8月3日，国家互联网信息办公室起草了《个人信息保护合规审计管理办法（征求意见稿）》，天辰app现向社会公开征求意见。其中提出，处理超过100万人个人信息的个人信息处理者，应当每年至少开展一次个人信息保护合规审计；其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。

 

个人信息保护合规审计应当首先审查个人信息处理活动的合法性基础条件，重点审查的事项包括：处理个人信息是否取得个人同意，该同意是否在个人信息主体充分知情的前提下自愿、明确作出；基于个人同意处理个人信息，个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，是否重新取得个人同意；基于个人同意处理个人信息，天辰app是否为个人提供便捷的撤回同意的方式等。

 

个人信息保护合规审计管理办法

 

（征求意见稿）

 

第一条为指导、规范个人信息保护合规审计活动，提高个人信息处理活动合规水平，保护个人信息权益，根据《中华人民共和国个人信息保护法》等法律、行政法规和国家有关规定，制定本办法。

 

第二条个人信息处理者定期开展个人信息保护合规审计，或者按照履行个人信息保护职责的部门要求委托专业机构对其个人信息处理活动进行合规审计，以及对个人信息保护合规审计活动的监督管理适用本办法。

 

第三条本办法所称个人信息保护合规审计，是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。

 

第四条处理超过100万人个人信息的个人信息处理者，应当每年至少开展一次个人信息保护合规审计；其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。

 

第五条个人信息处理者自行开展个人信息保护合规审计，可根据实际情况，由本组织内部机构或者委托专业机构按照本办法要求开展。

 

第六条履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。

 

第七条个人信息处理者按照履行个人信息保护职责的部门要求开展个人信息保护合规审计的，应当在收到通知后尽快按照要求选定专业机构进行个人信息保护合规审计。

 

第八条个人信息处理者按照履行个人信息保护职责的部门要求委托专业机构开展个人信息保护合规审计的，应当保证专业机构能够正常行使下列权限：

 

（一）要求提供或者协助查阅相关文件或资料；

 

（二）进入个人信息处理活动相关场所；

 

（三）观察场所内发生的个人信息处理活动；

 

（四）调查相关业务活动及所依赖的信息系统；

 

（五）检查、测试个人信息处理活动相关设备设施；

 

（六）调取、查阅个人信息处理活动相关数据或信息；

 

（七）访谈与个人信息处理活动有关的人员；

 

（八）就相关问题进行调查、质询和取证；

 

（九）其他开展合规审计工作所必需的权限。

 

第九条个人信息处理者按照履行个人信息保护职责部门要求委托专业机构开展个人信息保护合规审计的，应当在90个工作日内完成个人信息保护合规审计；情况复杂的，报经履行个人信息保护职责的部门批准后可适当延长。