國家互聯(lián)網(wǎng)信息辦公室關(guān)于《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法(征求意見稿)》公開征求意見的通知
為指導(dǎo)、規(guī)范個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng),根據(jù)《中華人民共和國個(gè)人信息保護(hù)法》等法律法規(guī),國家互聯(lián)網(wǎng)信息辦公室起草了《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法(征求意見稿)》,現(xiàn)向社會(huì)公開征求意見。公眾可以通過以下途徑和方式提出反饋意見:
1.登錄中華人民共和國司法部 中國政府法制信息網(wǎng)(www.moj.gov.cn、www.chinalaw.gov.cn),進(jìn)入首頁主菜單的“立法意見征集”欄目提出意見。
2.通過電子郵件方式發(fā)送至:shujuju@cac.gov.cn。
3.通過信函方式將意見寄至:北京市海淀區(qū)阜成路15號(hào)國家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò)數(shù)據(jù)管理局,郵編100048,并在信封上注明“個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法征求意見”。
意見反饋截止時(shí)間為2023年9月2日。
附件:個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法(征求意見稿)
國家互聯(lián)網(wǎng)信息辦公室
2023年8月3日
個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法
(征求意見稿)
第一條 為指導(dǎo)、規(guī)范個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng),提高個(gè)人信息處理活動(dòng)合規(guī)水平,保護(hù)個(gè)人信息權(quán)益,根據(jù)《中華人民共和國個(gè)人信息保護(hù)法》等法律、行政法規(guī)和國家有關(guān)規(guī)定,制定本辦法。
第二條 個(gè)人信息處理者定期開展個(gè)人信息保護(hù)合規(guī)審計(jì),或者按照履行個(gè)人信息保護(hù)職責(zé)的部門要求委托專業(yè)機(jī)構(gòu)對其個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì),以及對個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng)的監(jiān)督管理適用本辦法。
第三條 本辦法所稱個(gè)人信息保護(hù)合規(guī)審計(jì),是指對個(gè)人信息處理者的個(gè)人信息處理活動(dòng)是否遵守法律、行政法規(guī)的情況進(jìn)行審查和評(píng)價(jià)的監(jiān)督活動(dòng)。
第四條 處理超過100萬人個(gè)人信息的個(gè)人信息處理者,應(yīng)當(dāng)每年至少開展一次個(gè)人信息保護(hù)合規(guī)審計(jì);其他個(gè)人信息處理者應(yīng)當(dāng)每二年至少開展一次個(gè)人信息保護(hù)合規(guī)審計(jì)。
第五條 個(gè)人信息處理者自行開展個(gè)人信息保護(hù)合規(guī)審計(jì),可根據(jù)實(shí)際情況,由本組織內(nèi)部機(jī)構(gòu)或者委托專業(yè)機(jī)構(gòu)按照本辦法要求開展。
第六條 履行個(gè)人信息保護(hù)職責(zé)的部門在履行職責(zé)中,發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件的,可以要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對其個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)。
第七條 個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)的部門要求開展個(gè)人信息保護(hù)合規(guī)審計(jì)的,應(yīng)當(dāng)在收到通知后盡快按照要求選定專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)合規(guī)審計(jì)。
第八條 個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)的部門要求委托專業(yè)機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)的,應(yīng)當(dāng)保證專業(yè)機(jī)構(gòu)能夠正常行使下列權(quán)限:
(一)要求提供或者協(xié)助查閱相關(guān)文件或資料;
(二)進(jìn)入個(gè)人信息處理活動(dòng)相關(guān)場所;
?。ㄈ┯^察場所內(nèi)發(fā)生的個(gè)人信息處理活動(dòng);
?。ㄋ模┱{(diào)查相關(guān)業(yè)務(wù)活動(dòng)及所依賴的信息系統(tǒng);
(五)檢查、測試個(gè)人信息處理活動(dòng)相關(guān)設(shè)備設(shè)施;
?。┱{(diào)取、查閱個(gè)人信息處理活動(dòng)相關(guān)數(shù)據(jù)或信息;
?。ㄆ撸┰L談與個(gè)人信息處理活動(dòng)有關(guān)的人員;
(八)就相關(guān)問題進(jìn)行調(diào)查、質(zhì)詢和取證;
?。ň牛┢渌_展合規(guī)審計(jì)工作所必需的權(quán)限。
第九條 個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)部門要求委托專業(yè)機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)的,應(yīng)當(dāng)在90個(gè)工作日內(nèi)完成個(gè)人信息保護(hù)合規(guī)審計(jì);情況復(fù)雜的,報(bào)經(jīng)履行個(gè)人信息保護(hù)職責(zé)的部門批準(zhǔn)后可適當(dāng)延長。
第十條 個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)部門要求委托專業(yè)機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)的,應(yīng)當(dāng)按照本辦法要求組織實(shí)施個(gè)人信息保護(hù)合規(guī)審計(jì),在實(shí)施必要合規(guī)審計(jì)程序后,及時(shí)將專業(yè)機(jī)構(gòu)出具的個(gè)人信息保護(hù)合規(guī)審計(jì)報(bào)告報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門。個(gè)人信息保護(hù)合規(guī)審計(jì)報(bào)告應(yīng)當(dāng)由合規(guī)審計(jì)負(fù)責(zé)人、專業(yè)機(jī)構(gòu)負(fù)責(zé)人簽字并加蓋專業(yè)機(jī)構(gòu)公章。
第十一條 個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)的部門要求委托專業(yè)機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)的,應(yīng)當(dāng)按照專業(yè)機(jī)構(gòu)給出的整改建議進(jìn)行整改,經(jīng)專業(yè)機(jī)構(gòu)復(fù)核后將整改情況報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門。
第十二條 執(zhí)行個(gè)人信息保護(hù)合規(guī)審計(jì)的專業(yè)機(jī)構(gòu)應(yīng)當(dāng)保持獨(dú)立性和客觀性,連續(xù)為同一審計(jì)對象開展個(gè)人信息保護(hù)合規(guī)審計(jì)不得超過三次。
第十三條 國家網(wǎng)信部門會(huì)同公安機(jī)關(guān)等國務(wù)院有關(guān)部門按照統(tǒng)籌規(guī)劃、合理布局、擇優(yōu)推薦的原則建立個(gè)人信息保護(hù)合規(guī)審計(jì)專業(yè)機(jī)構(gòu)推薦目錄,每年組織開展個(gè)人信息保護(hù)合規(guī)審計(jì)專業(yè)機(jī)構(gòu)評(píng)估評(píng)價(jià),并根據(jù)評(píng)估評(píng)價(jià)情況動(dòng)態(tài)調(diào)整個(gè)人信息保護(hù)合規(guī)審計(jì)專業(yè)機(jī)構(gòu)推薦目錄。
鼓勵(lì)個(gè)人信息處理者優(yōu)先選擇推薦目錄中的專業(yè)機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng)。
第十四條 專業(yè)機(jī)構(gòu)在從事個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng)時(shí),應(yīng)當(dāng)誠信正直,公正客觀地作出合規(guī)審計(jì)職業(yè)判斷。
專業(yè)機(jī)構(gòu)不得轉(zhuǎn)包委托第三方開展個(gè)人信息保護(hù)合規(guī)審計(jì)。
專業(yè)機(jī)構(gòu)在履行個(gè)人信息保護(hù)合規(guī)審計(jì)職責(zé)中獲得的信息,只能用于個(gè)人信息保護(hù)合規(guī)審計(jì)的需要,不得用于其他用途;專業(yè)機(jī)構(gòu)應(yīng)當(dāng)對獲得的信息承擔(dān)保密責(zé)任;專業(yè)機(jī)構(gòu)應(yīng)當(dāng)采取相應(yīng)技術(shù)措施和其他必要措施,保障數(shù)據(jù)安全。
專業(yè)機(jī)構(gòu)在履行個(gè)人信息保護(hù)合規(guī)審計(jì)職責(zé)時(shí)不得惡意干擾個(gè)人信息處理者的正常經(jīng)營活動(dòng)。
專業(yè)機(jī)構(gòu)有出具虛假、失實(shí)報(bào)告等違規(guī)行為的,個(gè)人信息處理者及相關(guān)方可向履行個(gè)人信息保護(hù)職責(zé)的部門進(jìn)行投訴,經(jīng)履行個(gè)人信息保護(hù)職責(zé)的部門核實(shí)的,永久禁止列入個(gè)人信息保護(hù)合規(guī)審計(jì)專業(yè)機(jī)構(gòu)推薦目錄。
第十五條 違反本辦法規(guī)定的,依據(jù)《中華人民共和國個(gè)人信息保護(hù)法》等法律法規(guī)處理;構(gòu)成犯罪的,依法追究刑事責(zé)任。
第十六條 本辦法由國家互聯(lián)網(wǎng)信息辦公室負(fù)責(zé)解釋,自 年 月 日起施行。
附件:個(gè)人信息保護(hù)合規(guī)審計(jì)參考要點(diǎn)
個(gè)人信息保護(hù)合規(guī)審計(jì)參考要點(diǎn)
第一條 本要點(diǎn)依據(jù)《中華人民共和國個(gè)人信息保護(hù)法》等法律、行政法規(guī)和國家標(biāo)準(zhǔn)的強(qiáng)制性要求制定,為開展個(gè)人信息保護(hù)合規(guī)審計(jì)提供參考。
第二條 個(gè)人信息保護(hù)合規(guī)審計(jì)應(yīng)當(dāng)首先審查個(gè)人信息處理活動(dòng)的合法性基礎(chǔ)條件,重點(diǎn)審查下列事項(xiàng):
?。ㄒ唬┨幚韨€(gè)人信息是否取得個(gè)人同意,該同意是否在個(gè)人信息主體充分知情的前提下自愿、明確作出;
?。ǘ┗趥€(gè)人同意處理個(gè)人信息,個(gè)人信息的處理目的、處理方式和處理的個(gè)人信息種類發(fā)生變更的,是否重新取得個(gè)人同意;
?。ㄈ┗趥€(gè)人同意處理個(gè)人信息,是否為個(gè)人提供便捷的撤回同意的方式;
?。ㄋ模┗趥€(gè)人同意處理個(gè)人信息,是否對個(gè)人同意的操作進(jìn)行記錄;
?。ㄎ澹┗趥€(gè)人同意處理個(gè)人信息,是否存在以個(gè)人不同意處理其個(gè)人信息或者撤回同意為由,拒絕提供產(chǎn)品或者服務(wù)的情況;處理個(gè)人信息屬于提供產(chǎn)品或者服務(wù)所必需的除外;
(六)處理個(gè)人信息未取得個(gè)人同意,是否屬于法律、行政法規(guī)規(guī)定不需取得個(gè)人同意的情形。
第三條 對個(gè)人信息處理規(guī)則進(jìn)行審計(jì)時(shí),應(yīng)當(dāng)重點(diǎn)審查下列事項(xiàng):
?。ㄒ唬┦欠裾鎸?shí)、準(zhǔn)確、完整地告知個(gè)人信息處理者的名稱或者姓名和聯(lián)系方式;
?。ǘ┦欠褚郧鍐涡问搅忻魉占膫€(gè)人信息及其處理目的、方式、范圍;
?。ㄈ┦欠衩鞔_個(gè)人信息存儲(chǔ)期限或者存儲(chǔ)期限的確定方法、到期后的處理方式,以及確保存儲(chǔ)期限為實(shí)現(xiàn)處理目的所必要的最短時(shí)間;
?。ㄋ模┦欠衩鞔_個(gè)人查閱、復(fù)制、加工、轉(zhuǎn)移、更正、補(bǔ)充、刪除、公開、限制處理個(gè)人信息以及注銷賬號(hào)、撤回同意的途徑和方法;
(五)向第三方提供個(gè)人信息的,是否明確向個(gè)人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類,是否取得個(gè)人的單獨(dú)同意;
(六)法律、行政法規(guī)規(guī)定的其他事項(xiàng)。
第四條 個(gè)人信息處理者處理個(gè)人信息應(yīng)當(dāng)履行告知義務(wù),審計(jì)時(shí)應(yīng)當(dāng)重點(diǎn)審查下列事項(xiàng):
?。ㄒ唬﹤€(gè)人信息處理者在處理個(gè)人信息前,是否以顯著方式、清晰易懂的語言真實(shí)、準(zhǔn)確、完整地向個(gè)人告知個(gè)人信息處理規(guī)則;
?。ǘ└嬷谋镜拇笮?、字體和顏色是否便于個(gè)人完整閱讀告知事項(xiàng);
?。ㄈ┚€下告知是否通過標(biāo)注、說明等多種方式向個(gè)人履行告知義務(wù);
?。ㄋ模┰诰€告知是否提供文本信息或者通過適當(dāng)方式向個(gè)人履行告知義務(wù);
?。ㄎ澹﹤€(gè)人信息處理規(guī)則發(fā)生變更的,是否將變更內(nèi)容及時(shí)告知個(gè)人。
第五條 個(gè)人信息處理者存在與他人共同處理個(gè)人信息情形的,應(yīng)當(dāng)重點(diǎn)審查下列事項(xiàng):
?。ㄒ唬┦欠窦s定各自的權(quán)利義務(wù);
(二)各方采取的個(gè)人信息保護(hù)措施;
(三)個(gè)人信息權(quán)益保護(hù)機(jī)制;
?。ㄋ模﹤€(gè)人信息安全事件報(bào)告機(jī)制;
(五)侵害個(gè)人信息權(quán)益造成損害的,各方應(yīng)當(dāng)承擔(dān)的責(zé)任;
?。┢渌?、行政法規(guī)規(guī)定需要約定的權(quán)利和義務(wù)。
第六條 個(gè)人信息處理者存在委托處理個(gè)人信息情形的,應(yīng)當(dāng)重點(diǎn)審查下列事項(xiàng):
?。ㄒ唬﹤€(gè)人信息處理者在委托處理個(gè)人信息前,是否開展個(gè)人信息保護(hù)影響評(píng)估;
(二)個(gè)人信息處理者與受托人簽訂的合同,是否約定了委托處理的目的、期限、方式及個(gè)人信息的種類、受托人應(yīng)當(dāng)采取的技術(shù)措施和管理措施、雙方的權(quán)利義務(wù)等;
?。ㄈ﹤€(gè)人信息處理者是否采取定期檢查等方式,對受托人的個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督,以確保委托處理個(gè)人信息的活動(dòng)符合法律規(guī)定;
?。ㄋ模┦芡腥耸欠駠?yán)格按照委托合同的約定處理個(gè)人信息,是否存在超出約定的處理目的、處理方式處理個(gè)人信息的情況;
(五)當(dāng)委托合同不生效、無效、被撤銷或者終止時(shí),受托人是否將個(gè)人信息返還個(gè)人信息處理者或者予以刪除;
?。┦芡腥耸欠翊嬖谵D(zhuǎn)委托他人處理個(gè)人信息的情況,是否得到個(gè)人信息處理者的同意。
第七條 個(gè)人信息處理者存在因合并、重組、分立、解散、被宣告破產(chǎn)等原因需要轉(zhuǎn)移個(gè)人信息情形的,應(yīng)當(dāng)重點(diǎn)審查下列事項(xiàng):
(一)個(gè)人信息處理者是否向個(gè)人告知接收方的名稱或者姓名和聯(lián)系方式;
?。ǘ┙邮辗绞欠窭^續(xù)履行個(gè)人信息處理者的義務(wù);
?。ㄈ┙邮辗阶兏忍幚砟康?、處理方式的,是否依照法律、行政法規(guī)有關(guān)規(guī)定重新取得個(gè)人同意。
第八條 個(gè)人信息處理者存在向其他個(gè)人信息處理者提供其處理的個(gè)人信息的,應(yīng)當(dāng)重點(diǎn)審查下列事項(xiàng):
?。ㄒ唬┦欠袢〉脗€(gè)人的單獨(dú)同意;
(二)是否向個(gè)人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類;
?。ㄈ┙邮辗绞欠裨陔p方約定的處理目的、處理方式和個(gè)人信息的種類等范圍內(nèi)處理個(gè)人信息;
(四)變更處理目的、處理方式的,是否依照法律、行政法規(guī)規(guī)定重新取得個(gè)人同意;
(五)是否事前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估。
第九條 個(gè)人信息處理者利用自動(dòng)化決策處理個(gè)人信息的,審計(jì)時(shí)應(yīng)當(dāng)重點(diǎn)評(píng)價(jià)自動(dòng)化決策的透明度和結(jié)果的公平性、公正性:
(一)是否事前主動(dòng)告知個(gè)人自動(dòng)化決策處理個(gè)人信息的種類及可能帶來的影響;
?。ǘ┦欠袷虑皩λ惴P瓦M(jìn)行安全評(píng)估,并按國家相關(guān)規(guī)定進(jìn)行備案,以盡可能減少自動(dòng)化決策算法模型存在的缺陷,當(dāng)應(yīng)用場景和主要功能發(fā)生變化時(shí),是否對算法模型重新進(jìn)行評(píng)估;
?。ㄈ┦欠袷虑皩λ惴P瓦M(jìn)行科技倫理審查;
?。ㄋ模┦欠袷虑斑M(jìn)行個(gè)人信息保護(hù)影響評(píng)估;
?。ㄎ澹┦欠裣蛴脩籼峁┍U蠙C(jī)制,以便用戶可以通過便捷方式拒絕通過自動(dòng)化決策方式作出對個(gè)人權(quán)益有重大影響的決定,或要求個(gè)人信息處理者就應(yīng)用自動(dòng)化決策方式作出對用戶個(gè)人權(quán)益有重大影響的決定予以說明;
?。┦欠裣蛴脩籼峁﹦h除或者修改用于自動(dòng)化決策服務(wù)的針對其個(gè)人特征的用戶標(biāo)簽功能;
(七)是否采取必要措施對算法和參數(shù)模型進(jìn)行保護(hù);
(八)是否對個(gè)人信息處理、標(biāo)簽管理、模型訓(xùn)練等自動(dòng)化決策過程中的人工操作進(jìn)行記錄,防范人為惡意操縱自動(dòng)化決策信息和結(jié)果;
?。ň牛┫騻€(gè)人進(jìn)行信息推送、商業(yè)營銷時(shí),是否同時(shí)提供不針對個(gè)人特征的選項(xiàng),或者提供便捷的拒絕自動(dòng)化決策服務(wù)的方式;
?。ㄊ┦欠癫扇×擞行Т胧?,防止自動(dòng)化決策根據(jù)消費(fèi)者的偏好、交易習(xí)慣等對個(gè)人在交易條件上實(shí)行不合理的差別待遇;
?。ㄊ唬┢渌赡苡绊懽詣?dòng)化決策的透明度和結(jié)果公平、公正的事項(xiàng)。
第十條 個(gè)人信息處理者存在公開其處理的個(gè)人信息情形的,應(yīng)當(dāng)重點(diǎn)審查下列事項(xiàng):
?。ㄒ唬﹤€(gè)人信息處理者公開其處理的個(gè)人信息前是否取得個(gè)人單獨(dú)同意,該授權(quán)是否真實(shí)、有效,是否存在違背個(gè)人意愿將個(gè)人信息予以公開的情況;
?。ǘ﹤€(gè)人信息處理者公開個(gè)人信息前,是否進(jìn)行了個(gè)人信息保護(hù)影響評(píng)估。
第十一條 個(gè)人信息處理者在公共場所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備的,應(yīng)當(dāng)重點(diǎn)對其安裝圖像采集、個(gè)人信息身份識(shí)別設(shè)備的合法性及所收集個(gè)人信息的用途進(jìn)行審查。審查內(nèi)容包括但不限于:
?。ㄒ唬┦欠駷榫S護(hù)公共安全所必需,是否存在為商業(yè)目的處理所采集信息的情況;
(二)是否設(shè)置了顯著的提示標(biāo)志;
(三)若個(gè)人信息處理者所收集的個(gè)人圖像、身份識(shí)別信息用于維護(hù)公共安全以外用途的,是否取得個(gè)人單獨(dú)同意。
第十二條 個(gè)人信息處理者處理已公開個(gè)人信息的,審計(jì)時(shí)應(yīng)當(dāng)重點(diǎn)審查個(gè)人信息處理者是否存在下列違規(guī)行為:
?。ㄒ唬┫蛞压_個(gè)人信息中的電子郵箱、手機(jī)號(hào)等發(fā)送與其公開目的無關(guān)的信息;
?。ǘ├靡压_的個(gè)人信息從事網(wǎng)絡(luò)暴力活動(dòng);
?。ㄈ┨幚韨€(gè)人明確拒絕處理的已公開個(gè)人信息;
?。ㄋ模┪慈〉脗€(gè)人同意處理已公開的個(gè)人信息對個(gè)人權(quán)益造成重大影響。
第十三條 個(gè)人信息處理者處理敏感個(gè)人信息的,審計(jì)時(shí)應(yīng)當(dāng)重點(diǎn)審查下列事項(xiàng):
(一)處理生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等敏感個(gè)人信息的,是否事前取得個(gè)人的單獨(dú)同意;
(二)處理不滿十四周歲未成年人的個(gè)人信息,是否事前取得未成年人的父母或者其他監(jiān)護(hù)人的同意;
?。ㄈ┨幚砻舾袀€(gè)人信息的目的、方式是否合法、正當(dāng)、必要;
(四)敏感個(gè)人信息處理是否與提供商品或者服務(wù)、履行法定職責(zé)或者法定義務(wù)等特定的目的密切相關(guān),是否以非必要不處理為原則;
(五)是否在事前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估,并向個(gè)人告知處理敏感個(gè)人信息的必要性以及對個(gè)人權(quán)益的影響;
?。┓?、行政法規(guī)規(guī)定應(yīng)當(dāng)取得書面同意的,是否取得書面同意;
?。ㄆ撸┦欠駥μ幚砻舾袀€(gè)人信息的過程進(jìn)行了記錄,以保障處理敏感個(gè)人信息流程合法合規(guī)。
第十四條 個(gè)人信息處理者業(yè)務(wù)涉及處理不滿十四周歲未成年人個(gè)人信息的,審計(jì)時(shí)應(yīng)當(dāng)重點(diǎn)審查下列事項(xiàng):
?。ㄒ唬┦欠裰贫▽iT的未成年人個(gè)人信息處理規(guī)則;
?。ǘ┦欠裣蛭闯赡耆思捌浔O(jiān)護(hù)人告知未成年人個(gè)人信息的處理目的、處理方式、處理必要性及處理個(gè)人信息的種類、所采取的保護(hù)措施等;
?。ㄈ┦欠翊嬖趶?qiáng)制要求未成年人或者其監(jiān)護(hù)人同意非必要的個(gè)人信息處理的行為。
第十五條 個(gè)人信息處理者存在向境外提供個(gè)人信息情形的,應(yīng)當(dāng)重點(diǎn)審查下列事項(xiàng):
?。ㄒ唬╆P(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理100萬人以上個(gè)人信息的個(gè)人信息處理者向境外提供個(gè)人信息是否經(jīng)過國家網(wǎng)信部門組織的安全評(píng)估;
?。ǘ┳陨夏?月1日起累計(jì)向境外提供10萬人個(gè)人信息或者1萬人敏感個(gè)人信息的個(gè)人信息處理者向境外提供個(gè)人信息是否經(jīng)過國家網(wǎng)信部門組織的安全評(píng)估;
?。ㄈ┦欠翊嬖谙蛲鈬痉ɑ蛘邎?zhí)法機(jī)構(gòu)提供存儲(chǔ)于中華人民共和國境內(nèi)的個(gè)人信息的情形,若有,是否經(jīng)過中華人民共和國主管機(jī)關(guān)批準(zhǔn);
?。ㄋ模┲腥A人民共和國締結(jié)或者參加的國際條約、協(xié)定對向中華人民共和國境外提供個(gè)人信息的條件等有規(guī)定的,是否按照其規(guī)定執(zhí)行;
(五)是否按照國家網(wǎng)信部門的規(guī)定,經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證或者按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方簽訂合同,或者符合法律、行政法規(guī)、國家網(wǎng)信部門規(guī)定的其他條件;
?。┦欠窳私饩惩饨邮辗剿趪一蛘叩貐^(qū)的個(gè)人信息保護(hù)政策和網(wǎng)絡(luò)安全環(huán)境對出境個(gè)人信息的影響;
?。ㄆ撸┦欠翊嬖谶`規(guī)向被列入限制或者禁止個(gè)人信息提供清單的組織和個(gè)人提供個(gè)人信息的情形。
第十六條 個(gè)人信息處理者向境外提供個(gè)人信息,應(yīng)當(dāng)采取必要措施,保障境外接收方處理個(gè)人信息的活動(dòng)達(dá)到《中華人民共和國個(gè)人信息保護(hù)法》規(guī)定的個(gè)人信息保護(hù)標(biāo)準(zhǔn)。審計(jì)時(shí)應(yīng)當(dāng)重點(diǎn)審查個(gè)人信息處理者對境外接收方采取監(jiān)督措施的有效性,包括但不限于:
?。ㄒ唬┦欠窳私夂驼莆站惩饨邮辗降那闆r,特別是接收方是否具備必要的個(gè)人信息保護(hù)能力;
(二)是否向境外接收方告知我國法律、行政法規(guī)對個(gè)人信息保護(hù)的要求,并要求境外接收方采取相應(yīng)的保護(hù)措施;
(三)是否采取簽訂協(xié)議、定期核查等方式,督促境外接收方切實(shí)履行個(gè)人信息保護(hù)義務(wù)。
第十七條 對個(gè)人信息刪除權(quán)保障情況進(jìn)行審計(jì)時(shí),應(yīng)當(dāng)重點(diǎn)審查下列情形個(gè)人信息刪除的情況:
?。ㄒ唬﹤€(gè)人信息處理目的已實(shí)現(xiàn)、無法實(shí)現(xiàn)或者為實(shí)現(xiàn)處理目的不再必要;
?。ǘ┩V固峁┊a(chǎn)品或者服務(wù),或者個(gè)人注銷賬號(hào);
?。ㄈ┻_(dá)到與個(gè)人約定的存儲(chǔ)期限;
?。ㄋ模﹤€(gè)人撤回同意;
?。ㄎ澹┮蚴褂米詣?dòng)化采集技術(shù)等,無法避免采集到非必要個(gè)人信息或者未經(jīng)同意的個(gè)人信息;
(六)個(gè)人信息處理者違反法律、行政法規(guī)或者違反約定處理個(gè)人信息。
法律、行政法規(guī)規(guī)定的保存期限未屆滿,或者刪除個(gè)人信息從技術(shù)上難以實(shí)現(xiàn)的,個(gè)人信息處理者應(yīng)當(dāng)停止除存儲(chǔ)和采取必要的安全措施之外的處理。
第十八條 個(gè)人信息處理者應(yīng)當(dāng)保障個(gè)人行使個(gè)人信息權(quán)益的權(quán)利,審計(jì)時(shí)應(yīng)當(dāng)重點(diǎn)審查下列事項(xiàng):
?。ㄒ唬┦欠窠€(gè)人行使權(quán)利的申請受理機(jī)制;
?。ǘ┦欠裣騻€(gè)人提供便捷的查閱、復(fù)制、轉(zhuǎn)移、更正、補(bǔ)充、刪除個(gè)人信息的方法;
?。ㄈ┦欠窦皶r(shí)響應(yīng)個(gè)人行使權(quán)利的申請,是否及時(shí)、完整、準(zhǔn)確告知處理意見或者執(zhí)行結(jié)果。
第十九條 個(gè)人信息處理者應(yīng)當(dāng)響應(yīng)個(gè)人申請,對其個(gè)人信息處理規(guī)則進(jìn)行解釋說明,審計(jì)時(shí)應(yīng)當(dāng)重點(diǎn)對下列內(nèi)容進(jìn)行評(píng)價(jià):
?。ㄒ唬﹤€(gè)人信息處理者是否提供便捷的方式和途徑,接受、處理個(gè)人關(guān)于個(gè)人信息處理規(guī)則解釋說明的要求;
?。ǘ┙拥絺€(gè)人的要求后,個(gè)人信息處理者是否在合理的時(shí)間內(nèi),使用通俗易懂的語言對其個(gè)人信息處理規(guī)則作出解釋說明。
第二十條 個(gè)人信息處理者對個(gè)人信息保護(hù)承擔(dān)主體責(zé)任,審計(jì)時(shí)應(yīng)當(dāng)重點(diǎn)對個(gè)人信息處理者履行主體責(zé)任情況進(jìn)行評(píng)價(jià),包括但不限于下列事項(xiàng):
(一)個(gè)人信息保護(hù)制度制定、組織架構(gòu)、管理程序與處理個(gè)人信息的性質(zhì)、規(guī)模、復(fù)雜程度、風(fēng)險(xiǎn)程度的適應(yīng)性;
(二)個(gè)人信息保護(hù)職責(zé)分工是否合理、職責(zé)是否明確、報(bào)告關(guān)系是否清晰;
?。ㄈ﹤€(gè)人信息處理者為個(gè)人信息保護(hù)提供的人、財(cái)、物保障與企業(yè)業(yè)務(wù)規(guī)模、運(yùn)營計(jì)劃、個(gè)人信息合規(guī)風(fēng)險(xiǎn)管理的匹配性。
第二十一條 個(gè)人信息處理者應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定制定內(nèi)部管理制度和操作規(guī)程,明確組織架構(gòu)、崗位職責(zé),建立工作流程、完善內(nèi)控制度,保障個(gè)人信息處理合規(guī)與安全。審計(jì)時(shí),應(yīng)當(dāng)重點(diǎn)對個(gè)人信息處理者個(gè)人信息保護(hù)內(nèi)部管理制度和操作規(guī)程進(jìn)行審查,包括但不限于:
?。ㄒ唬﹤€(gè)人信息保護(hù)工作的方針、目標(biāo)、原則是否符合法律、行政法規(guī)規(guī)定;
?。ǘ﹤€(gè)人信息保護(hù)組織架構(gòu)、人員配備、行為規(guī)范、管理責(zé)任是否與應(yīng)當(dāng)履行的個(gè)人信息保護(hù)責(zé)任相適應(yīng);
(三)是否根據(jù)個(gè)人信息的種類、來源、敏感程度、用途等,對個(gè)人信息進(jìn)行分類,并采取有針對性的管理或者安全技術(shù)措施;
(四)是否建立個(gè)人信息安全事件應(yīng)急響應(yīng)機(jī)制;
(五)是否建立個(gè)人信息保護(hù)影響評(píng)估、合規(guī)審計(jì)制度;
?。┦欠窠惩ǖ膫€(gè)人信息保護(hù)投訴舉報(bào)受理流程;
?。ㄆ撸┦欠裰贫▽?shí)施個(gè)人信息保護(hù)安全教育和培訓(xùn)計(jì)劃;
?。ò耍┦欠窠€(gè)人信息保護(hù)負(fù)責(zé)人及相關(guān)人員履職評(píng)價(jià)制度;
?。ň牛┦欠窠⑨槍€(gè)人信息處理相關(guān)人員的個(gè)人信息違規(guī)處置或者違規(guī)行為責(zé)任制度,并有效實(shí)施;
?。ㄊ┓伞⑿姓ㄒ?guī)規(guī)定的其他內(nèi)容。
第二十二條 個(gè)人信息處理者應(yīng)當(dāng)采取與所處理個(gè)人信息規(guī)模、類型相適應(yīng)的安全技術(shù)措施,并對個(gè)人信息處理者采取的技術(shù)措施的有效性進(jìn)行評(píng)價(jià),評(píng)價(jià)內(nèi)容包括但不限于:
?。ㄒ唬┦欠駞⒄沼嘘P(guān)國家標(biāo)準(zhǔn)或者技術(shù)要求,采取相應(yīng)安全技術(shù)措施實(shí)現(xiàn)個(gè)人信息的保密性、完整性、可用性;
?。ǘ┦欠癫扇〖用堋⑷?biāo)識(shí)化等安全技術(shù)措施,確保在不借助額外信息的情況下,消除或者降低個(gè)人信息的可識(shí)別性;
?。ㄈ┎扇〉陌踩夹g(shù)措施能否合理確定有關(guān)人員查閱、復(fù)制、傳輸?shù)葌€(gè)人信息的操作權(quán)限,減少個(gè)人信息在處理過程中未經(jīng)授權(quán)的訪問和濫用風(fēng)險(xiǎn)。
第二十三條 對個(gè)人信息處理者教育培訓(xùn)計(jì)劃的制定和實(shí)施情況進(jìn)行審計(jì)時(shí),應(yīng)當(dāng)重點(diǎn)對下列事項(xiàng)進(jìn)行評(píng)價(jià):
(一)是否按計(jì)劃對管理人員、技術(shù)人員、操作人員、全員開展相應(yīng)的安全教育和培訓(xùn),是否對相應(yīng)人員的個(gè)人信息保護(hù)意識(shí)和技能進(jìn)行考核;
?。ǘ┡嘤?xùn)內(nèi)容、培訓(xùn)方式、培訓(xùn)對象、培訓(xùn)頻率等能否滿足個(gè)人信息保護(hù)需要。
第二十四條 處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人,對個(gè)人信息處理活動(dòng)的合規(guī)性負(fù)責(zé)。審計(jì)時(shí),應(yīng)當(dāng)重點(diǎn)審查下列事項(xiàng):
?。ㄒ唬﹤€(gè)人信息保護(hù)負(fù)責(zé)人是否具有相關(guān)的工作經(jīng)歷和專業(yè)知識(shí),熟悉個(gè)人信息保護(hù)相關(guān)法律、行政法規(guī);
?。ǘ﹤€(gè)人信息保護(hù)負(fù)責(zé)人是否具有明確清晰的職責(zé),是否被賦予充分的權(quán)限協(xié)調(diào)組織內(nèi)個(gè)人信息處理相關(guān)部門與人員;
(三)個(gè)人信息保護(hù)負(fù)責(zé)人是否有權(quán)提名個(gè)人信息保護(hù)團(tuán)隊(duì)負(fù)責(zé)人,并與其保持順暢的溝通和聯(lián)系;
?。ㄋ模﹤€(gè)人信息保護(hù)負(fù)責(zé)人在個(gè)人信息處理重大事項(xiàng)決策前是否有權(quán)提出相關(guān)意見和建議;
?。ㄎ澹﹤€(gè)人信息保護(hù)負(fù)責(zé)人是否有權(quán)對組織內(nèi)部個(gè)人信息處理的不合規(guī)操作進(jìn)行制止和采取必要的糾正措施;
(六)個(gè)人信息處理者是否公開個(gè)人信息保護(hù)負(fù)責(zé)人的聯(lián)系方式,并將個(gè)人信息保護(hù)負(fù)責(zé)人的姓名、聯(lián)系方式等報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門。
第二十五條 對個(gè)人信息處理者開展個(gè)人信息保護(hù)影響評(píng)估情況進(jìn)行審計(jì)時(shí),應(yīng)當(dāng)重點(diǎn)對影響評(píng)估開展情況和評(píng)估內(nèi)容進(jìn)行審查:
?。ㄒ唬┦欠褚勒辗伞⑿姓ㄒ?guī)的規(guī)定,在進(jìn)行對個(gè)人權(quán)益具有重大影響的個(gè)人信息處理活動(dòng)前通過個(gè)人信息保護(hù)影響評(píng)估;
(二)是否對個(gè)人處理活動(dòng)的合法性、正當(dāng)性和必要性進(jìn)行了分析評(píng)估,是否存在過度收集個(gè)人信息的情況;
?。ㄈ┦欠駥ο拗苽€(gè)人自主決定權(quán)、引發(fā)差別性待遇、導(dǎo)致個(gè)人名譽(yù)受損或者遭受精神壓力、造成人身財(cái)產(chǎn)受損等安全風(fēng)險(xiǎn)進(jìn)行了分析評(píng)估;
?。ㄋ模┦欠駥λ扇〉谋Wo(hù)措施的合法性、有效性、適應(yīng)性進(jìn)行了分析評(píng)估;
(五)個(gè)人信息保護(hù)影響評(píng)估報(bào)告和處理記錄是否至少保存三年。
第二十六條 個(gè)人信息處理者應(yīng)當(dāng)制定個(gè)人信息安全事件應(yīng)急預(yù)案。審計(jì)時(shí),應(yīng)當(dāng)對應(yīng)急預(yù)案的全面性、有效性、可執(zhí)行性作出評(píng)價(jià),包括但不限于下列內(nèi)容:
(一)是否結(jié)合業(yè)務(wù)實(shí)際,對面臨的個(gè)人信息安全風(fēng)險(xiǎn)作出了系統(tǒng)評(píng)估和預(yù)測;
?。ǘ┲笇?dǎo)思想、基本策略,組織機(jī)構(gòu)、人員,技術(shù)、物資保障及指揮處置程序、應(yīng)急和支持措施等是否足以應(yīng)對預(yù)測的風(fēng)險(xiǎn);
(三)是否對相關(guān)人員進(jìn)行應(yīng)急預(yù)案培訓(xùn),定期對應(yīng)急預(yù)案進(jìn)行演練。
第二十七條 對個(gè)人信息處理者個(gè)人信息安全事件應(yīng)急響應(yīng)處置情況進(jìn)行評(píng)價(jià)時(shí),應(yīng)當(dāng)重點(diǎn)考慮下列因素:
?。ㄒ唬┦欠癜凑諔?yīng)急預(yù)案、操作規(guī)程及時(shí)查明個(gè)人信息安全事件的影響、范圍和可能造成的危害,分析、確定事件發(fā)生的原因,提出防止危害擴(kuò)大的措施方案;
?。ǘ┦欠窠⑼▓?bào)渠道,能否在事件發(fā)生后72小時(shí)內(nèi)通知履行個(gè)人信息保護(hù)職責(zé)的部門和個(gè)人;
?。ㄈ┦欠癫扇∠鄳?yīng)措施將個(gè)人信息安全事件可能造成的損失和可能產(chǎn)生的危害風(fēng)險(xiǎn)降低到最小。
第二十八條 大型互聯(lián)網(wǎng)平臺(tái)運(yùn)營者應(yīng)當(dāng)成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督。審計(jì)時(shí),應(yīng)當(dāng)對獨(dú)立機(jī)構(gòu)的獨(dú)立性、履職能力、監(jiān)督作用等進(jìn)行評(píng)價(jià)。
?。ㄒ唬┰u(píng)價(jià)獨(dú)立機(jī)構(gòu)對個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督的獨(dú)立性,重點(diǎn)審查外部成員與個(gè)人信息處理者及其主要股東是否存在可能妨礙其進(jìn)行獨(dú)立客觀判斷的關(guān)系;
?。ǘ┰u(píng)價(jià)外部成員的履職能力,重點(diǎn)審查外部成員是否具備相應(yīng)的專業(yè)知識(shí)、能力和經(jīng)驗(yàn),能否對個(gè)人信息處理者的個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督、指導(dǎo),發(fā)表客觀公正的意見建議;
(三)評(píng)價(jià)獨(dú)立機(jī)構(gòu)的監(jiān)督作用,重點(diǎn)審查獨(dú)立機(jī)構(gòu)在個(gè)人信息處理者合規(guī)制度體系建設(shè)、平臺(tái)規(guī)則制定、重大個(gè)人信息安全事件處置、督促企業(yè)履行社會(huì)責(zé)任等方面發(fā)揮的作用。
第二十九條 針對大型互聯(lián)網(wǎng)平臺(tái)規(guī)則,應(yīng)當(dāng)重點(diǎn)審計(jì)下列事項(xiàng):
(一)評(píng)價(jià)平臺(tái)規(guī)則的合法合規(guī)性,是否存在與法律、行政法規(guī)相抵觸的情況;
?。ǘ┰u(píng)價(jià)平臺(tái)規(guī)則的公平公正性,是否存在惡意競爭、影響消費(fèi)者權(quán)益等違反公平競爭原則、誠實(shí)信用原則、公序良俗的內(nèi)容;
?。ㄈ┰u(píng)價(jià)平臺(tái)規(guī)則個(gè)人信息保護(hù)條款的有效性,是否合理界定了平臺(tái)、平臺(tái)內(nèi)產(chǎn)品或者服務(wù)提供者的個(gè)人信息保護(hù)權(quán)利和義務(wù),是否對平臺(tái)內(nèi)經(jīng)營者處理個(gè)人信息行為進(jìn)行規(guī)范,平臺(tái)內(nèi)經(jīng)營者的個(gè)人信息保護(hù)義務(wù)是否明確;
?。ㄋ模z查平臺(tái)規(guī)則的執(zhí)行情況,通過抽樣等方式驗(yàn)證平臺(tái)規(guī)則是否被有效執(zhí)行。
第三十條 大型互聯(lián)網(wǎng)平臺(tái)運(yùn)營者應(yīng)當(dāng)對其平臺(tái)內(nèi)產(chǎn)品或者服務(wù)提供者的個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督。審計(jì)時(shí),應(yīng)當(dāng)重點(diǎn)審查下列事項(xiàng):
?。ㄒ唬┦欠穸ㄆ趯徍似脚_(tái)內(nèi)產(chǎn)品或者服務(wù)提供者個(gè)人信息處理規(guī)則的合法性、合理性;
?。ǘ┦欠穸ㄆ趯ζ脚_(tái)內(nèi)產(chǎn)品或者服務(wù)提供者處理個(gè)人信息遵守法律、行政法規(guī)情況進(jìn)行審核;
(三)對于嚴(yán)重違反法律、行政法規(guī)處理個(gè)人信息的產(chǎn)品或者服務(wù)提供者,平臺(tái)是否及時(shí)停止向其提供服務(wù)。
第三十一條 大型互聯(lián)網(wǎng)平臺(tái)運(yùn)營者應(yīng)當(dāng)每年發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告。審計(jì)時(shí),應(yīng)當(dāng)重點(diǎn)審查社會(huì)責(zé)任報(bào)告下列內(nèi)容的披露情況:
(一)個(gè)人信息保護(hù)組織架構(gòu)和內(nèi)部管理情況;
?。ǘ﹤€(gè)人信息保護(hù)能力建設(shè)情況;
?。ㄈ﹤€(gè)人信息保護(hù)措施和成效;
(四)個(gè)人行使權(quán)利的申請受理情況;
?。ㄎ澹┆?dú)立監(jiān)督機(jī)構(gòu)履職情況;
?。┲卮髠€(gè)人信息安全事件處理情況;
?。ㄆ撸┓?、行政法規(guī)規(guī)定的其他情況。
轉(zhuǎn)自:中國網(wǎng)信網(wǎng)
【版權(quán)及免責(zé)聲明】凡本網(wǎng)所屬版權(quán)作品,轉(zhuǎn)載時(shí)須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力。凡轉(zhuǎn)載文章及企業(yè)宣傳資訊,僅代表作者個(gè)人觀點(diǎn),不代表本網(wǎng)觀點(diǎn)和立場。版權(quán)事宜請聯(lián)系:010-65363056。
延伸閱讀
版權(quán)所有:中國產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)京ICP備11041399號(hào)-2京公網(wǎng)安備11010502035964