國家網(wǎng)信辦今日發(fā)布公告，為指導(dǎo)、規(guī)范個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng)，根據(jù)《中華人民共和國個(gè)人信息保護(hù)法》等法律法規(guī)，國家互聯(lián)網(wǎng)信息辦公室起草了《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法（征求意見稿）》，現(xiàn)向社會(huì)公開征求意見。

　　征求意見稿提到，處理超過 100 萬人個(gè)人信息的個(gè)人信息處理者，應(yīng)當(dāng)每年至少開展一次個(gè)人信息保護(hù)合規(guī)審計(jì)；其他個(gè)人信息處理者應(yīng)當(dāng)每二年至少開展一次個(gè)人信息保護(hù)合規(guī)審計(jì)。

　　公眾可以通過以下途徑和方式提出反饋意見：

　　1.登錄中華人民共和國司法部 中國政府法制信息網(wǎng)（www.moj.gov.cn、www.chinalaw.gov.cn），進(jìn)入首頁主菜單的立法意見征集欄目提出意見。

　　2.通過電子郵件方式發(fā)送至：shujuju@cac.gov.cn。

　　3.通過信函方式將意見寄至：北京市海淀區(qū)阜成路 15 號(hào)國家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò)數(shù)據(jù)管理局，郵編 100048，并在信封上注明個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法征求意見。

　　IT之家注：意見反饋截止時(shí)間為 2023 年 9 月 2 日。

　　《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法（征求意見稿）》全文：

　　第一條 為指導(dǎo)、規(guī)范個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng)，提高個(gè)人信息處理活動(dòng)合規(guī)水平，保護(hù)個(gè)人信息權(quán)益，根據(jù)《中華人民共和國個(gè)人信息保護(hù)法》等法律、行政法規(guī)和國家有關(guān)規(guī)定，制定本辦法。

　　第二條 個(gè)人信息處理者定期開展個(gè)人信息保護(hù)合規(guī)審計(jì)，或者按照履行個(gè)人信息保護(hù)職責(zé)的部門要求委托專業(yè)機(jī)構(gòu)對其個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)，以及對個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng)的監(jiān)督管理適用本辦法。

　　第三條 本辦法所稱個(gè)人信息保護(hù)合規(guī)審計(jì)，是指對個(gè)人信息處理者的個(gè)人信息處理活動(dòng)是否遵守法律、行政法規(guī)的情況進(jìn)行審查和評(píng)價(jià)的監(jiān)督活動(dòng)。

　　第四條 處理超過 100 萬人個(gè)人信息的個(gè)人信息處理者，應(yīng)當(dāng)每年至少開展一次個(gè)人信息保護(hù)合規(guī)審計(jì)；其他個(gè)人信息處理者應(yīng)當(dāng)每二年至少開展一次個(gè)人信息保護(hù)合規(guī)審計(jì)。

　　第五條 個(gè)人信息處理者自行開展個(gè)人信息保護(hù)合規(guī)審計(jì)，可根據(jù)實(shí)際情況，由本組織內(nèi)部機(jī)構(gòu)或者委托專業(yè)機(jī)構(gòu)按照本辦法要求開展。

　　第六條 履行個(gè)人信息保護(hù)職責(zé)的部門在履行職責(zé)中，發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件的，可以要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對其個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)。

　　第七條 個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)的部門要求開展個(gè)人信息保護(hù)合規(guī)審計(jì)的，應(yīng)當(dāng)在收到通知后盡快按照要求選定專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)合規(guī)審計(jì)。

　　第八條 個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)的部門要求委托專業(yè)機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)的，應(yīng)當(dāng)保證專業(yè)機(jī)構(gòu)能夠正常行使下列權(quán)限：

　?。ㄒ唬┮筇峁┗蛘邊f(xié)助查閱相關(guān)文件或資料；

　?。ǘ┻M(jìn)入個(gè)人信息處理活動(dòng)相關(guān)場所；

　?。ㄈ┯^察場所內(nèi)發(fā)生的個(gè)人信息處理活動(dòng)；

　?。ㄋ模┱{(diào)查相關(guān)業(yè)務(wù)活動(dòng)及所依賴的信息系統(tǒng)；

　?。ㄎ澹z查、測試個(gè)人信息處理活動(dòng)相關(guān)設(shè)備設(shè)施；

　?。┱{(diào)取、查閱個(gè)人信息處理活動(dòng)相關(guān)數(shù)據(jù)或信息；

　?。ㄆ撸┰L談與個(gè)人信息處理活動(dòng)有關(guān)的人員；

　　（八）就相關(guān)問題進(jìn)行調(diào)查、質(zhì)詢和取證；

　?。ň牛┢渌_展合規(guī)審計(jì)工作所必需的權(quán)限。

　　第九條 個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)部門要求委托專業(yè)機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)的，應(yīng)當(dāng)在 90 個(gè)工作日內(nèi)完成個(gè)人信息保護(hù)合規(guī)審計(jì)；情況復(fù)雜的，報(bào)經(jīng)履行個(gè)人信息保護(hù)職責(zé)的部門批準(zhǔn)后可適當(dāng)延長。

　　第十條 個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)部門要求委托專業(yè)機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)的，應(yīng)當(dāng)按照本辦法要求組織實(shí)施個(gè)人信息保護(hù)合規(guī)審計(jì)，在實(shí)施必要合規(guī)審計(jì)程序后，及時(shí)將專業(yè)機(jī)構(gòu)出具的個(gè)人信息保護(hù)合規(guī)審計(jì)報(bào)告報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門。個(gè)人信息保護(hù)合規(guī)審計(jì)報(bào)告應(yīng)當(dāng)由合規(guī)審計(jì)負(fù)責(zé)人、專業(yè)機(jī)構(gòu)負(fù)責(zé)人簽字并加蓋專業(yè)機(jī)構(gòu)公章。

　　第十一條 個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)的部門要求委托專業(yè)機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)的，應(yīng)當(dāng)按照專業(yè)機(jī)構(gòu)給出的整改建議進(jìn)行整改，經(jīng)專業(yè)機(jī)構(gòu)復(fù)核后將整改情況報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門。

　　第十二條 執(zhí)行個(gè)人信息保護(hù)合規(guī)審計(jì)的專業(yè)機(jī)構(gòu)應(yīng)當(dāng)保持獨(dú)立性和客觀性，連續(xù)為同一審計(jì)對象開展個(gè)人信息保護(hù)合規(guī)審計(jì)不得超過三次。

　　第十三條 國家網(wǎng)信部門會(huì)同公安機(jī)關(guān)等國務(wù)院有關(guān)部門按照統(tǒng)籌規(guī)劃、合理布局、擇優(yōu)推薦的原則建立個(gè)人信息保護(hù)合規(guī)審計(jì)專業(yè)機(jī)構(gòu)推薦目錄，每年組織開展個(gè)人信息保護(hù)合規(guī)審計(jì)專業(yè)機(jī)構(gòu)評(píng)估評(píng)價(jià)，并根據(jù)評(píng)估評(píng)價(jià)情況動(dòng)態(tài)調(diào)整個(gè)人信息保護(hù)合規(guī)審計(jì)專業(yè)機(jī)構(gòu)推薦目錄。

　　鼓勵(lì)個(gè)人信息處理者優(yōu)先選擇推薦目錄中的專業(yè)機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng)。

　　第十四條 專業(yè)機(jī)構(gòu)在從事個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng)時(shí)，應(yīng)當(dāng)誠信正直，公正客觀地作出合規(guī)審計(jì)職業(yè)判斷。

　　專業(yè)機(jī)構(gòu)不得轉(zhuǎn)包委托第三方開展個(gè)人信息保護(hù)合規(guī)審計(jì)。

　　專業(yè)機(jī)構(gòu)在履行個(gè)人信息保護(hù)合規(guī)審計(jì)職責(zé)中獲得的信息，只能用于個(gè)人信息保護(hù)合規(guī)審計(jì)的需要，不得用于其他用途；專業(yè)機(jī)構(gòu)應(yīng)當(dāng)對獲得的信息承擔(dān)保密責(zé)任；專業(yè)機(jī)構(gòu)應(yīng)當(dāng)采取相應(yīng)技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全。

　　專業(yè)機(jī)構(gòu)在履行個(gè)人信息保護(hù)合規(guī)審計(jì)職責(zé)時(shí)不得惡意干擾個(gè)人信息處理者的正常經(jīng)營活動(dòng)。

　　專業(yè)機(jī)構(gòu)有出具虛假、失實(shí)報(bào)告等違規(guī)行為的，個(gè)人信息處理者及相關(guān)方可向履行個(gè)人信息保護(hù)職責(zé)的部門進(jìn)行投訴，經(jīng)履行個(gè)人信息保護(hù)職責(zé)的部門核實(shí)的，永久禁止列入個(gè)人信息保護(hù)合規(guī)審計(jì)專業(yè)機(jī)構(gòu)推薦目錄。

　　第十五條 違反本辦法規(guī)定的，依據(jù)《中華人民共和國個(gè)人信息保護(hù)法》等法律法規(guī)處理；構(gòu)成犯罪的，依法追究刑事責(zé)任。

　　第十六條 本辦法由國家互聯(lián)網(wǎng)信息辦公室負(fù)責(zé)解釋，自 年 月 日起施行。