个人信息保护合规审计管理办法的发展方向

8月3日，为指导、规范个人信息保护合规审计活动，中央网信办就《个人信息保护合规审计管理办法》及配套的《个人信息保护合规审计参考要点》公开征求意见

个人信息保护合规审计参考要点

第一条 本要点依据《中华人民共和国个人信息保护法》等法律、行政法规和国家标准的强制性要求制定，为开展个人信息保护合规审计提供参考。
　　第二条 个人信息保护合规审计应当首先审查个人信息处理活动的合法性基础条件，重点审查下列事项：
　　（一）处理个人信息是否取得个人同意，该同意是否在个人信息主体充分知情的前提下自愿、明确作出；
　　（二）基于个人同意处理个人信息，个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，是否重新取得个人同意；
　　（三）基于个人同意处理个人信息，是否为个人提供便捷的撤回同意的方式；
　　（四）基于个人同意处理个人信息，是否对个人同意的操作进行记录；
　　（五）基于个人同意处理个人信息，是否存在以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务的情况；处理个人信息属于提供产品或者服务所必需的除外；
　　（六）处理个人信息未取得个人同意，是否属于法律、行政法规规定不需取得个人同意的情形。
　　第三条 对个人信息处理规则进行审计时，应当重点审查下列事项：
　　（一）是否真实、准确、完整地告知个人信息处理者的名称或者姓名和联系方式；
　　（二）是否以清单形式列明所收集的个人信息及其处理目的、方式、范围；
　　（三）是否明确个人信息存储期限或者存储期限的确定方法、到期后的处理方式，以及确保存储期限为实现处理目的所必要的最短时间；
　　（四）是否明确个人查阅、复制、加工、转移、更正、补充、删除、公开、限制处理个人信息以及注销账号、撤回同意的途径和方法；
　　（五）向第三方提供个人信息的，是否明确向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，是否取得个人的单独同意；
　　（六）法律、行政法规规定的其他事项。
　　第四条 个人信息处理者处理个人信息应当履行告知义务，审计时应当重点审查下列事项：
　　（一）个人信息处理者在处理个人信息前，是否以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理规则；
　　（二）告知文本的大小、字体和颜色是否便于个人完整阅读告知事项；
　　（三）线下告知是否通过标注、说明等多种方式向个人履行告知义务；
　　（四）在线告知是否提供文本信息或者通过适当方式向个人履行告知义务；
　　（五）个人信息处理规则发生变更的，是否将变更内容及时告知个人。
　　第五条 个人信息处理者存在与他人共同处理个人信息情形的，应当重点审查下列事项：
　　（一）是否约定各自的权利义务；
　　（二）各方采取的个人信息保护措施；
　　（三）个人信息权益保护机制；
　　（四）个人信息安全事件报告机制；
　　（五）侵害个人信息权益造成损害的，各方应当承担的责任；
　　（六）其他法律、行政法规规定需要约定的权利和义务。
　　第六条 个人信息处理者存在委托处理个人信息情形的，应当重点审查下列事项：
　　（一）个人信息处理者在委托处理个人信息前，是否开展个人信息保护影响评估；
　　（二）个人信息处理者与受托人签订的合同，是否约定了委托处理的目的、期限、方式及个人信息的种类、受托人应当采取的技术措施和管理措施、双方的权利义务等；
　　（三）个人信息处理者是否采取定期检查等方式，对受托人的个人信息处理活动进行监督，以确保委托处理个人信息的活动符合法律规定；
　　（四）受托人是否严格按照委托合同的约定处理个人信息，是否存在超出约定的处理目的、处理方式处理个人信息的情况；
　　（五）当委托合同不生效、无效、被撤销或者终止时，受托人是否将个人信息返还个人信息处理者或者予以删除；
　　（六）受托人是否存在转委托他人处理个人信息的情况，是否得到个人信息处理者的同意。