近日，國家互聯(lián)網(wǎng)信息辦公室公布《個人信息保護(hù)合規(guī)審計(jì)管理辦法》（以下簡稱《辦法》），自2025年5月1日起施行。

國家互聯(lián)網(wǎng)信息辦公室有關(guān)負(fù)責(zé)人表示，《中華人民共和國個人信息保護(hù)法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》對個人信息處理者開展個人信息保護(hù)合規(guī)審計(jì)作了規(guī)定，《辦法》對合規(guī)審計(jì)活動的開展、合規(guī)審計(jì)機(jī)構(gòu)的選擇、合規(guī)審計(jì)的頻次、個人信息處理者和專業(yè)機(jī)構(gòu)在合規(guī)審計(jì)中的義務(wù)等作出細(xì)化規(guī)定，旨在為個人信息處理者開展個人信息保護(hù)合規(guī)審計(jì)提供系統(tǒng)性、針對性、可操作性的規(guī)范，提升個人信息處理活動合法合規(guī)水平，保護(hù)個人信息權(quán)益。

《辦法》明確了個人信息處理者開展合規(guī)審計(jì)的兩種情形。一是個人信息處理者自行開展合規(guī)審計(jì)的，應(yīng)當(dāng)由個人信息處理者內(nèi)部機(jī)構(gòu)或者委托專業(yè)機(jī)構(gòu)定期對其處理個人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)。處理超過1000萬人個人信息的個人信息處理者，應(yīng)當(dāng)每兩年至少開展一次個人信息保護(hù)合規(guī)審計(jì)。二是履行個人信息保護(hù)職責(zé)的部門發(fā)現(xiàn)個人信息處理活動存在較大風(fēng)險、可能侵害眾多個人的權(quán)益或者發(fā)生個人信息安全事件的，可以要求個人信息處理者委托專業(yè)機(jī)構(gòu)對個人信息處理活動進(jìn)行合規(guī)審計(jì)。

《辦法》明確了開展合規(guī)審計(jì)的個人信息處理者應(yīng)當(dāng)履行的義務(wù)。規(guī)定個人信息處理者按照履行個人信息保護(hù)職責(zé)的部門要求開展合規(guī)審計(jì)的，應(yīng)當(dāng)為專業(yè)機(jī)構(gòu)正常開展合規(guī)審計(jì)工作提供必要支持并承擔(dān)審計(jì)費(fèi)用，在限定時間內(nèi)完成合規(guī)審計(jì)，報送合規(guī)審計(jì)報告并進(jìn)行整改。

《辦法》明確了專業(yè)機(jī)構(gòu)在合規(guī)審計(jì)中的義務(wù)。一是應(yīng)當(dāng)具備開展個人信息保護(hù)合規(guī)審計(jì)的能力，有與服務(wù)相適應(yīng)的審計(jì)人員、場所、設(shè)施和資金等。二是應(yīng)當(dāng)遵守法律法規(guī)，誠信正直，公正客觀地作出合規(guī)審計(jì)職業(yè)判斷，對履職中知悉的個人信息、商業(yè)秘密、保密商務(wù)信息等依法予以保密。三是不得轉(zhuǎn)委托其他機(jī)構(gòu)開展個人信息保護(hù)合規(guī)審計(jì)。四是同一專業(yè)機(jī)構(gòu)及其關(guān)聯(lián)機(jī)構(gòu)、同一合規(guī)審計(jì)負(fù)責(zé)人不得連續(xù)三次以上對同一審計(jì)對象開展個人信息保護(hù)合規(guī)審計(jì)。

《辦法》以附件形式提供了《個人信息保護(hù)合規(guī)審計(jì)指引》，對個人信息保護(hù)相關(guān)法律、行政法規(guī)的關(guān)鍵要點(diǎn)作了梳理，從合規(guī)審計(jì)的角度進(jìn)行了細(xì)化。個人信息處理者自行開展或者按照履行個人信息保護(hù)職責(zé)的部門要求委托專業(yè)機(jī)構(gòu)開展個人信息保護(hù)合規(guī)審計(jì)，應(yīng)當(dāng)參照《個人信息保護(hù)合規(guī)審計(jì)指引》。

《辦法》同時對履行個人信息保護(hù)職責(zé)的部門的監(jiān)督管理責(zé)任和個人信息處理者、專業(yè)機(jī)構(gòu)違反《辦法》規(guī)定的法律責(zé)任等作出了規(guī)定。

（來源：中國網(wǎng)信網(wǎng)）