個人信息保護合規審計管理辦法

國家互聯網信息辦公室令

第18號

《個人信息(xi)保護合規(gui)審(shen)計管理(li)辦法》已經2024年(nian)(nian)5月20日(ri)國家(jia)互(hu)聯網信息(xi)辦公室2024年(nian)(nian)第(di)15次室務會會議審(shen)議通過，現予公布(bu)，自2025年(nian)(nian)5月1日(ri)起施行。

國(guo)家(jia)互聯網信(xin)息辦公室主(zhu)任 莊(zhuang)榮文

2025年(nian)2月12日

個人信息保護合規審計管理辦法

第一條 為(wei)了規(gui)范個人信息(xi)保護合(he)規(gui)審計(ji)活動(dong)，保護個人信息(xi)權益，根據(ju)《中華人民共(gong)和國個人信息(xi)保護法(fa)》、《網絡數(shu)據(ju)安全管理條例》等法(fa)律(lv)、行政法(fa)規(gui)，制定(ding)本辦法(fa)。

第(di)二條 在中華人(ren)民共和(he)國境內開(kai)展個人(ren)信息保護合規審計(ji)，適用本辦法。

本辦法所稱個人(ren)信息保護(hu)合規審計，是指對(dui)個人(ren)信息處(chu)理者的(de)個人(ren)信息處(chu)理活(huo)動是否遵守法律、行(xing)政法規的(de)情況進行(xing)審查和評價的(de)監(jian)督活(huo)動。

第三條 個(ge)人(ren)(ren)信(xin)息(xi)處理(li)者自行(xing)(xing)開展個(ge)人(ren)(ren)信(xin)息(xi)保(bao)護(hu)合(he)規(gui)審計(ji)的(de)(de)，應當由(you)個(ge)人(ren)(ren)信(xin)息(xi)處理(li)者內部機(ji)構或者委托專業機(ji)構定期對其處理(li)個(ge)人(ren)(ren)信(xin)息(xi)遵守法律、行(xing)(xing)政法規(gui)的(de)(de)情況進行(xing)(xing)合(he)規(gui)審計(ji)。

第(di)四條 處理(li)超過(guo)1000萬人(ren)(ren)個(ge)人(ren)(ren)信息(xi)的個(ge)人(ren)(ren)信息(xi)處理(li)者，應當每(mei)兩年至少開(kai)展一(yi)次個(ge)人(ren)(ren)信息(xi)保護合規審計。

第(di)五條 個人(ren)信息處理者有以(yi)(yi)下情形之一的(de)，國家網信部(bu)門和其(qi)他履行(xing)個人(ren)信息保(bao)護職責的(de)部(bu)門（以(yi)(yi)下統(tong)稱為保(bao)護部(bu)門），可(ke)以(yi)(yi)要求個人(ren)信息處理者委托(tuo)專業機構對個人(ren)信息處理活動進行(xing)合(he)規(gui)審計：

（一）發現個人信息處理活(huo)動存在嚴重影響個人權(quan)益或者嚴重缺乏安全措施(shi)等較(jiao)大(da)風險的(de)；

（二(er)）個(ge)人(ren)信息(xi)處(chu)理活(huo)動可(ke)能侵害眾多(duo)個(ge)人(ren)的權益的；

（三）發生個人(ren)信(xin)(xin)息安全(quan)事件(jian)，導致100萬(wan)人(ren)以上個人(ren)信(xin)(xin)息或(huo)者10萬(wan)人(ren)以上敏感個人(ren)信(xin)(xin)息泄露、篡改、丟失、毀損(sun)的。

對同一(yi)個(ge)人(ren)信(xin)息(xi)(xi)安(an)全事(shi)件或者風險，不得重(zhong)復要求(qiu)個(ge)人(ren)信(xin)息(xi)(xi)處理者委托專業機構(gou)開展個(ge)人(ren)信(xin)息(xi)(xi)保護合規(gui)審(shen)計(ji)。

第六條 個人信息處理者自(zi)行(xing)開展或者按照保護(hu)部(bu)門要求(qiu)委托專業機構開展個人信息保護(hu)合規審計(ji)的，應(ying)當參(can)照本辦法附(fu)件(jian)《個人信息保護(hu)合規審計(ji)指(zhi)引》。

第七條 專業機構應(ying)當具備開展個人(ren)信息保(bao)護合(he)規(gui)審(shen)計的(de)能力，有與服務相適應(ying)的(de)審(shen)計人(ren)員(yuan)、場所、設施和資金等。

鼓勵相關(guan)專業機構(gou)通過認(ren)(ren)證。專業機構(gou)的認(ren)(ren)證按照《中華人(ren)民共和(he)國認(ren)(ren)證認(ren)(ren)可條例》的有關(guan)規(gui)定執行。

第八條 個人信(xin)息處理者按照保(bao)護部門要求開展個人信(xin)息保(bao)護合(he)規(gui)審(shen)計的(de)，應當為專(zhuan)業機構正常開展個人信(xin)息保(bao)護合(he)規(gui)審(shen)計工(gong)作提供必要支持(chi)，并承擔(dan)審(shen)計費用。

第(di)九條(tiao) 個人(ren)信息(xi)處理(li)者按照保護(hu)部(bu)門(men)要求開展個人(ren)信息(xi)保護(hu)合規審計(ji)的，應當按照保護(hu)部(bu)門(men)要求選(xuan)定專業機構(gou)，在限定時間內完(wan)成個人(ren)信息(xi)保護(hu)合規審計(ji)；情況復雜的，報保護(hu)部(bu)門(men)批準后，可以適當延長。

第十條 個人信息(xi)(xi)處(chu)理者(zhe)按照保(bao)護(hu)(hu)(hu)部(bu)(bu)門要求開展個人信息(xi)(xi)保(bao)護(hu)(hu)(hu)合規(gui)(gui)審計(ji)的(de)，在完成合規(gui)(gui)審計(ji)后，應(ying)當(dang)將(jiang)專業(ye)機構出(chu)具的(de)個人信息(xi)(xi)保(bao)護(hu)(hu)(hu)合規(gui)(gui)審計(ji)報(bao)告(gao)報(bao)送保(bao)護(hu)(hu)(hu)部(bu)(bu)門。

個人(ren)信息保護合(he)(he)規審計報告應(ying)當由(you)專業(ye)機(ji)構主要負責人(ren)、合(he)(he)規審計負責人(ren)簽(qian)字并加蓋專業(ye)機(ji)構公章。

第十一條 個(ge)人信息處理者(zhe)按(an)照保護(hu)部門(men)要求開展個(ge)人信息保護(hu)合規審(shen)計的(de)，應當按(an)照保護(hu)部門(men)要求對合規審(shen)計中(zhong)發現的(de)問題進行整改。在整改完成后15個(ge)工作日內(nei)，向保護(hu)部門(men)報送整改情況報告。

第十二條 處(chu)理(li)100萬人(ren)以上個(ge)人(ren)信(xin)息的個(ge)人(ren)信(xin)息處(chu)理(li)者應當指(zhi)定個(ge)人(ren)信(xin)息保(bao)護負責人(ren)，負責個(ge)人(ren)信(xin)息處(chu)理(li)者的個(ge)人(ren)信(xin)息保(bao)護合規審計(ji)工作。

提供重要(yao)互(hu)聯網平(ping)臺服務、用戶數量巨大、業務類型(xing)復(fu)雜的個人(ren)信息(xi)處理者，應當成(cheng)立(li)主(zhu)要(yao)由外部(bu)成(cheng)員組(zu)成(cheng)的獨立(li)機(ji)構(gou)對個人(ren)信息(xi)保護合規審計情況進(jin)行(xing)監督。

第十三條 專業機構在從事個人信(xin)(xin)(xin)(xin)息(xi)保(bao)護合(he)規審計(ji)(ji)活動時，應當(dang)遵守法律法規，誠信(xin)(xin)(xin)(xin)正直，公正客觀地作出合(he)規審計(ji)(ji)職業判斷(duan)，對在履行個人信(xin)(xin)(xin)(xin)息(xi)保(bao)護合(he)規審計(ji)(ji)職責中獲得的(de)個人信(xin)(xin)(xin)(xin)息(xi)、商業秘(mi)密、保(bao)密商務信(xin)(xin)(xin)(xin)息(xi)等應當(dang)依法予(yu)以保(bao)密，不得泄露或者非(fei)法向他(ta)人提供，在合(he)規審計(ji)(ji)工(gong)作結束后及(ji)時刪除相關信(xin)(xin)(xin)(xin)息(xi)。

第十四條 專業(ye)機(ji)構不得轉委托其(qi)他機(ji)構開展(zhan)個人(ren)信息保(bao)護合規審計。

第十五(wu)條 同(tong)一專業機(ji)構及其關(guan)聯機(ji)構、同(tong)一合(he)規審(shen)計(ji)負責人不得連續三(san)次以上(shang)對(dui)同(tong)一審(shen)計(ji)對(dui)象開展(zhan)個人信息保(bao)護合(he)規審(shen)計(ji)。

第十(shi)六條 保護部門對個(ge)人信(xin)息處理者(zhe)開展個(ge)人信(xin)息保護合規審計情況進行監督檢查。

第十(shi)七條 任何(he)組織、個人有權對(dui)個人信息保護合規(gui)審計中(zhong)的違法活(huo)動向(xiang)保護部門(men)進(jin)行(xing)投(tou)訴(su)、舉(ju)報(bao)。收到(dao)投(tou)訴(su)、舉(ju)報(bao)的部門(men)應當依法及時處(chu)理(li)，并(bing)將處(chu)理(li)結果告知投(tou)訴(su)、舉(ju)報(bao)人。

第十(shi)八條 個人(ren)信(xin)息處理(li)(li)者(zhe)、專業機(ji)構違反本辦法(fa)規(gui)定(ding)的(de)(de)，依照《中華人(ren)民(min)共(gong)和國個人(ren)信(xin)息保護法(fa)》、《網絡數據安全管理(li)(li)條例(li)》等法(fa)律法(fa)規(gui)的(de)(de)規(gui)定(ding)處理(li)(li)；構成犯罪的(de)(de)，依法(fa)追究(jiu)刑事責任。

第十九條(tiao) 對國家機關(guan)和(he)法律、法規授權的具(ju)有管(guan)理公共(gong)事(shi)務職能的組織的個人(ren)信息保護合(he)規審計，不適(shi)用本辦法。

第二(er)十條 本辦法自2025年5月1日起施行。

附件

個人信息保護合規審計指引

一、本指引根據《中華人民共和(he)國個人信息(xi)保護(hu)法(fa)》、《網絡數據安(an)全管理條例(li)》等(deng)法(fa)律(lv)、行政法(fa)規制(zhi)定。

二(er)、對個(ge)人信息(xi)處理活動的(de)合法(fa)性(xing)基礎進行合規(gui)審(shen)計的(de)，應當(dang)重點審(shen)查下列事項：

（一）基于個(ge)人(ren)同(tong)(tong)意(yi)處理個(ge)人(ren)信息的，是否(fou)取得個(ge)人(ren)同(tong)(tong)意(yi)，該(gai)同(tong)(tong)意(yi)是否(fou)由個(ge)人(ren)在充分(fen)知情(qing)的前提(ti)下自愿、明確作出(chu)；

（二）基于個(ge)人(ren)同(tong)意處(chu)(chu)理個(ge)人(ren)信息的(de)，個(ge)人(ren)信息的(de)處(chu)(chu)理目(mu)的(de)、處(chu)(chu)理方式(shi)、處(chu)(chu)理的(de)個(ge)人(ren)信息種類發生變(bian)更的(de)，是否重新取得個(ge)人(ren)同(tong)意；

（三）基于個人同意處理個人信息(xi)的，是否依照法律、行(xing)政法規取得個人單獨(du)同意或者書面同意；

（四）處(chu)理個(ge)人信息未(wei)取得(de)個(ge)人同意(yi)的，是否屬于(yu)法律、行政法規(gui)規(gui)定不需要取得(de)個(ge)人同意(yi)的情形。

三、對個人信息(xi)處理規(gui)則進(jin)行(xing)合規(gui)審計的，應當重點審查下列事項：

（一）是(shi)否真(zhen)實、準確、完(wan)整地告(gao)知個人信息處理者的名稱或者姓名和聯系方式；

（二(er)）是否(fou)以清(qing)單(dan)等便于查看的形式(shi)列明(ming)所收集(ji)的個(ge)人(ren)信息及其(qi)處理方式(shi)和種類；

（三）是否與(yu)處理目的直接相關(guan)，采取(qu)對個人權益影(ying)響最小的方式；

（四）是否明確(que)個人信息保存(cun)期(qi)限(xian)或(huo)者(zhe)保存(cun)期(qi)限(xian)的確(que)定(ding)方法、到(dao)期(qi)后的處理方式(shi)，以及確(que)定(ding)保存(cun)期(qi)限(xian)為實現(xian)處理目的所必要的最短時(shi)間(jian)；

（五）是否明確個(ge)人查(cha)閱、復制、轉(zhuan)移、更正、補充、刪(shan)除、限制處理個(ge)人信息(xi)以及注銷賬號、撤回(hui)同(tong)意的(de)途(tu)徑和(he)方法。

四、對(dui)個人(ren)信(xin)息處理(li)者履(lv)行告知個人(ren)信(xin)息處理(li)規則義務進(jin)行合(he)規審計的，應(ying)當重點審查下列事項：

（一）個人(ren)信(xin)息處理者在處理個人(ren)信(xin)息前，是否以顯(xian)著方式、清晰易懂的(de)語言真實、準確、完整地向個人(ren)告知個人(ren)信(xin)息處理規則；

（二）告知(zhi)文本的(de)大小、字體和顏色是(shi)否便于個人完整閱(yue)讀告知(zhi)事項；

（三）線(xian)下(xia)告知是否通過標注(zhu)、說(shuo)明等(deng)多(duo)種方式向個(ge)人履行告知義務；

（四(si)）在線告(gao)知是否提供(gong)文本信(xin)息或者通過(guo)適(shi)當方式向個人履行(xing)告(gao)知義務；

（五(wu)）個人(ren)信(xin)息(xi)處理規則發生變更的(de)，是否將變更內容及時告知個人(ren)；

（六(liu)）處(chu)理(li)個(ge)人信(xin)息不(bu)需要告(gao)知(zhi)的，是否屬(shu)于(yu)法(fa)律(lv)、行(xing)政法(fa)規規定(ding)應(ying)當(dang)保密(mi)或者不(bu)需要告(gao)知(zhi)的情形。

五(wu)、對個人信息處(chu)(chu)理(li)者(zhe)與其他個人信息處(chu)(chu)理(li)者(zhe)共同處(chu)(chu)理(li)個人信息進行合規審計的，應當重(zhong)點審查(cha)下列事項(xiang)：

（一(yi)）是否約(yue)定各自(zi)的權利義務；

（二）個(ge)人信息權益(yi)保(bao)護機(ji)制；

（三）個人信息安全事件報告機(ji)制；

（四）其(qi)他(ta)法律(lv)、行政法規規定需要(yao)約(yue)定的權利和(he)義務(wu)。

六、對(dui)個人(ren)信息(xi)(xi)處理(li)者委托(tuo)處理(li)個人(ren)信息(xi)(xi)進行合(he)規審計的(de)，應當(dang)重點審查(cha)下列事項(xiang)：

（一）個人(ren)(ren)信(xin)息處理(li)者(zhe)在委(wei)托處理(li)個人(ren)(ren)信(xin)息前，是(shi)否開(kai)展個人(ren)(ren)信(xin)息保(bao)護影響評(ping)估；

（二）個人信息處理者(zhe)與受托人簽訂的(de)合同，是否(fou)與受托人約定了(le)委托處理的(de)目的(de)、期限、方式、個人信息的(de)種類、保護措施以及雙方的(de)權利義務等；

（三）個(ge)人信息(xi)處(chu)(chu)理者(zhe)是否采取定期檢(jian)查等方式，對受托人的個(ge)人信息(xi)處(chu)(chu)理活動進行監督。

七、個人信(xin)息(xi)(xi)處(chu)理者存在因(yin)合并、重(zhong)組(zu)、分立、解散(san)、被宣告破產等原因(yin)需(xu)要轉(zhuan)移個人信(xin)息(xi)(xi)情形的，應當重(zhong)點審查個人信(xin)息(xi)(xi)處(chu)理者是否向個人告知接收(shou)方的名稱(cheng)或(huo)者姓名和聯系方式(shi)。

八、對個(ge)人(ren)信息處(chu)理者(zhe)向其(qi)他(ta)個(ge)人(ren)信息處(chu)理者(zhe)提(ti)供其(qi)處(chu)理的(de)個(ge)人(ren)信息進行合規(gui)審計的(de)，應當重(zhong)點審查下列事項(xiang)：

（一）基(ji)于個人(ren)(ren)同(tong)意(yi)處理個人(ren)(ren)信息(xi)的，是否取(qu)得個人(ren)(ren)的單獨同(tong)意(yi)；

（二(er)）是否向(xiang)個人(ren)告知(zhi)接收(shou)方(fang)(fang)的(de)(de)名(ming)稱(cheng)或者(zhe)姓名(ming)、聯系(xi)方(fang)(fang)式、處理(li)目的(de)(de)、處理(li)方(fang)(fang)式和個人(ren)信(xin)息的(de)(de)種類，法(fa)律、行政法(fa)規規定應當(dang)保密或者(zhe)不需要(yao)告知(zhi)的(de)(de)除(chu)外(wai)；

（三）是否事前進行個人信息保護影響評估(gu)。

九、對個人(ren)信息處(chu)理者(zhe)利用自動化決策(ce)處(chu)理個人(ren)信息進行合規審計的，應(ying)當重(zhong)點審查下列事(shi)項(xiang)：

（一）自動化決策的透(tou)明度，以及自動化決策的結果(guo)是(shi)否公平、公正；

（二）是否事前(qian)告知個(ge)人自動(dong)化決策處理個(ge)人信(xin)息的種類及可能(neng)帶來的影響；

（三）是否事(shi)前進行個(ge)人信(xin)息保護影響評估；

（四）是否向用戶提供保障機制，以便個人(ren)通(tong)過便捷方(fang)式拒絕(jue)通(tong)過自動化決(jue)策方(fang)式作(zuo)出(chu)對個人(ren)權益有重(zhong)大影響(xiang)(xiang)的決(jue)定，并要(yao)求(qiu)個人(ren)信息處理者(zhe)就通(tong)過自動化決(jue)策方(fang)式作(zuo)出(chu)對用戶個人(ren)權益有重(zhong)大影響(xiang)(xiang)的決(jue)定予以說明；

（五）向個人進行信息推送、商業營(ying)銷的(de)(de)，是否同時提供不針對個人特征的(de)(de)選(xuan)項，或者提供便(bian)捷的(de)(de)拒絕(jue)自動化決策服務的(de)(de)方式；

（六）是否采(cai)取(qu)了有效措施(shi)，防止自動化決策(ce)根據消費者(zhe)的偏好、交易(yi)習慣(guan)等對個(ge)人在(zai)交易(yi)條(tiao)件上實(shi)行(xing)不合理的差別待遇(yu)；

（七(qi)）其(qi)他可能(neng)影響自(zi)動化決策的透(tou)明度(du)和結果(guo)公(gong)平(ping)、公(gong)正(zheng)的事項。

十、對個人信息處理者基(ji)于個人同意公開個人信息進行合規審計的，應(ying)當重點(dian)審查下列事項：

（一）個人(ren)信息處理者公開(kai)其處理的個人(ren)信息前是(shi)(shi)否取得個人(ren)單獨同意(yi)(yi)，該(gai)授(shou)權是(shi)(shi)否真實、有效，是(shi)(shi)否存在違背個人(ren)意(yi)(yi)愿將個人(ren)信息予(yu)以公開(kai)的情況(kuang)；

（二(er)）個人(ren)信(xin)息處(chu)理者公開個人(ren)信(xin)息前，是否進行個人(ren)信(xin)息保護影(ying)響評估。

十一(yi)、個(ge)人信息(xi)處理者(zhe)在(zai)公共場所安裝圖像收(shou)集、個(ge)人身份識別(bie)(bie)設備的(de)，應當(dang)重點(dian)對其安裝圖像收(shou)集、個(ge)人信息(xi)身份識別(bie)(bie)設備的(de)合法性及(ji)所收(shou)集個(ge)人信息(xi)的(de)用途進(jin)行(xing)審查。審查內容包括但不限于：

（一）是否為維護公共安全所(suo)必需，是否為商業(ye)目的處(chu)理所(suo)收集的個人(ren)信息(xi)；

（二）是否設(she)置(zhi)了(le)顯著的提示(shi)標識(shi)；

（三）個(ge)人信息處理者所收集的個(ge)人圖像、身份識別信息用(yong)于(yu)維(wei)護(hu)公共(gong)安全(quan)以外用(yong)途的，是否(fou)取得個(ge)人單(dan)獨同意。

十二、對個人信(xin)息處理(li)者(zhe)(zhe)處理(li)已公開的個人信(xin)息進行(xing)合規審計(ji)的，應當(dang)重點審查個人信(xin)息處理(li)者(zhe)(zhe)是否(fou)存在下列違法違規行(xing)為：

（一）向已公(gong)開個人信息中的電子郵箱(xiang)、手機號等發送(song)與其公(gong)開目(mu)的無關的商(shang)業信息；

（二(er)）利(li)用(yong)已公開的個(ge)人(ren)信(xin)息從事網絡暴力、傳播網絡謠言(yan)和(he)虛假信(xin)息等活動；

（三）處理個人(ren)明確拒(ju)絕處理的已公開(kai)個人(ren)信息；

（四）對個人權益有重大影響(xiang)，未取得個人同意；

（五）收集、留存(cun)或(huo)(huo)處理已公開個人(ren)信息的規模、時(shi)間(jian)或(huo)(huo)使用目(mu)的超出(chu)合理范圍。

十三、對個人(ren)信息處理者(zhe)處理敏感個人(ren)信息進行(xing)合規審計(ji)的，應當重點(dian)審查(cha)下(xia)列事項(xiang)：

（一）基于(yu)個人(ren)(ren)(ren)同(tong)意(yi)處理(li)個人(ren)(ren)(ren)信(xin)息的，處理(li)生物識別(bie)、宗教(jiao)信(xin)仰、特(te)定(ding)身份、醫(yi)療(liao)健康、金融賬戶、行蹤軌(gui)跡等敏感個人(ren)(ren)(ren)信(xin)息，是否(fou)事前取(qu)得個人(ren)(ren)(ren)的單獨(du)同(tong)意(yi)；

（二）基于個(ge)人(ren)同意處理個(ge)人(ren)信息(xi)的(de)，處理不滿(man)十四(si)周(zhou)歲(sui)未成年(nian)人(ren)的(de)個(ge)人(ren)信息(xi)，是否事前(qian)取得未成年(nian)人(ren)的(de)父母或者(zhe)其他監護(hu)人(ren)的(de)同意；

（三(san)）處理敏感個人信(xin)息的(de)目(mu)的(de)、方式(shi)、范(fan)圍(wei)是否合法、正當(dang)、必要(yao)；

（四）是否在事前進行個人信息保護(hu)影響評(ping)估；

（五）是否(fou)向個人(ren)告知處理(li)敏(min)感個人(ren)信息的(de)(de)必(bi)要性以及對個人(ren)權益(yi)的(de)(de)影響，法律、行政法規規定應當保密或者(zhe)不需要告知的(de)(de)除外；

（六）法(fa)律、行政法(fa)規規定應當(dang)取(qu)(qu)得書面同意的，是否(fou)取(qu)(qu)得書面同意；

（七(qi)）是否遵守(shou)法(fa)律(lv)、行政法(fa)規(gui)(gui)對處(chu)理敏感(gan)個人(ren)信息的限制性規(gui)(gui)定(ding)。

十四(si)、對個人信息(xi)處(chu)理(li)者處(chu)理(li)不滿十四(si)周(zhou)歲未成(cheng)年人個人信息(xi)進行合規審計的，應當重(zhong)點審查下(xia)列事項：

（一）是否制定專門的個人信息處理規則(ze)；

（二）是否向(xiang)未成年人(ren)及其監護人(ren)告知未成年人(ren)個人(ren)信息(xi)的(de)處理(li)(li)目的(de)、處理(li)(li)方(fang)式、處理(li)(li)必要(yao)性，以及處理(li)(li)個人(ren)信息(xi)的(de)種類、所采取的(de)保護措施等，法律、行(xing)政法規規定不需(xu)要(yao)告知的(de)除外(wai)；

（三）基(ji)于個(ge)人同意處(chu)(chu)理(li)個(ge)人信息，是否存(cun)在(zai)強制要求(qiu)未成年人或者其監護人同意處(chu)(chu)理(li)非必要個(ge)人信息的行為。

十五(wu)、對個人(ren)信(xin)息(xi)(xi)處理者向境外(wai)提供(gong)個人(ren)信(xin)息(xi)(xi)進行合(he)規審(shen)(shen)計的(de)，應當(dang)重點審(shen)(shen)查(cha)下列事項：

（一）關鍵信(xin)息基礎(chu)設(she)施運營者向境外提供個(ge)人(ren)信(xin)息是否經(jing)過國家網(wang)信(xin)部(bu)門(men)組織的安全評估，法律、行政法規、國家網(wang)信(xin)部(bu)門(men)另有(you)規定的，從其規定；

（二）關鍵信(xin)息基(ji)礎設施運營者以(yi)外(wai)的數據處理(li)者自當年(nian)1月1日起累計向境外(wai)提供(gong)100萬(wan)人以(yi)上(shang)(shang)個(ge)人信(xin)息（不含(han)敏(min)感個(ge)人信(xin)息）或者1萬(wan)人以(yi)上(shang)(shang)敏(min)感個(ge)人信(xin)息是(shi)否經過國家(jia)網信(xin)部(bu)門組織的安全評估，法律、行政法規、國家(jia)網信(xin)部(bu)門另有規定的，從其(qi)規定；

（三）關鍵(jian)信(xin)息(xi)基(ji)礎設施運營者(zhe)以(yi)外(wai)的(de)(de)數據處理者(zhe)自當年1月1日起(qi)累計向(xiang)境(jing)外(wai)提供10萬人(ren)(ren)以(yi)上(shang)、不滿100萬人(ren)(ren)個(ge)人(ren)(ren)信(xin)息(xi)（不含敏感個(ge)人(ren)(ren)信(xin)息(xi)）或(huo)者(zhe)不滿1萬人(ren)(ren)敏感個(ge)人(ren)(ren)信(xin)息(xi)的(de)(de)，是(shi)否按照(zhao)國(guo)家網信(xin)部門(men)的(de)(de)規(gui)定(ding)(ding)，經個(ge)人(ren)(ren)信(xin)息(xi)保護(hu)認證(zheng)或(huo)者(zhe)按照(zhao)國(guo)家網信(xin)部門(men)制定(ding)(ding)的(de)(de)標準合同與境(jing)外(wai)接收方(fang)簽(qian)訂(ding)合同并向(xiang)所在(zai)地省級網信(xin)部門(men)備案(an)，或(huo)者(zhe)符合法律(lv)、行政法規(gui)、國(guo)家網信(xin)部門(men)規(gui)定(ding)(ding)的(de)(de)其(qi)他條件；

（四）存(cun)在向外國司法或(huo)者執法機構提供(gong)存(cun)儲于中華人民(min)(min)共(gong)和(he)國境(jing)內(nei)個人信息情形的(de)，是(shi)否經過(guo)中華人民(min)(min)共(gong)和(he)國主管機關批準；

（五）是否向被(bei)列入限(xian)制或者禁(jin)止個人信(xin)息(xi)提供清單的組織和個人提供個人信(xin)息(xi)。

十六、對(dui)個(ge)人信息刪除權保障情況進(jin)行合規(gui)審計的，應(ying)當(dang)重(zhong)點審查下列事項：

（一）個人信(xin)息(xi)處理(li)目的(de)是(shi)否已實(shi)現(xian)、無法實(shi)現(xian)或(huo)者為實(shi)現(xian)處理(li)目的(de)不再必要；

（二(er)）個人信(xin)息處理者(zhe)是否(fou)停止提(ti)供(gong)產品或(huo)(huo)者(zhe)服(fu)務，或(huo)(huo)者(zhe)個人是否(fou)已注銷(xiao)賬號(hao)；

（三）保(bao)存期限(xian)是否已屆滿；

（四(si)）個(ge)人是否撤回同意；

（五）個人(ren)信(xin)息(xi)處(chu)理者(zhe)是否違(wei)反(fan)法律、行(xing)政法規或者(zhe)違(wei)反(fan)約定處(chu)理個人(ren)信(xin)息(xi)；

（六）應當刪(shan)除個(ge)人(ren)信息(xi)，但法律、行政法規規定的(de)保存期限未屆滿，或者(zhe)刪(shan)除個(ge)人(ren)信息(xi)從技術上難以實現(xian)的(de)，個(ge)人(ren)信息(xi)處理者(zhe)是(shi)否(fou)停(ting)止除存儲(chu)和采取必要的(de)安全措施之外的(de)處理。

十七、對(dui)個(ge)人(ren)信息(xi)處理者保障個(ge)人(ren)在個(ge)人(ren)信息(xi)處理活動中(zhong)的權利情況進行合規審(shen)計的，應(ying)當(dang)重點審(shen)查下列事項：

（一）是否建立便捷(jie)的個人(ren)行(xing)使權利的申請受理(li)機制(zhi)和處理(li)機制(zhi)；

（二(er)）是否及(ji)時響(xiang)應個人行使權(quan)利的申(shen)請，是否及(ji)時、完整、準確告知處理意見或者執行結果；

（三(san)）拒絕個(ge)人(ren)行使權利請求的(de)，是否(fou)向個(ge)人(ren)說(shuo)明(ming)理由(you)。

十八(ba)、個人(ren)信(xin)息處理(li)者應當(dang)響(xiang)應個人(ren)申(shen)請，對其(qi)個人(ren)信(xin)息處理(li)規(gui)則進行解釋說明，合規(gui)審計時應當(dang)重(zhong)點對下列(lie)內容(rong)進行評(ping)價：

（一）個(ge)人信(xin)息(xi)處(chu)理者是否提供便(bian)捷(jie)的方式和途(tu)徑，接受(shou)、處(chu)理個(ge)人關于個(ge)人信(xin)息(xi)處(chu)理規(gui)則(ze)解釋說明的要求(qiu)；

（二）接到個(ge)(ge)(ge)人(ren)的(de)要(yao)求后，個(ge)(ge)(ge)人(ren)信(xin)息(xi)處理(li)(li)者是(shi)否(fou)在合理(li)(li)的(de)時(shi)間內，使用通俗易(yi)懂的(de)語言對其個(ge)(ge)(ge)人(ren)信(xin)息(xi)處理(li)(li)規則作出解釋說明。

十(shi)九、個(ge)人(ren)信(xin)息(xi)處理者(zhe)應(ying)當(dang)依照法(fa)律、行政法(fa)規(gui)的(de)規(gui)定制定內部管理制度(du)和操作規(gui)程(cheng)，明確組織架構、崗位職責，建(jian)立工作流程(cheng)、完善內控制度(du)，保(bao)障個(ge)人(ren)信(xin)息(xi)處理合(he)規(gui)與安全(quan)。合(he)規(gui)審(shen)計時，應(ying)當(dang)重點對個(ge)人(ren)信(xin)息(xi)處理者(zhe)個(ge)人(ren)信(xin)息(xi)保(bao)護內部管理制度(du)和操作規(gui)程(cheng)進行審(shen)查(cha)，包括(kuo)但(dan)不限于(yu)：

（一）個人信息保護(hu)工作的方(fang)針、目標(biao)、原(yuan)則是否符合法律(lv)、行政法規(gui)規(gui)定；

（二(er)）個(ge)人信(xin)息保(bao)護組織(zhi)架構、人員配(pei)備、行為(wei)規(gui)范、管(guan)理(li)責(ze)任(ren)是否與應當(dang)履行的個(ge)人信(xin)息保(bao)護責(ze)任(ren)相適應；

（三(san)）是否根據個人信息的種類、來源(yuan)、敏感程度(du)、用途等，對(dui)個人信息進行分類；

（四）是否(fou)建立個人信息安全(quan)事件應急響應機制(zhi)；

（五）是否(fou)建立個人信息保(bao)護影響評(ping)估制度、合規審計制度；

（六）是否建立暢通的個(ge)人信息保護投訴(su)舉報受理流程(cheng)；

（七）是否(fou)合理制(zhi)定個(ge)人信息處(chu)理操作權限；

（八）是否制定(ding)實施個人(ren)信息保(bao)護安全教育和培訓計劃；

（九）是否建立個(ge)人信息保護負責人及相(xiang)關人員履(lv)職評價制度；

（十）是否建(jian)立個人信息違法處理責任制(zhi)度；

（十一）法(fa)(fa)律、行政法(fa)(fa)規規定的其他(ta)事項。

二(er)十、個人信(xin)息(xi)處理者(zhe)應(ying)當采取與所處理個人信(xin)息(xi)規模、類型相適(shi)應(ying)的安全技(ji)(ji)術措施(shi)，并對個人信(xin)息(xi)處理者(zhe)采取的技(ji)(ji)術措施(shi)的有(you)效性進(jin)行評價，評價內容包(bao)括但不限于：

（一）是否采取相應安全(quan)技術措施實現個人信息的保密性(xing)(xing)、完(wan)整性(xing)(xing)、可(ke)用(yong)性(xing)(xing)；

（二）是否采取(qu)加密、去標識化等安(an)全技(ji)術措施，確保在不借助額(e)外信(xin)息(xi)的情況下，消除或者降低個人(ren)信(xin)息(xi)的可識別性；

（三）采取的(de)安全技(ji)術措施(shi)能否合理(li)確定有(you)關人(ren)員查閱、復制、傳輸個人(ren)信息等的(de)操作權限，減少(shao)個人(ren)信息在(zai)處理(li)過程中未經授權的(de)訪問和濫用風(feng)險。

二十一、對個人信息處理者(zhe)教育培訓計劃的(de)制定和實施情況進(jin)行合(he)規審計時，應當重(zhong)點(dian)對下列事(shi)項進(jin)行評價：

（一）是否(fou)按計劃(hua)對管理人員(yuan)、技術人員(yuan)、操作人員(yuan)、全(quan)員(yuan)開展相應(ying)的安全(quan)教(jiao)育和培訓，是否(fou)對相應(ying)人員(yuan)的個人信息保(bao)護(hu)意識(shi)和技能(neng)進行考核(he)；

（二）培訓(xun)內容、方式、對象、頻率等能否(fou)滿足(zu)個人信息(xi)保護需要。

二十二、對個人信息處理者指定的個人信息保護負(fu)責人履職情況進(jin)行合規審(shen)計(ji)的，應當重(zhong)點審(shen)查下列事項：

（一）個(ge)人(ren)信(xin)息(xi)保護負(fu)責人(ren)是否具有相(xiang)(xiang)關的工作(zuo)經歷和專業知識，熟(shu)悉個(ge)人(ren)信(xin)息(xi)保護相(xiang)(xiang)關法(fa)律(lv)、行政法(fa)規(gui)；

（二(er)）個人(ren)信息保(bao)護(hu)負責人(ren)是否(fou)具有(you)明確清晰的職責，是否(fou)被賦予(yu)充分的權限協調個人(ren)信息處理者內部(bu)相(xiang)關部(bu)門與人(ren)員；

（三(san)）個人(ren)信息保護負(fu)責人(ren)在個人(ren)信息處理(li)重大事項決策前(qian)是否有權提出相關意見(jian)和建議；

（四）個人(ren)信息保護負責人(ren)是(shi)否有權(quan)對個人(ren)信息處(chu)理者內部個人(ren)信息處(chu)理的不(bu)合(he)規操作進行制止和采取必要(yao)的糾正措施(shi)；

（五(wu)）個人(ren)信息(xi)處理者是否公開(kai)個人(ren)信息(xi)保護(hu)負責(ze)人(ren)的聯(lian)(lian)系方(fang)式，并(bing)將個人(ren)信息(xi)保護(hu)負責(ze)人(ren)的姓名、聯(lian)(lian)系方(fang)式等報送(song)保護(hu)部門。

二十三、對個(ge)人(ren)信息處理者開展(zhan)個(ge)人(ren)信息保護影(ying)響評估(gu)情(qing)況(kuang)進(jin)(jin)行合規審(shen)計(ji)時，應(ying)當重點對影(ying)響評估(gu)開展(zhan)情(qing)況(kuang)和評估(gu)內容進(jin)(jin)行審(shen)查：

（一）是否依照法律、行(xing)(xing)政法規的規定(ding)，在進行(xing)(xing)對個(ge)人(ren)權(quan)益具有重大影響(xiang)的個(ge)人(ren)信息(xi)處理活(huo)動前進行(xing)(xing)個(ge)人(ren)信息(xi)保護影響(xiang)評估；

（二）是否(fou)對個人信息的處理目的、處理方式(shi)等進(jin)行(xing)合法、正當、必要評估(gu)；

（三）是否(fou)對個人(ren)權益的影響(xiang)及(ji)安全風險進行評估；

（四）是否對所采取的(de)保護(hu)措施的(de)合法性、有效性，以及與風(feng)險程度的(de)適(shi)應性進行評(ping)估。

二十(shi)四、個人(ren)信息處理者應(ying)當(dang)制定個人(ren)信息安全事件應(ying)急(ji)預案(an)。合(he)規審計(ji)時(shi)，應(ying)當(dang)對應(ying)急(ji)預案(an)的全面(mian)性、有效性、可(ke)執(zhi)行性作出評價，包括但不限于下列內容：

（一）是否結合業務實際(ji)，對(dui)面臨(lin)的個人信息安全風(feng)險作出系統評(ping)估和預測；

（二(er)）總(zong)體要求、基本策略，組織機(ji)構、人(ren)員(yuan)，技術(shu)、物(wu)資(zi)保障(zhang)，指揮處置程序，應急和支持措施等是否足以應對預測的風險；

（三）是否對相關人員進行應急預(yu)案(an)培訓，定期對應急預(yu)案(an)進行演練。

二十(shi)五、對個人信(xin)息(xi)處理者(zhe)個人信(xin)息(xi)安全事(shi)件應(ying)(ying)急響應(ying)(ying)處置(zhi)情況(kuang)進行合規審計(ji)的(de)，應(ying)(ying)當重點審查下列事(shi)項：

（一(yi)）是否(fou)按照應急預案(an)(an)、操作規程及(ji)時查明個人信(xin)息安(an)全(quan)事(shi)件的影(ying)響、范圍和可能造成的危(wei)害(hai)，分(fen)析、確(que)定事(shi)件發生的原因，提出防止危(wei)害(hai)擴大的措(cuo)施方(fang)案(an)(an)；

（二(er)）是否(fou)建立通報渠道(dao)，在安(an)全事件(jian)發生后按(an)照相關規定及時(shi)通知保護部(bu)門和個人；

（三(san)）是否采取相應措施將個人信息安(an)全事件可能(neng)造成的損失(shi)和(he)可能(neng)產生(sheng)的危害(hai)風險降低(di)到最小(xiao)。

二十六、對提供重(zhong)要互聯網平臺(tai)服(fu)務(wu)、用戶(hu)數量巨(ju)大(da)、業務(wu)類型(xing)復(fu)雜的個人信息處理者(zhe)制定的平臺(tai)規則進(jin)行合規審計的，應當重(zhong)點審查下列事項：

（一）平臺規(gui)則是否與法(fa)律、行政(zheng)法(fa)規(gui)相抵觸(chu)；

（二(er)）平臺規則(ze)個人信(xin)息保護(hu)條款的(de)有(you)效性，是否(fou)合理(li)界定了平臺、平臺內產品或(huo)者(zhe)服務(wu)(wu)提供者(zhe)的(de)個人信(xin)息保護(hu)權(quan)利和(he)義(yi)務(wu)(wu)；

（三）平臺規則的執行(xing)情況，是否通過抽樣等方式驗證平臺規則被有效(xiao)執行(xing)。

二十(shi)七(qi)、對(dui)提供重要互聯(lian)網平臺服務、用戶數量巨大(da)、業(ye)務類型復雜的個人信(xin)息(xi)處理者發布的個人信(xin)息(xi)保護社會責任(ren)報(bao)告(gao)進行合規審計的，應當(dang)重點審查社會責任(ren)報(bao)告(gao)披露下列(lie)內容的情況(kuang)：

（一）個人信(xin)息保護(hu)組織架構和內部管理情(qing)況(kuang)；

（二）個人信息保(bao)護能(neng)力(li)建設情況；

（三(san)）個人(ren)信息(xi)保護措施(shi)和成效；

（四(si)）個人行使(shi)權利的申請受理(li)情況；

（五）獨立監督機(ji)構履職情況；

（六）重大(da)個人信(xin)息安全事件處(chu)理情況；

（七）促進個人(ren)信(xin)息保護(hu)社(she)會共治的科普(pu)宣傳(chuan)、公益(yi)活(huo)動情(qing)況(kuang)；

（八）法(fa)律、行(xing)政法(fa)規規定的其(qi)他事項(xiang)。