國家互聯(lián)網(wǎng)信息辦公室關(guān)于《個(gè)人信息保護合規審計管理辦法(征求意見(jiàn)稿)》公開(kāi)征求意見(jiàn)的通知
為指導、規范個(gè)人信息保護合規審計活動(dòng),根據《中華人民共和國個(gè)人信息保護法》等法律法規,國家互聯(lián)網(wǎng)信息辦公室起草了《個(gè)人信息保護合規審計管理辦法(征求意見(jiàn)稿)》,現向社會(huì )公開(kāi)征求意見(jiàn)。公眾可以通過(guò)以下途徑和方式提出反饋意見(jiàn):
1.登錄中華人民共和國司法部 中國政府法制信息網(wǎng)(www.moj.gov.cn、www.chinalaw.gov.cn),進(jìn)入首頁(yè)主菜單的“立法意見(jiàn)征集”欄目提出意見(jiàn)。
2.通過(guò)電子郵件方式發(fā)送至:shujuju@cac.gov.cn。
3.通過(guò)信函方式將意見(jiàn)寄至:北京市海淀區阜成路15號國家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò )數據管理局,郵編100048,并在信封上注明“個(gè)人信息保護合規審計管理辦法征求意見(jiàn)”。
意見(jiàn)反饋截止時(shí)間為2023年9月2日。
附件:個(gè)人信息保護合規審計管理辦法(征求意見(jiàn)稿)
國家互聯(lián)網(wǎng)信息辦公室
2023年8月3日
個(gè)人信息保護合規審計管理辦法
(征求意見(jiàn)稿)
第一條 為指導、規范個(gè)人信息保護合規審計活動(dòng),提高個(gè)人信息處理活動(dòng)合規水平,保護個(gè)人信息權益,根據《中華人民共和國個(gè)人信息保護法》等法律、行政法規和國家有關(guān)規定,制定本辦法。
第二條 個(gè)人信息處理者定期開(kāi)展個(gè)人信息保護合規審計,或者按照履行個(gè)人信息保護職責的部門(mén)要求委托專(zhuān)業(yè)機構對其個(gè)人信息處理活動(dòng)進(jìn)行合規審計,以及對個(gè)人信息保護合規審計活動(dòng)的監督管理適用本辦法。
第三條 本辦法所稱(chēng)個(gè)人信息保護合規審計,是指對個(gè)人信息處理者的個(gè)人信息處理活動(dòng)是否遵守法律、行政法規的情況進(jìn)行審查和評價(jià)的監督活動(dòng)。
第四條 處理超過(guò)100萬(wàn)人個(gè)人信息的個(gè)人信息處理者,應當每年至少開(kāi)展一次個(gè)人信息保護合規審計;其他個(gè)人信息處理者應當每二年至少開(kāi)展一次個(gè)人信息保護合規審計。
第五條 個(gè)人信息處理者自行開(kāi)展個(gè)人信息保護合規審計,可根據實(shí)際情況,由本組織內部機構或者委托專(zhuān)業(yè)機構按照本辦法要求開(kāi)展。
第六條 履行個(gè)人信息保護職責的部門(mén)在履行職責中,發(fā)現個(gè)人信息處理活動(dòng)存在較大風(fēng)險或者發(fā)生個(gè)人信息安全事件的,可以要求個(gè)人信息處理者委托專(zhuān)業(yè)機構對其個(gè)人信息處理活動(dòng)進(jìn)行合規審計。
第七條 個(gè)人信息處理者按照履行個(gè)人信息保護職責的部門(mén)要求開(kāi)展個(gè)人信息保護合規審計的,應當在收到通知后盡快按照要求選定專(zhuān)業(yè)機構進(jìn)行個(gè)人信息保護合規審計。
第八條 個(gè)人信息處理者按照履行個(gè)人信息保護職責的部門(mén)要求委托專(zhuān)業(yè)機構開(kāi)展個(gè)人信息保護合規審計的,應當保證專(zhuān)業(yè)機構能夠正常行使下列權限:
(一)要求提供或者協(xié)助查閱相關(guān)文件或資料;
(二)進(jìn)入個(gè)人信息處理活動(dòng)相關(guān)場(chǎng)所;
(三)觀(guān)察場(chǎng)所內發(fā)生的個(gè)人信息處理活動(dòng);
(四)調查相關(guān)業(yè)務(wù)活動(dòng)及所依賴(lài)的信息系統;
(五)檢查、測試個(gè)人信息處理活動(dòng)相關(guān)設備設施;
(六)調取、查閱個(gè)人信息處理活動(dòng)相關(guān)數據或信息;
(七)訪(fǎng)談與個(gè)人信息處理活動(dòng)有關(guān)的人員;
(八)就相關(guān)問(wèn)題進(jìn)行調查、質(zhì)詢(xún)和取證;
(九)其他開(kāi)展合規審計工作所必需的權限。
第九條 個(gè)人信息處理者按照履行個(gè)人信息保護職責部門(mén)要求委托專(zhuān)業(yè)機構開(kāi)展個(gè)人信息保護合規審計的,應當在90個(gè)工作日內完成個(gè)人信息保護合規審計;情況復雜的,報經(jīng)履行個(gè)人信息保護職責的部門(mén)批準后可適當延長(cháng)。
第十條 個(gè)人信息處理者按照履行個(gè)人信息保護職責部門(mén)要求委托專(zhuān)業(yè)機構開(kāi)展個(gè)人信息保護合規審計的,應當按照本辦法要求組織實(shí)施個(gè)人信息保護合規審計,在實(shí)施必要合規審計程序后,及時(shí)將專(zhuān)業(yè)機構出具的個(gè)人信息保護合規審計報告報送履行個(gè)人信息保護職責的部門(mén)。個(gè)人信息保護合規審計報告應當由合規審計負責人、專(zhuān)業(yè)機構負責人簽字并加蓋專(zhuān)業(yè)機構公章。
第十一條 個(gè)人信息處理者按照履行個(gè)人信息保護職責的部門(mén)要求委托專(zhuān)業(yè)機構開(kāi)展個(gè)人信息保護合規審計的,應當按照專(zhuān)業(yè)機構給出的整改建議進(jìn)行整改,經(jīng)專(zhuān)業(yè)機構復核后將整改情況報送履行個(gè)人信息保護職責的部門(mén)。
第十二條 執行個(gè)人信息保護合規審計的專(zhuān)業(yè)機構應當保持獨立性和客觀(guān)性,連續為同一審計對象開(kāi)展個(gè)人信息保護合規審計不得超過(guò)三次。
第十三條 國家網(wǎng)信部門(mén)會(huì )同公安機關(guān)等國務(wù)院有關(guān)部門(mén)按照統籌規劃、合理布局、擇優(yōu)推薦的原則建立個(gè)人信息保護合規審計專(zhuān)業(yè)機構推薦目錄,每年組織開(kāi)展個(gè)人信息保護合規審計專(zhuān)業(yè)機構評估評價(jià),并根據評估評價(jià)情況動(dòng)態(tài)調整個(gè)人信息保護合規審計專(zhuān)業(yè)機構推薦目錄。
鼓勵個(gè)人信息處理者優(yōu)先選擇推薦目錄中的專(zhuān)業(yè)機構開(kāi)展個(gè)人信息保護合規審計活動(dòng)。
第十四條 專(zhuān)業(yè)機構在從事個(gè)人信息保護合規審計活動(dòng)時(shí),應當誠信正直,公正客觀(guān)地作出合規審計職業(yè)判斷。
專(zhuān)業(yè)機構不得轉包委托第三方開(kāi)展個(gè)人信息保護合規審計。
專(zhuān)業(yè)機構在履行個(gè)人信息保護合規審計職責中獲得的信息,只能用于個(gè)人信息保護合規審計的需要,不得用于其他用途;專(zhuān)業(yè)機構應當對獲得的信息承擔保密責任;專(zhuān)業(yè)機構應當采取相應技術(shù)措施和其他必要措施,保障數據安全。
專(zhuān)業(yè)機構在履行個(gè)人信息保護合規審計職責時(shí)不得惡意干擾個(gè)人信息處理者的正常經(jīng)營(yíng)活動(dòng)。
專(zhuān)業(yè)機構有出具虛假、失實(shí)報告等違規行為的,個(gè)人信息處理者及相關(guān)方可向履行個(gè)人信息保護職責的部門(mén)進(jìn)行投訴,經(jīng)履行個(gè)人信息保護職責的部門(mén)核實(shí)的,永久禁止列入個(gè)人信息保護合規審計專(zhuān)業(yè)機構推薦目錄。
第十五條 違反本辦法規定的,依據《中華人民共和國個(gè)人信息保護法》等法律法規處理;構成犯罪的,依法追究刑事責任。
第十六條 本辦法由國家互聯(lián)網(wǎng)信息辦公室負責解釋?zhuān)?年 月 日起施行。
附件:個(gè)人信息保護合規審計參考要點(diǎn)
個(gè)人信息保護合規審計參考要點(diǎn)
第一條 本要點(diǎn)依據《中華人民共和國個(gè)人信息保護法》等法律、行政法規和國家標準的強制性要求制定,為開(kāi)展個(gè)人信息保護合規審計提供參考。
第二條 個(gè)人信息保護合規審計應當首先審查個(gè)人信息處理活動(dòng)的合法性基礎條件,重點(diǎn)審查下列事項:
(一)處理個(gè)人信息是否取得個(gè)人同意,該同意是否在個(gè)人信息主體充分知情的前提下自愿、明確作出;
(二)基于個(gè)人同意處理個(gè)人信息,個(gè)人信息的處理目的、處理方式和處理的個(gè)人信息種類(lèi)發(fā)生變更的,是否重新取得個(gè)人同意;
(三)基于個(gè)人同意處理個(gè)人信息,是否為個(gè)人提供便捷的撤回同意的方式;
(四)基于個(gè)人同意處理個(gè)人信息,是否對個(gè)人同意的操作進(jìn)行記錄;
(五)基于個(gè)人同意處理個(gè)人信息,是否存在以個(gè)人不同意處理其個(gè)人信息或者撤回同意為由,拒絕提供產(chǎn)品或者服務(wù)的情況;處理個(gè)人信息屬于提供產(chǎn)品或者服務(wù)所必需的除外;
(六)處理個(gè)人信息未取得個(gè)人同意,是否屬于法律、行政法規規定不需取得個(gè)人同意的情形。
第三條 對個(gè)人信息處理規則進(jìn)行審計時(shí),應當重點(diǎn)審查下列事項:
(一)是否真實(shí)、準確、完整地告知個(gè)人信息處理者的名稱(chēng)或者姓名和聯(lián)系方式;
(二)是否以清單形式列明所收集的個(gè)人信息及其處理目的、方式、范圍;
(三)是否明確個(gè)人信息存儲期限或者存儲期限的確定方法、到期后的處理方式,以及確保存儲期限為實(shí)現處理目的所必要的最短時(shí)間;
(四)是否明確個(gè)人查閱、復制、加工、轉移、更正、補充、刪除、公開(kāi)、限制處理個(gè)人信息以及注銷(xiāo)賬號、撤回同意的途徑和方法;
(五)向第三方提供個(gè)人信息的,是否明確向個(gè)人告知接收方的名稱(chēng)或者姓名、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類(lèi),是否取得個(gè)人的單獨同意;
(六)法律、行政法規規定的其他事項。
第四條 個(gè)人信息處理者處理個(gè)人信息應當履行告知義務(wù),審計時(shí)應當重點(diǎn)審查下列事項:
(一)個(gè)人信息處理者在處理個(gè)人信息前,是否以顯著(zhù)方式、清晰易懂的語(yǔ)言真實(shí)、準確、完整地向個(gè)人告知個(gè)人信息處理規則;
(二)告知文本的大小、字體和顏色是否便于個(gè)人完整閱讀告知事項;
(三)線(xiàn)下告知是否通過(guò)標注、說(shuō)明等多種方式向個(gè)人履行告知義務(wù);
(四)在線(xiàn)告知是否提供文本信息或者通過(guò)適當方式向個(gè)人履行告知義務(wù);
(五)個(gè)人信息處理規則發(fā)生變更的,是否將變更內容及時(shí)告知個(gè)人。
第五條 個(gè)人信息處理者存在與他人共同處理個(gè)人信息情形的,應當重點(diǎn)審查下列事項:
(一)是否約定各自的權利義務(wù);
(二)各方采取的個(gè)人信息保護措施;
(三)個(gè)人信息權益保護機制;
(四)個(gè)人信息安全事件報告機制;
(五)侵害個(gè)人信息權益造成損害的,各方應當承擔的責任;
(六)其他法律、行政法規規定需要約定的權利和義務(wù)。
第六條 個(gè)人信息處理者存在委托處理個(gè)人信息情形的,應當重點(diǎn)審查下列事項:
(一)個(gè)人信息處理者在委托處理個(gè)人信息前,是否開(kāi)展個(gè)人信息保護影響評估;
(二)個(gè)人信息處理者與受托人簽訂的合同,是否約定了委托處理的目的、期限、方式及個(gè)人信息的種類(lèi)、受托人應當采取的技術(shù)措施和管理措施、雙方的權利義務(wù)等;
(三)個(gè)人信息處理者是否采取定期檢查等方式,對受托人的個(gè)人信息處理活動(dòng)進(jìn)行監督,以確保委托處理個(gè)人信息的活動(dòng)符合法律規定;
(四)受托人是否嚴格按照委托合同的約定處理個(gè)人信息,是否存在超出約定的處理目的、處理方式處理個(gè)人信息的情況;
(五)當委托合同不生效、無(wú)效、被撤銷(xiāo)或者終止時(shí),受托人是否將個(gè)人信息返還個(gè)人信息處理者或者予以刪除;
(六)受托人是否存在轉委托他人處理個(gè)人信息的情況,是否得到個(gè)人信息處理者的同意。
第七條 個(gè)人信息處理者存在因合并、重組、分立、解散、被宣告破產(chǎn)等原因需要轉移個(gè)人信息情形的,應當重點(diǎn)審查下列事項:
(一)個(gè)人信息處理者是否向個(gè)人告知接收方的名稱(chēng)或者姓名和聯(lián)系方式;
(二)接收方是否繼續履行個(gè)人信息處理者的義務(wù);
(三)接收方變更原先處理目的、處理方式的,是否依照法律、行政法規有關(guān)規定重新取得個(gè)人同意。
第八條 個(gè)人信息處理者存在向其他個(gè)人信息處理者提供其處理的個(gè)人信息的,應當重點(diǎn)審查下列事項:
(一)是否取得個(gè)人的單獨同意;
(二)是否向個(gè)人告知接收方的名稱(chēng)或者姓名、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類(lèi);
(三)接收方是否在雙方約定的處理目的、處理方式和個(gè)人信息的種類(lèi)等范圍內處理個(gè)人信息;
(四)變更處理目的、處理方式的,是否依照法律、行政法規規定重新取得個(gè)人同意;
(五)是否事前進(jìn)行個(gè)人信息保護影響評估。
第九條 個(gè)人信息處理者利用自動(dòng)化決策處理個(gè)人信息的,審計時(shí)應當重點(diǎn)評價(jià)自動(dòng)化決策的透明度和結果的公平性、公正性:
(一)是否事前主動(dòng)告知個(gè)人自動(dòng)化決策處理個(gè)人信息的種類(lèi)及可能帶來(lái)的影響;
(二)是否事前對算法模型進(jìn)行安全評估,并按國家相關(guān)規定進(jìn)行備案,以盡可能減少自動(dòng)化決策算法模型存在的缺陷,當應用場(chǎng)景和主要功能發(fā)生變化時(shí),是否對算法模型重新進(jìn)行評估;
(三)是否事前對算法模型進(jìn)行科技倫理審查;
(四)是否事前進(jìn)行個(gè)人信息保護影響評估;
(五)是否向用戶(hù)提供保障機制,以便用戶(hù)可以通過(guò)便捷方式拒絕通過(guò)自動(dòng)化決策方式作出對個(gè)人權益有重大影響的決定,或要求個(gè)人信息處理者就應用自動(dòng)化決策方式作出對用戶(hù)個(gè)人權益有重大影響的決定予以說(shuō)明;
(六)是否向用戶(hù)提供刪除或者修改用于自動(dòng)化決策服務(wù)的針對其個(gè)人特征的用戶(hù)標簽功能;
(七)是否采取必要措施對算法和參數模型進(jìn)行保護;
(八)是否對個(gè)人信息處理、標簽管理、模型訓練等自動(dòng)化決策過(guò)程中的人工操作進(jìn)行記錄,防范人為惡意操縱自動(dòng)化決策信息和結果;
(九)向個(gè)人進(jìn)行信息推送、商業(yè)營(yíng)銷(xiāo)時(shí),是否同時(shí)提供不針對個(gè)人特征的選項,或者提供便捷的拒絕自動(dòng)化決策服務(wù)的方式;
(十)是否采取了有效措施,防止自動(dòng)化決策根據消費者的偏好、交易習慣等對個(gè)人在交易條件上實(shí)行不合理的差別待遇;
(十一)其他可能影響自動(dòng)化決策的透明度和結果公平、公正的事項。
第十條 個(gè)人信息處理者存在公開(kāi)其處理的個(gè)人信息情形的,應當重點(diǎn)審查下列事項:
(一)個(gè)人信息處理者公開(kāi)其處理的個(gè)人信息前是否取得個(gè)人單獨同意,該授權是否真實(shí)、有效,是否存在違背個(gè)人意愿將個(gè)人信息予以公開(kāi)的情況;
(二)個(gè)人信息處理者公開(kāi)個(gè)人信息前,是否進(jìn)行了個(gè)人信息保護影響評估。
第十一條 個(gè)人信息處理者在公共場(chǎng)所安裝圖像采集、個(gè)人身份識別設備的,應當重點(diǎn)對其安裝圖像采集、個(gè)人信息身份識別設備的合法性及所收集個(gè)人信息的用途進(jìn)行審查。審查內容包括但不限于:
(一)是否為維護公共安全所必需,是否存在為商業(yè)目的處理所采集信息的情況;
(二)是否設置了顯著(zhù)的提示標志;
(三)若個(gè)人信息處理者所收集的個(gè)人圖像、身份識別信息用于維護公共安全以外用途的,是否取得個(gè)人單獨同意。
第十二條 個(gè)人信息處理者處理已公開(kāi)個(gè)人信息的,審計時(shí)應當重點(diǎn)審查個(gè)人信息處理者是否存在下列違規行為:
(一)向已公開(kāi)個(gè)人信息中的電子郵箱、手機號等發(fā)送與其公開(kāi)目的無(wú)關(guān)的信息;
(二)利用已公開(kāi)的個(gè)人信息從事網(wǎng)絡(luò )暴力活動(dòng);
(三)處理個(gè)人明確拒絕處理的已公開(kāi)個(gè)人信息;
(四)未取得個(gè)人同意處理已公開(kāi)的個(gè)人信息對個(gè)人權益造成重大影響。
第十三條 個(gè)人信息處理者處理敏感個(gè)人信息的,審計時(shí)應當重點(diǎn)審查下列事項:
(一)處理生物識別、宗教信仰、特定身份、醫療健康、金融賬戶(hù)、行蹤軌跡等敏感個(gè)人信息的,是否事前取得個(gè)人的單獨同意;
(二)處理不滿(mǎn)十四周歲未成年人的個(gè)人信息,是否事前取得未成年人的父母或者其他監護人的同意;
(三)處理敏感個(gè)人信息的目的、方式是否合法、正當、必要;
(四)敏感個(gè)人信息處理是否與提供商品或者服務(wù)、履行法定職責或者法定義務(wù)等特定的目的密切相關(guān),是否以非必要不處理為原則;
(五)是否在事前進(jìn)行個(gè)人信息保護影響評估,并向個(gè)人告知處理敏感個(gè)人信息的必要性以及對個(gè)人權益的影響;
(六)法律、行政法規規定應當取得書(shū)面同意的,是否取得書(shū)面同意;
(七)是否對處理敏感個(gè)人信息的過(guò)程進(jìn)行了記錄,以保障處理敏感個(gè)人信息流程合法合規。
第十四條 個(gè)人信息處理者業(yè)務(wù)涉及處理不滿(mǎn)十四周歲未成年人個(gè)人信息的,審計時(shí)應當重點(diǎn)審查下列事項:
(一)是否制定專(zhuān)門(mén)的未成年人個(gè)人信息處理規則;
(二)是否向未成年人及其監護人告知未成年人個(gè)人信息的處理目的、處理方式、處理必要性及處理個(gè)人信息的種類(lèi)、所采取的保護措施等;
(三)是否存在強制要求未成年人或者其監護人同意非必要的個(gè)人信息處理的行為。
第十五條 個(gè)人信息處理者存在向境外提供個(gè)人信息情形的,應當重點(diǎn)審查下列事項:
(一)關(guān)鍵信息基礎設施運營(yíng)者和處理100萬(wàn)人以上個(gè)人信息的個(gè)人信息處理者向境外提供個(gè)人信息是否經(jīng)過(guò)國家網(wǎng)信部門(mén)組織的安全評估;
(二)自上年1月1日起累計向境外提供10萬(wàn)人個(gè)人信息或者1萬(wàn)人敏感個(gè)人信息的個(gè)人信息處理者向境外提供個(gè)人信息是否經(jīng)過(guò)國家網(wǎng)信部門(mén)組織的安全評估;
(三)是否存在向外國司法或者執法機構提供存儲于中華人民共和國境內的個(gè)人信息的情形,若有,是否經(jīng)過(guò)中華人民共和國主管機關(guān)批準;
(四)中華人民共和國締結或者參加的國際條約、協(xié)定對向中華人民共和國境外提供個(gè)人信息的條件等有規定的,是否按照其規定執行;
(五)是否按照國家網(wǎng)信部門(mén)的規定,經(jīng)專(zhuān)業(yè)機構進(jìn)行個(gè)人信息保護認證或者按照國家網(wǎng)信部門(mén)制定的標準合同與境外接收方簽訂合同,或者符合法律、行政法規、國家網(wǎng)信部門(mén)規定的其他條件;
(六)是否了解境外接收方所在國家或者地區的個(gè)人信息保護政策和網(wǎng)絡(luò )安全環(huán)境對出境個(gè)人信息的影響;
(七)是否存在違規向被列入限制或者禁止個(gè)人信息提供清單的組織和個(gè)人提供個(gè)人信息的情形。
第十六條 個(gè)人信息處理者向境外提供個(gè)人信息,應當采取必要措施,保障境外接收方處理個(gè)人信息的活動(dòng)達到《中華人民共和國個(gè)人信息保護法》規定的個(gè)人信息保護標準。審計時(shí)應當重點(diǎn)審查個(gè)人信息處理者對境外接收方采取監督措施的有效性,包括但不限于:
(一)是否了解和掌握境外接收方的情況,特別是接收方是否具備必要的個(gè)人信息保護能力;
(二)是否向境外接收方告知我國法律、行政法規對個(gè)人信息保護的要求,并要求境外接收方采取相應的保護措施;
(三)是否采取簽訂協(xié)議、定期核查等方式,督促境外接收方切實(shí)履行個(gè)人信息保護義務(wù)。
第十七條 對個(gè)人信息刪除權保障情況進(jìn)行審計時(shí),應當重點(diǎn)審查下列情形個(gè)人信息刪除的情況:
(一)個(gè)人信息處理目的已實(shí)現、無(wú)法實(shí)現或者為實(shí)現處理目的不再必要;
(二)停止提供產(chǎn)品或者服務(wù),或者個(gè)人注銷(xiāo)賬號;
(三)達到與個(gè)人約定的存儲期限;
(四)個(gè)人撤回同意;
(五)因使用自動(dòng)化采集技術(shù)等,無(wú)法避免采集到非必要個(gè)人信息或者未經(jīng)同意的個(gè)人信息;
(六)個(gè)人信息處理者違反法律、行政法規或者違反約定處理個(gè)人信息。
法律、行政法規規定的保存期限未屆滿(mǎn),或者刪除個(gè)人信息從技術(shù)上難以實(shí)現的,個(gè)人信息處理者應當停止除存儲和采取必要的安全措施之外的處理。
第十八條 個(gè)人信息處理者應當保障個(gè)人行使個(gè)人信息權益的權利,審計時(shí)應當重點(diǎn)審查下列事項:
(一)是否建立個(gè)人行使權利的申請受理機制;
(二)是否向個(gè)人提供便捷的查閱、復制、轉移、更正、補充、刪除個(gè)人信息的方法;
(三)是否及時(shí)響應個(gè)人行使權利的申請,是否及時(shí)、完整、準確告知處理意見(jiàn)或者執行結果。
第十九條 個(gè)人信息處理者應當響應個(gè)人申請,對其個(gè)人信息處理規則進(jìn)行解釋說(shuō)明,審計時(shí)應當重點(diǎn)對下列內容進(jìn)行評價(jià):
(一)個(gè)人信息處理者是否提供便捷的方式和途徑,接受、處理個(gè)人關(guān)于個(gè)人信息處理規則解釋說(shuō)明的要求;
(二)接到個(gè)人的要求后,個(gè)人信息處理者是否在合理的時(shí)間內,使用通俗易懂的語(yǔ)言對其個(gè)人信息處理規則作出解釋說(shuō)明。
第二十條 個(gè)人信息處理者對個(gè)人信息保護承擔主體責任,審計時(shí)應當重點(diǎn)對個(gè)人信息處理者履行主體責任情況進(jìn)行評價(jià),包括但不限于下列事項:
(一)個(gè)人信息保護制度制定、組織架構、管理程序與處理個(gè)人信息的性質(zhì)、規模、復雜程度、風(fēng)險程度的適應性;
(二)個(gè)人信息保護職責分工是否合理、職責是否明確、報告關(guān)系是否清晰;
(三)個(gè)人信息處理者為個(gè)人信息保護提供的人、財、物保障與企業(yè)業(yè)務(wù)規模、運營(yíng)計劃、個(gè)人信息合規風(fēng)險管理的匹配性。
第二十一條 個(gè)人信息處理者應當依照法律、行政法規的規定制定內部管理制度和操作規程,明確組織架構、崗位職責,建立工作流程、完善內控制度,保障個(gè)人信息處理合規與安全。審計時(shí),應當重點(diǎn)對個(gè)人信息處理者個(gè)人信息保護內部管理制度和操作規程進(jìn)行審查,包括但不限于:
(一)個(gè)人信息保護工作的方針、目標、原則是否符合法律、行政法規規定;
(二)個(gè)人信息保護組織架構、人員配備、行為規范、管理責任是否與應當履行的個(gè)人信息保護責任相適應;
(三)是否根據個(gè)人信息的種類(lèi)、來(lái)源、敏感程度、用途等,對個(gè)人信息進(jìn)行分類(lèi),并采取有針對性的管理或者安全技術(shù)措施;
(四)是否建立個(gè)人信息安全事件應急響應機制;
(五)是否建立個(gè)人信息保護影響評估、合規審計制度;
(六)是否建立暢通的個(gè)人信息保護投訴舉報受理流程;
(七)是否制定實(shí)施個(gè)人信息保護安全教育和培訓計劃;
(八)是否建立個(gè)人信息保護負責人及相關(guān)人員履職評價(jià)制度;
(九)是否建立針對個(gè)人信息處理相關(guān)人員的個(gè)人信息違規處置或者違規行為責任制度,并有效實(shí)施;
(十)法律、行政法規規定的其他內容。
第二十二條 個(gè)人信息處理者應當采取與所處理個(gè)人信息規模、類(lèi)型相適應的安全技術(shù)措施,并對個(gè)人信息處理者采取的技術(shù)措施的有效性進(jìn)行評價(jià),評價(jià)內容包括但不限于:
(一)是否參照有關(guān)國家標準或者技術(shù)要求,采取相應安全技術(shù)措施實(shí)現個(gè)人信息的保密性、完整性、可用性;
(二)是否采取加密、去標識化等安全技術(shù)措施,確保在不借助額外信息的情況下,消除或者降低個(gè)人信息的可識別性;
(三)采取的安全技術(shù)措施能否合理確定有關(guān)人員查閱、復制、傳輸等個(gè)人信息的操作權限,減少個(gè)人信息在處理過(guò)程中未經(jīng)授權的訪(fǎng)問(wèn)和濫用風(fēng)險。
第二十三條 對個(gè)人信息處理者教育培訓計劃的制定和實(shí)施情況進(jìn)行審計時(shí),應當重點(diǎn)對下列事項進(jìn)行評價(jià):
(一)是否按計劃對管理人員、技術(shù)人員、操作人員、全員開(kāi)展相應的安全教育和培訓,是否對相應人員的個(gè)人信息保護意識和技能進(jìn)行考核;
(二)培訓內容、培訓方式、培訓對象、培訓頻率等能否滿(mǎn)足個(gè)人信息保護需要。
第二十四條 處理個(gè)人信息達到國家網(wǎng)信部門(mén)規定數量的個(gè)人信息處理者應當指定個(gè)人信息保護負責人,對個(gè)人信息處理活動(dòng)的合規性負責。審計時(shí),應當重點(diǎn)審查下列事項:
(一)個(gè)人信息保護負責人是否具有相關(guān)的工作經(jīng)歷和專(zhuān)業(yè)知識,熟悉個(gè)人信息保護相關(guān)法律、行政法規;
(二)個(gè)人信息保護負責人是否具有明確清晰的職責,是否被賦予充分的權限協(xié)調組織內個(gè)人信息處理相關(guān)部門(mén)與人員;
(三)個(gè)人信息保護負責人是否有權提名個(gè)人信息保護團隊負責人,并與其保持順暢的溝通和聯(lián)系;
(四)個(gè)人信息保護負責人在個(gè)人信息處理重大事項決策前是否有權提出相關(guān)意見(jiàn)和建議;
(五)個(gè)人信息保護負責人是否有權對組織內部個(gè)人信息處理的不合規操作進(jìn)行制止和采取必要的糾正措施;
(六)個(gè)人信息處理者是否公開(kāi)個(gè)人信息保護負責人的聯(lián)系方式,并將個(gè)人信息保護負責人的姓名、聯(lián)系方式等報送履行個(gè)人信息保護職責的部門(mén)。
第二十五條 對個(gè)人信息處理者開(kāi)展個(gè)人信息保護影響評估情況進(jìn)行審計時(shí),應當重點(diǎn)對影響評估開(kāi)展情況和評估內容進(jìn)行審查:
(一)是否依照法律、行政法規的規定,在進(jìn)行對個(gè)人權益具有重大影響的個(gè)人信息處理活動(dòng)前通過(guò)個(gè)人信息保護影響評估;
(二)是否對個(gè)人處理活動(dòng)的合法性、正當性和必要性進(jìn)行了分析評估,是否存在過(guò)度收集個(gè)人信息的情況;
(三)是否對限制個(gè)人自主決定權、引發(fā)差別性待遇、導致個(gè)人名譽(yù)受損或者遭受精神壓力、造成人身財產(chǎn)受損等安全風(fēng)險進(jìn)行了分析評估;
(四)是否對所采取的保護措施的合法性、有效性、適應性進(jìn)行了分析評估;
(五)個(gè)人信息保護影響評估報告和處理記錄是否至少保存三年。
第二十六條 個(gè)人信息處理者應當制定個(gè)人信息安全事件應急預案。審計時(shí),應當對應急預案的全面性、有效性、可執行性作出評價(jià),包括但不限于下列內容:
(一)是否結合業(yè)務(wù)實(shí)際,對面臨的個(gè)人信息安全風(fēng)險作出了系統評估和預測;
(二)指導思想、基本策略,組織機構、人員,技術(shù)、物資保障及指揮處置程序、應急和支持措施等是否足以應對預測的風(fēng)險;
(三)是否對相關(guān)人員進(jìn)行應急預案培訓,定期對應急預案進(jìn)行演練。
第二十七條 對個(gè)人信息處理者個(gè)人信息安全事件應急響應處置情況進(jìn)行評價(jià)時(shí),應當重點(diǎn)考慮下列因素:
(一)是否按照應急預案、操作規程及時(shí)查明個(gè)人信息安全事件的影響、范圍和可能造成的危害,分析、確定事件發(fā)生的原因,提出防止危害擴大的措施方案;
(二)是否建立通報渠道,能否在事件發(fā)生后72小時(shí)內通知履行個(gè)人信息保護職責的部門(mén)和個(gè)人;
(三)是否采取相應措施將個(gè)人信息安全事件可能造成的損失和可能產(chǎn)生的危害風(fēng)險降低到最小。
第二十八條 大型互聯(lián)網(wǎng)平臺運營(yíng)者應當成立主要由外部成員組成的獨立機構對個(gè)人信息保護情況進(jìn)行監督。審計時(shí),應當對獨立機構的獨立性、履職能力、監督作用等進(jìn)行評價(jià)。
(一)評價(jià)獨立機構對個(gè)人信息保護情況進(jìn)行監督的獨立性,重點(diǎn)審查外部成員與個(gè)人信息處理者及其主要股東是否存在可能妨礙其進(jìn)行獨立客觀(guān)判斷的關(guān)系;
(二)評價(jià)外部成員的履職能力,重點(diǎn)審查外部成員是否具備相應的專(zhuān)業(yè)知識、能力和經(jīng)驗,能否對個(gè)人信息處理者的個(gè)人信息保護情況進(jìn)行監督、指導,發(fā)表客觀(guān)公正的意見(jiàn)建議;
(三)評價(jià)獨立機構的監督作用,重點(diǎn)審查獨立機構在個(gè)人信息處理者合規制度體系建設、平臺規則制定、重大個(gè)人信息安全事件處置、督促企業(yè)履行社會(huì )責任等方面發(fā)揮的作用。
第二十九條 針對大型互聯(lián)網(wǎng)平臺規則,應當重點(diǎn)審計下列事項:
(一)評價(jià)平臺規則的合法合規性,是否存在與法律、行政法規相抵觸的情況;
(二)評價(jià)平臺規則的公平公正性,是否存在惡意競爭、影響消費者權益等違反公平競爭原則、誠實(shí)信用原則、公序良俗的內容;
(三)評價(jià)平臺規則個(gè)人信息保護條款的有效性,是否合理界定了平臺、平臺內產(chǎn)品或者服務(wù)提供者的個(gè)人信息保護權利和義務(wù),是否對平臺內經(jīng)營(yíng)者處理個(gè)人信息行為進(jìn)行規范,平臺內經(jīng)營(yíng)者的個(gè)人信息保護義務(wù)是否明確;
(四)檢查平臺規則的執行情況,通過(guò)抽樣等方式驗證平臺規則是否被有效執行。
第三十條 大型互聯(lián)網(wǎng)平臺運營(yíng)者應當對其平臺內產(chǎn)品或者服務(wù)提供者的個(gè)人信息處理活動(dòng)進(jìn)行監督。審計時(shí),應當重點(diǎn)審查下列事項:
(一)是否定期審核平臺內產(chǎn)品或者服務(wù)提供者個(gè)人信息處理規則的合法性、合理性;
(二)是否定期對平臺內產(chǎn)品或者服務(wù)提供者處理個(gè)人信息遵守法律、行政法規情況進(jìn)行審核;
(三)對于嚴重違反法律、行政法規處理個(gè)人信息的產(chǎn)品或者服務(wù)提供者,平臺是否及時(shí)停止向其提供服務(wù)。
第三十一條 大型互聯(lián)網(wǎng)平臺運營(yíng)者應當每年發(fā)布個(gè)人信息保護社會(huì )責任報告。審計時(shí),應當重點(diǎn)審查社會(huì )責任報告下列內容的披露情況:
(一)個(gè)人信息保護組織架構和內部管理情況;
(二)個(gè)人信息保護能力建設情況;
(三)個(gè)人信息保護措施和成效;
(四)個(gè)人行使權利的申請受理情況;
(五)獨立監督機構履職情況;
(六)重大個(gè)人信息安全事件處理情況;
(七)法律、行政法規規定的其他情況。
來(lái)源:“網(wǎng)信中國”微信公眾號
