國家互聯(lián)網信息辦公室令第18號《個人信息保護合規(guī)審計管理辦法》已經2024年5月20日國家互聯(lián)網信息辦公室2024年第15次室務會會議審議通過，現(xiàn)予公布，自2025年5月1日起施行。國家互聯(lián)網信息辦公室主任莊榮文2025年2月12日

個人信息保護合規(guī)審計管理辦法第一條

為了規(guī)范個人信息保護合規(guī)審計活動，保護個人信息權益，根據(jù)《中華人民共和國個人信息保護法》、《網絡數(shù)據(jù)安全管理條例》等法律、行政法規(guī)，制定本辦法。第二條

在中華人民共和國境內開展個人信息保護合規(guī)審計，適用本辦法。本辦法所稱個人信息保護合規(guī)審計，是指對個人信息處理者的個人信息處理活動是否遵守法律、行政法規(guī)的情況進行審查和評價的監(jiān)督活動。第三條

個人信息處理者自行開展個人信息保護合規(guī)審計的，應當由個人信息處理者內部機構或者委托專業(yè)機構定期對其處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計。第四條

處理超過1000萬人個人信息的個人信息處理者，應當每兩年至少開展一次個人信息保護合規(guī)審計。第五條

個人信息處理者有以下情形之一的，國家網信部門和其他履行個人信息保護職責的部門（以下統(tǒng)稱為保護部門），可以要求個人信息處理者委托專業(yè)機構對個人信息處理活動進行合規(guī)審計：（一）發(fā)現(xiàn)個人信息處理活動存在嚴重影響個人權益或者嚴重缺乏安全措施等較大風險的；（二）個人信息處理活動可能侵害眾多個人的權益的；（三）發(fā)生個人信息安全事件，導致100萬人以上個人信息或者10萬人以上敏感個人信息泄露、篡改、丟失、毀損的。對同一個人信息安全事件或者風險，不得重復要求個人信息處理者委托專業(yè)機構開展個人信息保護合規(guī)審計。第六條

個人信息處理者自行開展或者按照保護部門要求委托專業(yè)機構開展個人信息保護合規(guī)審計的，應當參照本辦法附件《個人信息保護合規(guī)審計指引》。第七條

專業(yè)機構應當具備開展個人信息保護合規(guī)審計的能力，有與服務相適應的審計人員、場所、設施和資金等。鼓勵相關專業(yè)機構通過認證。專業(yè)機構的認證按照《中華人民共和國認證認可條例》的有關規(guī)定執(zhí)行。第八條

個人信息處理者按照保護部門要求開展個人信息保護合規(guī)審計的，應當為專業(yè)機構正常開展個人信息保護合規(guī)審計工作提供必要支持，并承擔審計費用。第九條

個人信息處理者按照保護部門要求開展個人信息保護合規(guī)審計的，應當按照保護部門要求選定專業(yè)機構，在限定時間內完成個人信息保護合規(guī)審計；情況復雜的，報保護部門批準后，可以適當延長。第十條

個人信息處理者按照保護部門要求開展個人信息保護合規(guī)審計的，在完成合規(guī)審計后，應當將專業(yè)機構出具的個人信息保護合規(guī)審計報告報送保護部門。個人信息保護合規(guī)審計報告應當由專業(yè)機構主要負責人、合規(guī)審計負責人簽字并加蓋專業(yè)機構公章。第十一條

個人信息處理者按照保護部門要求開展個人信息保護合規(guī)審計的，應當按照保護部門要求對合規(guī)審計中發(fā)現(xiàn)的問題進行整改。在整改完成后15個工作日內，向保護部門報送整改情況報告。第十二條

處理100萬人以上個人信息的個人信息處理者應當指定個人信息保護負責人，負責個人信息處理者的個人信息保護合規(guī)審計工作。提供重要互聯(lián)網平臺服務、用戶數(shù)量巨大、業(yè)務類型復雜的個人信息處理者，應當成立主要由外部成員組成的獨立機構對個人信息保護合規(guī)審計情況進行監(jiān)督。第十三條

專業(yè)機構在從事個人信息保護合規(guī)審計活動時，應當遵守法律法規(guī)，誠信正直，公正客觀地作出合規(guī)審計職業(yè)判斷，對在履行個人信息保護合規(guī)審計職責中獲得的個人信息、商業(yè)秘密、保密商務信息等應當依法予以保密，不得泄露或者非法向他人提供，在合規(guī)審計工作結束后及時刪除相關信息。第十四條

專業(yè)機構不得轉委托其他機構開展個人信息保護合規(guī)審計。第十五條

同一專業(yè)機構及其關聯(lián)機構、同一合規(guī)審計負責人不得連續(xù)三次以上對同一審計對象開展個人信息保護合規(guī)審計。第十六條

保護部門對個人信息處理者開展個人信息保護合規(guī)審計情況進行監(jiān)督檢查。第十七條

任何組織、個人有權對個人信息保護合規(guī)審計中的違法活動向保護部門進行投訴、舉報。收到投訴、舉報的部門應當依法及時處理，并將處理結果告知投訴、舉報人。第十八條

個人信息處理者、專業(yè)機構違反本辦法規(guī)定的，依照《中華人民共和國個人信息保護法》、《網絡數(shù)據(jù)安全管理條例》等法律法規(guī)的規(guī)定處理；構成犯罪的，依法追究刑事責任。第十九條

對國家機關和法律、法規(guī)授權的具有管理公共事務職能的組織的個人信息保護合規(guī)審計，不適用本辦法。第二十條

本辦法自2025年5月1日起施行。

附件個人信息保護合規(guī)審計指引一、本指引根據(jù)《中華人民共和國個人信息保護法》、《網絡數(shù)據(jù)安全管理條例》等法律、行政法規(guī)制定。二、對個人信息處理活動的合法性基礎進行合規(guī)審計的，應當重點審查下列事項：（一）基于個人同意處理個人信息的，是否取得個人同意，該同意是否由個人在充分知情的前提下自愿、明確作出；（二）基于個人同意處理個人信息的，個人信息的處理目的、處理方式、處理的個人信息種類發(fā)生變更的，是否重新取得個人同意；（三）基于個人同意處理個人信息的，是否依照法律、行政法規(guī)取得個人單獨同意或者書面同意；（四）處理個人信息未取得個人同意的，是否屬于法律、行政法規(guī)規(guī)定不需要取得個人同意的情形。三、對個人信息處理規(guī)則進行合規(guī)審計的，應當重點審查下列事項：（一）是否真實、準確、完整地告知個人信息處理者的名稱或者姓名和聯(lián)系方式；（二）是否以清單等便于查看的形式列明所收集的個人信息及其處理方式和種類；（三）是否與處理目的直接相關，采取對個人權益影響最小的方式；（四）是否明確個人信息保存期限或者保存期限的確定方法、到期后的處理方式，以及確定保存期限為實現(xiàn)處理目的所必要的最短時間；（五）是否明確個人查閱、復制、轉移、更正、補充、刪除、限制處理個人信息以及注銷賬號、撤回同意的途徑和方法。四、對個人信息處理者履行告知個人信息處理規(guī)則義務進行合規(guī)審計的，應當重點審查下列事項：（一）個人信息處理者在處理個人信息前，是否以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知個人信息處理規(guī)則；（二）告知文本的大小、字體和顏色是否便于個人完整閱讀告知事項；（三）線下告知是否通過標注、說明等多種方式向個人履行告知義務；（四）在線告知是否提供文本信息或者通過適當方式向個人履行告知義務；（五）個人信息處理規(guī)則發(fā)生變更的，是否將變更內容及時告知個人；（六）處理個人信息不需要告知的，是否屬于法律、行政法規(guī)規(guī)定應當保密或者不需要告知的情形。五、對個人信息處理者與其他個人信息處理者共同處理個人信息進行合規(guī)審計的，應當重點審查下列事項：（一）是否約定各自的權利義務；（二）個人信息權益保護機制；（三）個人信息安全事件報告機制；（四）其他法律、行政法規(guī)規(guī)定需要約定的權利和義務。六、對個人信息處理者委托處理個人信息進行合規(guī)審計的，應當重點審查下列事項：（一）個人信息處理者在委托處理個人信息前，是否開展個人信息保護影響評估；（二）個人信息處理者與受托人簽訂的合同，是否與受托人約定了委托處理的目的、期限、方式、個人信息的種類、保護措施以及雙方的權利義務等；（三）個人信息處理者是否采取定期檢查等方式，對受托人的個人信息處理活動進行監(jiān)督。七、個人信息處理者存在因合并、重組、分立、解散、被宣告破產等原因需要轉移個人信息情形的，應當重點審查個人信息處理者是否向個人告知接收方的名稱或者姓名和聯(lián)系方式。八、對個人信息處理者向其他個人信息處理者提供其處理的個人信息進行合規(guī)審計的，應當重點審查下列事項：（一）基于個人同意處理個人信息的，是否取得個人的單獨同意；（二）是否向個人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個人信息的種類，法律、行政法規(guī)規(guī)定應當保密或者不需要告知的除外；（三）是否事前進行個人信息保護影響評估。九、對個人信息處理者利用自動化決策處理個人信息進行合規(guī)審計的，應當重點審查下列事項：（一）自動化決策的透明度，以及自動化決策的結果是否公平、公正；（二）是否事前告知個人自動化決策處理個人信息的種類及可能帶來的影響；（三）是否事前進行個人信息保護影響評估；（四）是否向用戶提供保障機制，以便個人通過便捷方式拒絕通過自動化決策方式作出對個人權益有重大影響的決定，并要求個人信息處理者就通過自動化決策方式作出對用戶個人權益有重大影響的決定予以說明；（五）向個人進行信息推送、商業(yè)營銷的，是否同時提供不針對個人特征的選項，或者提供便捷的拒絕自動化決策服務的方式；（六）是否采取了有效措施，防止自動化決策根據(jù)消費者的偏好、交易習慣等對個人在交易條件上實行不合理的差別待遇；（七）其他可能影響自動化決策的透明度和結果公平、公正的事項。十、對個人信息處理者基于個人同意公開個人信息進行合規(guī)審計的，應當重點審查下列事項：（一）個人信息處理者公開其處理的個人信息前是否取得個人單獨同意，該授權是否真實、有效，是否存在違背個人意愿將個人信息予以公開的情況；（二）個人信息處理者公開個人信息前，是否進行個人信息保護影響評估。十一、個人信息處理者在公共場所安裝圖像收集、個人身份識別設備的，應當重點對其安裝圖像收集、個人信息身份識別設備的合法性及所收集個人信息的用途進行審查。審查內容包括但不限于：（一）是否為維護公共安全所必需，是否為商業(yè)目的處理所收集的個人信息；（二）是否設置了顯著的提示標識；（三）個人信息處理者所收集的個人圖像、身份識別信息用于維護公共安全以外用途的，是否取得個人單獨同意。十二、對個人信息處理者處理已公開的個人信息進行合規(guī)審計的，應當重點審查個人信息處理者是否存在下列違法違規(guī)行為：（一）向已公開個人信息中的電子郵箱、手機號等發(fā)送與其公開目的無關的商業(yè)信息；（二）利用已公開的個人信息從事網絡暴力、傳播網絡謠言和虛假信息等活動；（三）處理個人明確拒絕處理的已公開個人信息；（四）對個人權益有重大影響，未取得個人同意；（五）收集、留存或處理已公開個人信息的規(guī)模、時間或使用目的超出合理范圍。十三、對個人信息處理者處理敏感個人信息進行合規(guī)審計的，應當重點審查下列事項：（一）基于個人同意處理個人信息的，處理生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等敏感個人信息，是否事前取得個人的單獨同意；（二）基于個人同意處理個人信息的，處理不滿十四周歲未成年人的個人信息，是否事前取得未成年人的父母或者其他監(jiān)護人的同意；（三）處理敏感個人信息的目的、方式、范圍是否合法、正當、必要；（四）是否在事前進行個人信息保護影響評估；（五）是否向個人告知處理敏感個人信息的必要性以及對個人權益的影響，法律、行政法規(guī)規(guī)定應當保密或者不需要告知的除外；（六）法律、行政法規(guī)規(guī)定應當取得書面同意的，是否取得書面同意；（七）是否遵守法律、行政法規(guī)對處理敏感個人信息的限制性規(guī)定。十四、對個人信息處理者處理不滿十四周歲未成年人個人信息進行合規(guī)審計的，應當重點審查下列事項：（一）是否制定專門的個人信息處理規(guī)則；（二）是否向未成年人及其監(jiān)護人告知未成年人個人信息的處理目的、處理方式、處理必要性，以及處理個人信息的種類、所采取的保護措施等，法律、行政法規(guī)規(guī)定不需要告知的除外；（三）基于個人同意處理個人信息，是否存在強制要求未成年人或者其監(jiān)護人同意處理非必要個人信息的行為。十五、對個人信息處理者向境外提供個人信息進行合規(guī)審計的，應當重點審查下列事項：（一）關鍵信息基礎設施運營者向境外提供個人信息是否經過國家網信部門組織的安全評估，法律、行政法規(guī)、國家網信部門另有規(guī)定的，從其規(guī)定；（二）關鍵信息基礎設施運營者以外的數(shù)據(jù)處理者自當年1月1日起累計向境外提供100萬人以上個人信息（不含敏感個人信息）或者1萬人以上敏感個人信息是否經過國家網信部門組織的安全評估，法律、行政法規(guī)、國家網信部門另有規(guī)定的，從其規(guī)定；（三）關鍵信息基礎設施運營者以外的數(shù)據(jù)處理者自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息（不含敏感個人信息）或者不滿1萬人敏感個人信息的，是否按照國家網信部門的規(guī)定，經個人信息保護認證或者按照國家網信部門制定的標準合同與境外接收方簽訂合同并向所在地省級網信部門備案，或者符合法律、行政法規(guī)、國家網信部門規(guī)定的其他條件；（四）存在向外國司法或者執(zhí)法機構提供存儲于中華人民共和國境內個人信息情形的，是否經過中華人民共和國主管機關批準；（五）是否向被列入限制或者禁止個人信息提供清單的組織和個人提供個人信息。十六、對個人信息刪除權保障情況進行合規(guī)審計的，應當重點審查下列事項：（一）個人信息處理目的是否已實現(xiàn)、無法實現(xiàn)或者為實現(xiàn)處理目的不再必要；（二）個人信息處理者是否停止提供產品或者服務，或者個人是否已注銷賬號；（三）保存期限是否已屆滿；（四）個人是否撤回同意；（五）個人信息處理者是否違反法律、行政法規(guī)或者違反約定處理個人信息；（六）應當刪除個人信息，但法律、行政法規(guī)規(guī)定的保存期限未屆滿，或者刪除個人信息從技術上難以實現(xiàn)的，個人信息處理者是否停止除存儲和采取必要的安全措施之外的處理。十七、對個人信息處理者保障個人在個人信息處理活動中的權利情況進行合規(guī)審計的，應當重點審查下列事項：（一）是否建立便捷的個人行使權利的申請受理機制和處理機制；（二）是否及時響應個人行使權利的申請，是否及時、完整、準確告知處理意見或者執(zhí)行結果；（三）拒絕個人行使權利請求的，是否向個人說明理由。十八、個人信息處理者應當響應個人申請，對其個人信息處理規(guī)則進行解釋說明，合規(guī)審計時應當重點對下列內容進行評價：（一）個人信息處理者是否提供便捷的方式和途徑，接受、處理個人關于個人信息處理規(guī)則解釋說明的要求；（二）接到個人的要求后，個人信息處理者是否在合理的時間內，使用通俗易懂的語言對其個人信息處理規(guī)則作出解釋說明。十九、個人信息處理者應當依照法律、行政法規(guī)的規(guī)定制定內部管理制度和操作規(guī)程，明確組織架構、崗位職責，建立工作流程、完善內控制度，保障個人信息處理合規(guī)與安全。合規(guī)審計時，應當重點對個人信息處理者個人信息保護內部管理制度和操作規(guī)程進行審查，包括但不限于：（一）個人信息保護工作的方針、目標、原則是否符合法律、行政法規(guī)規(guī)定；（二）個人信息保護組織架構、人員配備、行為規(guī)范、管理責任是否與應當履行的個人信息保護責任相適應；（三）是否根據(jù)個人信息的種類、來源、敏感程度、用途等，對個人信息進行分類；（四）是否建立個人信息安全事件應急響應機制；（五）是否建立個人信息保護影響評估制度、合規(guī)審計制度；（六）是否建立暢通的個人信息保護投訴舉報受理流程；（七）是否合理制定個人信息處理操作權限；（八）是否制定實施個人信息保護安全教育和培訓計劃；（九）是否建立個人信息保護負責人及相關人員履職評價制度；（十）是否建立個人信息違法處理責任制度；（十一）法律、行政法規(guī)規(guī)定的其他事項。二十、個人信息處理者應當采取與所處理個人信息規(guī)模、類型相適應的安全技術措施，并對個人信息處理者采取的技術措施的有效性進行評價，評價內容包括但不限于：（一）是否采取相應安全技術措施實現(xiàn)個人信息的保密性、完整性、可用性；（二）是否采取加密、去標識化等安全技術措施，確保在不借助額外信息的情況下，消除或者降低個人信息的可識別性；（三）采取的安全技術措施能否合理確定有關人員查閱、復制、傳輸個人信息等的操作權限，減少個人信息在處理過程中未經授權的訪問和濫用風險。二十一、對個人信息處理者教育培訓計劃的制定和實施情況進行合規(guī)審計時，應當重點對下列事項進行評價：（一）是否按計劃對管理人員、技術人員、操作人員、全員開展相應的安全教育和培訓，是否對相應人員的個人信息保護意識和技能進行考核；（二）培訓內容、方式、對象、頻率等能否滿足個人信息保護需要。二十二、對個人信息處理者指定的個人信息保護負責人履職情況進行合規(guī)審計的，應當重點審查下列事項：（一）個人信息保護負責人是否具有相關的工作經歷和專業(yè)知識，熟悉個人信息保護相關法律、行政法規(guī)；（二）個人信息保護負責人是否具有明確清晰的職責，是否被賦予充分的權限協(xié)調個人信息處理者內部相關部門與人員；（三）個人信息保護負責人在個人信息處理重大事項決策前是否有權提出相關意見和建議；（四）個人信息保護負責人是否有權對個人信息處理者內部個人信息處理的不合規(guī)操作進行制止和采取必要的糾正措施；（五）個人信息處理者是否公開個人信息保護負責人的聯(lián)系方式，并將個人信息保護負責人的姓名、聯(lián)系方式等報送保護部門。二十三、對個人信息處理者開展個人信息保護影響評估情況進行合規(guī)審計時，應當重點對影響評估開展情況和評估內容進行審查：（一）是否依照法律、行政法規(guī)的規(guī)定，在進行對個人權益具有重大影響的個人信息處理活動前進行個人信息保護影響評估；（二）是否對個人信息的處理目的、處理方式等進行合法、正當、必要評估；（三）是否對個人權益的影響及安全風險進行評估；（四）是否對所采取的保護措施的合法性、有效性，以及與風險程度的適應性進行評估。二十四、個人信息處理者應當制定個人信息