學習貫徹三次全會精神在行動丨嚴守節點糾治“四風”
學習語丨把鞏固拓展主題教育成果作為重大政治任務
2024年中央一號文件公布 提出推進鄉村全面振興“路線圖”

關乎個人信息保護!國家網信辦公開征求意見

發布時間:2023-08-03  來源:“網信中國”微信公眾號  字體大小[ ]

   國家互聯網信息辦公室關于《個人信息保護合規審計管理辦法(征求意見稿)》公開征求意見的通知

  為指導、規范個人信息保護合規審計活動,根據《中華人民共和國個人信息保護法》等法律法規,國家互聯網信息辦公室起草了《個人信息保護合規審計管理辦法(征求意見稿)》,現向社會公開征求意見。公眾可以通過以下途徑和方式提出反饋意見:

  1.登錄中華人民共和國司法部 中國政府法制信息網(www.moj.gov.cn、www.chinalaw.gov.cn),進入首頁主菜單的“立法意見征集”欄目提出意見。

  2.通過電子郵件方式發送至:shujuju@cac.gov.cn。

  3.通過信函方式將意見寄至:北京市海淀區阜成路15號國家互聯網信息辦公室網絡數據管理局,郵編100048,并在信封上注明“個人信息保護合規審計管理辦法征求意見”。

  意見反饋截止時間為2023年9月2日。

  附件:個人信息保護合規審計管理辦法(征求意見稿)

國家互聯網信息辦公室

2023年8月3日

 個人信息保護合規審計管理辦法

(征求意見稿)

  第一條 為指導、規范個人信息保護合規審計活動,提高個人信息處理活動合規水平,保護個人信息權益,根據《中華人民共和國個人信息保護法》等法律、行政法規和國家有關規定,制定本辦法。

  第二條 個人信息處理者定期開展個人信息保護合規審計,或者按照履行個人信息保護職責的部門要求委托專業機構對其個人信息處理活動進行合規審計,以及對個人信息保護合規審計活動的監督管理適用本辦法。

  第三條 本辦法所稱個人信息保護合規審計,是指對個人信息處理者的個人信息處理活動是否遵守法律、行政法規的情況進行審查和評價的監督活動。

  第四條 處理超過100萬人個人信息的個人信息處理者,應當每年至少開展一次個人信息保護合規審計;其他個人信息處理者應當每二年至少開展一次個人信息保護合規審計。

  第五條 個人信息處理者自行開展個人信息保護合規審計,可根據實際情況,由本組織內部機構或者委托專業機構按照本辦法要求開展。

  第六條 履行個人信息保護職責的部門在履行職責中,發現個人信息處理活動存在較大風險或者發生個人信息安全事件的,可以要求個人信息處理者委托專業機構對其個人信息處理活動進行合規審計。

  第七條 個人信息處理者按照履行個人信息保護職責的部門要求開展個人信息保護合規審計的,應當在收到通知后盡快按照要求選定專業機構進行個人信息保護合規審計。

  第八條 個人信息處理者按照履行個人信息保護職責的部門要求委托專業機構開展個人信息保護合規審計的,應當保證專業機構能夠正常行使下列權限:

 ?。ㄒ唬┮筇峁┗蛘邊f助查閱相關文件或資料;

 ?。ǘ┻M入個人信息處理活動相關場所;

 ?。ㄈ┯^察場所內發生的個人信息處理活動;

 ?。ㄋ模┱{查相關業務活動及所依賴的信息系統;

 ?。ㄎ澹z查、測試個人信息處理活動相關設備設施;

 ?。┱{取、查閱個人信息處理活動相關數據或信息;

 ?。ㄆ撸┰L談與個人信息處理活動有關的人員;

 ?。ò耍┚拖嚓P問題進行調查、質詢和取證;

 ?。ň牛┢渌_展合規審計工作所必需的權限。

  第九條 個人信息處理者按照履行個人信息保護職責部門要求委托專業機構開展個人信息保護合規審計的,應當在90個工作日內完成個人信息保護合規審計;情況復雜的,報經履行個人信息保護職責的部門批準后可適當延長。

  第十條 個人信息處理者按照履行個人信息保護職責部門要求委托專業機構開展個人信息保護合規審計的,應當按照本辦法要求組織實施個人信息保護合規審計,在實施必要合規審計程序后,及時將專業機構出具的個人信息保護合規審計報告報送履行個人信息保護職責的部門。個人信息保護合規審計報告應當由合規審計負責人、專業機構負責人簽字并加蓋專業機構公章。

  第十一條 個人信息處理者按照履行個人信息保護職責的部門要求委托專業機構開展個人信息保護合規審計的,應當按照專業機構給出的整改建議進行整改,經專業機構復核后將整改情況報送履行個人信息保護職責的部門。

  第十二條 執行個人信息保護合規審計的專業機構應當保持獨立性和客觀性,連續為同一審計對象開展個人信息保護合規審計不得超過三次。

  第十三條 國家網信部門會同公安機關等國務院有關部門按照統籌規劃、合理布局、擇優推薦的原則建立個人信息保護合規審計專業機構推薦目錄,每年組織開展個人信息保護合規審計專業機構評估評價,并根據評估評價情況動態調整個人信息保護合規審計專業機構推薦目錄。

  鼓勵個人信息處理者優先選擇推薦目錄中的專業機構開展個人信息保護合規審計活動。

  第十四條 專業機構在從事個人信息保護合規審計活動時,應當誠信正直,公正客觀地作出合規審計職業判斷。

  專業機構不得轉包委托第三方開展個人信息保護合規審計。

  專業機構在履行個人信息保護合規審計職責中獲得的信息,只能用于個人信息保護合規審計的需要,不得用于其他用途;專業機構應當對獲得的信息承擔保密責任;專業機構應當采取相應技術措施和其他必要措施,保障數據安全。

  專業機構在履行個人信息保護合規審計職責時不得惡意干擾個人信息處理者的正常經營活動。

  專業機構有出具虛假、失實報告等違規行為的,個人信息處理者及相關方可向履行個人信息保護職責的部門進行投訴,經履行個人信息保護職責的部門核實的,永久禁止列入個人信息保護合規審計專業機構推薦目錄。

  第十五條 違反本辦法規定的,依據《中華人民共和國個人信息保護法》等法律法規處理;構成犯罪的,依法追究刑事責任。

  第十六條 本辦法由國家互聯網信息辦公室負責解釋,自 年 月 日起施行。

  附件:個人信息保護合規審計參考要點

 

個人信息保護合規審計參考要點

  第一條 本要點依據《中華人民共和國個人信息保護法》等法律、行政法規和國家標準的強制性要求制定,為開展個人信息保護合規審計提供參考。

  第二條 個人信息保護合規審計應當首先審查個人信息處理活動的合法性基礎條件,重點審查下列事項:

 ?。ㄒ唬┨幚韨€人信息是否取得個人同意,該同意是否在個人信息主體充分知情的前提下自愿、明確作出;

 ?。ǘ┗趥€人同意處理個人信息,個人信息的處理目的、處理方式和處理的個人信息種類發生變更的,是否重新取得個人同意;

 ?。ㄈ┗趥€人同意處理個人信息,是否為個人提供便捷的撤回同意的方式;

 ?。ㄋ模┗趥€人同意處理個人信息,是否對個人同意的操作進行記錄;

 ?。ㄎ澹┗趥€人同意處理個人信息,是否存在以個人不同意處理其個人信息或者撤回同意為由,拒絕提供產品或者服務的情況;處理個人信息屬于提供產品或者服務所必需的除外;

 ?。┨幚韨€人信息未取得個人同意,是否屬于法律、行政法規規定不需取得個人同意的情形。

  第三條 對個人信息處理規則進行審計時,應當重點審查下列事項:

 ?。ㄒ唬┦欠裾鎸?、準確、完整地告知個人信息處理者的名稱或者姓名和聯系方式;

 ?。ǘ┦欠褚郧鍐涡问搅忻魉占膫€人信息及其處理目的、方式、范圍;

 ?。ㄈ┦欠衩鞔_個人信息存儲期限或者存儲期限的確定方法、到期后的處理方式,以及確保存儲期限為實現處理目的所必要的最短時間;

 ?。ㄋ模┦欠衩鞔_個人查閱、復制、加工、轉移、更正、補充、刪除、公開、限制處理個人信息以及注銷賬號、撤回同意的途徑和方法;

 ?。ㄎ澹┫虻谌教峁﹤€人信息的,是否明確向個人告知接收方的名稱或者姓名、聯系方式、處理目的、處理方式和個人信息的種類,是否取得個人的單獨同意;

 ?。┓?、行政法規規定的其他事項。

  第四條 個人信息處理者處理個人信息應當履行告知義務,審計時應當重點審查下列事項:

 ?。ㄒ唬﹤€人信息處理者在處理個人信息前,是否以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知個人信息處理規則;

 ?。ǘ└嬷谋镜拇笮?、字體和顏色是否便于個人完整閱讀告知事項;

 ?。ㄈ┚€下告知是否通過標注、說明等多種方式向個人履行告知義務;

 ?。ㄋ模┰诰€告知是否提供文本信息或者通過適當方式向個人履行告知義務;

 ?。ㄎ澹﹤€人信息處理規則發生變更的,是否將變更內容及時告知個人。

  第五條 個人信息處理者存在與他人共同處理個人信息情形的,應當重點審查下列事項:(一)是否約定各自的權利義務;

 ?。ǘ└鞣讲扇〉膫€人信息保護措施;

 ?。ㄈ﹤€人信息權益保護機制;

 ?。ㄋ模﹤€人信息安全事件報告機制;

 ?。ㄎ澹┣趾€人信息權益造成損害的,各方應當承擔的責任;

 ?。┢渌?、行政法規規定需要約定的權利和義務。

  第六條 個人信息處理者存在委托處理個人信息情形的,應當重點審查下列事項:

 ?。ㄒ唬﹤€人信息處理者在委托處理個人信息前,是否開展個人信息保護影響評估;

 ?。ǘ﹤€人信息處理者與受托人簽訂的合同,是否約定了委托處理的目的、期限、方式及個人信息的種類、受托人應當采取的技術措施和管理措施、雙方的權利義務等;

 ?。ㄈ﹤€人信息處理者是否采取定期檢查等方式,對受托人的個人信息處理活動進行監督,以確保委托處理個人信息的活動符合法律規定;

 ?。ㄋ模┦芡腥耸欠駠栏癜凑瘴泻贤募s定處理個人信息,是否存在超出約定的處理目的、處理方式處理個人信息的情況;

 ?。ㄎ澹┊斘泻贤簧?、無效、被撤銷或者終止時,受托人是否將個人信息返還個人信息處理者或者予以刪除;

 ?。┦芡腥耸欠翊嬖谵D委托他人處理個人信息的情況,是否得到個人信息處理者的同意。

  第七條 個人信息處理者存在因合并、重組、分立、解散、被宣告破產等原因需要轉移個人信息情形的,應當重點審查下列事項:

 ?。ㄒ唬﹤€人信息處理者是否向個人告知接收方的名稱或者姓名和聯系方式;

 ?。ǘ┙邮辗绞欠窭^續履行個人信息處理者的義務;

 ?。ㄈ┙邮辗阶兏忍幚砟康?、處理方式的,是否依照法律、行政法規有關規定重新取得個人同意。

  第八條 個人信息處理者存在向其他個人信息處理者提供其處理的個人信息的,應當重點審查下列事項:

 ?。ㄒ唬┦欠袢〉脗€人的單獨同意;

 ?。ǘ┦欠裣騻€人告知接收方的名稱或者姓名、聯系方式、處理目的、處理方式和個人信息的種類;

 ?。ㄈ┙邮辗绞欠裨陔p方約定的處理目的、處理方式和個人信息的種類等范圍內處理個人信息;

 ?。ㄋ模┳兏幚砟康?、處理方式的,是否依照法律、行政法規規定重新取得個人同意;

 ?。ㄎ澹┦欠袷虑斑M行個人信息保護影響評估。

  第九條 個人信息處理者利用自動化決策處理個人信息的,審計時應當重點評價自動化決策的透明度和結果的公平性、公正性:

 ?。ㄒ唬┦欠袷虑爸鲃痈嬷獋€人自動化決策處理個人信息的種類及可能帶來的影響;

 ?。ǘ┦欠袷虑皩λ惴P瓦M行安全評估,并按國家相關規定進行備案,以盡可能減少自動化決策算法模型存在的缺陷,當應用場景和主要功能發生變化時,是否對算法模型重新進行評估;

 ?。ㄈ┦欠袷虑皩λ惴P瓦M行科技倫理審查;

 ?。ㄋ模┦欠袷虑斑M行個人信息保護影響評估;

 ?。ㄎ澹┦欠裣蛴脩籼峁┍U蠙C制,以便用戶可以通過便捷方式拒絕通過自動化決策方式作出對個人權益有重大影響的決定,或要求個人信息處理者就應用自動化決策方式作出對用戶個人權益有重大影響的決定予以說明;

 ?。┦欠裣蛴脩籼峁﹦h除或者修改用于自動化決策服務的針對其個人特征的用戶標簽功能;

 ?。ㄆ撸┦欠癫扇”匾胧λ惴ê蛥的P瓦M行保護;

 ?。ò耍┦欠駥€人信息處理、標簽管理、模型訓練等自動化決策過程中的人工操作進行記錄,防范人為惡意操縱自動化決策信息和結果;

 ?。ň牛┫騻€人進行信息推送、商業營銷時,是否同時提供不針對個人特征的選項,或者提供便捷的拒絕自動化決策服務的方式;

 ?。ㄊ┦欠癫扇×擞行Т胧?,防止自動化決策根據消費者的偏好、交易習慣等對個人在交易條件上實行不合理的差別待遇;

 ?。ㄊ唬┢渌赡苡绊懽詣踊瘺Q策的透明度和結果公平、公正的事項。

  第十條 個人信息處理者存在公開其處理的個人信息情形的,應當重點審查下列事項:

 ?。ㄒ唬﹤€人信息處理者公開其處理的個人信息前是否取得個人單獨同意,該授權是否真實、有效,是否存在違背個人意愿將個人信息予以公開的情況;

 ?。ǘ﹤€人信息處理者公開個人信息前,是否進行了個人信息保護影響評估。

  第十一條 個人信息處理者在公共場所安裝圖像采集、個人身份識別設備的,應當重點對其安裝圖像采集、個人信息身份識別設備的合法性及所收集個人信息的用途進行審查。審查內容包括但不限于:

 ?。ㄒ唬┦欠駷榫S護公共安全所必需,是否存在為商業目的處理所采集信息的情況;

 ?。ǘ┦欠裨O置了顯著的提示標志;

 ?。ㄈ┤魝€人信息處理者所收集的個人圖像、身份識別信息用于維護公共安全以外用途的,是否取得個人單獨同意。

  第十二條 個人信息處理者處理已公開個人信息的,審計時應當重點審查個人信息處理者是否存在下列違規行為:

 ?。ㄒ唬┫蛞压_個人信息中的電子郵箱、手機號等發送與其公開目的無關的信息;

 ?。ǘ├靡压_的個人信息從事網絡暴力活動;

 ?。ㄈ┨幚韨€人明確拒絕處理的已公開個人信息;

 ?。ㄋ模┪慈〉脗€人同意處理已公開的個人信息對個人權益造成重大影響。

  第十三條 個人信息處理者處理敏感個人信息的,審計時應當重點審查下列事項:

 ?。ㄒ唬┨幚砩镒R別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等敏感個人信息的,是否事前取得個人的單獨同意;

 ?。ǘ┨幚聿粷M十四周歲未成年人的個人信息,是否事前取得未成年人的父母或者其他監護人的同意;

 ?。ㄈ┨幚砻舾袀€人信息的目的、方式是否合法、正當、必要;

 ?。ㄋ模┟舾袀€人信息處理是否與提供商品或者服務、履行法定職責或者法定義務等特定的目的密切相關,是否以非必要不處理為原則;

 ?。ㄎ澹┦欠裨谑虑斑M行個人信息保護影響評估,并向個人告知處理敏感個人信息的必要性以及對個人權益的影響;

 ?。┓?、行政法規規定應當取得書面同意的,是否取得書面同意;

 ?。ㄆ撸┦欠駥μ幚砻舾袀€人信息的過程進行了記錄,以保障處理敏感個人信息流程合法合規。

  第十四條 個人信息處理者業務涉及處理不滿十四周歲未成年人個人信息的,審計時應當重點審查下列事項:

 ?。ㄒ唬┦欠裰贫▽iT的未成年人個人信息處理規則;

 ?。ǘ┦欠裣蛭闯赡耆思捌浔O護人告知未成年人個人信息的處理目的、處理方式、處理必要性及處理個人信息的種類、所采取的保護措施等;

 ?。ㄈ┦欠翊嬖趶娭埔笪闯赡耆嘶蛘咂浔O護人同意非必要的個人信息處理的行為。

  第十五條 個人信息處理者存在向境外提供個人信息情形的,應當重點審查下列事項:

 ?。ㄒ唬╆P鍵信息基礎設施運營者和處理100萬人以上個人信息的個人信息處理者向境外提供個人信息是否經過國家網信部門組織的安全評估;

 ?。ǘ┳陨夏?月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的個人信息處理者向境外提供個人信息是否經過國家網信部門組織的安全評估;

 ?。ㄈ┦欠翊嬖谙蛲鈬痉ɑ蛘邎谭C構提供存儲于中華人民共和國境內的個人信息的情形,若有,是否經過中華人民共和國主管機關批準;

 ?。ㄋ模┲腥A人民共和國締結或者參加的國際條約、協定對向中華人民共和國境外提供個人信息的條件等有規定的,是否按照其規定執行;

 ?。ㄎ澹┦欠癜凑諊揖W信部門的規定,經專業機構進行個人信息保護認證或者按照國家網信部門制定的標準合同與境外接收方簽訂合同,或者符合法律、行政法規、國家網信部門規定的其他條件;

 ?。┦欠窳私饩惩饨邮辗剿趪一蛘叩貐^的個人信息保護政策和網絡安全環境對出境個人信息的影響;

 ?。ㄆ撸┦欠翊嬖谶`規向被列入限制或者禁止個人信息提供清單的組織和個人提供個人信息的情形。

  第十六條 個人信息處理者向境外提供個人信息,應當采取必要措施,保障境外接收方處理個人信息的活動達到《中華人民共和國個人信息保護法》規定的個人信息保護標準。審計時應當重點審查個人信息處理者對境外接收方采取監督措施的有效性,包括但不限于:

 ?。ㄒ唬┦欠窳私夂驼莆站惩饨邮辗降那闆r,特別是接收方是否具備必要的個人信息保護能力;

 ?。ǘ┦欠裣蚓惩饨邮辗礁嬷覈?、行政法規對個人信息保護的要求,并要求境外接收方采取相應的保護措施;

 ?。ㄈ┦欠癫扇『炗唴f議、定期核查等方式,督促境外接收方切實履行個人信息保護義務。

  第十七條 對個人信息刪除權保障情況進行審計時,應當重點審查下列情形個人信息刪除的情況:

 ?。ㄒ唬﹤€人信息處理目的已實現、無法實現或者為實現處理目的不再必要;

 ?。ǘ┩V固峁┊a品或者服務,或者個人注銷賬號;

 ?。ㄈ┻_到與個人約定的存儲期限;

 ?。ㄋ模﹤€人撤回同意;

 ?。ㄎ澹┮蚴褂米詣踊杉夹g等,無法避免采集到非必要個人信息或者未經同意的個人信息;

 ?。﹤€人信息處理者違反法律、行政法規或者違反約定處理個人信息。

  法律、行政法規規定的保存期限未屆滿,或者刪除個人信息從技術上難以實現的,個人信息處理者應當停止除存儲和采取必要的安全措施之外的處理。

  第十八條 個人信息處理者應當保障個人行使個人信息權益的權利,審計時應當重點審查下列事項:

 ?。ㄒ唬┦欠窠€人行使權利的申請受理機制;

 ?。ǘ┦欠裣騻€人提供便捷的查閱、復制、轉移、更正、補充、刪除個人信息的方法;

 ?。ㄈ┦欠窦皶r響應個人行使權利的申請,是否及時、完整、準確告知處理意見或者執行結果。

  第十九條 個人信息處理者應當響應個人申請,對其個人信息處理規則進行解釋說明,審計時應當重點對下列內容進行評價:

 ?。ㄒ唬﹤€人信息處理者是否提供便捷的方式和途徑,接受、處理個人關于個人信息處理規則解釋說明的要求;

 ?。ǘ┙拥絺€人的要求后,個人信息處理者是否在合理的時間內,使用通俗易懂的語言對其個人信息處理規則作出解釋說明。

  第二十條 個人信息處理者對個人信息保護承擔主體責任,審計時應當重點對個人信息處理者履行主體責任情況進行評價,包括但不限于下列事項:

 ?。ㄒ唬﹤€人信息保護制度制定、組織架構、管理程序與處理個人信息的性質、規模、復雜程度、風險程度的適應性;

 ?。ǘ﹤€人信息保護職責分工是否合理、職責是否明確、報告關系是否清晰;

 ?。ㄈ﹤€人信息處理者為個人信息保護提供的人、財、物保障與企業業務規模、運營計劃、個人信息合規風險管理的匹配性。

  第二十一條 個人信息處理者應當依照法律、行政法規的規定制定內部管理制度和操作規程,明確組織架構、崗位職責,建立工作流程、完善內控制度,保障個人信息處理合規與安全。審計時,應當重點對個人信息處理者個人信息保護內部管理制度和操作規程進行審查,包括但不限于:

 ?。ㄒ唬﹤€人信息保護工作的方針、目標、原則是否符合法律、行政法規規定;

 ?。ǘ﹤€人信息保護組織架構、人員配備、行為規范、管理責任是否與應當履行的個人信息保護責任相適應;

 ?。ㄈ┦欠窀鶕€人信息的種類、來源、敏感程度、用途等,對個人信息進行分類,并采取有針對性的管理或者安全技術措施;

 ?。ㄋ模┦欠窠€人信息安全事件應急響應機制;

 ?。ㄎ澹┦欠窠€人信息保護影響評估、合規審計制度;

 ?。┦欠窠惩ǖ膫€人信息保護投訴舉報受理流程;

 ?。ㄆ撸┦欠裰贫▽嵤﹤€人信息保護安全教育和培訓計劃;

 ?。ò耍┦欠窠€人信息保護負責人及相關人員履職評價制度;

 ?。ň牛┦欠窠⑨槍€人信息處理相關人員的個人信息違規處置或者違規行為責任制度,并有效實施;

 ?。ㄊ┓?、行政法規規定的其他內容。

  第二十二條 個人信息處理者應當采取與所處理個人信息規模、類型相適應的安全技術措施,并對個人信息處理者采取的技術措施的有效性進行評價,評價內容包括但不限于:

 ?。ㄒ唬┦欠駞⒄沼嘘P國家標準或者技術要求,采取相應安全技術措施實現個人信息的保密性、完整性、可用性;

 ?。ǘ┦欠癫扇〖用?、去標識化等安全技術措施,確保在不借助額外信息的情況下,消除或者降低個人信息的可識別性;

 ?。ㄈ┎扇〉陌踩夹g措施能否合理確定有關人員查閱、復制、傳輸等個人信息的操作權限,減少個人信息在處理過程中未經授權的訪問和濫用風險。

  第二十三條 對個人信息處理者教育培訓計劃的制定和實施情況進行審計時,應當重點對下列事項進行評價:

 ?。ㄒ唬┦欠癜从媱潓芾砣藛T、技術人員、操作人員、全員開展相應的安全教育和培訓,是否對相應人員的個人信息保護意識和技能進行考核;

 ?。ǘ┡嘤杻热?、培訓方式、培訓對象、培訓頻率等能否滿足個人信息保護需要。

  第二十四條 處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人,對個人信息處理活動的合規性負責。審計時,應當重點審查下列事項:

 ?。ㄒ唬﹤€人信息保護負責人是否具有相關的工作經歷和專業知識,熟悉個人信息保護相關法律、行政法規;

 ?。ǘ﹤€人信息保護負責人是否具有明確清晰的職責,是否被賦予充分的權限協調組織內個人信息處理相關部門與人員;

 ?。ㄈ﹤€人信息保護負責人是否有權提名個人信息保護團隊負責人,并與其保持順暢的溝通和聯系;

 ?。ㄋ模﹤€人信息保護負責人在個人信息處理重大事項決策前是否有權提出相關意見和建議;

 ?。ㄎ澹﹤€人信息保護負責人是否有權對組織內部個人信息處理的不合規操作進行制止和采取必要的糾正措施;

 ?。﹤€人信息處理者是否公開個人信息保護負責人的聯系方式,并將個人信息保護負責人的姓名、聯系方式等報送履行個人信息保護職責的部門。

  第二十五條 對個人信息處理者開展個人信息保護影響評估情況進行審計時,應當重點對影響評估開展情況和評估內容進行審查:

 ?。ㄒ唬┦欠褚勒辗?、行政法規的規定,在進行對個人權益具有重大影響的個人信息處理活動前通過個人信息保護影響評估;

 ?。ǘ┦欠駥€人處理活動的合法性、正當性和必要性進行了分析評估,是否存在過度收集個人信息的情況;

 ?。ㄈ┦欠駥ο拗苽€人自主決定權、引發差別性待遇、導致個人名譽受損或者遭受精神壓力、造成人身財產受損等安全風險進行了分析評估;

 ?。ㄋ模┦欠駥λ扇〉谋Wo措施的合法性、有效性、適應性進行了分析評估;

 ?。ㄎ澹﹤€人信息保護影響評估報告和處理記錄是否至少保存三年。

  第二十六條 個人信息處理者應當制定個人信息安全事件應急預案。審計時,應當對應急預案的全面性、有效性、可執行性作出評價,包括但不限于下列內容:

 ?。ㄒ唬┦欠窠Y合業務實際,對面臨的個人信息安全風險作出了系統評估和預測;

 ?。ǘ┲笇枷?、基本策略,組織機構、人員,技術、物資保障及指揮處置程序、應急和支持措施等是否足以應對預測的風險;

 ?。ㄈ┦欠駥ο嚓P人員進行應急預案培訓,定期對應急預案進行演練。

  第二十七條 對個人信息處理者個人信息安全事件應急響應處置情況進行評價時,應當重點考慮下列因素:

 ?。ㄒ唬┦欠癜凑諔鳖A案、操作規程及時查明個人信息安全事件的影響、范圍和可能造成的危害,分析、確定事件發生的原因,提出防止危害擴大的措施方案;

 ?。ǘ┦欠窠⑼▓笄?,能否在事件發生后72小時內通知履行個人信息保護職責的部門和個人;

 ?。ㄈ┦欠癫扇∠鄳胧€人信息安全事件可能造成的損失和可能產生的危害風險降低到最小。

  第二十八條 大型互聯網平臺運營者應當成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督。審計時,應當對獨立機構的獨立性、履職能力、監督作用等進行評價。

 ?。ㄒ唬┰u價獨立機構對個人信息保護情況進行監督的獨立性,重點審查外部成員與個人信息處理者及其主要股東是否存在可能妨礙其進行獨立客觀判斷的關系;

 ?。ǘ┰u價外部成員的履職能力,重點審查外部成員是否具備相應的專業知識、能力和經驗,能否對個人信息處理者的個人信息保護情況進行監督、指導,發表客觀公正的意見建議;

 ?。ㄈ┰u價獨立機構的監督作用,重點審查獨立機構在個人信息處理者合規制度體系建設、平臺規則制定、重大個人信息安全事件處置、督促企業履行社會責任等方面發揮的作用。

  第二十九條 針對大型互聯網平臺規則,應當重點審計下列事項:

 ?。ㄒ唬┰u價平臺規則的合法合規性,是否存在與法律、行政法規相抵觸的情況;

 ?。ǘ┰u價平臺規則的公平公正性,是否存在惡意競爭、影響消費者權益等違反公平競爭原則、誠實信用原則、公序良俗的內容;

 ?。ㄈ┰u價平臺規則個人信息保護條款的有效性,是否合理界定了平臺、平臺內產品或者服務提供者的個人信息保護權利和義務,是否對平臺內經營者處理個人信息行為進行規范,平臺內經營者的個人信息保護義務是否明確;

 ?。ㄋ模z查平臺規則的執行情況,通過抽樣等方式驗證平臺規則是否被有效執行。

  第三十條 大型互聯網平臺運營者應當對其平臺內產品或者服務提供者的個人信息處理活動進行監督。審計時,應當重點審查下列事項:

 ?。ㄒ唬┦欠穸ㄆ趯徍似脚_內產品或者服務提供者個人信息處理規則的合法性、合理性;

 ?。ǘ┦欠穸ㄆ趯ζ脚_內產品或者服務提供者處理個人信息遵守法律、行政法規情況進行審核;

 ?。ㄈτ趪乐剡`反法律、行政法規處理個人信息的產品或者服務提供者,平臺是否及時停止向其提供服務。

  第三十一條 大型互聯網平臺運營者應當每年發布個人信息保護社會責任報告。審計時,應當重點審查社會責任報告下列內容的披露情況:

 ?。ㄒ唬﹤€人信息保護組織架構和內部管理情況;

 ?。ǘ﹤€人信息保護能力建設情況;

 ?。ㄈ﹤€人信息保護措施和成效;

 ?。ㄋ模﹤€人行使權利的申請受理情況;

 ?。ㄎ澹┆毩⒈O督機構履職情況;

 ?。┲卮髠€人信息安全事件處理情況;

 ?。ㄆ撸┓?、行政法規規定的其他情況。

中國法治新聞網摘編亓淦玉

【免責聲明】:以上圖、文、音/視頻文章內容轉載于網絡(本網原創文章除外),其版權均屬于原作者或歸屬權利人。我們尊重原創,也注重分享。轉發推廣僅供學習參考之用,禁止用于商業用途,并不代表本網贊同其觀點。僅供交流學習了解法律、法規、政策,如無意侵犯到貴公司或個人的知識產權,部分文章轉發推送時未能及時與原作者取得聯系,若來源標注錯誤或無意侵犯到您的權益煩請告知本網制作采編部QQ號: 3555333776,微信號:GAN160003,請聯系我們將立即刪除或更正。電話:010-89525216。本網投稿郵箱:3555333776@QQ.COM。通訊地址:北京市通州區通胡大街78號(京貿中心)二層15號。本網原創文章歡迎轉載,為尊重和維護原創權利,請轉載時務必注明原創作者、來源:XXXXX網站。
點擊查看更多評論>>發表感言:
驗證碼,看不清楚請點擊更換。
84pao国产成视频永久免费