計管理辦法

　　（征求意見稿）

　　第一條 為指導(dǎo)、規(guī)范個人信息保護合規(guī)審計活動，提高個人信息處理活動合規(guī)水平，保護個人信息權(quán)益，根據(jù)《中華人民共和國個人信息保護法》等法律、行政法規(guī)和國家有關(guān)規(guī)定，制定本辦法。

　　第二條個人信息處理者定期開展個人信息保護合規(guī)審計，或者按照履行個人信息保護職責(zé)的部門要求委托專業(yè)機構(gòu)對其個人信息處理活動進行合規(guī)審計，以及對個人信息保護合規(guī)審計活動的監(jiān)督管理適用本辦法。

　　第三條本辦法所稱個人信息保護合規(guī)審計，是指對個人信息處理者的個人信息處理活動是否遵守法律、行政法規(guī)的情況進行審查和評價的監(jiān)督活動。

　　第四條處理超過100萬人個人信息的個人信息處理者，應(yīng)當(dāng)每年至少開展一次個人信息保護合規(guī)審計；其他個人信息處理者應(yīng)當(dāng)每二年至少開展一次個人信息保護合規(guī)審計。

　　第五條個人信息處理者自行開展個人信息保護合規(guī)審計，可根據(jù)實際情況，由本組織內(nèi)部機構(gòu)或者委托專業(yè)機構(gòu)按照本辦法要求開展。

　　第六條履行個人信息保護職責(zé)的部門在履行職責(zé)中，發(fā)現(xiàn)個人信息處理活動存在較大風(fēng)險或者發(fā)生個人信息安全事件的，可以要求個人信息處理者委托專業(yè)機構(gòu)對其個人信息處理活動進行合規(guī)審計。

　　第七條個人信息處理者按照履行個人信息保護職責(zé)的部門要求開展個人信息保護合規(guī)審計的，應(yīng)當(dāng)在收到通知后盡快按照要求選定專業(yè)機構(gòu)進行個人信息保護合規(guī)審計。

　　第八條個人信息處理者按照履行個人信息保護職責(zé)的部門要求委托專業(yè)機構(gòu)開展個人信息保護合規(guī)審計的，應(yīng)當(dāng)保證專業(yè)機構(gòu)能夠正常行使下列權(quán)限：

　　（一）要求提供或者協(xié)助查閱相關(guān)文件或資料；

　　（二）進入個人信息處理活動相關(guān)場所；

　　（三）觀察場所內(nèi)發(fā)生的個人信息處理活動；

　　（四）調(diào)查相關(guān)業(yè)務(wù)活動及所依賴的信息系統(tǒng)；

　　（五）檢查、測試個人信息處理活動相關(guān)設(shè)備設(shè)施；

　　（六）調(diào)取、查閱個人信息處理活動相關(guān)數(shù)據(jù)或信息；

　　（七）訪談與個人信息處理活動有關(guān)的人員；

　　（八）就相關(guān)問題進行調(diào)查、質(zhì)詢和取證；

　　（九）其他開展合規(guī)審計工作所必需的權(quán)限。

　　第九條個人信息處理者按照履行個人信息保護職責(zé)部門要求委托專業(yè)機構(gòu)開展個人信息保護合規(guī)審計的，應(yīng)當(dāng)在90個工作日內(nèi)完成個人信息保護合規(guī)審計；情況復(fù)雜的，報經(jīng)履行個人信息保護職責(zé)的部門批準(zhǔn)后可適當(dāng)延長。

　　第十條個人信息處理者按照履行個人信息保護職責(zé)部門要求委托專業(yè)機構(gòu)開展個人信息保護合規(guī)審計的，應(yīng)當(dāng)按照本辦法要求組織實施個人信息保護合規(guī)審計，在實施必要合規(guī)審計程序后，及時將專業(yè)機構(gòu)出具的個人信息保護合規(guī)審計報告報送履行個人信息保護職責(zé)的部門。個人信息保護合規(guī)審計報告應(yīng)當(dāng)由合規(guī)審計負責(zé)人、專業(yè)機構(gòu)負責(zé)人簽字并加蓋專業(yè)機構(gòu)公章。

　　第十一條個人信息處理者按照履行個人信息保護職責(zé)的部門要求委托專業(yè)機構(gòu)開展個人信息保護合規(guī)審計的，應(yīng)當(dāng)按照專業(yè)機構(gòu)給出的整改建議進行整改，經(jīng)專業(yè)機構(gòu)復(fù)核后將整改情況報送履行個人信息保護職責(zé)的部門。

　　第十二條執(zhí)行個人信息保護合規(guī)審計的專業(yè)機構(gòu)應(yīng)當(dāng)保持獨立性和客觀性，連續(xù)為同一審計對象開展個人信息保護合規(guī)審計不得超過三次。

　　第十三條國家網(wǎng)信部門會同公安機關(guān)等國務(wù)院有關(guān)部門按照統(tǒng)籌規(guī)劃、合理布局、擇優(yōu)推薦的原則建立個人信息保護合規(guī)審計專業(yè)機構(gòu)推薦目錄，每年組織開展個人信息保護合規(guī)審計專業(yè)機構(gòu)評估評價，并根據(jù)評估評價情況動態(tài)調(diào)整個人信息保護合規(guī)審計專業(yè)機構(gòu)推薦目錄。

　　鼓勵個人信息處理者優(yōu)先選擇推薦目錄中的專業(yè)機構(gòu)開展個人信息保護合規(guī)審計活動。

　　第十四條專業(yè)機構(gòu)在從事個人信息保護合規(guī)審計活動時，應(yīng)當(dāng)誠信正直，公正客觀地作出合規(guī)審計職業(yè)判斷。

　　專業(yè)機構(gòu)不得轉(zhuǎn)包委托第三方開展個人信息保護合規(guī)審計。

　　專業(yè)機構(gòu)在履行個人信息保護合規(guī)審計職責(zé)中獲得的信息，只能用于個人信息保護合規(guī)審計的需要，不得用于其他用途；專業(yè)機構(gòu)應(yīng)當(dāng)對獲得的信息承擔(dān)保密責(zé)任；專業(yè)機構(gòu)應(yīng)當(dāng)采取相應(yīng)技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全。

　　專業(yè)機構(gòu)在履行個人信息保護合規(guī)審計職責(zé)時不得惡意干擾個人信息處理者的正常經(jīng)營活動。

　　專業(yè)機構(gòu)有出具虛假、失實報告等違規(guī)行為的，個人信息處理者及相關(guān)方可向履行個人信息保護職責(zé)的部門進行投訴，經(jīng)履行個人信息保護職責(zé)的部門核實的，永久禁止列入個人信息保護合規(guī)審計專業(yè)機構(gòu)推薦目錄。

　　第十五條違反本辦法規(guī)定的，依據(jù)《中華人民共和國個人信息保護法》等法律法規(guī)處理；構(gòu)成犯罪的，依法追究刑事責(zé)任。

　　第十六條本辦法由國家互聯(lián)網(wǎng)信息辦公室負責(zé)解釋，自 年 月 日起施行。

　　附件：個人信息保護合規(guī)審計參考要點

　　第一條本要點依據(jù)《中華人民共和國個人信息保護法》等法律、行政法規(guī)和國家標(biāo)準(zhǔn)的強制性要求制定，為開展個人信息保護合規(guī)審計提供參考。

　　第二條個人信息保護合規(guī)審計應(yīng)當(dāng)首先審查個人信息處理活動的合法性基礎(chǔ)條件，重點審查下列事項：

　　（一）處理個人信息是否取得個人同意，該同意是否在個人信息主體充分知情的前提下自愿、明確作出；

　　（二）基于個人同意處理個人信息，個人信息的處理目的、處理方式和處理的個人信息種類發(fā)生變更的，是否重新取得個人同意；

　　（三）基于個人同意處理個人信息，是否為個人提供便捷的撤回同意的方式；

　　（四）基于個人同意處理個人信息，是否對個人同意的操作進行記錄；

　　（五）基于個人同意處理個人信息，是否存在以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產(chǎn)品或者服務(wù)的情況；處理個人信息屬于提供產(chǎn)品或者服務(wù)所必需的除外；

　　（六）處理個人信息未取得個人同意，是否屬于法律、行政法規(guī)規(guī)定不需取得個人同意的情形。

　　第三條 對個人信息處理規(guī)則進行審計時，應(yīng)當(dāng)重點審查下列事項：

　　（一）是否真實、準(zhǔn)確、完整地告知個人信息處理者的名稱或者姓名和聯(lián)系方式；

　　（二）是否以清單形式列明所收集的個人信息及其處理目的、方式、范圍；

　　（三）是否明確個人信息存儲期限或者存儲期限的確定方法、到期后的處理方式，以及確保存儲期限為實現(xiàn)處理目的所必要的最短時間；

　　（四）是否明確個人查閱、復(fù)制、加工、轉(zhuǎn)移、更正、補充、刪除、公開、限制處理個人信息以及注銷賬號、撤回同意的途徑和方法；

　　（五）向第三方提供個人信息的，是否明確向個人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個人信息的種類，是否取得個人的單獨同意；

　　（六）法律、行政法規(guī)規(guī)定的其他事項。

　　第四條個人信息處理者處理個人信息應(yīng)當(dāng)履行告知義務(wù)，審計時應(yīng)當(dāng)重點審查下列事項：

　　（一）個人信息處理者在處理個人信息前，是否以顯著方式、清晰易懂的語言真實、準(zhǔn)確、完整地向個人告知個人信息處理規(guī)則；

　　（二）告知文本的大小、字體和顏色是否便于個人完整閱讀告知事項；

　　（三）線下告知是否通過標(biāo)注、說明等多種方式向個人履行告知義務(wù)；

　　（四）在線告知是否提供文本信息或者通過適當(dāng)方式向個人履行告知義務(wù)；

　　（五）個人信息處理規(guī)則發(fā)生變更的，是否將變更內(nèi)容及時告知個人。

　　第五條個人信息處理者存在與他人共同處理個人信息情形的，應(yīng)當(dāng)重點審查下列事項：

　　（一）是否約定各自的權(quán)利義務(wù)；

　　（二）各方采取的個人信息保護措施；

　　（三）個人信息權(quán)益保護機制；

　　（四）個人信息安全事件報告機制；

　　（五）侵害個人信息權(quán)益造成損害的，各方應(yīng)當(dāng)承擔(dān)的責(zé)任；

　　（六）其他法律、行政法規(guī)規(guī)定需要約定的權(quán)利和義務(wù)。

　　第六條個人信息處理者存在委托處理個人信息情形的，應(yīng)當(dāng)重點審查下列事項：

　　（一）個人信息處理者在委托處理個人信息前，是否開展個人信息保護影響評估；

　　（二）個人信息處理者與受托人簽訂的合同，是否約定了委托處理的目的、期限、方式及個人信息的種類、受托人應(yīng)當(dāng)采取的技術(shù)措施和管理措施、雙方的權(quán)利義務(wù)等；

　　（三）個人信息處理者是否采取定期檢查等方式，對受托人的個人信息處理活動進行監(jiān)督，以確保委托處理個人信息的活動符合法律規(guī)定；

　　（四）受托人是否嚴(yán)格按照委托合同的約定處理個人信息，是否存在超出約定的處理目的、處理方式處理個人信息的情況；

　　（五）當(dāng)委托合同不生效、無效、被撤銷或者終止時，受托人是否將個人信息返還個人信息處理者或者予以刪除；

　　（六）受托人是否存在轉(zhuǎn)委托他人處理個人信息的情況，是否得到個人信息處理者的同意。

　　第七條個人信息處理者存在因合并、重組、分立、解散、被宣告破產(chǎn)等原因需要轉(zhuǎn)移個人信息情形的，應(yīng)當(dāng)重點審查下列事項：

　　（一）個人信息處理者是否向個人告知接收方的名稱或者姓名和聯(lián)系方式；

　　（二）接收方是否繼續(xù)履行個人信息處理者的義務(wù)；

　　（三）接收方變更原先處理目的、處理方式的，是否依照法律、行政法規(guī)有關(guān)規(guī)定重新取得個人同意。

　　第八條個人信息處理者存在向其他個人信息處理者提供其處理的個人信息的，應(yīng)當(dāng)重點審查下列事項：

　　（一）是否取得個人的單獨同意；

　　（二）是否向個人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個人信息的種類；

　　（三）接收方是否在雙方約定的處理目的、處理方式和個人信息的種類等范圍內(nèi)處理個人信息；

　　（四）變更處理目的、處理方式的，是否依照法律、行政法規(guī)規(guī)定重新取得個人同意；

　　（五）是否事前進行個人信息保護影響評估。

　　第九條個人信息處理者利用自動化決策處理個人信息的，審計時應(yīng)當(dāng)重點評價自動化決策的透明度和結(jié)果的公平性、公正性：

　　（一）是否事前主動告知個人自動化決策處理個人信息的種類及可能帶來的影響；

　　（二）是否事前對算法模型進行安全評估，并按國家相關(guān)規(guī)定進行備案，以盡可能減少自動化決策算法模型存在的缺陷，當(dāng)應(yīng)用場景和主要功能發(fā)生變化時，是否對算法模型重新進行評估；

　　（三）是否事前對算法模型進行科技倫理審查；

　　（四）是否事前進行個人信息保護影響評估；

　　（五）是否向用戶提供保障機制，以便用戶可以通過便捷方式拒絕通過自動化決策方式作出對個人權(quán)益有重大影響的決定，或要求個人信息處理者就應(yīng)用自動化決策方式作出對用戶個人權(quán)益有重大影響的決定予以說明；

　　（六）是否向用戶提供刪除或者修改用于自動化決策服務(wù)的針對其個人特征的用戶標(biāo)簽功能；

　　（七）是否采取必要措施對算法和參數(shù)模型進行保護；

　　（八）是否對個人信息處理、標(biāo)簽管理、模型訓(xùn)練等自動化決策過程中的人工操作進行記錄，防范人為惡意操縱自動化決策信息和結(jié)果；

　　（九）向個人進行信息推送、商業(yè)營銷時，是否同時提供不針對個人特征的選項，或者提供便捷的拒絕自動化決策服務(wù)的方式；

　　（十）是否采取了有效措施，防止自動化決策根據(jù)消費者的偏好、交易習(xí)慣等對個人在交易條件上實行不合理的差別待遇；

　　（十一）其他可能影響自動化決策的透明度和結(jié)果公平、公正的事項。

　　第十條個人信息處理者存在公開其處理的個人信息情形的，應(yīng)當(dāng)重點審查下列事項：

　　（一）個人信息處理者公開其處理的個人信息前是否取得個人單獨同意，該授權(quán)是否真實、有效，是否存在違背個人意愿將個人信息予以公開的情況；

　　（二）個人信息處理者公開個人信息前，是否進行了個人信息保護影響評估。

　　第十一條個人信息處理者在公共場所安裝圖像采集、個人身份識別設(shè)備的，應(yīng)當(dāng)重點對其安裝圖像采集、個人信息身份識別設(shè)備的合法性及所收集個人信息的用途進行審查。審查內(nèi)容包括但不限于：

　　（一）是否為維護公共安全所必需，是否存在為商業(yè)目的處理所采集信息的情況；

　　（二）是否設(shè)置了顯著的提示標(biāo)志；

　　（三）若個人信息處理者所收集的個人圖像、身份識別信息用于維護公共安全以外用途的，是否取得個人單獨同意。

　　第十二條個人信息處理者處理已公開個人信息的，審計時應(yīng)當(dāng)重點審查個人信息處理者是否存在下列違規(guī)行為：

　　（一）向已公開個人信息中的電子郵箱、手機號等發(fā)送與其公開目的無關(guān)的信息；

　　（二）利用已公開的個人信息從事網(wǎng)絡(luò)暴力活動；

　　（三）處理個人明確拒絕處理的已公開個人信息；

　　（四）未取得個人同意處理已公開的個人信息對個人權(quán)益造成重大影響。

　　第十三條個人信息處理者處理敏感個人信息的，審計時應(yīng)當(dāng)重點審查下列事項：

　　（一）處理生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等敏感個人信息的，是否事前取得個人的單獨同意；

　　（二）處理不滿十四周歲未成年人的個人信息，是否事前取得未成年人的父母或者其他監(jiān)護人的同意；

　　（三）處理敏感個人信息的目的、方式是否合法、正當(dāng)、必要；

　　（四）敏感個人信息處理是否與提供商品或者服務(wù)、履行法定職責(zé)或者法定義務(wù)等特定的目的密切相關(guān)，是否以非必要不處理為原則；

　　（五）是否在事前進行個人信息保護影響評估，并向個人告知處理敏感個人信息的必要性以及對個人權(quán)益的影響；

　　（六）法律、行政法規(guī)規(guī)定應(yīng)當(dāng)取得書面同意的，是否取得書面同意；

　　（七）是否對處理敏感個人信息的過程進行了記錄，以保障處理敏感個人信息流程合法合規(guī)。

　　第十四條個人信息處理者業(yè)務(wù)涉及處理不滿十四周歲未成年人個人信息的，審計時應(yīng)當(dāng)重點審查下列事項：

　　（一）是否制定專門的未成年人個人信息處理規(guī)則；

　　（二）是否向未成年人及其監(jiān)護人告知未成年人個人信息的處理目的、處理方式、處理必要性及處理個人信息的種類、所采取的保護措施等；

　　（三）是否存在強制要求未成年人或者其監(jiān)護人同意非必要的個人信息處理的行為。

　　第十五條個人信息處理者存在向境外提供個人信息情形的，應(yīng)當(dāng)重點審查下列事項：

　　（一）關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理100萬人以上個人信息的個人信息處理者向境外提供個人信息是否經(jīng)過國家網(wǎng)信部門組織的安全評估；

　　（二）自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的個人信息處理者向境外提供個人信息是否經(jīng)過國家網(wǎng)信部門組織的安全評估；

　　（三）是否存在向外國司法或者執(zhí)法機構(gòu)提供存儲于中華人民共和國境內(nèi)的個人信息的情形，若有，是否經(jīng)過中華人民共和國主管機關(guān)批準(zhǔn)；

　　（四）中華人民共和國締結(jié)或者參加的國際條約、協(xié)定對向中華人民共和國境外提供個人信息的條件等有規(guī)定的，是否按照其規(guī)定執(zhí)行；

　　（五）是否按照國家網(wǎng)信部門的規(guī)定，經(jīng)專業(yè)機構(gòu)進行個人信息保護認(rèn)證或者按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方簽訂合同，或者符合法律、行政法規(guī)、國家網(wǎng)信部門規(guī)定的其他條件；

　　（六）是否了解境外接收方所在國家或者地區(qū)的個人信息保護政策和網(wǎng)絡(luò)安全環(huán)境對出境個人信息的影響；

　　（七）是否存在違規(guī)向被列入限制或者禁止個人信息提供清單的組織和個人提供個人信息的情形。

　　第十六條個人信息處理者向境外提供個人信息，應(yīng)當(dāng)采取必要措施，保障境外接收方處理個人信息的活動達到《中華人民共和國個人信息保護法》規(guī)定的個人信息保護標(biāo)準(zhǔn)。審計時應(yīng)當(dāng)重點審查個人信息處理者對境外接收方采取監(jiān)督措施的有效性，包括但不限于：

　　（一）是否了解和掌握境外接收方的情況，特別是接收方是否具備必要的個人信息保護能力；

　　（二）是否向境外接收方告知我國法律、行政法規(guī)對個人信息保護的要求，并要求境外接收方采取相應(yīng)的保護措施；

　　（三）是否采取簽訂協(xié)議、定期核查等方式，督促境外接收方切實履行個人信息保護義務(wù)。

　　第十七條對個人信息刪除權(quán)保障情況進行審計時，應(yīng)當(dāng)重點審查下列情形個人信息刪除的情況：

　　（一）個人信息處理目的已實現(xiàn)、無法實現(xiàn)或者為實現(xiàn)處理目的不再必要；

　　（二）停止提供產(chǎn)品或者服務(wù)，或者個人注銷賬號；

　　（三）達到與個人約定的存儲期限；

　　（四）個人撤回同意；

　　（五）因使用自動化采集技術(shù)等，無法避免采集到非必要個人信息或者未經(jīng)同意的個人信息；

　　（六）個人信息處理者違反法律、行政法規(guī)或者違反約定處理個人信息。

　　法律、行政法規(guī)規(guī)定的保存期限未屆滿，或者刪除個人信息從技術(shù)上難以實現(xiàn)的，個人信息處理者應(yīng)當(dāng)停止除存儲和采取必要的安全措施之外的處理。

　　第十八條個人信息處理者應(yīng)當(dāng)保障個人行使個人信息權(quán)益的權(quán)利，審計時應(yīng)當(dāng)重點審查下列事項：

　　（一）是否建立個人行使權(quán)利的申請受理機制；

　　（二）是否向個人提供便捷的查閱、復(fù)制、轉(zhuǎn)移、更正、補充、刪除個人信息的方法；

　　（三）是否及時響應(yīng)個人行使權(quán)利的申請，是否及時、完整、準(zhǔn)確告知處理意見或者執(zhí)行結(jié)果。

　　第十九條個人信息處理者應(yīng)當(dāng)響應(yīng)個人申請，對其個人信息處理規(guī)則進行解釋說明，審計時應(yīng)當(dāng)重點對下列內(nèi)容進行評價：

　　（一）個人信息處理者是否提供便捷的方式和途徑，接受、處理個人關(guān)于個人信息處理規(guī)則解釋說明的要求；

　　（二）接到個人的要求后，個人信息處理者是否在合理的時間內(nèi)，使用通俗易懂的語言對其個人信息處理規(guī)則作出解釋說明。

　　第二十條個人信息處理者對個人信息保護承擔(dān)主體責(zé)任，審計時應(yīng)當(dāng)重點對個人信息處理者履行主體責(zé)任情況進行評價，包括但不限于下列事項：

　　（一）個人信息保護制度制定、組織架構(gòu)、管理程序與處理個人信息的性質(zhì)、規(guī)模、復(fù)雜程度、風(fēng)險程度的適應(yīng)性；

　　（二）個人信息保護職責(zé)分工是否合理、職責(zé)是否明確、報告關(guān)系是否清晰；

　　（三）個人信息處理者為個人信息保護提供的人、財、物保障與企業(yè)業(yè)務(wù)規(guī)模、運營計劃、個人信息合規(guī)風(fēng)險管理的匹配性。

　　第二十一條個人信息處理者應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定制定內(nèi)部管理制度和操作規(guī)程，明確組織架構(gòu)、崗位職責(zé)，建立工作流程、完善內(nèi)控制度，保障個人信息處理合規(guī)與安全。審計時，應(yīng)當(dāng)重點對個人信息處理者個人信息保護內(nèi)部管理制度和操作規(guī)程進行審查，包括但不限于：

　　（一）個人信息保護工作的方針、目標(biāo)、原則是否符合法律、行政法規(guī)規(guī)定；

　　（二）個人信息保護組織架構(gòu)、人員配備、行為規(guī)范、管理責(zé)任是否與應(yīng)當(dāng)履行的個人信息保護責(zé)任相適應(yīng)；

　　（三）是否根據(jù)個人信息的種類、來源、敏感程度、用途等，對個人信息進行分類，并采取有針對性的管理或者安全技術(shù)措施；

　　（四）是否建立個人信息安全事件應(yīng)急響應(yīng)機制；

　　（五）是否建立個人信息保護影響評估、合規(guī)審計制度；

　　（六）是否建立暢通的個人信息保護投訴舉報受理流程；

　　（七）是否制定實施個人信息保護安全教育和培訓(xùn)計劃；

　　（八）是否建立個人信息保護負責(zé)人及相關(guān)人員履職評價制度；

　　（九）是否建立針對個人信息處理相關(guān)人員的個人信息違規(guī)處置或者違規(guī)行為責(zé)任制度，并有效實施；

　　（十）法律、行政法規(guī)規(guī)定的其他內(nèi)容。

　　第二十二條個人信息處理者應(yīng)當(dāng)采取與所處理個人信息規(guī)模、類型相適應(yīng)的安全技術(shù)措施，并對個人信息處理者采取的技術(shù)措施的有效性進行評價，評價內(nèi)容包括但不限于：

　　（一）是否參照有關(guān)國家標(biāo)準(zhǔn)或者技術(shù)要求，采取相應(yīng)安全技術(shù)措施實現(xiàn)個人信息的保密性、完整性、可用性；

　　（二）是否采取加密、去標(biāo)識化等安全技術(shù)措施，確保在不借助額外信息的情況下，消除或者降低個人信息的可識別性；

　　（三）采取的安全技術(shù)措施能否合理確定有關(guān)人員查閱、復(fù)制、傳輸?shù)葌€人信息的操作權(quán)限，減少個人信息在處理過程中未經(jīng)授權(quán)的訪問和濫用風(fēng)險。

　　第二十三條對個人信息處理者教育培訓(xùn)計劃的制定和實施情況進行審計時，應(yīng)當(dāng)重點對下列事項進行評價：

　　（一）是否按計劃對管理人員、技術(shù)人員、操作人員、全員開展相應(yīng)的安全教育和培訓(xùn)，是否對相應(yīng)人員的個人信息保護意識和技能進行考核；

　　（二）培訓(xùn)內(nèi)容、培訓(xùn)方式、培訓(xùn)對象、培訓(xùn)頻率等能否滿足個人信息保護需要。

　　第二十四條處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者應(yīng)當(dāng)指定個人信息保護負責(zé)人，對個人信息處理活動的合規(guī)性負責(zé)。審計時，應(yīng)當(dāng)重點審查下列事項：

　　（一）個人信息保護負責(zé)人是否具有相關(guān)的工作經(jīng)歷和專業(yè)知識，熟悉個人信息保護相關(guān)法律、行政法規(guī)；

　　（二）個人信息保護負責(zé)人是否具有明確清晰的職責(zé)，是否被賦予充分的權(quán)限協(xié)調(diào)組織內(nèi)個人信息處理相關(guān)部門與人員；

　　（三）個人信息保護負責(zé)人是否有權(quán)提名個人信息保護團隊負責(zé)人，并與其保持順暢的溝通和聯(lián)系；

　　（四）個人信息保護負責(zé)人在個人信息處理重大事項決策前是否有權(quán)提出相關(guān)意見和建議；

　　（五）個人信息保護負責(zé)人是否有權(quán)對組織內(nèi)部個人信息處理的不合規(guī)操作進行制止和采取必要的糾正措施；

　　（六）個人信息處理者是否公開個人信息保護負責(zé)人的聯(lián)系方式，并將個人信息保護負責(zé)人的姓名、聯(lián)系方式等報送履行個人信息保護職責(zé)的部門。

　　第二十五條對個人信息處理者開展個人信息保護影響評估情況進行審計時，應(yīng)當(dāng)重點對影響評估開展情況和評估內(nèi)容進行審查：

　　（一）是否依照法律、行政法規(guī)的規(guī)定，在進行對個人權(quán)益具有重大影響的個人信息處理活動前通過個人信息保護影響評估；

　　（二）是否對個人處理活動的合法性、正當(dāng)性和必要性進行了分析評估，是否存在過度收集個人信息的情況；

　　（三）是否對限制個人自主決定權(quán)、引發(fā)差別性待遇、導(dǎo)致個人名譽受損或者遭受精神壓力、造成人身財產(chǎn)受損等安全風(fēng)險進行了分析評估；

　　（四）是否對所采取的保護措施的合法性、有效性、適應(yīng)性進行了分析評估；

　　（五）個人信息保護影響評估報告和處理記錄是否至少保存三年。

　　第二十六條個人信息處理者應(yīng)當(dāng)制定個人信息安全事件應(yīng)急預(yù)案。審計時，應(yīng)當(dāng)對應(yīng)急預(yù)案的全面性、有效性、可執(zhí)行性作出評價，包括但不限于下列內(nèi)容：

　　（一）是否結(jié)合業(yè)務(wù)實際，對面臨的個人信息安全風(fēng)險作出了系統(tǒng)評估和預(yù)測；

　　（二）指導(dǎo)思想、基本策略，組織機構(gòu)、人員，技術(shù)、物資保障及指揮處置程序、應(yīng)急和支持措施等是否足以應(yīng)對預(yù)測的風(fēng)險；

　　（三）是否對相關(guān)人員進行應(yīng)急預(yù)案培訓(xùn)，定期對應(yīng)急預(yù)案進行演練。

　　第二十七條對個人信息處理者個人信息安全事件應(yīng)急響應(yīng)處置情況進行評價時，應(yīng)當(dāng)重點考慮下列因素：

　　（一）是否按照應(yīng)急預(yù)案、操作規(guī)程及時查明個人信息安全事件的影響、范圍和可能造成的危害，分析、確定事件發(fā)生的原因，提出防止危害擴大的措施方案；

　　（二）是否建立通報渠道，能否在事件發(fā)生后72小時內(nèi)通知履行個人信息保護職責(zé)的部門和個人；

　　（三）是否采取相應(yīng)措施將個人信息安全事件可能造成的損失和可能產(chǎn)生的危害風(fēng)險降低到最小。

　　第二十八條大型互聯(lián)網(wǎng)平臺運營者應(yīng)當(dāng)成立主要由外部成員組成的獨立機構(gòu)對個人信息保護情況進行監(jiān)督。審計時，應(yīng)當(dāng)對獨立機構(gòu)的獨立性、履職能力、監(jiān)督作用等進行評價。

　　（一）評價獨立機構(gòu)對個人信息保護情況進行監(jiān)督的獨立性，重點審查外部成員與個人信息處理者及其主要股東是否存在可能妨礙其進行獨立客觀判斷的關(guān)系；

　　（二）評價外部成員的履職能力，重點審查外部成員是否具備相應(yīng)的專業(yè)知識、能力和經(jīng)驗，能否對個人信息處理者的個人信息保護情況進行監(jiān)督、指導(dǎo)，發(fā)表客觀公正的意見建議；

　　（三）評價獨立機構(gòu)的監(jiān)督作用，重點審查獨立機構(gòu)在個人信息處理者合規(guī)制度體系建設(shè)、平臺規(guī)則制定、重大個人信息安全事件處置、督促企業(yè)履行社會責(zé)任等方面發(fā)揮的作用。

　　第二十九條針對大型互聯(lián)網(wǎng)平臺規(guī)則，應(yīng)當(dāng)重點審計下列事項：

　　（一）評價平臺規(guī)則的合法合規(guī)性，是否存在與法律、行政法規(guī)相抵觸的情況；

　　（二）評價平臺規(guī)則的公平公正性，是否存在惡意競爭、影響消費者權(quán)益等違反公平競爭原則、誠實信用原則、公序良俗的內(nèi)容；

　　（三）評價平臺規(guī)則個人信息保護條款的有效性，是否合理界定了平臺、平臺內(nèi)產(chǎn)品或者服務(wù)提供者的個人信息保護權(quán)利和義務(wù)，是否對平臺內(nèi)經(jīng)營者處理個人信息行為進行規(guī)范，平臺內(nèi)經(jīng)營者的個人信息保護義務(wù)是否明確；

　　（四）檢查平臺規(guī)則的執(zhí)行情況，通過抽樣等方式驗證平臺規(guī)則是否被有效執(zhí)行。

　　第三十條大型互聯(lián)網(wǎng)平臺運營者應(yīng)當(dāng)對其平臺內(nèi)產(chǎn)品或者服務(wù)提供者的個人信息處理活動進行監(jiān)督。審計時，應(yīng)當(dāng)重點審查下列事項：

　　（一）是否定期審核平臺內(nèi)產(chǎn)品或者服務(wù)提供者個人信息處理規(guī)則的合法性、合理性；

　　（二）是否定期對平臺內(nèi)產(chǎn)品或者服務(wù)提供者處理個人信息遵守法律、行政法規(guī)情況進行審核；

　　（三）對于嚴(yán)重違反法律、行政法規(guī)處理個人信息的產(chǎn)品或者服務(wù)提供者，平臺是否及時停止向其提供服務(wù)。

　　第三十一條大型互聯(lián)網(wǎng)平臺運營者應(yīng)當(dāng)每年發(fā)布個人信息保護社會責(zé)任報告。審計時，應(yīng)當(dāng)重點審查社會責(zé)任報告下列內(nèi)容的披露情況：

　　（一）個人信息保護組織架構(gòu)和內(nèi)部管理情況；

　　（二）個人信息保護能力建設(shè)情況；

　　（三）個人信息保護措施和成效；

　　（四）個人行使權(quán)利的申請受理情況；

　　（五）獨立監(jiān)督機構(gòu)履職情況；

　　（六）重大個人信息安全事件處理情況；

　　（七）法律、行政法規(guī)規(guī)定的其他情況。