国家互联网信息办公室今日公布网信办有关负责人表示，当前，个人信息被企业、机构甚至个人广泛收集使用，个人信息保护和个人信息利用的矛盾日益突出。为压实个人信息处理者个人信息保护主体责任，加强个人信息处理活动风险控制和监督，据介绍，

　　个人信息保护合规审计管理办法 第一条为了规范个人信息保护合规审计活动，保护个人信息权益，根据、等法律、行政法规，制定本办法。 第二条在中华人民共和国境内开展个人信息保护合规审计，适用本办法。 本办法所称个人信息保护合规审计，是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。 第三条个人信息处理者自行开展个人信息保护合规审计的，应当由个人信息处理者内部机构或者委托专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。 第四条处理超过 1000 万人个人信息的个人信息处理者，应当每两年至少开展一次个人信息保护合规审计。 第五条个人信息处理者有以下情形之一的，国家网信部门和其他履行个人信息保护职责的部门，可以要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计： 发现个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险的； 个人信息处理活动可能侵害众多个人的权益的； 发生个人信息安全事件，导致 100 万人以上个人信息或者 10 万人以上敏感个人信息泄露、篡改、丢失、毁损的。 对同一个人信息安全事件或者风险，不得重复要求个人信息处理者委托专业机构开展个人信息保护合规审计。 第六条个人信息处理者自行开展或者按照保护部门要求委托专业机构开展个人信息保护合规审计的，应当参照本办法附件。 第七条专业机构应当具备开展个人信息保护合规审计的能力，有与服务相适应的审计人员、场所、设施和资金等。 鼓励相关专业机构通过认证。专业机构的认证按照的有关规定执行。 第八条个人信息处理者按照保护部门要求开展个人信息保护合规审计的，应当为专业机构正常开展个人信息保护合规审计工作提供必要支持，并承担审计费用。 第九条个人信息处理者按照保护部门要求开展个人信息保护合规审计的，应当按照保护部门要求选定专业机构，在限定时间内完成个人信息保护合规审计；情况复杂的，报保护部门批准后，可以适当延长。 第十条个人信息处理者按照保护部门要求开展个人信息保护合规审计的，在完成合规审计后，应当将专业机构出具的个人信息保护合规审计报告报送保护部门。 个人信息保护合规审计报告应当由专业机构主要负责人、合规审计负责人签字并加盖专业机构公章。 第十一条个人信息处理者按照保护部门要求开展个人信息保护合规审计的，应当按照保护部门要求对合规审计中发现的问题进行整改。在整改完成后 15 个工作日内，向保护部门报送整改情况报告。 第十二条处理 100 万人以上个人信息的个人信息处理者应当指定个人信息保护负责人，负责个人信息处理者的个人信息保护合规审计工作。 提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督。 第十三条专业机构在从事个人信息保护合规审计活动时，应当遵守法律法规，诚信正直，公正客观地作出合规审计职业判断，对在履行个人信息保护合规审计职责中获得的个人信息、商业秘密、保密商务信息等应当依法予以保密，不得泄露或者非法向他人提供，在合规审计工作结束后及时删除相关信息。 第十四条专业机构不得转委托其他机构开展个人信息保护合规审计。 第十五条同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。 第十六条保护部门对个人信息处理者开展个人信息保护合规审计情况进行监督检查。 第十七条任何组织、个人有权对个人信息保护合规审计中的活动向保护部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理，并将处理结果告知投诉、举报人。 第十八条个人信息处理者、专业机构违反本办法规定的，依照、等法律法规的规定处理；构成犯罪的，依法追究刑事责任。 第十九条对国家机关和法律、法规授权的具有管理公共事务职能的组织的个人信息保护合规审计，不适用本办法。 第二十条本办法自 2025 年 5 月 1 日起施行。个人信息保护合规审计指引 一、本指引根据、等法律、行政法规制定。 二、对个人信息处理活动的合法性基础进行合规审计的，应当重点审查下列事项： 基于个人同意处理个人信息的，是否取得个人同意，该同意是否由个人在充分知情的前提下自愿、明确作出； 基于个人同意处理个人信息的，个人信息的处理目的、处理方式、处理的个人信息种类发生变更的，是否重新取得个人同意； 基于个人同意处理个人信息的，是否依照法律、行政法规取得个人单独同意或者书面同意； 处理个人信息未取得个人同意的，是否属于法律、行政法规规定不需要取得个人同意的情形。 三、对个人信息处理规则进行合规审计的，应当重点审查下列事项： 是否真实、准确、完整地告知个人信息处理者的名称或者姓名和联系方式； 是否以清单等便于查看的形式列明所收集的个人信息及其处理方式和种类； 是否与处理目的直接相关，采取对个人权益影响最小的方式； 是否明确个人信息保存期限或者保存期限的确定方法、到期后的处理方式，以及确定保存期限为实现处理目的所必要的最短时间； 是否明确个人查阅、、转移、更正、补充、删除、限制处理个人信息以及注销账号、撤回同意的途径和方法。 四、对个人信息处理者履行告知个人信息处理规则义务进行合规审计的，应当重点审查下列事项： 个人信息处理者在处理个人信息前，是否以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理规则； 告知文本的大小、字体和颜色是否便于个人完整阅读告知事项； 线下告知是否通过标注、说明等多种方式向个人履行告知义务； 在线告知是否提供文本信息或者通过适当方式向个人履行告知义务； 个人信息处理规则发生变更的，是否将变更内容及时告知个人； 处理个人信息不需要告知的，是否属于法律、行政法规规定应当保密或者不需要告知的情形。 五、对个人信息处理者与其他个人信息处理者共同处理个人信息进行合规审计的，应当重点审查下列事项： 是否约定各自的权利义务； 个人信息权益保护机制； 个人信息安全事件报告机制； 其他法律、行政法规规定需要约定的权利和义务。 六、对个人信息处理者委托处理个人信息进行合规审计的，应当重点审查下列事项： 个人信息处理者在委托处理个人信息前，是否开展个人信息保护影响评估； 个人信息处理者与受托人签订的合同，是否与受托人约定了委托处理的目的、期限、方式、个人信息的种类、保护措施以及双方的权利义务等； 个人信息处理者是否采取定期检查等方式，对受托人的个人信息处理活动进行监督。 七、个人信息处理者存在因合并、重组、分立、解散、被宣告破产等原因需要转移个人信息情形的，应当重点审查个人信息处理者是否向个人告知接收方的名称或者姓名和联系方式。 八、对个人信息处理者向其他个人信息处理者提供其处理的个人信息进行合规审计的，应当重点审查下列事项： 基于个人同意处理个人信息的，是否取得个人的单独同意； 是否向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，法律、行政法规规定应当保密或者不需要告知的除外； 是否事前进行个人信息保护影响评估。 九、对个人信息处理者利用自动化决策处理个人信息进行合规审计的，应当重点审查下列事项： 自动化决策的透明度，以及自动化决策的结果是否公平、公正； 是否事前告知个人自动化决策处理个人信息的种类及可能带来的影响； 是否事前进行个人信息保护影响评估； 是否向用户提供保障机制，以便个人通过便捷方式拒绝通过自动化决策方式作出对个人权益有重大影响的决定，并要求个人信息处理者就通过自动化决策方式作出对用户个人权益有重大影响的决定予以说明； 向个人进行信息推送、商业营销的，是否同时提供不针对个人特征的选项，或者提供便捷的拒绝自动化决策服务的方式； 是否采取了有效措施，防止自动化决策根据消费者的偏好、交易习惯等对个人在交易条件上实行不合理的差别待遇； 其他可能影响自动化决策的透明度和结果公平、公正的事项。 十、对个人信息处理者基于个人同意公开个人信息进行合规审计的，应当重点审查下列事项： 个人信息处理者公开其处理的个人信息前是否取得个人单独同意，该授权是否真实、有效，是否存在违背个人意愿将个人信息予以公开的情况； 个人信息处理者公开个人信息前，是否进行个人信息保护影响评估。 十一、个人信息处理者在公共场所安装图像收集、个人身份识别设备的，应当重点对其安装图像收集、个人信息身份识别设备的合法性及所收集个人信息的用途进行审查。审查内容包括但不限于： 是否为维护公共安全所必需，是否为商业目的处理所收集的个人信息； 是否设置了显著的提示标识； 个人信息处理者所收集的个人图像、身份识别信息用于维护公共安全以外用途的，是否取得个人单独同意。 十二、对个人信息处理者处理已公开的个人信息进行合规审计的，应当重点审查个人信息处理者是否存在下列违规行为： 向已公开个人信息中的电子邮箱、手机号等发送与其公开目的无关的商业信息； 利用已公开的个人信息从事网络暴力、传播网络谣言和虚假信息等活动； 处理个人明确拒绝处理的已公开个人信息； 对个人权益有重大影响，未取得个人同意； 收集、留存或处理已公开个人信息的规模、时间或使用目的超出合理范围。 十三、对个人信息处理者处理敏感个人信息进行合规审计的，应当重点审查下列事项： 基于个人同意处理个人信息的，处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息，是否事前取得个人的单独同意； 基于个人同意处理个人信息的，处理不满十四周岁未成年人的个人信息，是否事前取得未成年人的父母或者其他监护人的同意； 处理敏感个人信息的目的、方式、范围是否合法、正当、必要； 是否在事前进行个人信息保护影响评估； 是否向个人告知处理敏感个人信息的必要性以及对个人权益的影响，法律、行政法规规定应当保密或者不需要告知的除外； 法律、行政法规规定应当取得书面同意的，是否取得书面同意； 是否遵守法律、行政法规对处理敏感个人信息的限制性规定。 十四、对个人信息处理者处理不满十四周岁未成年人个人信息进行合规审计的，应当重点审查下列事项： 是否制定专门的个人信息处理规则； 是否向未成年人及其监护人告知未成年人个人信息的处理目的、处理方式、处理必要性，以及处理个人信息的种类、所采取的保护措施等，法律、行政法规规定不需要告知的除外； 基于个人同意处理个人信息，是否存在强制要求未成年人或者其监护人同意处理非必要个人信息的行为。 十五、对个人信息处理者向境外提供个人信息进行合规审计的，应当重点审查下列事项： 关键信息基础设施运营者向境外提供个人信息是否经过国家网信部门组织的安全评估，法律、行政法规、国家网信部门另有规定的，从其规定； 关键信息基础设施运营者以外的数据处理者自当年 1 月 1 日起累计向境外提供 100 万人以上个人信息或者 1 万人以上敏感个人信息是否经过国家网信部门组织的安全评估，法律、行政法规、国家网信部门另有规定的，从其规定； 关键信息基础设施运营者以外的数据处理者自当年 1 月 1 日起累计向境外提供 10 万人以上、不满 100 万人个人信息或者不满 1 万人敏感个人信息的，是否按照国家网信部门的规定，经个人信息保护认证或者按照国家网信部门制定的标准合同与境外接收方签订合同并向所在地省级网信部门备案，或者符合法律、行政法规、国家网信部门规定的其他条件； 存在向外国司法或者执法机构提供存储于中华人民共和国境内个人信息情形的，是否经过中华人民共和国主管机关批准； 是否向被列入限制或者禁止个人信息提供清单的组织和个人提供个人信息。 十六、对个人信息删除权保障情况进行合规审计的，应当重点审查下列事项： 个人信息处理目的是否已实现、无法实现或者为实现处理目的不再必要； 个人信息处理者是否停止提供产品或者服务，或者个人是否已注销账号； 保存期限是否已届满； 个人是否撤回同意； 个人信息处理者是否违反法律、行政法规或者违反约定处理个人信息； 应当删除个人信息，但法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者是否停止除存储和采取必要的安全措施之外的处理。 十七、对个人信息处理者保障个人在个人信息处理活动中的权利情况进行合规审计的，应当重点审查下列事项： 是否建立便捷的个人行使权利的申请受理机制和处理机制； 是否及时响应个人行使权利的申请，是否及时、完整、准确告知处理意见或者执行结果； 拒绝个人行使权利请求的，是否向个人说明理由。 十八、个人信息处理者应当响应个人申请，对其个人信息处理规则进行解释说明，合规审计时应当重点对下列内容进行评价： 个人信息处理者是否提供便捷的方式和途径，接受、处理个人关于个人信息处理规则解释说明的要求； 接到个人的要求后，个人信息处理者是否在合理的时间内，使用通俗易懂的语言对其个人信息处理规则作出解释说明。 十九、个人信息处理者应当依照法律、行政法规的规定制定内部管理制度和操作规程，明确组织架构、岗位职责，建立工作流程、完善内控制度，保障个人信息处理合规与安全。合规审计时，应当重点对个人信息处理者个人信息保护内部管理制度和操作规程进行审查，包括但不限于： 个人信息保护工作的方针、目标、原则是否符合法律、行政法规规定； 个人信息保护组织架构、人员配备、行为规范、管理责任是否与应当履行的个人信息保护责任相适应； 是否根据个人信息的种类、