《个别消息珍爱合规审计解决设施》仍旧2024年5月20日国度互联网消息办公室2024年第15次室务召集会审议通过，现予公告，自2025年5月1日起实践。

　　第一条为了类型个别消息珍爱合规审计勾当，珍爱个别消息权力，依照《中华群多共和国个别消息珍爱法》、《收集数据太平解决条例》等执法、行政规则，订定本设施。

　　本设施所称个别消息珍爱合规审计，是指对个别消息收拾者的个别消息收拾勾当是否遵从执法、行政规则的情形举行审查和评议的监视勾当。

　　第三条个别消息收拾者自行展开个别消息珍爱合规审计的，该当由个别消息收拾者内部机构或者委托专业机构按期对其收拾个别消息遵从执法、行政规则的情形举行合规审计。

　　第四条收拾抢先1000万人个别消息的个别消息收拾者，该当每两年起码展开一次个别消息珍爱合规审计。

　　第五条个别消息收拾者有以下境况之一的，国度网信部分和其他施行个别消息珍爱职责的部分（以下统称为珍爱部分），能够央求个别消息收拾者委托专业机构对个别消息收拾勾当举行合规审计：

　　（三）爆发个别消息太平事宜，导致100万人以上个别消息或者10万人以上敏锐个别消息暴露、窜改、丧失、毁损的。

　　对统一个别消息太平事宜或者危机，不得反复央求个别消息收拾者委托专业机构展开个别消息珍爱合规审计。

　　第六条个别消息收拾者自行展开或者遵循珍爱部分央求委托专业机构展开个别消息珍爱合规审计的，该当参照本设施附件《个别消息珍爱合规审计指引》。

　　第七条专业机构该当具备展开个别消息珍爱合规审计的才智，有与效劳相合适的审计职员、场地、举措和资金等。

　　第八条个别消息收拾者遵循珍爱部分央求展开个别消息珍爱合规审计的，该当为专业机构寻常展开个别消息珍爱合规审计事务供应需要援帮，并接受审计用度。

　　第九条个别消息收拾者遵循珍爱部分央求展开个别消息珍爱合规审计的，该当遵循珍爱部分央求选定专业机构，正在限度时刻内完毕个别消息珍爱合规审计；情形繁复的，报珍爱部分允许后，能够妥当拉长。

　　第十条个别消息收拾者遵循珍爱部分央求展开个别消息珍爱合规审计的，正在完毕合规审计后，该当将专业机构出具的个别消息珍爱合规审计讲述报送珍爱部分。

　　第十一条个别消息收拾者遵循珍爱部分央求展开个别消息珍爱合规审计的，该当遵循珍爱部分央求对合规审计中呈现的题目举行整改。正在整改完毕后15个事务日内，向珍爱部分报送整改情形讲述。

　　第十二条收拾100万人以上个别消息的个别消息收拾者该当指定个别消息珍爱担任人，担任个别消息收拾者的个别消息珍爱合规审计事务。

　　供应紧张互联网平台效劳、用户数目强大、交易类型繁复的个别消息收拾者，该当创造紧要由表部成员构成的独立机构对个别消息珍爱合规审计情形举行监视。

　　第十三条专业机构正在从事个别消息珍爱合规审计勾当时，该当遵从执法规则，诚信方正，刚正客观地作出合规审计职业占定，对正在施行个别消息珍爱合规审计职责中获取的个别消息、贸易机密、保密商务消息等该当依法予以保密，不得暴露或者作歹向他人供应，正在合规审计事务遣散后实时删除合联消息。

　　第十五条统一专业机构及其相合机构、统一合规审计担任人不得联贯三次以上对统一审计对象展开个别消息珍爱合规审计。

　　第十七条任何构造、个别有权对个别消息珍爱合规审计中的违法勾当向珍爱部分举行投诉、举报。收到投诉、举报的部分该当依法实时收拾，并将收拾结果见告投诉、举报人。

　　第十八条个别消息收拾者、专业机构违反本办规则矩的，遵从《中华群多共和国个别消息珍爱法》、《收集数据太平解决条例》等执法规则的规矩收拾；组成犯警的，依法追溯刑事义务。

　　第十九条对国度圈套和执法、规则授权的拥有解决大多事件性能的构造的个别消息珍爱合规审计，不实用本设施。

　　一、本指引依照《中华群多共和国个别消息珍爱法》、《收集数据太平解决条例》等执法、行政规则订定。

　　（一）基于个别愿意收拾个别消息的，是否得到个别愿意，该愿意是否由个别正在宽裕知情的条件下自发、真切作出；

　　（二）基于个别愿意收拾个别消息的，个别消息的收拾目标、收拾方法、收拾的个别消息品种爆发转化的，是否从新得到个别愿意；

　　（四）是否真切个别消息保管刻日或者保管刻日确切定技巧、到期后的收拾方法，以及确定保管刻日为完成收拾目标所需要的最短时刻；

　　（五）是否真切个别查阅、复造、变化、改动、添补、删除、局限收拾个别消息以及刊出账号、撤回愿意的途径和技巧。

　　（一）个别消息收拾者正在收拾个别消息前，是否以明显方法、了解易懂的说话可靠、正确、完备地向个别见告个别消息收拾准则；

　　五、对个别消息收拾者与其他个别消息收拾者合伙收拾个别消息举行合规审计的，该当中心审查下列事项：

　　（二）个别消息收拾者与受托人签定的合同，是否与受托人商定了委托收拾的目标、刻日、方法、个别消息的品种、珍爱门径以及两边的权柄负担等；

　　七、个别消息收拾者存正在因统一、重组、分立、收场、被发布崩溃等来由必要变化个别消息境况的，该当中心审查个别消息收拾者是否向个别见告摄取方的名称或者姓名和干系方法。

　　八、对个别消息收拾者向其他个别消息收拾者供应其收拾的个别消息举行合规审计的，该当中心审查下列事项：

　　（二）是否向个别见告摄取方的名称或者姓名、干系方法、收拾目标、收拾方法和个别消息的品种，执法、行政规则规矩该当保密或者不必要见告的除表；

　　（四）是否向用户供应保护机造，以便个别通过便捷方法拒绝通过主动化决定方法作出对个别权力有巨大影响的定夺，并央求个别消息收拾者就通过主动化决定方法作出对用户个别权力有巨大影响的定夺予以注释；

　　（五）向个别举行消息推送、贸易营销的，是否同时供应不针对个别特色的选项，或者供应便捷的拒绝主动化决定效劳的方法；

　　（六）是否接纳了有用门径，防卫主动化决定依照消费者的偏好、往还习性等对个别正在往还要求上实行不对理的分歧待遇；

　　（一）个别消息收拾者公然其收拾的个别消息前是否得到个别稀少愿意，该授权是否可靠、有用，是否存正在违背个别意图将个别消息予以公然的情形；

　　十一、个别消息收拾者正在大庭广多安设图像搜聚、个别身份识别开发的，该当中心对其安设图像搜聚、个别消息身份识别开发的合法性及所搜聚个别消息的用处举行审查。审查实质征求但不限于：

　　（三）个别消息收拾者所搜聚的个别图像、身份识别消息用于保卫大多太平以表用处的，是否得到个别稀少愿意。

　　十二、对个别消息收拾者收拾已公然的个别消息举行合规审计的，该当中心审查个别消息收拾者是否存不才列违法违规动作：

　　（一）基于个别愿意收拾个别消息的，收拾生物识别、宗教信奉、特定身份、医疗健壮、金融账户、足迹轨迹等敏锐个别消息，是否事前得到个其余稀少愿意；

　　（二）基于个别愿意收拾个别消息的，收拾不满十周围岁未成年人的个别消息，是否事前得到未成年人的父母或者其他监护人的愿意；

　　（五）是否向个别见告收拾敏锐个别消息的需要性以及对个别权力的影响，执法、行政规则规矩该当保密或者不必要见告的除表；

　　十四、对个别消息收拾者收拾不满十周围岁未成年人个别消息举行合规审计的，该当中心审查下列事项：

　　（二）是否向未成年人及其监护人见告未成年人个别消息的收拾目标、收拾方法、收拾需要性，以及收拾个别消息的品种、所接纳的珍爱门径等，执法、行政规则规矩不必要见告的除表；

　　（三）基于个别愿意收拾个别消息，是否存正在强造央求未成年人或者其监护人愿意收拾非需要个别消息的动作。

　　（一）环节消息根基举措运营者向境表供应个别消息是否通过国度网信部分构造的太平评估，执法、行政规则、国度网信部分另有规矩的，从其规矩；

　　（二）环节消息根基举措运营者以表的数据收拾者自当年1月1日起累计向境表供应100万人以上个别消息（不含敏锐个别消息）或者1万人以上敏锐个别消息是否通过国度网信部分构造的太平评估，执法、行政规则、国度网信部分另有规矩的，从其规矩；

　　（三）环节消息根基举措运营者以表的数据收拾者自当年1月1日起累计向境表供应10万人以上、不满100万人个别消息（不含敏锐个别消息）或者不满1万人敏锐个别消息的，是否遵循国度网信部分的规矩，经个别消息珍爱认证或者遵循国度网信部分订定的尺度合同与境表摄取方签定合同并向所正在地省级网信部分注册，或者吻合执法、行政规则、国度网信部分规矩的其他要求；

　　（四）存正在向表国国法或者司法机构供应存储于中华群多共和国境内个别消息境况的，是否通过中华群多共和国主管圈套允许；

　　（六）该当删除个别消息，但执法、行政规则规矩的保管刻日未届满，或者删除个别消息从时间上难以完成的，个别消息收拾者是否遏造除存储和接纳需要的太平门径除表的收拾。

　　十七、对个别消息收拾者保护个别正在个别消息收拾勾当中的权柄情形举行合规审计的，该当中心审查下列事项：

　　十八、个别消息收拾者该当反映个别申请，对其个别消息收拾准则举行讲明注释，合规审计时该当中心对下列实质举行评议：

　　（一）个别消息收拾者是否供应便捷的方法和途径，接纳、收拾个别合于个别消息收拾准则讲明注释的央求；

　　（二）接到个其余央求后，个别消息收拾者是否正在合理的时刻内，行使广泛易懂的说话对其个别消息收拾准则作出讲明注释。

　　十九、个别消息收拾者该当遵从执法、行政规则的规矩订定内部解决轨造和操作规程，真切构造架构、岗亭职责，设立事务流程、完整内控轨造，保护个别消息收拾合规与太平。合规审计时，该当中心对个别消息收拾者个别消息珍爱内部解决轨造和操作规程举行审查，征求但不限于：

　　（二）个别消息珍爱构造架构、职员装备、动作类型、解决义务是否与该当施行的个别消息珍爱义务相合适；

　　二十、个别消息收拾者该当接纳与所收拾个别消息界限、类型相合适的太平时间门径，并对个别消息收拾者接纳的时间门径的有用性举行评议，评议实质征求但不限于：

　　（二）是否接纳加密、去标识化等太平时间门径，确保正在不借帮分表消息的情形下，排除或者消重个别消息的可识别性；

　　（三）接纳的太平时间门径能否合理确定相合职员查阅、复造、传输个别消息等的操作权限，裁汰个别消息正在收拾流程中未经授权的探访和滥用危机。

　　二十一、对个别消息收拾者教训培训策动的订定和实践情形举行合规审计时，该当中心对下列事项举行评议：

　　（一）是否按策动对解决职员、时间职员、操作职员、全员展开相应的太平教训和培训，是否对相应职员的个别消息珍爱认识和才干举行视察；

　　二十二、对个别消息收拾者指定的个别消息珍爱担任人履职情形举行合规审计的，该当中心审查下列事项：

　　（一）个别消息珍爱担任人是否拥有合联的事务阅历和专业常识，熟习个别消息珍爱合联执法、行政规则；

　　（二）个别消息珍爱担任人是否拥有真切了解的职责，是否被给予宽裕的权限和谐个别消息收拾者内部合联部分与职员；

　　（四）个别消息珍爱担任人是否有权对个别消息收拾者内部个别消息收拾的不对规操作举行禁止和接纳需要的改进门径；

　　（五）个别消息收拾者是否公然个别消息珍爱担任人的干系方法，并将个别消息珍爱担任人的姓名、干系方法等报送珍爱部分。

　　二十三、对个别消息收拾者展开个别消息珍爱影响评估情形举行合规审计时，该当中心对影响评估展开情形和评估实质举行审查：

　　（一）是否遵从执法、行政规则的规矩，正在举行对个别权力拥有巨大影响的个别消息收拾勾当行举行个别消息珍爱影响评估；

　　二十四、个别消息收拾者该当订定个别消息太平事宜应急预案。合规审计时，该当对应急预案的周至性、有用性、可推广性作出评议，征求但不限于下列实质：

　　（二）总体央求、基础政策，构造机构、职员，时间、物资保护，指示处理步调，应急和援帮门径等是否足以应对预测的危机；

　　二十五、对个别消息收拾者个别消息太平事宜应急反映处理情形举行合规审计的，该当中心审查下列事项：

　　（一）是否遵循应急预案、操作规程实时查明个别消息太平事宜的影响、鸿沟和可以酿成的破坏，解析、确定事宜爆发的来由，提出防卫破坏扩张的门径计划；

　　二十六、对供应紧张互联网平台效劳、用户数目强大、交易类型繁复的个别消息收拾者订定的平台准则举行合规审计的，该当中心审查下列事项：

　　（二）平台准则个别消息珍爱条目标有用性，是否合理界定了平台、平台内产物或者效劳供应者的个别消息珍爱权柄和负担；

　　二十七、对供应紧张互联网平台效劳、用户数目强大、交易类型繁复的个别消息收拾者颁布的个别消息珍爱社会义务讲述举行合规审计的，该当中心审查社会义务讲述披露下列实质的情形：