國家互聯(lián)網(wǎng)信息辦公室關于《個人信息保護合規(guī)審計管理辦法(征求意見稿)》公開征求意見的通知
為指導���、規(guī)范個人信息保護合規(guī)審計活動����,根據(jù)《中華人民共和國個人信息保護法》等法律法規(guī)�,國家互聯(lián)網(wǎng)信息辦公室起草了《個人信息保護合規(guī)審計管理辦法(征求意見稿)》,現(xiàn)向社會公開征求意見��。公眾可以通過以下途徑和方式提出反饋意見:
1.登錄中華人民共和國司法部 中國政府法制信息網(wǎng)(www.moj.gov.cn�、www.chinalaw.gov.cn),進入首頁主菜單的“立法意見征集”欄目提出意見。
2.通過電子郵件方式發(fā)送至:shujuju@cac.gov.cn��。
3.通過信函方式將意見寄至:北京市海淀區(qū)阜成路15號國家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡數(shù)據(jù)管理局���,郵編100048,并在信封上注明“個人信息保護合規(guī)審計管理辦法征求意見”���。
意見反饋截止時間為2023年9月2日���。
附件:個人信息保護合規(guī)審計管理辦法(征求意見稿)
國家互聯(lián)網(wǎng)信息辦公室
2023年8月3日
個人信息保護合規(guī)審計管理辦法
(征求意見稿)
第一條 為指導、規(guī)范個人信息保護合規(guī)審計活動�,提高個人信息處理活動合規(guī)水平�,保護個人信息權益,根據(jù)《中華人民共和國個人信息保護法》等法律���、行政法規(guī)和國家有關規(guī)定�����,制定本辦法�。
第二條 個人信息處理者定期開展個人信息保護合規(guī)審計���,或者按照履行個人信息保護職責的部門要求委托專業(yè)機構對其個人信息處理活動進行合規(guī)審計����,以及對個人信息保護合規(guī)審計活動的監(jiān)督管理適用本辦法。
第三條 本辦法所稱個人信息保護合規(guī)審計����,是指對個人信息處理者的個人信息處理活動是否遵守法律、行政法規(guī)的情況進行審查和評價的監(jiān)督活動�����。
第四條 處理超過100萬人個人信息的個人信息處理者�����,應當每年至少開展一次個人信息保護合規(guī)審計��;其他個人信息處理者應當每二年至少開展一次個人信息保護合規(guī)審計����。
第五條 個人信息處理者自行開展個人信息保護合規(guī)審計,可根據(jù)實際情況���,由本組織內(nèi)部機構或者委托專業(yè)機構按照本辦法要求開展���。
第六條 履行個人信息保護職責的部門在履行職責中�����,發(fā)現(xiàn)個人信息處理活動存在較大風險或者發(fā)生個人信息安全事件的��,可以要求個人信息處理者委托專業(yè)機構對其個人信息處理活動進行合規(guī)審計�。
第七條 個人信息處理者按照履行個人信息保護職責的部門要求開展個人信息保護合規(guī)審計的�,應當在收到通知后盡快按照要求選定專業(yè)機構進行個人信息保護合規(guī)審計。
第八條 個人信息處理者按照履行個人信息保護職責的部門要求委托專業(yè)機構開展個人信息保護合規(guī)審計的�,應當保證專業(yè)機構能夠正常行使下列權限:
(一)要求提供或者協(xié)助查閱相關文件或資料�����;
?��。ǘ┻M入個人信息處理活動相關場所;
?�。ㄈ┯^察場所內(nèi)發(fā)生的個人信息處理活動�;
(四)調(diào)查相關業(yè)務活動及所依賴的信息系統(tǒng)�����;
(五)檢查�����、測試個人信息處理活動相關設備設施���;
?����。┱{(diào)取��、查閱個人信息處理活動相關數(shù)據(jù)或信息�;
?�。ㄆ撸┰L談與個人信息處理活動有關的人員����;
(八)就相關問題進行調(diào)查����、質(zhì)詢和取證�;
?���。ň牛┢渌_展合規(guī)審計工作所必需的權限。
第九條 個人信息處理者按照履行個人信息保護職責部門要求委托專業(yè)機構開展個人信息保護合規(guī)審計的���,應當在90個工作日內(nèi)完成個人信息保護合規(guī)審計�;情況復雜的�,報經(jīng)履行個人信息保護職責的部門批準后可適當延長。
第十條 個人信息處理者按照履行個人信息保護職責部門要求委托專業(yè)機構開展個人信息保護合規(guī)審計的�����,應當按照本辦法要求組織實施個人信息保護合規(guī)審計����,在實施必要合規(guī)審計程序后,及時將專業(yè)機構出具的個人信息保護合規(guī)審計報告報送履行個人信息保護職責的部門�����。個人信息保護合規(guī)審計報告應當由合規(guī)審計負責人�、專業(yè)機構負責人簽字并加蓋專業(yè)機構公章�����。
第十一條 個人信息處理者按照履行個人信息保護職責的部門要求委托專業(yè)機構開展個人信息保護合規(guī)審計的,應當按照專業(yè)機構給出的整改建議進行整改�,經(jīng)專業(yè)機構復核后將整改情況報送履行個人信息保護職責的部門。
第十二條 執(zhí)行個人信息保護合規(guī)審計的專業(yè)機構應當保持獨立性和客觀性�����,連續(xù)為同一審計對象開展個人信息保護合規(guī)審計不得超過三次��。
第十三條 國家網(wǎng)信部門會同公安機關等國務院有關部門按照統(tǒng)籌規(guī)劃��、合理布局�、擇優(yōu)推薦的原則建立個人信息保護合規(guī)審計專業(yè)機構推薦目錄,每年組織開展個人信息保護合規(guī)審計專業(yè)機構評估評價��,并根據(jù)評估評價情況動態(tài)調(diào)整個人信息保護合規(guī)審計專業(yè)機構推薦目錄��。
鼓勵個人信息處理者優(yōu)先選擇推薦目錄中的專業(yè)機構開展個人信息保護合規(guī)審計活動�。
第十四條 專業(yè)機構在從事個人信息保護合規(guī)審計活動時,應當誠信正直���,公正客觀地作出合規(guī)審計職業(yè)判斷�。
專業(yè)機構不得轉(zhuǎn)包委托第三方開展個人信息保護合規(guī)審計���。
專業(yè)機構在履行個人信息保護合規(guī)審計職責中獲得的信息����,只能用于個人信息保護合規(guī)審計的需要,不得用于其他用途��;專業(yè)機構應當對獲得的信息承擔保密責任�;專業(yè)機構應當采取相應技術措施和其他必要措施,保障數(shù)據(jù)安全���。
專業(yè)機構在履行個人信息保護合規(guī)審計職責時不得惡意干擾個人信息處理者的正常經(jīng)營活動�����。
專業(yè)機構有出具虛假���、失實報告等違規(guī)行為的,個人信息處理者及相關方可向履行個人信息保護職責的部門進行投訴����,經(jīng)履行個人信息保護職責的部門核實的,永久禁止列入個人信息保護合規(guī)審計專業(yè)機構推薦目錄�。
第十五條 違反本辦法規(guī)定的,依據(jù)《中華人民共和國個人信息保護法》等法律法規(guī)處理;構成犯罪的��,依法追究刑事責任��。
第十六條 本辦法由國家互聯(lián)網(wǎng)信息辦公室負責解釋��,自 年 月 日起施行�����。
附件:個人信息保護合規(guī)審計參考要點
個人信息保護合規(guī)審計參考要點
第一條 本要點依據(jù)《中華人民共和國個人信息保護法》等法律�、行政法規(guī)和國家標準的強制性要求制定��,為開展個人信息保護合規(guī)審計提供參考�����。
第二條 個人信息保護合規(guī)審計應當首先審查個人信息處理活動的合法性基礎條件���,重點審查下列事項:
?�。ㄒ唬┨幚韨€人信息是否取得個人同意���,該同意是否在個人信息主體充分知情的前提下自愿、明確作出����;
?���。ǘ┗趥€人同意處理個人信息�����,個人信息的處理目的����、處理方式和處理的個人信息種類發(fā)生變更的,是否重新取得個人同意���;
?。ㄈ┗趥€人同意處理個人信息��,是否為個人提供便捷的撤回同意的方式�;
(四)基于個人同意處理個人信息��,是否對個人同意的操作進行記錄��;
(五)基于個人同意處理個人信息�,是否存在以個人不同意處理其個人信息或者撤回同意為由,拒絕提供產(chǎn)品或者服務的情況�;處理個人信息屬于提供產(chǎn)品或者服務所必需的除外;
?���。┨幚韨€人信息未取得個人同意����,是否屬于法律、行政法規(guī)規(guī)定不需取得個人同意的情形�����。
第三條 對個人信息處理規(guī)則進行審計時�,應當重點審查下列事項:
(一)是否真實����、準確、完整地告知個人信息處理者的名稱或者姓名和聯(lián)系方式�;
(二)是否以清單形式列明所收集的個人信息及其處理目的���、方式���、范圍�����;
?���。ㄈ┦欠衩鞔_個人信息存儲期限或者存儲期限的確定方法�����、到期后的處理方式����,以及確保存儲期限為實現(xiàn)處理目的所必要的最短時間;
?��。ㄋ模┦欠衩鞔_個人查閱����、復制�����、加工、轉(zhuǎn)移��、更正�、補充、刪除����、公開�、限制處理個人信息以及注銷賬號、撤回同意的途徑和方法�����;
?����。ㄎ澹┫虻谌教峁﹤€人信息的���,是否明確向個人告知接收方的名稱或者姓名��、聯(lián)系方式���、處理目的�、處理方式和個人信息的種類����,是否取得個人的單獨同意;
?�。┓?��、行政法規(guī)規(guī)定的其他事項����。
第四條 個人信息處理者處理個人信息應當履行告知義務����,審計時應當重點審查下列事項:
(一)個人信息處理者在處理個人信息前����,是否以顯著方式、清晰易懂的語言真實�、準確、完整地向個人告知個人信息處理規(guī)則��;
(二)告知文本的大小�、字體和顏色是否便于個人完整閱讀告知事項;
?。ㄈ┚€下告知是否通過標注、說明等多種方式向個人履行告知義務�����;
?�。ㄋ模┰诰€告知是否提供文本信息或者通過適當方式向個人履行告知義務�;
(五)個人信息處理規(guī)則發(fā)生變更的��,是否將變更內(nèi)容及時告知個人�����。
第五條 個人信息處理者存在與他人共同處理個人信息情形的��,應當重點審查下列事項:
?���。ㄒ唬┦欠窦s定各自的權利義務��;
(二)各方采取的個人信息保護措施����;
(三)個人信息權益保護機制�����;
?�。ㄋ模﹤€人信息安全事件報告機制����;
(五)侵害個人信息權益造成損害的��,各方應當承擔的責任��;
?。┢渌伞⑿姓ㄒ?guī)規(guī)定需要約定的權利和義務�����。
第六條 個人信息處理者存在委托處理個人信息情形的���,應當重點審查下列事項:
?。ㄒ唬﹤€人信息處理者在委托處理個人信息前,是否開展個人信息保護影響評估���;
?��。ǘ﹤€人信息處理者與受托人簽訂的合同,是否約定了委托處理的目的����、期限、方式及個人信息的種類�、受托人應當采取的技術措施和管理措施、雙方的權利義務等����;
?。ㄈ﹤€人信息處理者是否采取定期檢查等方式,對受托人的個人信息處理活動進行監(jiān)督����,以確保委托處理個人信息的活動符合法律規(guī)定;
?�。ㄋ模┦芡腥耸欠駠栏癜凑瘴泻贤募s定處理個人信息,是否存在超出約定的處理目的�����、處理方式處理個人信息的情況�����;
?��。ㄎ澹┊斘泻贤簧?���、無效�、被撤銷或者終止時,受托人是否將個人信息返還個人信息處理者或者予以刪除�;
(六)受托人是否存在轉(zhuǎn)委托他人處理個人信息的情況���,是否得到個人信息處理者的同意�����。
第七條 個人信息處理者存在因合并�����、重組�����、分立����、解散、被宣告破產(chǎn)等原因需要轉(zhuǎn)移個人信息情形的�����,應當重點審查下列事項:
?���。ㄒ唬﹤€人信息處理者是否向個人告知接收方的名稱或者姓名和聯(lián)系方式;
?。ǘ┙邮辗绞欠窭^續(xù)履行個人信息處理者的義務;
?���。ㄈ┙邮辗阶兏忍幚砟康?、處理方式的�����,是否依照法律�����、行政法規(guī)有關規(guī)定重新取得個人同意��。
第八條 個人信息處理者存在向其他個人信息處理者提供其處理的個人信息的����,應當重點審查下列事項:
?����。ㄒ唬┦欠袢〉脗€人的單獨同意����;
(二)是否向個人告知接收方的名稱或者姓名��、聯(lián)系方式�����、處理目的、處理方式和個人信息的種類�;
(三)接收方是否在雙方約定的處理目的��、處理方式和個人信息的種類等范圍內(nèi)處理個人信息����;
(四)變更處理目的���、處理方式的���,是否依照法律、行政法規(guī)規(guī)定重新取得個人同意���;
?��。ㄎ澹┦欠袷虑斑M行個人信息保護影響評估。
第九條 個人信息處理者利用自動化決策處理個人信息的����,審計時應當重點評價自動化決策的透明度和結果的公平性��、公正性:
(一)是否事前主動告知個人自動化決策處理個人信息的種類及可能帶來的影響����;
(二)是否事前對算法模型進行安全評估���,并按國家相關規(guī)定進行備案��,以盡可能減少自動化決策算法模型存在的缺陷�,當應用場景和主要功能發(fā)生變化時��,是否對算法模型重新進行評估���;
?���。ㄈ┦欠袷虑皩λ惴P瓦M行科技倫理審查;
(四)是否事前進行個人信息保護影響評估�����;
?�。ㄎ澹┦欠裣蛴脩籼峁┍U蠙C制�����,以便用戶可以通過便捷方式拒絕通過自動化決策方式作出對個人權益有重大影響的決定�����,或要求個人信息處理者就應用自動化決策方式作出對用戶個人權益有重大影響的決定予以說明����;
(六)是否向用戶提供刪除或者修改用于自動化決策服務的針對其個人特征的用戶標簽功能�;
(七)是否采取必要措施對算法和參數(shù)模型進行保護��;
?�。ò耍┦欠駥€人信息處理�、標簽管理、模型訓練等自動化決策過程中的人工操作進行記錄�,防范人為惡意操縱自動化決策信息和結果;
?���。ň牛┫騻€人進行信息推送��、商業(yè)營銷時���,是否同時提供不針對個人特征的選項,或者提供便捷的拒絕自動化決策服務的方式��;
?��。ㄊ┦欠癫扇×擞行Т胧乐棺詣踊瘺Q策根據(jù)消費者的偏好��、交易習慣等對個人在交易條件上實行不合理的差別待遇�;
(十一)其他可能影響自動化決策的透明度和結果公平�、公正的事項。
第十條 個人信息處理者存在公開其處理的個人信息情形的��,應當重點審查下列事項:
?���。ㄒ唬﹤€人信息處理者公開其處理的個人信息前是否取得個人單獨同意,該授權是否真實�、有效,是否存在違背個人意愿將個人信息予以公開的情況����;
?��。ǘ﹤€人信息處理者公開個人信息前,是否進行了個人信息保護影響評估��。
第十一條 個人信息處理者在公共場所安裝圖像采集�、個人身份識別設備的,應當重點對其安裝圖像采集����、個人信息身份識別設備的合法性及所收集個人信息的用途進行審查。審查內(nèi)容包括但不限于:
?。ㄒ唬┦欠駷榫S護公共安全所必需,是否存在為商業(yè)目的處理所采集信息的情況�;
(二)是否設置了顯著的提示標志����;
(三)若個人信息處理者所收集的個人圖像�����、身份識別信息用于維護公共安全以外用途的��,是否取得個人單獨同意。
第十二條 個人信息處理者處理已公開個人信息的�,審計時應當重點審查個人信息處理者是否存在下列違規(guī)行為:
(一)向已公開個人信息中的電子郵箱���、手機號等發(fā)送與其公開目的無關的信息����;
?�。ǘ├靡压_的個人信息從事網(wǎng)絡暴力活動����;
?��。ㄈ┨幚韨€人明確拒絕處理的已公開個人信息���;
(四)未取得個人同意處理已公開的個人信息對個人權益造成重大影響�����。
第十三條 個人信息處理者處理敏感個人信息的�����,審計時應當重點審查下列事項:
(一)處理生物識別����、宗教信仰、特定身份�����、醫(yī)療健康�����、金融賬戶�、行蹤軌跡等敏感個人信息的,是否事前取得個人的單獨同意����;
(二)處理不滿十四周歲未成年人的個人信息���,是否事前取得未成年人的父母或者其他監(jiān)護人的同意��;
?��。ㄈ┨幚砻舾袀€人信息的目的�����、方式是否合法���、正當、必要�����;
?�。ㄋ模┟舾袀€人信息處理是否與提供商品或者服務��、履行法定職責或者法定義務等特定的目的密切相關�,是否以非必要不處理為原則��;
?��。ㄎ澹┦欠裨谑虑斑M行個人信息保護影響評估��,并向個人告知處理敏感個人信息的必要性以及對個人權益的影響��;
?���。┓伞⑿姓ㄒ?guī)規(guī)定應當取得書面同意的�����,是否取得書面同意����;
(七)是否對處理敏感個人信息的過程進行了記錄��,以保障處理敏感個人信息流程合法合規(guī)�。
第十四條 個人信息處理者業(yè)務涉及處理不滿十四周歲未成年人個人信息的,審計時應當重點審查下列事項:
?��。ㄒ唬┦欠裰贫▽iT的未成年人個人信息處理規(guī)則�;
?��。ǘ┦欠裣蛭闯赡耆思捌浔O(jiān)護人告知未成年人個人信息的處理目的��、處理方式����、處理必要性及處理個人信息的種類、所采取的保護措施等���;
?。ㄈ┦欠翊嬖趶娭埔笪闯赡耆嘶蛘咂浔O(jiān)護人同意非必要的個人信息處理的行為����。
第十五條 個人信息處理者存在向境外提供個人信息情形的,應當重點審查下列事項:
?。ㄒ唬╆P鍵信息基礎設施運營者和處理100萬人以上個人信息的個人信息處理者向境外提供個人信息是否經(jīng)過國家網(wǎng)信部門組織的安全評估;
?����。ǘ┳陨夏?月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的個人信息處理者向境外提供個人信息是否經(jīng)過國家網(wǎng)信部門組織的安全評估��;
?。ㄈ┦欠翊嬖谙蛲鈬痉ɑ蛘邎?zhí)法機構提供存儲于中華人民共和國境內(nèi)的個人信息的情形�,若有,是否經(jīng)過中華人民共和國主管機關批準����;
?���。ㄋ模┲腥A人民共和國締結或者參加的國際條約�����、協(xié)定對向中華人民共和國境外提供個人信息的條件等有規(guī)定的���,是否按照其規(guī)定執(zhí)行����;
?����。ㄎ澹┦欠癜凑諊揖W(wǎng)信部門的規(guī)定���,經(jīng)專業(yè)機構進行個人信息保護認證或者按照國家網(wǎng)信部門制定的標準合同與境外接收方簽訂合同����,或者符合法律����、行政法規(guī)��、國家網(wǎng)信部門規(guī)定的其他條件����;
?��。┦欠窳私饩惩饨邮辗剿趪一蛘叩貐^(qū)的個人信息保護政策和網(wǎng)絡安全環(huán)境對出境個人信息的影響�����;
?���。ㄆ撸┦欠翊嬖谶`規(guī)向被列入限制或者禁止個人信息提供清單的組織和個人提供個人信息的情形�����。
第十六條 個人信息處理者向境外提供個人信息��,應當采取必要措施�,保障境外接收方處理個人信息的活動達到《中華人民共和國個人信息保護法》規(guī)定的個人信息保護標準���。審計時應當重點審查個人信息處理者對境外接收方采取監(jiān)督措施的有效性����,包括但不限于:
(一)是否了解和掌握境外接收方的情況�,特別是接收方是否具備必要的個人信息保護能力;
?����。ǘ┦欠裣蚓惩饨邮辗礁嬷覈?��、行政法規(guī)對個人信息保護的要求��,并要求境外接收方采取相應的保護措施�;
?��。ㄈ┦欠癫扇『炗唴f(xié)議��、定期核查等方式����,督促境外接收方切實履行個人信息保護義務�。
第十七條 對個人信息刪除權保障情況進行審計時�����,應當重點審查下列情形個人信息刪除的情況:
?。ㄒ唬﹤€人信息處理目的已實現(xiàn)��、無法實現(xiàn)或者為實現(xiàn)處理目的不再必要����;
(二)停止提供產(chǎn)品或者服務��,或者個人注銷賬號���;
?���。ㄈ┻_到與個人約定的存儲期限�����;
?�。ㄋ模﹤€人撤回同意;
?����。ㄎ澹┮蚴褂米詣踊杉夹g等�����,無法避免采集到非必要個人信息或者未經(jīng)同意的個人信息����;
?����。﹤€人信息處理者違反法律���、行政法規(guī)或者違反約定處理個人信息�����。
法律��、行政法規(guī)規(guī)定的保存期限未屆滿�����,或者刪除個人信息從技術上難以實現(xiàn)的���,個人信息處理者應當停止除存儲和采取必要的安全措施之外的處理�����。
第十八條 個人信息處理者應當保障個人行使個人信息權益的權利����,審計時應當重點審查下列事項:
?。ㄒ唬┦欠窠€人行使權利的申請受理機制;
?����。ǘ┦欠裣騻€人提供便捷的查閱�����、復制����、轉(zhuǎn)移、更正、補充���、刪除個人信息的方法����;
?����。ㄈ┦欠窦皶r響應個人行使權利的申請����,是否及時���、完整����、準確告知處理意見或者執(zhí)行結果�����。
第十九條 個人信息處理者應當響應個人申請��,對其個人信息處理規(guī)則進行解釋說明,審計時應當重點對下列內(nèi)容進行評價:
?��。ㄒ唬﹤€人信息處理者是否提供便捷的方式和途徑����,接受����、處理個人關于個人信息處理規(guī)則解釋說明的要求;
?����。ǘ┙拥絺€人的要求后��,個人信息處理者是否在合理的時間內(nèi)�����,使用通俗易懂的語言對其個人信息處理規(guī)則作出解釋說明��。
第二十條 個人信息處理者對個人信息保護承擔主體責任�����,審計時應當重點對個人信息處理者履行主體責任情況進行評價,包括但不限于下列事項:
?���。ㄒ唬﹤€人信息保護制度制定、組織架構��、管理程序與處理個人信息的性質(zhì)��、規(guī)模����、復雜程度����、風險程度的適應性;
?���。ǘ﹤€人信息保護職責分工是否合理、職責是否明確��、報告關系是否清晰����;
?����。ㄈ﹤€人信息處理者為個人信息保護提供的人����、財��、物保障與企業(yè)業(yè)務規(guī)模��、運營計劃��、個人信息合規(guī)風險管理的匹配性�。
第二十一條 個人信息處理者應當依照法律、行政法規(guī)的規(guī)定制定內(nèi)部管理制度和操作規(guī)程�����,明確組織架構���、崗位職責�,建立工作流程�����、完善內(nèi)控制度,保障個人信息處理合規(guī)與安全���。審計時�����,應當重點對個人信息處理者個人信息保護內(nèi)部管理制度和操作規(guī)程進行審查���,包括但不限于:
(一)個人信息保護工作的方針���、目標�����、原則是否符合法律、行政法規(guī)規(guī)定��;
?����。ǘ﹤€人信息保護組織架構��、人員配備、行為規(guī)范���、管理責任是否與應當履行的個人信息保護責任相適應����;
?�。ㄈ┦欠窀鶕?jù)個人信息的種類��、來源��、敏感程度�����、用途等�����,對個人信息進行分類����,并采取有針對性的管理或者安全技術措施;
?��。ㄋ模┦欠窠€人信息安全事件應急響應機制����;
(五)是否建立個人信息保護影響評估�����、合規(guī)審計制度����;
(六)是否建立暢通的個人信息保護投訴舉報受理流程��;
?��。ㄆ撸┦欠裰贫▽嵤﹤€人信息保護安全教育和培訓計劃����;
?��。ò耍┦欠窠€人信息保護負責人及相關人員履職評價制度;
?��。ň牛┦欠窠⑨槍€人信息處理相關人員的個人信息違規(guī)處置或者違規(guī)行為責任制度���,并有效實施��;
?���。ㄊ┓?���、行政法規(guī)規(guī)定的其他內(nèi)容。
第二十二條 個人信息處理者應當采取與所處理個人信息規(guī)模����、類型相適應的安全技術措施,并對個人信息處理者采取的技術措施的有效性進行評價�����,評價內(nèi)容包括但不限于:
?����。ㄒ唬┦欠駞⒄沼嘘P國家標準或者技術要求,采取相應安全技術措施實現(xiàn)個人信息的保密性�����、完整性����、可用性;
?���。ǘ┦欠癫扇〖用堋⑷俗R化等安全技術措施����,確保在不借助額外信息的情況下,消除或者降低個人信息的可識別性�����;
?�。ㄈ┎扇〉陌踩夹g措施能否合理確定有關人員查閱����、復制、傳輸?shù)葌€人信息的操作權限���,減少個人信息在處理過程中未經(jīng)授權的訪問和濫用風險���。
第二十三條 對個人信息處理者教育培訓計劃的制定和實施情況進行審計時,應當重點對下列事項進行評價:
?��。ㄒ唬┦欠癜从媱潓芾砣藛T��、技術人員��、操作人員����、全員開展相應的安全教育和培訓��,是否對相應人員的個人信息保護意識和技能進行考核����;
(二)培訓內(nèi)容����、培訓方式、培訓對象、培訓頻率等能否滿足個人信息保護需要�����。
第二十四條 處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者應當指定個人信息保護負責人�����,對個人信息處理活動的合規(guī)性負責���。審計時����,應當重點審查下列事項:
?����。ㄒ唬﹤€人信息保護負責人是否具有相關的工作經(jīng)歷和專業(yè)知識�,熟悉個人信息保護相關法律、行政法規(guī)�����;
?�。ǘ﹤€人信息保護負責人是否具有明確清晰的職責,是否被賦予充分的權限協(xié)調(diào)組織內(nèi)個人信息處理相關部門與人員�;
(三)個人信息保護負責人是否有權提名個人信息保護團隊負責人����,并與其保持順暢的溝通和聯(lián)系����;
(四)個人信息保護負責人在個人信息處理重大事項決策前是否有權提出相關意見和建議�����;
?����。ㄎ澹﹤€人信息保護負責人是否有權對組織內(nèi)部個人信息處理的不合規(guī)操作進行制止和采取必要的糾正措施��;
?���。﹤€人信息處理者是否公開個人信息保護負責人的聯(lián)系方式,并將個人信息保護負責人的姓名�、聯(lián)系方式等報送履行個人信息保護職責的部門�����。
第二十五條 對個人信息處理者開展個人信息保護影響評估情況進行審計時�,應當重點對影響評估開展情況和評估內(nèi)容進行審查:
?����。ㄒ唬┦欠褚勒辗?����、行政法規(guī)的規(guī)定�����,在進行對個人權益具有重大影響的個人信息處理活動前通過個人信息保護影響評估��;
?。ǘ┦欠駥€人處理活動的合法性、正當性和必要性進行了分析評估����,是否存在過度收集個人信息的情況;
?����。ㄈ┦欠駥ο拗苽€人自主決定權、引發(fā)差別性待遇����、導致個人名譽受損或者遭受精神壓力、造成人身財產(chǎn)受損等安全風險進行了分析評估��;
?��。ㄋ模┦欠駥λ扇〉谋Wo措施的合法性、有效性����、適應性進行了分析評估;
?。ㄎ澹﹤€人信息保護影響評估報告和處理記錄是否至少保存三年。
第二十六條 個人信息處理者應當制定個人信息安全事件應急預案�。審計時,應當對應急預案的全面性�����、有效性���、可執(zhí)行性作出評價�����,包括但不限于下列內(nèi)容:
?。ㄒ唬┦欠窠Y合業(yè)務實際,對面臨的個人信息安全風險作出了系統(tǒng)評估和預測���;
?。ǘ┲笇枷?����、基本策略�,組織機構、人員�����,技術����、物資保障及指揮處置程序、應急和支持措施等是否足以應對預測的風險���;
?����。ㄈ┦欠駥ο嚓P人員進行應急預案培訓�����,定期對應急預案進行演練��。
第二十七條 對個人信息處理者個人信息安全事件應急響應處置情況進行評價時����,應當重點考慮下列因素:
?���。ㄒ唬┦欠癜凑諔鳖A案、操作規(guī)程及時查明個人信息安全事件的影響����、范圍和可能造成的危害,分析�、確定事件發(fā)生的原因,提出防止危害擴大的措施方案��;
(二)是否建立通報渠道��,能否在事件發(fā)生后72小時內(nèi)通知履行個人信息保護職責的部門和個人��;
?。ㄈ┦欠癫扇∠鄳胧€人信息安全事件可能造成的損失和可能產(chǎn)生的危害風險降低到最小。
第二十八條 大型互聯(lián)網(wǎng)平臺運營者應當成立主要由外部成員組成的獨立機構對個人信息保護情況進行監(jiān)督�。審計時,應當對獨立機構的獨立性����、履職能力、監(jiān)督作用等進行評價��。
?���。ㄒ唬┰u價獨立機構對個人信息保護情況進行監(jiān)督的獨立性,重點審查外部成員與個人信息處理者及其主要股東是否存在可能妨礙其進行獨立客觀判斷的關系���;
?����。ǘ┰u價外部成員的履職能力��,重點審查外部成員是否具備相應的專業(yè)知識����、能力和經(jīng)驗,能否對個人信息處理者的個人信息保護情況進行監(jiān)督�����、指導����,發(fā)表客觀公正的意見建議;
?���。ㄈ┰u價獨立機構的監(jiān)督作用,重點審查獨立機構在個人信息處理者合規(guī)制度體系建設�、平臺規(guī)則制定��、重大個人信息安全事件處置��、督促企業(yè)履行社會責任等方面發(fā)揮的作用��。
第二十九條 針對大型互聯(lián)網(wǎng)平臺規(guī)則,應當重點審計下列事項:
?。ㄒ唬┰u價平臺規(guī)則的合法合規(guī)性,是否存在與法律��、行政法規(guī)相抵觸的情況���;
?���。ǘ┰u價平臺規(guī)則的公平公正性���,是否存在惡意競爭�、影響消費者權益等違反公平競爭原則����、誠實信用原則、公序良俗的內(nèi)容���;
?����。ㄈ┰u價平臺規(guī)則個人信息保護條款的有效性���,是否合理界定了平臺�����、平臺內(nèi)產(chǎn)品或者服務提供者的個人信息保護權利和義務�,是否對平臺內(nèi)經(jīng)營者處理個人信息行為進行規(guī)范��,平臺內(nèi)經(jīng)營者的個人信息保護義務是否明確���;
?�。ㄋ模z查平臺規(guī)則的執(zhí)行情況�,通過抽樣等方式驗證平臺規(guī)則是否被有效執(zhí)行�����。
第三十條 大型互聯(lián)網(wǎng)平臺運營者應當對其平臺內(nèi)產(chǎn)品或者服務提供者的個人信息處理活動進行監(jiān)督�����。審計時����,應當重點審查下列事項:
(一)是否定期審核平臺內(nèi)產(chǎn)品或者服務提供者個人信息處理規(guī)則的合法性����、合理性;
?。ǘ┦欠穸ㄆ趯ζ脚_內(nèi)產(chǎn)品或者服務提供者處理個人信息遵守法律、行政法規(guī)情況進行審核����;
(三)對于嚴重違反法律�、行政法規(guī)處理個人信息的產(chǎn)品或者服務提供者,平臺是否及時停止向其提供服務�����。
第三十一條 大型互聯(lián)網(wǎng)平臺運營者應當每年發(fā)布個人信息保護社會責任報告����。審計時,應當重點審查社會責任報告下列內(nèi)容的披露情況:
?����。ㄒ唬﹤€人信息保護組織架構和內(nèi)部管理情況���;
?。ǘ﹤€人信息保護能力建設情況;
?����。ㄈ﹤€人信息保護措施和成效�����;
?���。ㄋ模﹤€人行使權利的申請受理情況;
?�。ㄎ澹┆毩⒈O(jiān)督機構履職情況����;
(六)重大個人信息安全事件處理情況���;
?����。ㄆ撸┓?����、行政法規(guī)規(guī)定的其他情況�。
轉(zhuǎn)自:中國網(wǎng)信網(wǎng)
【版權及免責聲明】凡本網(wǎng)所屬版權作品���,轉(zhuǎn)載時須獲得授權并注明來源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”���,違者本網(wǎng)將保留追究其相關法律責任的權力。凡轉(zhuǎn)載文章及企業(yè)宣傳資訊���,僅代表作者個人觀點����,不代表本網(wǎng)觀點和立場�����。版權事宜請聯(lián)系:010-65363056����。
延伸閱讀
