央視網消息：據國家互聯網信息辦公室，為(wei) 指導、規範個(ge) 人信息保護合規審計活動，根據《中華人民共和國個(ge) 人信息保護法》等法律法規，國家互聯網信息辦公室起草了《個(ge) 人信息保護合規審計管理辦法（征求意見稿）》，現向社會(hui) 公開征求意見。公眾(zhong) 可以通過以下途徑和方式提出反饋意見：

　　1.登錄中華人民共和國司法部 中國政府法製信息網（www.moj.gov.cn、www.chinalaw.gov.cn），進入首頁主菜單的“立法意見征集”欄目提出意見。

　　2.通過電子郵件方式發送至：shujuju@cac.gov.cn。

　　3.通過信函方式將意見寄至：北京市海澱區阜成路15號國家互聯網信息辦公室網絡數據管理局，郵編100048，並在信封上注明“個(ge) 人信息保護合規審計管理辦法征求意見”。

　　意見反饋截止時間為(wei) 2023年9月2日。

　　個(ge) 人信息保護合規審計管理辦法

　　（征求意見稿）

　　第一條 為(wei) 指導、規範個(ge) 人信息保護合規審計活動，提高個(ge) 人信息處理活動合規水平，保護個(ge) 人信息權益，根據《中華人民共和國個(ge) 人信息保護法》等法律、行政法規和國家有關(guan) 規定，製定本辦法。

　　第二條個(ge) 人信息處理者定期開展個(ge) 人信息保護合規審計，或者按照履行個(ge) 人信息保護職責的部門要求委托專(zhuan) 業(ye) 機構對其個(ge) 人信息處理活動進行合規審計，以及對個(ge) 人信息保護合規審計活動的監督管理適用本辦法。

　　第三條本辦法所稱個(ge) 人信息保護合規審計，是指對個(ge) 人信息處理者的個(ge) 人信息處理活動是否遵守法律、行政法規的情況進行審查和評價(jia) 的監督活動。

　　第四條處理超過100萬(wan) 人個(ge) 人信息的個(ge) 人信息處理者，應當每年至少開展一次個(ge) 人信息保護合規審計；其他個(ge) 人信息處理者應當每二年至少開展一次個(ge) 人信息保護合規審計。

　　第五條個(ge) 人信息處理者自行開展個(ge) 人信息保護合規審計，可根據實際情況，由本組織內(nei) 部機構或者委托專(zhuan) 業(ye) 機構按照本辦法要求開展。

　　第六條履行個(ge) 人信息保護職責的部門在履行職責中，發現個(ge) 人信息處理活動存在較大風險或者發生個(ge) 人信息安全事件的，可以要求個(ge) 人信息處理者委托專(zhuan) 業(ye) 機構對其個(ge) 人信息處理活動進行合規審計。

　　第七條個(ge) 人信息處理者按照履行個(ge) 人信息保護職責的部門要求開展個(ge) 人信息保護合規審計的，應當在收到通知後盡快按照要求選定專(zhuan) 業(ye) 機構進行個(ge) 人信息保護合規審計。

　　第八條個(ge) 人信息處理者按照履行個(ge) 人信息保護職責的部門要求委托專(zhuan) 業(ye) 機構開展個(ge) 人信息保護合規審計的，應當保證專(zhuan) 業(ye) 機構能夠正常行使下列權限：

　　（一）要求提供或者協助查閱相關(guan) 文件或資料；

　　（二）進入個(ge) 人信息處理活動相關(guan) 場所；

　　（三）觀察場所內(nei) 發生的個(ge) 人信息處理活動；

　　（四）調查相關(guan) 業(ye) 務活動及所依賴的信息係統；

　　（五）檢查、測試個(ge) 人信息處理活動相關(guan) 設備設施；

　　（六）調取、查閱個(ge) 人信息處理活動相關(guan) 數據或信息；

　　（七）訪談與(yu) 個(ge) 人信息處理活動有關(guan) 的人員；

　　（八）就相關(guan) 問題進行調查、質詢和取證；

　　（九）其他開展合規審計工作所必需的權限。

　　第九條個(ge) 人信息處理者按照履行個(ge) 人信息保護職責部門要求委托專(zhuan) 業(ye) 機構開展個(ge) 人信息保護合規審計的，應當在90個(ge) 工作日內(nei) 完成個(ge) 人信息保護合規審計；情況複雜的，報經履行個(ge) 人信息保護職責的部門批準後可適當延長。

　　第十條個(ge) 人信息處理者按照履行個(ge) 人信息保護職責部門要求委托專(zhuan) 業(ye) 機構開展個(ge) 人信息保護合規審計的，應當按照本辦法要求組織實施個(ge) 人信息保護合規審計，在實施必要合規審計程序後，及時將專(zhuan) 業(ye) 機構出具的個(ge) 人信息保護合規審計報告報送履行個(ge) 人信息保護職責的部門。個(ge) 人信息保護合規審計報告應當由合規審計負責人、專(zhuan) 業(ye) 機構負責人簽字並加蓋專(zhuan) 業(ye) 機構公章。

　　第十一條個(ge) 人信息處理者按照履行個(ge) 人信息保護職責的部門要求委托專(zhuan) 業(ye) 機構開展個(ge) 人信息保護合規審計的，應當按照專(zhuan) 業(ye) 機構給出的整改建議進行整改，經專(zhuan) 業(ye) 機構複核後將整改情況報送履行個(ge) 人信息保護職責的部門。

　　第十二條執行個(ge) 人信息保護合規審計的專(zhuan) 業(ye) 機構應當保持獨立性和客觀性，連續為(wei) 同一審計對象開展個(ge) 人信息保護合規審計不得超過三次。

　　第十三條國家網信部門會(hui) 同公安機關(guan) 等國務院有關(guan) 部門按照統籌規劃、合理布局、擇優(you) 推薦的原則建立個(ge) 人信息保護合規審計專(zhuan) 業(ye) 機構推薦目錄，每年組織開展個(ge) 人信息保護合規審計專(zhuan) 業(ye) 機構評估評價(jia) ，並根據評估評價(jia) 情況動態調整個(ge) 人信息保護合規審計專(zhuan) 業(ye) 機構推薦目錄。

　　鼓勵個(ge) 人信息處理者優(you) 先選擇推薦目錄中的專(zhuan) 業(ye) 機構開展個(ge) 人信息保護合規審計活動。

　　第十四條專(zhuan) 業(ye) 機構在從(cong) 事個(ge) 人信息保護合規審計活動時，應當誠信正直，公正客觀地作出合規審計職業(ye) 判斷。

　　專(zhuan) 業(ye) 機構不得轉包委托第三方開展個(ge) 人信息保護合規審計。

　　專(zhuan) 業(ye) 機構在履行個(ge) 人信息保護合規審計職責中獲得的信息，隻能用於(yu) 個(ge) 人信息保護合規審計的需要，不得用於(yu) 其他用途；專(zhuan) 業(ye) 機構應當對獲得的信息承擔保密責任；專(zhuan) 業(ye) 機構應當采取相應技術措施和其他必要措施，保障數據安全。

　　專(zhuan) 業(ye) 機構在履行個(ge) 人信息保護合規審計職責時不得惡意幹擾個(ge) 人信息處理者的正常經營活動。

　　專(zhuan) 業(ye) 機構有出具虛假、失實報告等違規行為(wei) 的，個(ge) 人信息處理者及相關(guan) 方可向履行個(ge) 人信息保護職責的部門進行投訴，經履行個(ge) 人信息保護職責的部門核實的，永久禁止列入個(ge) 人信息保護合規審計專(zhuan) 業(ye) 機構推薦目錄。

　　第十五條違反本辦法規定的，依據《中華人民共和國個(ge) 人信息保護法》等法律法規處理；構成犯罪的，依法追究刑事責任。

　　第十六條本辦法由國家互聯網信息辦公室負責解釋，自 年 月 日起施行。

　　附件：個(ge) 人信息保護合規審計參考要點

　　第一條本要點依據《中華人民共和國個(ge) 人信息保護法》等法律、行政法規和國家標準的強製性要求製定，為(wei) 開展個(ge) 人信息保護合規審計提供參考。

　　第二條個(ge) 人信息保護合規審計應當首先審查個(ge) 人信息處理活動的合法性基礎條件，重點審查下列事項：

　　（一）處理個(ge) 人信息是否取得個(ge) 人同意，該同意是否在個(ge) 人信息主體(ti) 充分知情的前提下自願、明確作出；

　　（二）基於(yu) 個(ge) 人同意處理個(ge) 人信息，個(ge) 人信息的處理目的、處理方式和處理的個(ge) 人信息種類發生變更的，是否重新取得個(ge) 人同意；

　　（三）基於(yu) 個(ge) 人同意處理個(ge) 人信息，是否為(wei) 個(ge) 人提供便捷的撤回同意的方式；

　　（四）基於(yu) 個(ge) 人同意處理個(ge) 人信息，是否對個(ge) 人同意的操作進行記錄；

　　（五）基於(yu) 個(ge) 人同意處理個(ge) 人信息，是否存在以個(ge) 人不同意處理其個(ge) 人信息或者撤回同意為(wei) 由，拒絕提供產(chan) 品或者服務的情況；處理個(ge) 人信息屬於(yu) 提供產(chan) 品或者服務所必需的除外；

　　（六）處理個(ge) 人信息未取得個(ge) 人同意，是否屬於(yu) 法律、行政法規規定不需取得個(ge) 人同意的情形。

　　第三條 對個(ge) 人信息處理規則進行審計時，應當重點審查下列事項：

　　（一）是否真實、準確、完整地告知個(ge) 人信息處理者的名稱或者姓名和聯係方式；

　　（二）是否以清單形式列明所收集的個(ge) 人信息及其處理目的、方式、範圍；

　　（三）是否明確個(ge) 人信息存儲(chu) 期限或者存儲(chu) 期限的確定方法、到期後的處理方式，以及確保存儲(chu) 期限為(wei) 實現處理目的所必要的最短時間；

　　（四）是否明確個(ge) 人查閱、複製、加工、轉移、更正、補充、刪除、公開、限製處理個(ge) 人信息以及注銷賬號、撤回同意的途徑和方法；

　　（五）向第三方提供個(ge) 人信息的，是否明確向個(ge) 人告知接收方的名稱或者姓名、聯係方式、處理目的、處理方式和個(ge) 人信息的種類，是否取得個(ge) 人的單獨同意；

　　（六）法律、行政法規規定的其他事項。

　　第四條個(ge) 人信息處理者處理個(ge) 人信息應當履行告知義(yi) 務，審計時應當重點審查下列事項：

　　（一）個(ge) 人信息處理者在處理個(ge) 人信息前，是否以顯著方式、清晰易懂的語言真實、準確、完整地向個(ge) 人告知個(ge) 人信息處理規則；

　　（二）告知文本的大小、字體(ti) 和顏色是否便於(yu) 個(ge) 人完整閱讀告知事項；

　　（三）線下告知是否通過標注、說明等多種方式向個(ge) 人履行告知義(yi) 務；

　　（四）在線告知是否提供文本信息或者通過適當方式向個(ge) 人履行告知義(yi) 務；

　　（五）個(ge) 人信息處理規則發生變更的，是否將變更內(nei) 容及時告知個(ge) 人。

　　第五條個(ge) 人信息處理者存在與(yu) 他人共同處理個(ge) 人信息情形的，應當重點審查下列事項：

　　（一）是否約定各自的權利義(yi) 務；

　　（二）各方采取的個(ge) 人信息保護措施；

　　（三）個(ge) 人信息權益保護機製；

　　（四）個(ge) 人信息安全事件報告機製；

　　（五）侵害個(ge) 人信息權益造成損害的，各方應當承擔的責任；

　　（六）其他法律、行政法規規定需要約定的權利和義(yi) 務。

　　第六條個(ge) 人信息處理者存在委托處理個(ge) 人信息情形的，應當重點審查下列事項：

　　（一）個(ge) 人信息處理者在委托處理個(ge) 人信息前，是否開展個(ge) 人信息保護影響評估；

　　（二）個(ge) 人信息處理者與(yu) 受托人簽訂的合同，是否約定了委托處理的目的、期限、方式及個(ge) 人信息的種類、受托人應當采取的技術措施和管理措施、雙方的權利義(yi) 務等；

　　（三）個(ge) 人信息處理者是否采取定期檢查等方式，對受托人的個(ge) 人信息處理活動進行監督，以確保委托處理個(ge) 人信息的活動符合法律規定；

　　（四）受托人是否嚴(yan) 格按照委托合同的約定處理個(ge) 人信息，是否存在超出約定的處理目的、處理方式處理個(ge) 人信息的情況；

　　（五）當委托合同不生效、無效、被撤銷或者終止時，受托人是否將個(ge) 人信息返還個(ge) 人信息處理者或者予以刪除；

　　（六）受托人是否存在轉委托他人處理個(ge) 人信息的情況，是否得到個(ge) 人信息處理者的同意。

　　第七條個(ge) 人信息處理者存在因合並、重組、分立、解散、被宣告破產(chan) 等原因需要轉移個(ge) 人信息情形的，應當重點審查下列事項：

　　（一）個(ge) 人信息處理者是否向個(ge) 人告知接收方的名稱或者姓名和聯係方式；

　　（二）接收方是否繼續履行個(ge) 人信息處理者的義(yi) 務；

　　（三）接收方變更原先處理目的、處理方式的，是否依照法律、行政法規有關(guan) 規定重新取得個(ge) 人同意。

　　第八條個(ge) 人信息處理者存在向其他個(ge) 人信息處理者提供其處理的個(ge) 人信息的，應當重點審查下列事項：

　　（一）是否取得個(ge) 人的單獨同意；

　　（二）是否向個(ge) 人告知接收方的名稱或者姓名、聯係方式、處理目的、處理方式和個(ge) 人信息的種類；

　　（三）接收方是否在雙方約定的處理目的、處理方式和個(ge) 人信息的種類等範圍內(nei) 處理個(ge) 人信息；

　　（四）變更處理目的、處理方式的，是否依照法律、行政法規規定重新取得個(ge) 人同意；

　　（五）是否事前進行個(ge) 人信息保護影響評估。

　　第九條個(ge) 人信息處理者利用自動化決(jue) 策處理個(ge) 人信息的，審計時應當重點評價(jia) 自動化決(jue) 策的透明度和結果的公平性、公正性：

　　（一）是否事前主動告知個(ge) 人自動化決(jue) 策處理個(ge) 人信息的種類及可能帶來的影響；

　　（二）是否事前對算法模型進行安全評估，並按國家相關(guan) 規定進行備案，以盡可能減少自動化決(jue) 策算法模型存在的缺陷，當應用場景和主要功能發生變化時，是否對算法模型重新進行評估；

　　（三）是否事前對算法模型進行科技倫(lun) 理審查；

　　（四）是否事前進行個(ge) 人信息保護影響評估；

　　（五）是否向用戶提供保障機製，以便用戶可以通過便捷方式拒絕通過自動化決(jue) 策方式作出對個(ge) 人權益有重大影響的決(jue) 定，或要求個(ge) 人信息處理者就應用自動化決(jue) 策方式作出對用戶個(ge) 人權益有重大影響的決(jue) 定予以說明；

　　（六）是否向用戶提供刪除或者修改用於(yu) 自動化決(jue) 策服務的針對其個(ge) 人特征的用戶標簽功能；

　　（七）是否采取必要措施對算法和參數模型進行保護；

　　（八）是否對個(ge) 人信息處理、標簽管理、模型訓練等自動化決(jue) 策過程中的人工操作進行記錄，防範人為(wei) 惡意操縱自動化決(jue) 策信息和結果；

　　（九）向個(ge) 人進行信息推送、商業(ye) 營銷時，是否同時提供不針對個(ge) 人特征的選項，或者提供便捷的拒絕自動化決(jue) 策服務的方式；

　　（十）是否采取了有效措施，防止自動化決(jue) 策根據消費者的偏好、交易習(xi) 慣等對個(ge) 人在交易條件上實行不合理的差別待遇；

　　（十一）其他可能影響自動化決(jue) 策的透明度和結果公平、公正的事項。

　　第十條個(ge) 人信息處理者存在公開其處理的個(ge) 人信息情形的，應當重點審查下列事項：

　　（一）個(ge) 人信息處理者公開其處理的個(ge) 人信息前是否取得個(ge) 人單獨同意，該授權是否真實、有效，是否存在違背個(ge) 人意願將個(ge) 人信息予以公開的情況；

　　（二）個(ge) 人信息處理者公開個(ge) 人信息前，是否進行了個(ge) 人信息保護影響評估。

　　第十一條個(ge) 人信息處理者在公共場所安裝圖像采集、個(ge) 人身份識別設備的，應當重點對其安裝圖像采集、個(ge) 人信息身份識別設備的合法性及所收集個(ge) 人信息的用途進行審查。審查內(nei) 容包括但不限於(yu) ：

　　（一）是否為(wei) 維護公共安全所必需，是否存在為(wei) 商業(ye) 目的處理所采集信息的情況；

　　（二）是否設置了顯著的提示標誌；

　　（三）若個(ge) 人信息處理者所收集的個(ge) 人圖像、身份識別信息用於(yu) 維護公共安全以外用途的，是否取得個(ge) 人單獨同意。

　　第十二條個(ge) 人信息處理者處理已公開個(ge) 人信息的，審計時應當重點審查個(ge) 人信息處理者是否存在下列違規行為(wei) ：

　　（一）向已公開個(ge) 人信息中的電子郵箱、手機號等發送與(yu) 其公開目的無關(guan) 的信息；

　　（二）利用已公開的個(ge) 人信息從(cong) 事網絡暴力活動；

　　（三）處理個(ge) 人明確拒絕處理的已公開個(ge) 人信息；

　　（四）未取得個(ge) 人同意處理已公開的個(ge) 人信息對個(ge) 人權益造成重大影響。

　　第十三條個(ge) 人信息處理者處理敏感個(ge) 人信息的，審計時應當重點審查下列事項：

　　（一）處理生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等敏感個(ge) 人信息的，是否事前取得個(ge) 人的單獨同意；

　　（二）處理不滿十四周歲未成年人的個(ge) 人信息，是否事前取得未成年人的父母或者其他監護人的同意；

　　（三）處理敏感個(ge) 人信息的目的、方式是否合法、正當、必要；

　　（四）敏感個(ge) 人信息處理是否與(yu) 提供商品或者服務、履行法定職責或者法定義(yi) 務等特定的目的密切相關(guan) ，是否以非必要不處理為(wei) 原則；

　　（五）是否在事前進行個(ge) 人信息保護影響評估，並向個(ge) 人告知處理敏感個(ge) 人信息的必要性以及對個(ge) 人權益的影響；

　　（六）法律、行政法規規定應當取得書(shu) 麵同意的，是否取得書(shu) 麵同意；

　　（七）是否對處理敏感個(ge) 人信息的過程進行了記錄，以保障處理敏感個(ge) 人信息流程合法合規。

　　第十四條個(ge) 人信息處理者業(ye) 務涉及處理不滿十四周歲未成年人個(ge) 人信息的，審計時應當重點審查下列事項：

　　（一）是否製定專(zhuan) 門的未成年人個(ge) 人信息處理規則；

　　（二）是否向未成年人及其監護人告知未成年人個(ge) 人信息的處理目的、處理方式、處理必要性及處理個(ge) 人信息的種類、所采取的保護措施等；

　　（三）是否存在強製要求未成年人或者其監護人同意非必要的個(ge) 人信息處理的行為(wei) 。

　　第十五條個(ge) 人信息處理者存在向境外提供個(ge) 人信息情形的，應當重點審查下列事項：

　　（一）關(guan) 鍵信息基礎設施運營者和處理100萬(wan) 人以上個(ge) 人信息的個(ge) 人信息處理者向境外提供個(ge) 人信息是否經過國家網信部門組織的安全評估；

　　（二）自上年1月1日起累計向境外提供10萬(wan) 人個(ge) 人信息或者1萬(wan) 人敏感個(ge) 人信息的個(ge) 人信息處理者向境外提供個(ge) 人信息是否經過國家網信部門組織的安全評估；

　　（三）是否存在向外國司法或者執法機構提供存儲(chu) 於(yu) 中華人民共和國境內(nei) 的個(ge) 人信息的情形，若有，是否經過中華人民共和國主管機關(guan) 批準；

　　（四）中華人民共和國締結或者參加的國際條約、協定對向中華人民共和國境外提供個(ge) 人信息的條件等有規定的，是否按照其規定執行；

　　（五）是否按照國家網信部門的規定，經專(zhuan) 業(ye) 機構進行個(ge) 人信息保護認證或者按照國家網信部門製定的標準合同與(yu) 境外接收方簽訂合同，或者符合法律、行政法規、國家網信部門規定的其他條件；

　　（六）是否了解境外接收方所在國家或者地區的個(ge) 人信息保護政策和網絡安全環境對出境個(ge) 人信息的影響；

　　（七）是否存在違規向被列入限製或者禁止個(ge) 人信息提供清單的組織和個(ge) 人提供個(ge) 人信息的情形。

　　第十六條個(ge) 人信息處理者向境外提供個(ge) 人信息，應當采取必要措施，保障境外接收方處理個(ge) 人信息的活動達到《中華人民共和國個(ge) 人信息保護法》規定的個(ge) 人信息保護標準。審計時應當重點審查個(ge) 人信息處理者對境外接收方采取監督措施的有效性，包括但不限於(yu) ：

　　（一）是否了解和掌握境外接收方的情況，特別是接收方是否具備必要的個(ge) 人信息保護能力；

　　（二）是否向境外接收方告知我國法律、行政法規對個(ge) 人信息保護的要求，並要求境外接收方采取相應的保護措施；

　　（三）是否采取簽訂協議、定期核查等方式，督促境外接收方切實履行個(ge) 人信息保護義(yi) 務。

　　第十七條對個(ge) 人信息刪除權保障情況進行審計時，應當重點審查下列情形個(ge) 人信息刪除的情況：

　　（一）個(ge) 人信息處理目的已實現、無法實現或者為(wei) 實現處理目的不再必要；

　　（二）停止提供產(chan) 品或者服務，或者個(ge) 人注銷賬號；

　　（三）達到與(yu) 個(ge) 人約定的存儲(chu) 期限；

　　（四）個(ge) 人撤回同意；

　　（五）因使用自動化采集技術等，無法避免采集到非必要個(ge) 人信息或者未經同意的個(ge) 人信息；

　　（六）個(ge) 人信息處理者違反法律、行政法規或者違反約定處理個(ge) 人信息。

　　法律、行政法規規定的保存期限未屆滿，或者刪除個(ge) 人信息從(cong) 技術上難以實現的，個(ge) 人信息處理者應當停止除存儲(chu) 和采取必要的安全措施之外的處理。

　　第十八條個(ge) 人信息處理者應當保障個(ge) 人行使個(ge) 人信息權益的權利，審計時應當重點審查下列事項：

　　（一）是否建立個(ge) 人行使權利的申請受理機製；

　　（二）是否向個(ge) 人提供便捷的查閱、複製、轉移、更正、補充、刪除個(ge) 人信息的方法；

　　（三）是否及時響應個(ge) 人行使權利的申請，是否及時、完整、準確告知處理意見或者執行結果。

　　第十九條個(ge) 人信息處理者應當響應個(ge) 人申請，對其個(ge) 人信息處理規則進行解釋說明，審計時應當重點對下列內(nei) 容進行評價(jia) ：

　　（一）個(ge) 人信息處理者是否提供便捷的方式和途徑，接受、處理個(ge) 人關(guan) 於(yu) 個(ge) 人信息處理規則解釋說明的要求；

　　（二）接到個(ge) 人的要求後，個(ge) 人信息處理者是否在合理的時間內(nei) ，使用通俗易懂的語言對其個(ge) 人信息處理規則作出解釋說明。

　　第二十條個(ge) 人信息處理者對個(ge) 人信息保護承擔主體(ti) 責任，審計時應當重點對個(ge) 人信息處理者履行主體(ti) 責任情況進行評價(jia) ，包括但不限於(yu) 下列事項：

　　（一）個(ge) 人信息保護製度製定、組織架構、管理程序與(yu) 處理個(ge) 人信息的性質、規模、複雜程度、風險程度的適應性；

　　（二）個(ge) 人信息保護職責分工是否合理、職責是否明確、報告關(guan) 係是否清晰；

　　（三）個(ge) 人信息處理者為(wei) 個(ge) 人信息保護提供的人、財、物保障與(yu) 企業(ye) 業(ye) 務規模、運營計劃、個(ge) 人信息合規風險管理的匹配性。

　　第二十一條個(ge) 人信息處理者應當依照法律、行政法規的規定製定內(nei) 部管理製度和操作規程，明確組織架構、崗位職責，建立工作流程、完善內(nei) 控製度，保障個(ge) 人信息處理合規與(yu) 安全。審計時，應當重點對個(ge) 人信息處理者個(ge) 人信息保護內(nei) 部管理製度和操作規程進行審查，包括但不限於(yu) ：

　　（一）個(ge) 人信息保護工作的方針、目標、原則是否符合法律、行政法規規定；

　　（二）個(ge) 人信息保護組織架構、人員配備、行為(wei) 規範、管理責任是否與(yu) 應當履行的個(ge) 人信息保護責任相適應；

　　（三）是否根據個(ge) 人信息的種類、來源、敏感程度、用途等，對個(ge) 人信息進行分類，並采取有針對性的管理或者安全技術措施；

　　（四）是否建立個(ge) 人信息安全事件應急響應機製；

　　（五）是否建立個(ge) 人信息保護影響評估、合規審計製度；

　　（六）是否建立暢通的個(ge) 人信息保護投訴舉(ju) 報受理流程；

　　（七）是否製定實施個(ge) 人信息保護安全教育和培訓計劃；

　　（八）是否建立個(ge) 人信息保護負責人及相關(guan) 人員履職評價(jia) 製度；

　　（九）是否建立針對個(ge) 人信息處理相關(guan) 人員的個(ge) 人信息違規處置或者違規行為(wei) 責任製度，並有效實施；

　　（十）法律、行政法規規定的其他內(nei) 容。

　　第二十二條個(ge) 人信息處理者應當采取與(yu) 所處理個(ge) 人信息規模、類型相適應的安全技術措施，並對個(ge) 人信息處理者采取的技術措施的有效性進行評價(jia) ，評價(jia) 內(nei) 容包括但不限於(yu) ：

　　（一）是否參照有關(guan) 國家標準或者技術要求，采取相應安全技術措施實現個(ge) 人信息的保密性、完整性、可用性；

　　（二）是否采取加密、去標識化等安全技術措施，確保在不借助額外信息的情況下，消除或者降低個(ge) 人信息的可識別性；

　　（三）采取的安全技術措施能否合理確定有關(guan) 人員查閱、複製、傳(chuan) 輸等個(ge) 人信息的操作權限，減少個(ge) 人信息在處理過程中未經授權的訪問和濫用風險。

　　第二十三條對個(ge) 人信息處理者教育培訓計劃的製定和實施情況進行審計時，應當重點對下列事項進行評價(jia) ：

　　（一）是否按計劃對管理人員、技術人員、操作人員、全員開展相應的安全教育和培訓，是否對相應人員的個(ge) 人信息保護意識和技能進行考核；

　　（二）培訓內(nei) 容、培訓方式、培訓對象、培訓頻率等能否滿足個(ge) 人信息保護需要。

　　第二十四條處理個(ge) 人信息達到國家網信部門規定數量的個(ge) 人信息處理者應當指定個(ge) 人信息保護負責人，對個(ge) 人信息處理活動的合規性負責。審計時，應當重點審查下列事項：

　　（一）個(ge) 人信息保護負責人是否具有相關(guan) 的工作經曆和專(zhuan) 業(ye) 知識，熟悉個(ge) 人信息保護相關(guan) 法律、行政法規；

　　（二）個(ge) 人信息保護負責人是否具有明確清晰的職責，是否被賦予充分的權限協調組織內(nei) 個(ge) 人信息處理相關(guan) 部門與(yu) 人員；

　　（三）個(ge) 人信息保護負責人是否有權提名個(ge) 人信息保護團隊負責人，並與(yu) 其保持順暢的溝通和聯係；

　　（四）個(ge) 人信息保護負責人在個(ge) 人信息處理重大事項決(jue) 策前是否有權提出相關(guan) 意見和建議；

　　（五）個(ge) 人信息保護負責人是否有權對組織內(nei) 部個(ge) 人信息處理的不合規操作進行製止和采取必要的糾正措施；

　　（六）個(ge) 人信息處理者是否公開個(ge) 人信息保護負責人的聯係方式，並將個(ge) 人信息保護負責人的姓名、聯係方式等報送履行個(ge) 人信息保護職責的部門。

　　第二十五條對個(ge) 人信息處理者開展個(ge) 人信息保護影響評估情況進行審計時，應當重點對影響評估開展情況和評估內(nei) 容進行審查：

　　（一）是否依照法律、行政法規的規定，在進行對個(ge) 人權益具有重大影響的個(ge) 人信息處理活動前通過個(ge) 人信息保護影響評估；

　　（二）是否對個(ge) 人處理活動的合法性、正當性和必要性進行了分析評估，是否存在過度收集個(ge) 人信息的情況；

　　（三）是否對限製個(ge) 人自主決(jue) 定權、引發差別性待遇、導致個(ge) 人名譽受損或者遭受精神壓力、造成人身財產(chan) 受損等安全風險進行了分析評估；

　　（四）是否對所采取的保護措施的合法性、有效性、適應性進行了分析評估；

　　（五）個(ge) 人信息保護影響評估報告和處理記錄是否至少保存三年。

　　第二十六條個(ge) 人信息處理者應當製定個(ge) 人信息安全事件應急預案。審計時，應當對應急預案的全麵性、有效性、可執行性作出評價(jia) ，包括但不限於(yu) 下列內(nei) 容：

　　（一）是否結合業(ye) 務實際，對麵臨(lin) 的個(ge) 人信息安全風險作出了係統評估和預測；

　　（二）指導思想、基本策略，組織機構、人員，技術、物資保障及指揮處置程序、應急和支持措施等是否足以應對預測的風險；

　　（三）是否對相關(guan) 人員進行應急預案培訓，定期對應急預案進行演練。

　　第二十七條對個(ge) 人信息處理者個(ge) 人信息安全事件應急響應處置情況進行評價(jia) 時，應當重點考慮下列因素：

　　（一）是否按照應急預案、操作規程及時查明個(ge) 人信息安全事件的影響、範圍和可能造成的危害，分析、確定事件發生的原因，提出防止危害擴大的措施方案；

　　（二）是否建立通報渠道，能否在事件發生後72小時內(nei) 通知履行個(ge) 人信息保護職責的部門和個(ge) 人；

　　（三）是否采取相應措施將個(ge) 人信息安全事件可能造成的損失和可能產(chan) 生的危害風險降低到最小。

　　第二十八條大型互聯網平台運營者應當成立主要由外部成員組成的獨立機構對個(ge) 人信息保護情況進行監督。審計時，應當對獨立機構的獨立性、履職能力、監督作用等進行評價(jia) 。

　　（一）評價(jia) 獨立機構對個(ge) 人信息保護情況進行監督的獨立性，重點審查外部成員與(yu) 個(ge) 人信息處理者及其主要股東(dong) 是否存在可能妨礙其進行獨立客觀判斷的關(guan) 係；

　　（二）評價(jia) 外部成員的履職能力，重點審查外部成員是否具備相應的專(zhuan) 業(ye) 知識、能力和經驗，能否對個(ge) 人信息處理者的個(ge) 人信息保護情況進行監督、指導，發表客觀公正的意見建議；

　　（三）評價(jia) 獨立機構的監督作用，重點審查獨立機構在個(ge) 人信息處理者合規製度體(ti) 係建設、平台規則製定、重大個(ge) 人信息安全事件處置、督促企業(ye) 履行社會(hui) 責任等方麵發揮的作用。

　　第二十九條針對大型互聯網平台規則，應當重點審計下列事項：

　　（一）評價(jia) 平台規則的合法合規性，是否存在與(yu) 法律、行政法規相抵觸的情況；

　　（二）評價(jia) 平台規則的公平公正性，是否存在惡意競爭(zheng) 、影響消費者權益等違反公平競爭(zheng) 原則、誠實信用原則、公序良俗的內(nei) 容；

　　（三）評價(jia) 平台規則個(ge) 人信息保護條款的有效性，是否合理界定了平台、平台內(nei) 產(chan) 品或者服務提供者的個(ge) 人信息保護權利和義(yi) 務，是否對平台內(nei) 經營者處理個(ge) 人信息行為(wei) 進行規範，平台內(nei) 經營者的個(ge) 人信息保護義(yi) 務是否明確；

　　（四）檢查平台規則的執行情況，通過抽樣等方式驗證平台規則是否被有效執行。

　　第三十條大型互聯網平台運營者應當對其平台內(nei) 產(chan) 品或者服務提供者的個(ge) 人信息處理活動進行監督。審計時，應當重點審查下列事項：

　　（一）是否定期審核平台內(nei) 產(chan) 品或者服務提供者個(ge) 人信息處理規則的合法性、合理性；

　　（二）是否定期對平台內(nei) 產(chan) 品或者服務提供者處理個(ge) 人信息遵守法律、行政法規情況進行審核；

　　（三）對於(yu) 嚴(yan) 重違反法律、行政法規處理個(ge) 人信息的產(chan) 品或者服務提供者，平台是否及時停止向其提供服務。

　　第三十一條大型互聯網平台運營者應當每年發布個(ge) 人信息保護社會(hui) 責任報告。審計時，應當重點審查社會(hui) 責任報告下列內(nei) 容的披露情況：

　　（一）個(ge) 人信息保護組織架構和內(nei) 部管理情況；

　　（二）個(ge) 人信息保護能力建設情況；

　　（三）個(ge) 人信息保護措施和成效；

　　（四）個(ge) 人行使權利的申請受理情況；

　　（五）獨立監督機構履職情況；

　　（六）重大個(ge) 人信息安全事件處理情況；

　　（七）法律、行政法規規定的其他情況。