白丝 萝莉 个东谈主信息保护合规审计管束办法
国度互联网信息办公室令白丝 萝莉
第18号
《个东谈主信息保护合规审计管束办法》依然2024年5月20日国度互联网信息办公室2024年第15次室务会会议审议通过,现予公布,自2025年5月1日起实验。
国度互联网信息办公室主任 庄荣文
2025年2月12日
个东谈主信息保护合规审计管束办法
第一条 为了表率个东谈主信息保护合规审计作为,保护个东谈主信息权益,凭据《中华东谈主民共和国个东谈主信息保护法》、《蚁合数据安全管束条例》等法律、行政法例,制定本办法。
第二条 在中华东谈主民共和国境内开展个东谈主信息保护合规审计,适用本办法。
本办法所称个东谈主信息保护合规审计,是指对个东谈主信息处理者的个东谈主信息处理作为是否恪守法律、行政法例的情况进行审查和评价的监督作为。
第三条 个东谈主信息处理者自行开展个东谈主信息保护合规审计的,应当由个东谈主信息处理者里面机构不祥交付专科机构如期对其处理个东谈主信息恪守法律、行政法例的情况进行合规审计。
第四条 处理跳跃1000万东谈主个东谈主信息的个东谈主信息处理者,应当每两年至少开展一次个东谈主信息保护合规审计。
第五条 个东谈主信息处理者有以下情形之一的,国度网信部门和其他履行个东谈主信息保护职责的部门(以下统称为保护部门),不错要求个东谈主信息处理者交付专科机构对个东谈主信息处理作为进行合规审计:
(一)发现个东谈主信息处理作为存在严重影响个东谈主权益不祥严重短缺安全法子等较大风险的;
(二)个东谈主信息处理作为可能侵害繁密个东谈主的权益的;
(三)发生个东谈主信息安全事件,导致100万东谈主以上个东谈主信息不祥10万东谈主以上明锐个东谈主信息泄露、变嫌、丢失、毁损的。
对并吞个东谈主信息安全事件不祥风险,不得类似要求个东谈主信息处理者交付专科机构开展个东谈主信息保护合规审计。
第六条 个东谈主信息处理者自行开展不祥按照保护部门要求交付专科机构开展个东谈主信息保护合规审计的,应当参照本办法附件《个东谈主信息保护合规审计指引》。
第七条 专科机构应当具备开展个东谈主信息保护合规审计的才调,有与作事相适合的审计东谈主员、花样、设施和资金等。
饱读舞相关专科机构通过认证。专科机构的认证按照《中华东谈主民共和国认证招供条例》的相关章程合手行。
第八条 个东谈主信息处理者按照保护部门要求开展个东谈主信息保护合规审计的,应当为专科机构经常开展个东谈主信息保护合规审计职责提供必要相沿,并承担审计用度。
第九条 个东谈主信息处理者按照保护部门要求开展个东谈主信息保护合规审计的,应当按照保护部门要求采用专科机构,在限度时候内完成个东谈主信息保护合规审计;情况复杂的,报保护部门批准后,不错适合延迟。
第十条 个东谈主信息处理者按照保护部门要求开展个东谈主信息保护合规审计的,在完成合规审计后,应当将专科机构出具的个东谈主信息保护合规审计阐发报送保护部门。
个东谈主信息保护合规审计阐发应当由专科机构主要认真东谈主、合规审计认真东谈主署名并加盖专科机构公章。
第十一条 个东谈主信息处理者按照保护部门要求开展个东谈主信息保护合规审计的,应当按照保护部门要求对合规审计中发现的问题进行整改。在整改完成后15个职责日内,向保护部门报送整改情况阐发。
第十二条 处理100万东谈主以上个东谈主信息的个东谈主信息处理者应当指定个东谈主信息保护认真东谈主,认真个东谈主信息处理者的个东谈主信息保护合规审计职责。
提供穷苦互联网平台作事、用户数目雄壮、业务类型复杂的个东谈主信息处理者,应当成立主要由外部成员组成的寂寥机构对个东谈主信息保护合规审计情况进行监督。
第十三条 专科机构在从事个东谈主信息保护合规审计作为时,应当恪守法律法例,诚信耿直,公道客不雅地作出合规审计奇迹判断,对在履行个东谈主信息保护合规审计职责中赢得的个东谈主信息、交易奥妙、守秘商务信息等应当照章赐与守秘,不得泄露不祥犯科向他东谈主提供,在合规审计职责末端后实时删除相关信息。
第十四条 专科机构不得转交付其他机构开展个东谈主信息保护合规审计。
第十五条 并吞专科机构过甚关联机构、并吞合规审计认真东谈主不得纠合三次以上对并吞审计对象开展个东谈主信息保护合规审计。
第十六条 保护部门对个东谈主信息处理者开展个东谈主信息保护合规审计情况进行监督检查。
第十七条 任何组织、个东谈主有权对个东谈主信息保护合规审计中的坐法作为向保护部门进行投诉、举报。收到投诉、举报的部门应当照章实时处理,并将处理成果见告投诉、举报东谈主。
第十八条 个东谈主信息处理者、专科机构违抗本办法章程的,依照《中华东谈主民共和国个东谈主信息保护法》、《蚁合数据安全管束条例》等法律法例的章程处理;组成积恶的,照章根究处分。
第十九条 对国度机关和法律、法例授权的具有管束全球事务职能的组织的个东谈主信息保护合规审计,不适用本办法。
第二十条 本办法自2025年5月1日起实验。
附件
大草原在线视频2018个东谈主信息保护合规审计指引
一、本指引凭据《中华东谈主民共和国个东谈主信息保护法》、《蚁合数据安全管束条例》等法律、行政法例制定。
二、对个东谈主信息处理作为的正当性基础进行合规审计的,应当要点审查下列事项:
(一)基于个东谈主应允处理个东谈主信息的,是否取得个东谈主应允,该应允是否由个东谈主在充分知情的前提下自觉、明确作出;
(二)基于个东谈主应允处理个东谈主信息的,个东谈主信息的处理办法、处理方式、处理的个东谈主信息种类发生变更的,是否再行取得个东谈主应允;
(三)基于个东谈主应允处理个东谈主信息的,是否依照法律、行政法例取得个东谈主单独应允不祥书面应允;
(四)处理个东谈主信息未取得个东谈主应允的,是否属于法律、行政法例定程不需要取得个东谈主应允的情形。
三、对个东谈主信息处理规定进行合规审计的,应当要点审查下列事项:
(一)是否的确、准确、完好地见告个东谈主信息处理者的称呼不祥姓名和臆度方式;
(二)是否以清单等便于检察的花样列明所汇集的个东谈主信息过甚处理方式和种类;
(三)是否与处理办法获胜相关,领受对个东谈主权益影响最小的方式;
(四)是否明确个东谈主信息保存期限不祥保存期限的详情方法、到期后的处理方式,以及详情保存期限为竣事处理办法所必要的最短时候;
(五)是否明确个东谈主查阅、复制、回荡、更正、补充、删除、限定处理个东谈主信息以及刊出账号、撤除应允的阶梯和方法。
四、对个东谈主信息处理者履行见告个东谈主信息处理规定义务进行合规审计的,应当要点审查下列事项:
(一)个东谈主信息处理者在处理个东谈主信息前,是否以显赫方式、赫然易懂的谈话的确、准确、完好地向个东谈主见告个东谈主信息处理规定;
(二)见告文本的大小、字体和式样是否便于个东谈主完好阅读见告事项;
(三)线下见告是否通过标注、阐发等多种方式向个东谈主履行见告义务;
(四)在线见告是否提供文本信息不祥通过适合方式向个东谈主履行见告义务;
(五)个东谈主信息处理规定发生变更的,是否将变更内容实时见告个东谈主;
(六)处理个东谈主信息不需要见告的,是否属于法律、行政法例定程应当守秘不祥不需要见告的情形。
五、对个东谈主信息处理者与其他个东谈主信息处理者共同处理个东谈主信息进行合规审计的,应当要点审查下列事项:
(一)是否商定各自的职权义务;
(二)个东谈主信息权益保护机制;白丝 萝莉
(三)个东谈主信息安全事件阐发机制;
(四)其他法律、行政法例定程需要商定的职权和义务。
六、对个东谈主信息处理者交付处理个东谈主信息进行合规审计的,应当要点审查下列事项:
(一)个东谈主信息处理者在交付处理个东谈主信息前,是否开展个东谈主信息保护影响评估;
(二)个东谈主信息处理者与受托东谈主坚毅的协议,是否与受托东谈主商定了交付处理的办法、期限、方式、个东谈主信息的种类、保护法子以及两边的职权义务等;
(三)个东谈主信息处理者是否领受如期检查等方式,对受托东谈主的个东谈主信息处理作为进行监督。
七、个东谈主信息处理者存在因合并、重组、分立、结果、被宣告收歇等原因需要回荡个东谈主信息情形的,应当要点审查个东谈主信息处理者是否向个东谈主见告继承方的称呼不祥姓名和臆度方式。
八、对个东谈主信息处理者向其他个东谈主信息处理者提供其处理的个东谈主信息进行合规审计的,应当要点审查下列事项:
(一)基于个东谈主应允处理个东谈主信息的,是否取得个东谈主的单独应允;
(二)是否向个东谈主见告继承方的称呼不祥姓名、臆度方式、处理办法、处理方式和个东谈主信息的种类,法律、行政法例定程应当守秘不祥不需要见告的除外;
(三)是否事先进行个东谈主信息保护影响评估。
九、对个东谈主信息处理者利用自动化决策处理个东谈主信息进行合规审计的,应当要点审查下列事项:
(一)自动化决策的透明度,以及自动化决策的成果是否公道、公道;
(二)是否事预知告个东谈主自动化决策处理个东谈主信息的种类及可能带来的影响;
(三)是否事先进行个东谈主信息保护影响评估;
(四)是否向用户提供保险机制,以便个东谈主通过陋劣方式拒绝通过自动化决策方式作出对个东谈主权益有要紧影响的决定,并要求个东谈主信息处理者就通过自动化决策方式作出对用户个东谈主权益有要紧影响的决定赐与阐发;
(五)向个东谈主进行信息推送、交易营销的,是否同期提供不针对个东谈主特征的选项,不祥提供陋劣的拒绝自动化决策作事的方式;
(六)是否领受了有用法子,防患自动化决策凭据破钞者的偏好、走动民俗等对个东谈主在走动条件上实行分歧理的分辩待遇;
(七)其他可能影响自动化决策的透明度和成果公道、公道的事项。
十、对个东谈主信息处理者基于个东谈主应允公开个东谈主信息进行合规审计的,应当要点审查下列事项:
(一)个东谈主信息处理者公开其处理的个东谈主信息前是否取得个东谈主单独应允,该授权是否的确、有用,是否存在相悖个东谈主意愿将个东谈主信息赐与公开的情况;
(二)个东谈主信息处理者公开个东谈主信息前,是否进行个东谈主信息保护影响评估。
十一、个东谈主信息处理者在全球花样安设图像汇集、个东谈主身份识别开发的,应当要点对其安设图像汇集、个东谈主信息身份识别开发的正当性及所汇集个东谈主信息的用途进行审查。审查内容包括但不限于:
(一)是否为留心全球安全所必需,是否为交易办法处理所汇集的个东谈主信息;
(二)是否竖立了显赫的领导记号;
(三)个东谈主信息处理者所汇集的个东谈主图像、身份识别信息用于留心全球安全除外用途的,是否取得个东谈主单独应允。
十二、对个东谈主信息处理者处理已公开的个东谈主信息进行合规审计的,应当要点审查个东谈主信息处理者是否存鄙人列坐法违章行径:
(一)向已公开个东谈主信息中的电子邮箱、手机号等发送与其公开办法无关的交易信息;
(二)利用已公开的个东谈主信息从事蚁合暴力、传播蚁合谣喙和疯狂信息等作为;
(三)处理个东谈主明确拒绝处理的已公开个东谈主信息;
(四)对个东谈主权益有要紧影响,未取得个东谈主应允;
(五)汇集、留存或处理已公开个东谈主信息的边界、时候或使用办法超出合理范围。
十三、对个东谈主信息处理者处理明锐个东谈主信息进行合规审计的,应当要点审查下列事项:
(一)基于个东谈主应允处理个东谈主信息的,处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、踪迹轨迹等明锐个东谈主信息,是否事先取得个东谈主的单独应允;
(二)基于个东谈主应允处理个东谈主信息的,处理不悦十四周岁未成年东谈主的个东谈主信息,是否事先取得未成年东谈主的父母不祥其他监护东谈主的应允;
(三)处理明锐个东谈主信息的办法、方式、范围是否正当、高洁、必要;
(四)是否在事先进行个东谈主信息保护影响评估;
(五)是否向个东谈主见告处理明锐个东谈主信息的必要性以及对个东谈主权益的影响,法律、行政法例定程应当守秘不祥不需要见告的除外;
(六)法律、行政法例定程应当取得书面应允的,是否取得书面应允;
(七)是否恪守法律、行政法例对处理明锐个东谈主信息的限定性章程。
十四、对个东谈主信息处理者处理不悦十四周岁未成年东谈主个东谈主信息进行合规审计的,应当要点审查下列事项:
(一)是否制定有益的个东谈主信息处理规定;
(二)是否向未成年东谈主过甚监护东谈主见告未成年东谈主个东谈主信息的处理办法、处理方式、处理必要性,以及处理个东谈主信息的种类、所领受的保护法子等,法律、行政法例定程不需要见告的除外;
(三)基于个东谈主应允处理个东谈主信息,是否存在强制要求未成年东谈主不祥其监护东谈主应允处理非必要个东谈主信息的行径。
十五、对个东谈主信息处理者向境外提供个东谈主信息进行合规审计的,应当要点审查下列事项:
(一)要津信息基础设施运营者向境外提供个东谈主信息是否经过国度网信部门组织的安全评估,法律、行政法例、国度网信部门另有章程的,从其章程;
(二)要津信息基础设施运营者除外的数据处理者自曩昔1月1日起累计向境外提供100万东谈主以上个东谈主信息(不含明锐个东谈主信息)不祥1万东谈主以上明锐个东谈主信息是否经过国度网信部门组织的安全评估,法律、行政法例、国度网信部门另有章程的,从其章程;
(三)要津信息基础设施运营者除外的数据处理者自曩昔1月1日起累计向境外提供10万东谈主以上、不悦100万东谈主个东谈主信息(不含明锐个东谈主信息)不祥不悦1万东谈主明锐个东谈主信息的,是否按照国度网信部门的章程,经个东谈主信息保护认证不祥按照国度网信部门制定的轨范协议与境外继承方坚毅协议并向地点地省级网信部门备案,不祥适正当律、行政法例、国度网信部门章程的其他条件;
(四)存在向异邦司法不祥规定机构提供存储于中华东谈主民共和国境内个东谈主信息情形的,是否经过中华东谈主民共和国左右机关批准;
(五)是否向被列入限定不祥不容个东谈主信息提供清单的组织和个东谈主提供个东谈主信息。
十六、对个东谈主信息删除权保险情况进行合规审计的,应当要点审查下列事项:
(一)个东谈主信息处理办法是否已竣事、无法竣事不祥为竣事处理办法不再必要;
(二)个东谈主信息处理者是否罢手提供产物不祥作事,不祥个东谈主是否已刊出账号;
(三)保存期限是否已届满;
(四)个东谈主是否撤除应允;
(五)个东谈主信息处理者是否违抗法律、行政法例不祥违抗商定处理个东谈主信息;
(六)应当删除个东谈主信息,但法律、行政法例定程的保存期限未届满,不祥删除个东谈主信息从时刻上难以竣事的,个东谈主信息处理者是否罢手除存储和领受必要的安全法子之外的处理。
十七、对个东谈主信息处理者保险个东谈主在个东谈主信息处理作为中的职权情况进行合规审计的,应当要点审查下列事项:
(一)是否建立陋劣的个东谈主愚弄职权的请求受理机制和处理机制;
(二)是否实时反映个东谈主愚弄职权的请求,是否实时、完好、准确见告处理认识不祥合手行成果;
(三)拒绝个东谈主愚弄职权请求的,是否向个东谈主阐发原理。
十八、个东谈主信息处理者应当反映个东谈主请求,对其个东谈主信息处理规定进行讲明阐发,合规审计时应当要点对下列内容进行评价:
(一)个东谈主信息处理者是否提供陋劣的方式和阶梯,接管、处理个东谈主对于个东谈主信息处理规定讲明阐发的要求;
(二)接到个东谈主的要求后,个东谈主信息处理者是否在合理的时候内,使用下里巴人的谈话对其个东谈主信息处理规定作出讲明阐发。
十九、个东谈主信息处理者应当依照法律、行政法例的章程制定里面管束轨制和操作规程,明确组织架构、岗亭职责,建立职责经过、完善内限度度,保险个东谈主信息处理合规与安全。合规审计时,应当要点对个东谈主信息处理者个东谈主信息保护里面管束轨制和操作规程进行审查,包括但不限于:
(一)个东谈主信息保护职责的方针、方针、原则是否适正当律、行政法例定程;
(二)个东谈主信息保护组织架构、东谈主员配备、行径表率、管束背负是否与应当履行的个东谈主信息保护背负相适合;
(三)是否凭据个东谈主信息的种类、开头、明锐进度、用途等,对个东谈主信息进行分类;
(四)是否建立个东谈主信息安全事件救急反映机制;
(五)是否建立个东谈主信息保护影响评估轨制、合规审计轨制;
(六)是否建立流畅的个东谈主信息保护投诉举报受理经过;
(七)是否合理制定个东谈主信息处理操作权限;
(八)是否制定实施个东谈主信息保护安全老师和培训洽商;
(九)是否建立个东谈主信息保护认真东谈主及相关东谈主员履职评价轨制;
(十)是否建立个东谈主信息坐法处理背负轨制;
(十一)法律、行政法例定程的其他事项。
二十、个东谈主信息处理者应当领受与所处理个东谈主信息边界、类型相适合的安全时刻法子,并对个东谈主信息处理者领受的时刻法子的有用性进行评价,评价内容包括但不限于:
(一)是否领受相应安全时刻法子竣事个东谈主信息的守秘性、完好性、可用性;
(二)是否领受加密、去记号化等安全时刻法子,确保在不借助止境信息的情况下,扬弃不祥裁汰个东谈主信息的可识别性;
(三)领受的安全时刻法子能否合理详情相关东谈主员查阅、复制、传输个东谈主信息等的操作权限,减少个东谈主信息在处理过程中未经授权的视察和奢靡风险。
二十一、对个东谈主信息处理者老师培训洽商的制定和实施情况进行合规审计时,应当要点对下列事项进行评价:
(一)是否按洽商对管束东谈主员、时刻东谈主员、操作主谈主员、全员开展相应的安全老师和培训,是否对相应东谈主员的个东谈主信息保护厚实和技巧进行捕快;
(二)培训内容、方式、对象、频率等能否得志个东谈主信息保护需要。
二十二、对个东谈主信息处理者指定的个东谈主信息保护认真东谈主履职情况进行合规审计的,应当要点审查下列事项:
(一)个东谈主信息保护认真东谈主是否具有相关的职责阅历和专科学问,熟练个东谈主信息保护相关法律、行政法例;
(二)个东谈主信息保护认真东谈主是否具有明确赫然的职责,是否被赋予充分的权限合作个东谈主信息处理者里面相关部门与东谈主员;
(三)个东谈主信息保护认真东谈主在个东谈主信息处理要紧事项决策前是否有权提议相关认识和建议;
(四)个东谈主信息保护认真东谈主是否有权对个东谈主信息处理者里面个东谈主信息处理的分歧规操作进行制止和领受必要的矫正法子;
(五)个东谈主信息处理者是否公开个东谈主信息保护认真东谈主的臆度方式,并将个东谈主信息保护认真东谈主的姓名、臆度方式等报送保护部门。
二十三、对个东谈主信息处理者开展个东谈主信息保护影响评估情况进行合规审计时,应当要点对影响评估开展情况和评估内容进行审查:
(一)是否依照法律、行政法例的章程,在进行对个东谈主权益具有要紧影响的个东谈主信息处理作为前进行个东谈主信息保护影响评估;
(二)是否对个东谈主信息的处理办法、处理方式等进行正当、高洁、必要评估;
(三)是否对个东谈主权益的影响及安全风险进行评估;
(四)是否对所领受的保护法子的正当性、有用性,以及与风险进度的适合性进行评估。
二十四、个东谈主信息处理者应当制定个东谈主信息安全事件救急预案。合规审计时,应当对救急预案的全面性、有用性、可合手行性作出评价,包括但不限于下列内容:
(一)是否诱骗业求本色,对濒临的个东谈主信息安全风险作出系统评估和展望;
(二)总体要求、基本战略,组织机构、东谈主员,时刻、物质保险,携带贬责门径,救急和相沿法子等是否足以疏忽展望的风险;
(三)是否对相关东谈主员进行救急预案培训,如期对救急预案进行演练。
二十五、对个东谈主信息处理者个东谈主信息安全事件救急反映贬责情况进行合规审计的,应当要点审查下列事项:
(一)是否按照救急预案、操作规程实时查明个东谈主信息安全事件的影响、范围和可能变成的危害,分析、详情事件发生的原因,提议防患危害扩大的法子决议;
(二)是否建立通报渠谈,在安全事件发生后按摄影关章程实时讲述保护部门和个东谈主;
(三)是否领受相应法子将个东谈主信息安全事件可能变成的损构怨可能产生的危害风险裁汰到最小。
二十六、对提供穷苦互联网平台作事、用户数目雄壮、业务类型复杂的个东谈主信息处理者制定的平台规定进行合规审计的,应当要点审查下列事项:
(一)平台规定是否与法律、行政法例相抵御;
(二)平台规定个东谈主信息保护条件的有用性,是否合理界定了平台、平台内产物不祥作事提供者的个东谈主信息保护职权和义务;
(三)平台规定的合手行情况,是否通过抽样等方式考据平台规定被有用合手行。
二十七、对提供穷苦互联网平台作事、用户数目雄壮、业务类型复杂的个东谈主信息处理者发布的个东谈主信息保护社会背负阐发进行合规审计的,应当要点审查社会背负阐发清晰下列内容的情况:
(一)个东谈主信息保护组织架构和里面管束情况;
(二)个东谈主信息保护才调诞生情况;
(三)个东谈主信息保护法子和见效;
(四)个东谈主愚弄职权的请求受理情况;
(五)寂寥监督机构履职情况;
(六)要紧个东谈主信息安全事件处理情况;
(七)促进个东谈主信息保护社会共治的科普宣传、公益作为情况;
(八)法律、行政法例定程的其他事项白丝 萝莉。