《小我消息合规审计办理法子》曾经2024年5月20日国度互联网消息办公室2024年第15次室务会会议审议通过，现予发布，自2025年5月1日起施行。第一条为了规范小我消息合规审计勾当，小我消息权益，按照《中华人平易近国小我消息保》、《收集数据平安办理条例》等法令、行规，制定本法子。是指对小我消息处置者的小我消息处置勾当能否恪守法令、行规的环境进行审查和评价的监视勾当。第小我消息处置者自行开展小我消息合规审计的，该当由小我消息处置者内部机构或者委托专业机构按期对其处置小我消息恪守法令、行规的环境进行合规审计。第四条处置跨越1000万人小我消息的小我消息处置者，该当每两年至多开展一次小我消息合规审计。第五条小我消息处置者有以下景象之一的，国度网信部分和其他履行小我消息职责的部分（以下统称为部分），能够要求小我消息处置者委托专业机构对小我消息处置勾当进行合规审计：（三）发生小我消息平安事务，导致100万人以上小我消息或者10万人以上小我消息泄露、、丢失、毁损的。对统一小我消息平安事务或者风险，不得反复要求小我消息处置者委托专业机构开展小我消息合规审计。第六条小我消息处置者自行开展或者按照部分要求委托专业机构开展小我消息合规审计的，该当参照本法子附件《小我消息合规审计》。第七条专业机构该当具备开展小我消息合规审计的能力，有取办事相顺应的审计人员、场合、设备和资金等。第八条小我消息处置者按照部分要求开展小我消息合规审计的，该当为专业机构一般开展小我消息合规审计工做供给需要支撑，并承担审计费用。第九条小我消息处置者按照部分要求开展小我消息合规审计的，该当按照部分要求选定专业机构，正在限制时间内完成小我消息合规审计；环境复杂的，报部分核准后，能够恰当耽误。第十条小我消息处置者按照部分要求开展小我消息合规审计的，正在完成合规审计后，该当将专业机构出具的小我消息合规审计演讲报送部分。第十一条小我消息处置者按照部分要求开展小我消息合规审计的，该当按照部分要求对合规审计中发觉的问题进行整改。正在整改完成后15个工做日内，向部分报送整改环境演讲。第十二条处置100万人以上小我消息的小我消息处置者该当指定小我消息担任人，担任小我消息处置者的小我消息合规审计工做。供给主要互联网平台办事、用户数量庞大、营业类型复杂的小我消息处置者，该当成立次要由外部构成的机构对小我消息合规审计环境进行监视。第十专业机构正在处置小我消息合规审计勾当时，该当恪守法令律例，诚信正曲，客不雅地做出合规审计职业判断，对正在履行小我消息合规审计职责中获得的小我消息、贸易奥秘、保密商务消息等该当依法予以保密，不得泄露或者不法向他人供给，正在合规审计工做竣事后及时删除相关消息。第十五条统一专业机构及其联系关系机构、统一合规审计担任人不得持续三次以上对统一审计对象开展小我消息合规审计。第十七条任何组织、小我有权对小我消息合规审计中的违法勾当向部分进行赞扬、举报。收到赞扬、举报的部分该当依法及时处置，并将处置成果奉告赞扬、举报人。第十八条小我消息处置者、专业机构违反本法子的，《收集数据平安办理条例》等法令律例的处置；形成犯罪的，依法逃查刑事义务。第十九条对和法令、律例授权的具有办理公共事务本能机能的组织的小我消息合规审计，不合用本法子。一、本按照《中华人平易近国小我消息保》、《收集数据平安办理条例》等法令、行规制定。（一）基于小我同意处置小我消息的，该同意能否由小我正在充实知情的前提下志愿、明白做出；（二）基于小我同意处置小我消息的，小我消息的处置目标、处置体例、处置的小我消息品种发生变动的，能否从头取得小我同意；（四）能否明白小我消息保留刻日或者保留刻日简直定方式、到期后的处置体例，以及确定保留刻日为实现处置目标所需要的最短时间；（五）能否明白小我查阅、复制、转移、更正、弥补、删除、处置小我消息以及登记账号、撤回同意的路子和方式。（一）小我消息处置者正在处置小我消息前，能否以显著体例、清晰易懂的言语实正在、精确、完整地向小我奉告小我消息处置法则；五、对小我消息处置者取其他小我消息处置者配合处置小我消息进行合规审计的，该当沉点审查下列事项：（二）小我消息处置者取受托人签定的合同，能否取受托人商定了委托处置的目标、刻日、体例、小我消息的品种、办法以及两边的权利等；七、小我消息处置者存正在因归并、沉组、分立、闭幕、被宣布破产等缘由需要转移小我消息景象的，该当沉点审查小我消息处置者能否向小我奉告领受方的名称或者姓名和联系体例。八、对小我消息处置者向其他小我消息处置者供给其处置的小我消息进行合规审计的，该当沉点审查下列事项：（二）能否向小我奉告领受方的名称或者姓名、联系体例、处置目标、处置体例和小我消息的品种，法令、行规该当保密或者不需要奉告的除外；（四）能否向用户供给保障机制，以便小我通过便利体例通过从动化决策体例做出对个益有严沉影响的决定，并要求小我消息处置者就通过从动化决策体例做出对用户个益有严沉影响的决定予以申明；（五）向小我进行消息推送、贸易营销的，能否同时供给不针对小我特征的选项，或者供给便利的从动化决策办事的体例；（六）能否采纳了无效办法，防止从动化决策按照消费者的偏好、买卖习惯等对小我正在买卖前提上实行不合理的不同待遇；（一）小我消息处置者公开其处置的小我消息前能否取得小我零丁同意，该授权能否实正在、无效，能否存正在小我志愿将小我消息予以公开的环境；十一、小我消息处置者正在公共场合安拆图像收集、小我身份识别设备的，该当沉点对其安拆图像收集、小我消息身份识别设备的性及所收集小我消息的用处进行审查。审查内容包罗但不限于：（三）小我消息处置者所收集的小我图像、身份识别消息用于维护公共平安以外用处的，能否取得小我零丁同意。十二、对小我消息处置者处置已公开的小我消息进行合规审计的，该当沉点审查小我消息处置者能否存鄙人列违法违规行为：（一）基于小我同意处置小我消息的，处置生物识别、教、特定身份、医疗健康、金融账户、能否事前取得小我的零丁同意；（二）基于小我同意处置小我消息的，处置不满十四周岁未成年人的小我消息，能否事前取得未成年人的父母或者其他监护人的同意；（五）能否向小我奉告处置小我消息的需要性以及对个益的影响，法令、行规该当保密或者不需要奉告的除外；十四、对小我消息处置者处置不满十四周岁未成年人小我消息进行合规审计的，该当沉点审查下列事项：（二）能否向未成年人及其监护人奉告未成年人小我消息的处置目标、处置体例、处置需要性，以及处置小我消息的品种、所采纳的办法等，法令、行规不需要奉告的除外；（三）基于小我同意处置小我消息，能否存正在强制要求未成年人或者其监护人同意处置非需要小我消息的行为。（一）环节消息根本设备运营者向境外供给小我消息能否颠末国度网信部分组织的平安评估，法令、行规、国度网信部分还有的，从其；（二）环节消息根本设备运营者以外的数据处置者自昔时1月1日起累计向境外供给100万人以上小我消息（不含小我消息）或者1万人以上小我消息能否颠末国度网信部分组织的平安评估，法令、行规、国度网信部分还有的，从其；（三）环节消息根本设备运营者以外的数据处置者自昔时1月1日起累计向境外供给10万人以上、不满100万人小我消息（不含小我消息）或者不满1万人小我消息的，能否按照国度网信部分的，经小我消息认证或者按照国度网信部分制定的尺度合同取境外领受方签定合同并向所正在地省级网信部分存案，或者符律、行规、国度网信部分的其他前提；（四）存正在向外国司法或者法律机构供给存储于中华人平易近国境内小我消息景象的，能否颠末中华人平易近国从管机关核准；（六）该当删除小我消息，但法令、行规的保留刻日未届满，或者删除小我消息从手艺上难以实现的，小我消息处置者能否遏制除存储和采纳需要的平安办法之外的处置。十七、对小我消息处置者保障小我正在小我消息处置勾当中的环境进行合规审计的，该当沉点审查下列事项：十八、小我消息处置者该当响应小我申请，对其小我消息处置法则进行注释申明，合规审计时该当沉点对下列内容进行评价：（一）小我消息处置者能否供给便利的体例和路子，接管、处置小我关于小我消息处置法则注释申明的要求；（二）接到小我的要求后，小我消息处置者能否正在合理的时间内，利用通俗易懂的言语对其小我消息处置法则做出注释申明。十九、小我消息处置者该当按照法令、行规的制定内部办理轨制和操做规程，明白组织架构、岗亭职责，成立工做流程、完美内控轨制，保障小我消息处置合规取平安。合规审计时，该当沉点对小我消息处置者小我消息内部办理轨制和操做规程进行审查，包罗但不限于：（二）小我消息组织架构、人员配备、行为规范、办理义务能否取该当履行的小我消息义务相顺应；二十、小我消息处置者该当采纳取所处置小我消息规模、类型相顺应的平安手艺办法，并对小我消息处置者采纳的手艺办法的无效性进行评价，评价内容包罗但不限于：（二）能否采纳加密、去标识化等平安手艺办法，确保正在不借帮额外消息的环境下，消弭或者降低小我消息的可识别性；（三）采纳的平安手艺办法可否合理确定相关人员查阅、复制、传输小我消息等的操做权限，削减小我消息正在处置过程中未经授权的拜候和风险。二十一、对小我消息处置者教育培训打算的制定和实施环境进行合规审计时，该当沉点对下列事项进行评价：（一）能否按打算对办理人员、手艺人员、操做人员、全员开展响应的平安教育和培训，能否对响应人员的小我消息认识和技术进行查核；二十二、对小我消息处置者指定的小我消息担任人履职环境进行合规审计的，该当沉点审查下列事项：（一）小我消息担任人能否具有相关的工做履历和专业学问，熟悉小我消息相关法令、行规；（二）小我消息担任人能否具有明白清晰的职责，能否被付与充实的权限协调小我消息处置者内部相关部分取人员；（四）小我消息担任人能否有权对小我消息处置者内部小我消息处置的不合规操做进行和采纳需要的改正办法；（五）小我消息处置者能否公开小我消息担任人的联系体例，并将小我消息担任人的姓名、联系体例等报送部分。二十三、对小我消息处置者开展小我消息影响评估环境进行合规审计时，该当沉点对影响评估开展环境和评估内容进行审查：（一）能否按照法令、行规的，正在进行对个益具有严沉影响的小我消息处置勾当前进行小我消息影响评估；二十四、小我消息处置者该当制定小我消息平安事务应急预案。合规审计时，该当对应急预案的全面性、无效性、可施行性做出评价，包罗但不限于下列内容：（二）总体要求、根基策略，组织机构、人员，手艺、物资保障，批示措置法式，应急和支撑办法等能否脚以应对预测的风险；二十五、对小我消息处置者小我消息平安事务应急响应措置环境进行合规审计的，该当沉点审查下列事项：（一）能否按呼应急预案、操做规程及时查明小我消息平安事务的影响、范畴和可能形成的风险，确定事务发生的缘由，提出防止风险扩大的办法方案；二十六、对供给主要互联网平台办事、用户数量庞大、营业类型复杂的小我消息处置者制定的平台法则进行合规审计的，该当沉点审查下列事项：（二）平台法则小我消息条目的无效性，能否合理界定了平台、平台内产物或者办事供给者的小我消息和权利；二十七、对供给主要互联网平台办事、用户数量庞大、营业类型复杂的小我消息处置者发布的小我消息社会义务演讲进行合规审计的，该当沉点审查社会义务演讲披露下列内容的环境。