网信办：处理个人信息超百万 应每年开展一次个人信息保护合规审计

安全419关注到，国家互联网信息办公室8月3日发布关于《个人信息保护合规审计管理办法（征求意见稿）》（以下简称《办法》）公开征求意见的通知，意见反馈截止时间为2023年9月2日。

《办法》所称个人信息保护合规审计，是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。处理超过100万人个人信息的个人信息处理者，应当每年至少开展一次个人信息保护合规审计；其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。《办法》要求个人信息处理者定期开展个人信息保护合规审计，或者按照履行个人信息保护职责的部门要求委托专业机构对其个人信息处理活动进行合规审计。

《办法》同步提供了个人信息保护合规审计参考要点，其指出，个人信息保护合规审计应当首先审查个人信息处理活动的合法性基础条件，重点审查下列事项：

● （一）处理个人信息是否取得个人同意，该同意是否在个人信息主体充分知情的前提下自愿、明确作出；

● （二）基于个人同意处理个人信息，个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，是否重新取得个人同意；

● （三）基于个人同意处理个人信息，是否为个人提供便捷的撤回同意的方式；

● （四）基于个人同意处理个人信息，是否对个人同意的操作进行记录；

● （五）基于个人同意处理个人信息，是否存在以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务的情况；处理个人信息属于提供产品或者服务所必需的除外；

●  （六）处理个人信息未取得个人同意，是否属于法律、行政法规规定不需取得个人同意的情形。

对个人信息处理规则进行审计时，应当重点审查下列事项：

● （一）是否真实、准确、完整地告知个人信息处理者的名称或者姓名和联系方式；

● （二）是否以清单形式列明所收集的个人信息及其处理目的、方式、范围；

● （三）是否明确个人信息存储期限或者存储期限的确定方法、到期后的处理方式，以及确保存储期限为实现处理目的所必要的最短时间；

● （四）是否明确个人查阅、复制、加工、转移、更正、补充、删除、公开、限制处理个人信息以及注销账号、撤回同意的途径和方法；

● （五）向第三方提供个人信息的，是否明确向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，是否取得个人的单独同意；

● （六）法律、行政法规规定的其他事项。

安全419认为，合规审计是督促个人信息处理者履行个人信息保护义务的有力监管手段，个人信息保护合规审计通过相应手段审查个人信息处理者的义务履行情况、安全防护措施的实施情况以及个人信息主体的权利实现情况等，同时能够通过审计活动识别个人信息保护存在的合规问题及可能风险，落实个人信息保护的措施整改，是承接《个人信息保护法》等法律法规的有效措施。