國家網信辦今日發布公告，為指導、規范個人信息保護合規審計活動，根據《中華人民共和國個人信息保護法》等法律法規，國家互聯網信息辦公室起草了《個人信息保護合規審計管理辦法（征求意見稿）》，現向社會公開征求意見。

　　征求意見稿提到，處理超過 100 萬人個人信息的個人信息處理者，應當每年至少開展一次個人信息保護合規審計；其他個人信息處理者應當每二年至少開展一次個人信息保護合規審計。

　　公眾可以通過以下途徑和方式提出反饋意見：

　　1.登錄中華人民共和國司法部 中國政府法制信息網（www.moj.gov.cn、www.chinalaw.gov.cn），進入首頁主菜單的立法意見征集欄目提出意見。

　　2.通過電子郵件方式發送至：shujuju@cac.gov.cn。

　　3.通過信函方式將意見寄至：北京市海淀區阜成路 15 號國家互聯網信息辦公室網絡數據管理局，郵編 100048，并在信封上注明個人信息保護合規審計管理辦法征求意見。

　　IT之家注：意見反饋截止時間為 2023 年 9 月 2 日。

　　《個人信息保護合規審計管理辦法（征求意見稿）》全文：

　　第一條 為指導、規范個人信息保護合規審計活動，提高個人信息處理活動合規水平，保護個人信息權益，根據《中華人民共和國個人信息保護法》等法律、行政法規和國家有關規定，制定本辦法。

　　第二條 個人信息處理者定期開展個人信息保護合規審計，或者按照履行個人信息保護職責的部門要求委托專業機構對其個人信息處理活動進行合規審計，以及對個人信息保護合規審計活動的監督管理適用本辦法。

　　第三條 本辦法所稱個人信息保護合規審計，是指對個人信息處理者的個人信息處理活動是否遵守法律、行政法規的情況進行審查和評價的監督活動。

　　第四條 處理超過 100 萬人個人信息的個人信息處理者，應當每年至少開展一次個人信息保護合規審計；其他個人信息處理者應當每二年至少開展一次個人信息保護合規審計。

　　第五條 個人信息處理者自行開展個人信息保護合規審計，可根據實際情況，由本組織內部機構或者委托專業機構按照本辦法要求開展。

　　第六條 履行個人信息保護職責的部門在履行職責中，發現個人信息處理活動存在較大風險或者發生個人信息安全事件的，可以要求個人信息處理者委托專業機構對其個人信息處理活動進行合規審計。

　　第七條 個人信息處理者按照履行個人信息保護職責的部門要求開展個人信息保護合規審計的，應當在收到通知后盡快按照要求選定專業機構進行個人信息保護合規審計。

　　第八條 個人信息處理者按照履行個人信息保護職責的部門要求委托專業機構開展個人信息保護合規審計的，應當保證專業機構能夠正常行使下列權限：

　　（一）要求提供或者協助查閱相關文件或資料；

　　（二）進入個人信息處理活動相關場所；

　　（三）觀察場所內發生的個人信息處理活動；

　　（四）調查相關業務活動及所依賴的信息系統；

　　（五）檢查、測試個人信息處理活動相關設備設施；

　　（六）調取、查閱個人信息處理活動相關數據或信息；

　　（七）訪談與個人信息處理活動有關的人員；

　　（八）就相關問題進行調查、質詢和取證；

　　（九）其他開展合規審計工作所必需的權限。

　　第九條 個人信息處理者按照履行個人信息保護職責部門要求委托專業機構開展個人信息保護合規審計的，應當在 90 個工作日內完成個人信息保護合規審計；情況復雜的，報經履行個人信息保護職責的部門批準后可適當延長。

　　第十條 個人信息處理者按照履行個人信息保護職責部門要求委托專業機構開展個人信息保護合規審計的，應當按照本辦法要求組織實施個人信息保護合規審計，在實施必要合規審計程序后，及時將專業機構出具的個人信息保護合規審計報告報送履行個人信息保護職責的部門。個人信息保護合規審計報告應當由合規審計負責人、專業機構負責人簽字并加蓋專業機構公章。

　　第十一條 個人信息處理者按照履行個人信息保護職責的部門要求委托專業機構開展個人信息保護合規審計的，應當按照專業機構給出的整改建議進行整改，經專業機構復核后將整改情況報送履行個人信息保護職責的部門。

　　第十二條 執行個人信息保護合規審計的專業機構應當保持獨立性和客觀性，連續為同一審計對象開展個人信息保護合規審計不得超過三次。

　　第十三條 國家網信部門會同公安機關等國務院有關部門按照統籌規劃、合理布局、擇優推薦的原則建立個人信息保護合規審計專業機構推薦目錄，每年組織開展個人信息保護合規審計專業機構評估評價，并根據評估評價情況動態調整個人信息保護合規審計專業機構推薦目錄。

　　鼓勵個人信息處理者優先選擇推薦目錄中的專業機構開展個人信息保護合規審計活動。

　　第十四條 專業機構在從事個人信息保護合規審計活動時，應當誠信正直，公正客觀地作出合規審計職業判斷。

　　專業機構不得轉包委托第三方開展個人信息保護合規審計。

　　專業機構在履行個人信息保護合規審計職責中獲得的信息，只能用于個人信息保護合規審計的需要，不得用于其他用途；專業機構應當對獲得的信息承擔保密責任；專業機構應當采取相應技術措施和其他必要措施，保障數據安全。

　　專業機構在履行個人信息保護合規審計職責時不得惡意干擾個人信息處理者的正常經營活動。

　　專業機構有出具虛假、失實報告等違規行為的，個人信息處理者及相關方可向履行個人信息保護職責的部門進行投訴，經履行個人信息保護職責的部門核實的，永久禁止列入個人信息保護合規審計專業機構推薦目錄。

　　第十五條 違反本辦法規定的，依據《中華人民共和國個人信息保護法》等法律法規處理；構成犯罪的，依法追究刑事責任。

　　第十六條 本辦法由國家互聯網信息辦公室負責解釋，自 年 月 日起施行。