個人信息保護合規審計管理(lǐ)辦(bàn)法
國(guó)家互聯網信息辦(bàn)公(gōng)室令
第18号
《個人信息保護合規審計管理(lǐ)辦(bàn)法》已經2024年5月20日國(guó)家互聯網信息辦(bàn)公(gōng)室2024年第15次室務(wù)會會議審議通過,現予公(gōng)布,自2025年5月1日起施行。
國(guó)家互聯網信息辦(bàn)公(gōng)室主任 莊榮文(wén)
2025年2月12日
個人信息保護合規審計管理(lǐ)辦(bàn)法
第一條 為(wèi)了規範個人信息保護合規審計活動,保護個人信息權益,根據《中(zhōng)華人民(mín)共和國(guó)個人信息保護法》、《網絡數據安(ān)全管理(lǐ)條例》等法律、行政法規,制定本辦(bàn)法。
第二條 在中(zhōng)華人民(mín)共和國(guó)境内開展個人信息保護合規審計,适用(yòng)本辦(bàn)法。
本辦(bàn)法所稱個人信息保護合規審計,是指對個人信息處理(lǐ)者的個人信息處理(lǐ)活動是否遵守法律、行政法規的情況進行審查和評價的監督活動。
第三條 個人信息處理(lǐ)者自行開展個人信息保護合規審計的,應當由個人信息處理(lǐ)者内部機構或者委托專業機構定期對其處理(lǐ)個人信息遵守法律、行政法規的情況進行合規審計。
第四條 處理(lǐ)超過1000萬人個人信息的個人信息處理(lǐ)者,應當每兩年至少開展一次個人信息保護合規審計。
第五條 個人信息處理(lǐ)者有(yǒu)以下情形之一的,國(guó)家網信部門和其他(tā)履行個人信息保護職責的部門(以下統稱為(wèi)保護部門),可(kě)以要求個人信息處理(lǐ)者委托專業機構對個人信息處理(lǐ)活動進行合規審計:
(一)發現個人信息處理(lǐ)活動存在嚴重影響個人權益或者嚴重缺乏安(ān)全措施等較大風險的;
(二)個人信息處理(lǐ)活動可(kě)能(néng)侵害衆多(duō)個人的權益的;
(三)發生個人信息安(ān)全事件,導緻100萬人以上個人信息或者10萬人以上敏感個人信息洩露、篡改、丢失、毀損的。
對同一個人信息安(ān)全事件或者風險,不得重複要求個人信息處理(lǐ)者委托專業機構開展個人信息保護合規審計。
第六條 個人信息處理(lǐ)者自行開展或者按照保護部門要求委托專業機構開展個人信息保護合規審計的,應當參照本辦(bàn)法附件《個人信息保護合規審計指引》。
第七條 專業機構應當具(jù)備開展個人信息保護合規審計的能(néng)力,有(yǒu)與服務(wù)相适應的審計人員、場所、設施和資金等。
鼓勵相關專業機構通過認證。專業機構的認證按照《中(zhōng)華人民(mín)共和國(guó)認證認可(kě)條例》的有(yǒu)關規定執行。
第八條 個人信息處理(lǐ)者按照保護部門要求開展個人信息保護合規審計的,應當為(wèi)專業機構正常開展個人信息保護合規審計工(gōng)作(zuò)提供必要支持,并承擔審計費用(yòng)。
第九條 個人信息處理(lǐ)者按照保護部門要求開展個人信息保護合規審計的,應當按照保護部門要求選定專業機構,在限定時間内完成個人信息保護合規審計;情況複雜的,報保護部門批準後,可(kě)以适當延長(cháng)。
第十條 個人信息處理(lǐ)者按照保護部門要求開展個人信息保護合規審計的,在完成合規審計後,應當将專業機構出具(jù)的個人信息保護合規審計報告報送保護部門。
個人信息保護合規審計報告應當由專業機構主要負責人、合規審計負責人簽字并加蓋專業機構公(gōng)章。
第十一條 個人信息處理(lǐ)者按照保護部門要求開展個人信息保護合規審計的,應當按照保護部門要求對合規審計中(zhōng)發現的問題進行整改。在整改完成後15個工(gōng)作(zuò)日内,向保護部門報送整改情況報告。
第十二條 處理(lǐ)100萬人以上個人信息的個人信息處理(lǐ)者應當指定個人信息保護負責人,負責個人信息處理(lǐ)者的個人信息保護合規審計工(gōng)作(zuò)。
提供重要互聯網平台服務(wù)、用(yòng)戶數量巨大、業務(wù)類型複雜的個人信息處理(lǐ)者,應當成立主要由外部成員組成的獨立機構對個人信息保護合規審計情況進行監督。
第十三條 專業機構在從事個人信息保護合規審計活動時,應當遵守法律法規,誠信正直,公(gōng)正客觀地作(zuò)出合規審計職業判斷,對在履行個人信息保護合規審計職責中(zhōng)獲得的個人信息、商(shāng)業秘密、保密商(shāng)務(wù)信息等應當依法予以保密,不得洩露或者非法向他(tā)人提供,在合規審計工(gōng)作(zuò)結束後及時删除相關信息。
第十四條 專業機構不得轉委托其他(tā)機構開展個人信息保護合規審計。
第十五條 同一專業機構及其關聯機構、同一合規審計負責人不得連續三次以上對同一審計對象開展個人信息保護合規審計。
第十六條 保護部門對個人信息處理(lǐ)者開展個人信息保護合規審計情況進行監督檢查。
第十七條 任何組織、個人有(yǒu)權對個人信息保護合規審計中(zhōng)的違法活動向保護部門進行投訴、舉報。收到投訴、舉報的部門應當依法及時處理(lǐ),并将處理(lǐ)結果告知投訴、舉報人。
第十八條 個人信息處理(lǐ)者、專業機構違反本辦(bàn)法規定的,依照《中(zhōng)華人民(mín)共和國(guó)個人信息保護法》、《網絡數據安(ān)全管理(lǐ)條例》等法律法規的規定處理(lǐ);構成犯罪的,依法追究刑事責任。
第十九條 對國(guó)家機關和法律、法規授權的具(jù)有(yǒu)管理(lǐ)公(gōng)共事務(wù)職能(néng)的組織的個人信息保護合規審計,不适用(yòng)本辦(bàn)法。
第二十條 本辦(bàn)法自2025年5月1日起施行。
附件
個人信息保護合規審計指引
一、本指引根據《中(zhōng)華人民(mín)共和國(guó)個人信息保護法》、《網絡數據安(ān)全管理(lǐ)條例》等法律、行政法規制定。
二、對個人信息處理(lǐ)活動的合法性基礎進行合規審計的,應當重點審查下列事項:
(一)基于個人同意處理(lǐ)個人信息的,是否取得個人同意,該同意是否由個人在充分(fēn)知情的前提下自願、明确作(zuò)出;
(二)基于個人同意處理(lǐ)個人信息的,個人信息的處理(lǐ)目的、處理(lǐ)方式、處理(lǐ)的個人信息種類發生變更的,是否重新(xīn)取得個人同意;
(三)基于個人同意處理(lǐ)個人信息的,是否依照法律、行政法規取得個人單獨同意或者書面同意;
(四)處理(lǐ)個人信息未取得個人同意的,是否屬于法律、行政法規規定不需要取得個人同意的情形。
三、對個人信息處理(lǐ)規則進行合規審計的,應當重點審查下列事項:
(一)是否真實、準确、完整地告知個人信息處理(lǐ)者的名(míng)稱或者姓名(míng)和聯系方式;
(二)是否以清單等便于查看的形式列明所收集的個人信息及其處理(lǐ)方式和種類;
(三)是否與處理(lǐ)目的直接相關,采取對個人權益影響最小(xiǎo)的方式;
(四)是否明确個人信息保存期限或者保存期限的确定方法、到期後的處理(lǐ)方式,以及确定保存期限為(wèi)實現處理(lǐ)目的所必要的最短時間;
(五)是否明确個人查閱、複制、轉移、更正、補充、删除、限制處理(lǐ)個人信息以及注銷賬号、撤回同意的途徑和方法。
四、對個人信息處理(lǐ)者履行告知個人信息處理(lǐ)規則義務(wù)進行合規審計的,應當重點審查下列事項:
(一)個人信息處理(lǐ)者在處理(lǐ)個人信息前,是否以顯著方式、清晰易懂的語言真實、準确、完整地向個人告知個人信息處理(lǐ)規則;
(二)告知文(wén)本的大小(xiǎo)、字體(tǐ)和顔色是否便于個人完整閱讀告知事項;
(三)線(xiàn)下告知是否通過标注、說明等多(duō)種方式向個人履行告知義務(wù);
(四)在線(xiàn)告知是否提供文(wén)本信息或者通過适當方式向個人履行告知義務(wù);
(五)個人信息處理(lǐ)規則發生變更的,是否将變更内容及時告知個人;
(六)處理(lǐ)個人信息不需要告知的,是否屬于法律、行政法規規定應當保密或者不需要告知的情形。
五、對個人信息處理(lǐ)者與其他(tā)個人信息處理(lǐ)者共同處理(lǐ)個人信息進行合規審計的,應當重點審查下列事項:
(一)是否約定各自的權利義務(wù);
(二)個人信息權益保護機制;
(三)個人信息安(ān)全事件報告機制;
(四)其他(tā)法律、行政法規規定需要約定的權利和義務(wù)。
六、對個人信息處理(lǐ)者委托處理(lǐ)個人信息進行合規審計的,應當重點審查下列事項:
(一)個人信息處理(lǐ)者在委托處理(lǐ)個人信息前,是否開展個人信息保護影響評估;
(二)個人信息處理(lǐ)者與受托人簽訂的合同,是否與受托人約定了委托處理(lǐ)的目的、期限、方式、個人信息的種類、保護措施以及雙方的權利義務(wù)等;
(三)個人信息處理(lǐ)者是否采取定期檢查等方式,對受托人的個人信息處理(lǐ)活動進行監督。
七、個人信息處理(lǐ)者存在因合并、重組、分(fēn)立、解散、被宣告破産(chǎn)等原因需要轉移個人信息情形的,應當重點審查個人信息處理(lǐ)者是否向個人告知接收方的名(míng)稱或者姓名(míng)和聯系方式。
八、對個人信息處理(lǐ)者向其他(tā)個人信息處理(lǐ)者提供其處理(lǐ)的個人信息進行合規審計的,應當重點審查下列事項:
(一)基于個人同意處理(lǐ)個人信息的,是否取得個人的單獨同意;
(二)是否向個人告知接收方的名(míng)稱或者姓名(míng)、聯系方式、處理(lǐ)目的、處理(lǐ)方式和個人信息的種類,法律、行政法規規定應當保密或者不需要告知的除外;
(三)是否事前進行個人信息保護影響評估。
九、對個人信息處理(lǐ)者利用(yòng)自動化決策處理(lǐ)個人信息進行合規審計的,應當重點審查下列事項:
(一)自動化決策的透明度,以及自動化決策的結果是否公(gōng)平、公(gōng)正;
(二)是否事前告知個人自動化決策處理(lǐ)個人信息的種類及可(kě)能(néng)帶來的影響;
(三)是否事前進行個人信息保護影響評估;
(四)是否向用(yòng)戶提供保障機制,以便個人通過便捷方式拒絕通過自動化決策方式作(zuò)出對個人權益有(yǒu)重大影響的決定,并要求個人信息處理(lǐ)者就通過自動化決策方式作(zuò)出對用(yòng)戶個人權益有(yǒu)重大影響的決定予以說明;
(五)向個人進行信息推送、商(shāng)業營銷的,是否同時提供不針對個人特征的選項,或者提供便捷的拒絕自動化決策服務(wù)的方式;
(六)是否采取了有(yǒu)效措施,防止自動化決策根據消費者的偏好、交易習慣等對個人在交易條件上實行不合理(lǐ)的差别待遇;
(七)其他(tā)可(kě)能(néng)影響自動化決策的透明度和結果公(gōng)平、公(gōng)正的事項。
十、對個人信息處理(lǐ)者基于個人同意公(gōng)開個人信息進行合規審計的,應當重點審查下列事項:
(一)個人信息處理(lǐ)者公(gōng)開其處理(lǐ)的個人信息前是否取得個人單獨同意,該授權是否真實、有(yǒu)效,是否存在違背個人意願将個人信息予以公(gōng)開的情況;
(二)個人信息處理(lǐ)者公(gōng)開個人信息前,是否進行個人信息保護影響評估。
十一、個人信息處理(lǐ)者在公(gōng)共場所安(ān)裝(zhuāng)圖像收集、個人身份識别設備的,應當重點對其安(ān)裝(zhuāng)圖像收集、個人信息身份識别設備的合法性及所收集個人信息的用(yòng)途進行審查。審查内容包括但不限于:
(一)是否為(wèi)維護公(gōng)共安(ān)全所必需,是否為(wèi)商(shāng)業目的處理(lǐ)所收集的個人信息;
(二)是否設置了顯著的提示标識;
(三)個人信息處理(lǐ)者所收集的個人圖像、身份識别信息用(yòng)于維護公(gōng)共安(ān)全以外用(yòng)途的,是否取得個人單獨同意。
十二、對個人信息處理(lǐ)者處理(lǐ)已公(gōng)開的個人信息進行合規審計的,應當重點審查個人信息處理(lǐ)者是否存在下列違法違規行為(wèi):
(一)向已公(gōng)開個人信息中(zhōng)的電(diàn)子郵箱、手機号等發送與其公(gōng)開目的無關的商(shāng)業信息;
(二)利用(yòng)已公(gōng)開的個人信息從事網絡暴力、傳播網絡謠言和虛假信息等活動;
(三)處理(lǐ)個人明确拒絕處理(lǐ)的已公(gōng)開個人信息;
(四)對個人權益有(yǒu)重大影響,未取得個人同意;
(五)收集、留存或處理(lǐ)已公(gōng)開個人信息的規模、時間或使用(yòng)目的超出合理(lǐ)範圍。
十三、對個人信息處理(lǐ)者處理(lǐ)敏感個人信息進行合規審計的,應當重點審查下列事項:
(一)基于個人同意處理(lǐ)個人信息的,處理(lǐ)生物(wù)識别、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌迹等敏感個人信息,是否事前取得個人的單獨同意;
(二)基于個人同意處理(lǐ)個人信息的,處理(lǐ)不滿十四周歲未成年人的個人信息,是否事前取得未成年人的父母或者其他(tā)監護人的同意;
(三)處理(lǐ)敏感個人信息的目的、方式、範圍是否合法、正當、必要;
(四)是否在事前進行個人信息保護影響評估;
(五)是否向個人告知處理(lǐ)敏感個人信息的必要性以及對個人權益的影響,法律、行政法規規定應當保密或者不需要告知的除外;
(六)法律、行政法規規定應當取得書面同意的,是否取得書面同意;
(七)是否遵守法律、行政法規對處理(lǐ)敏感個人信息的限制性規定。
十四、對個人信息處理(lǐ)者處理(lǐ)不滿十四周歲未成年人個人信息進行合規審計的,應當重點審查下列事項:
(一)是否制定專門的個人信息處理(lǐ)規則;
(二)是否向未成年人及其監護人告知未成年人個人信息的處理(lǐ)目的、處理(lǐ)方式、處理(lǐ)必要性,以及處理(lǐ)個人信息的種類、所采取的保護措施等,法律、行政法規規定不需要告知的除外;
(三)基于個人同意處理(lǐ)個人信息,是否存在強制要求未成年人或者其監護人同意處理(lǐ)非必要個人信息的行為(wèi)。
十五、對個人信息處理(lǐ)者向境外提供個人信息進行合規審計的,應當重點審查下列事項:
(一)關鍵信息基礎設施運營者向境外提供個人信息是否經過國(guó)家網信部門組織的安(ān)全評估,法律、行政法規、國(guó)家網信部門另有(yǒu)規定的,從其規定;
(二)關鍵信息基礎設施運營者以外的數據處理(lǐ)者自當年1月1日起累計向境外提供100萬人以上個人信息(不含敏感個人信息)或者1萬人以上敏感個人信息是否經過國(guó)家網信部門組織的安(ān)全評估,法律、行政法規、國(guó)家網信部門另有(yǒu)規定的,從其規定;
(三)關鍵信息基礎設施運營者以外的數據處理(lǐ)者自當年1月1日起累計向境外提供10萬人以上、不滿100萬人個人信息(不含敏感個人信息)或者不滿1萬人敏感個人信息的,是否按照國(guó)家網信部門的規定,經個人信息保護認證或者按照國(guó)家網信部門制定的标準合同與境外接收方簽訂合同并向所在地省級網信部門備案,或者符合法律、行政法規、國(guó)家網信部門規定的其他(tā)條件;
(四)存在向外國(guó)司法或者執法機構提供存儲于中(zhōng)華人民(mín)共和國(guó)境内個人信息情形的,是否經過中(zhōng)華人民(mín)共和國(guó)主管機關批準;
(五)是否向被列入限制或者禁止個人信息提供清單的組織和個人提供個人信息。
十六、對個人信息删除權保障情況進行合規審計的,應當重點審查下列事項:
(一)個人信息處理(lǐ)目的是否已實現、無法實現或者為(wèi)實現處理(lǐ)目的不再必要;
(二)個人信息處理(lǐ)者是否停止提供産(chǎn)品或者服務(wù),或者個人是否已注銷賬号;
(三)保存期限是否已屆滿;
(四)個人是否撤回同意;
(五)個人信息處理(lǐ)者是否違反法律、行政法規或者違反約定處理(lǐ)個人信息;
(六)應當删除個人信息,但法律、行政法規規定的保存期限未屆滿,或者删除個人信息從技(jì )術上難以實現的,個人信息處理(lǐ)者是否停止除存儲和采取必要的安(ān)全措施之外的處理(lǐ)。
十七、對個人信息處理(lǐ)者保障個人在個人信息處理(lǐ)活動中(zhōng)的權利情況進行合規審計的,應當重點審查下列事項:
(一)是否建立便捷的個人行使權利的申請受理(lǐ)機制和處理(lǐ)機制;
(二)是否及時響應個人行使權利的申請,是否及時、完整、準确告知處理(lǐ)意見或者執行結果;
(三)拒絕個人行使權利請求的,是否向個人說明理(lǐ)由。
十八、個人信息處理(lǐ)者應當響應個人申請,對其個人信息處理(lǐ)規則進行解釋說明,合規審計時應當重點對下列内容進行評價:
(一)個人信息處理(lǐ)者是否提供便捷的方式和途徑,接受、處理(lǐ)個人關于個人信息處理(lǐ)規則解釋說明的要求;
(二)接到個人的要求後,個人信息處理(lǐ)者是否在合理(lǐ)的時間内,使用(yòng)通俗易懂的語言對其個人信息處理(lǐ)規則作(zuò)出解釋說明。
十九、個人信息處理(lǐ)者應當依照法律、行政法規的規定制定内部管理(lǐ)制度和操作(zuò)規程,明确組織架構、崗位職責,建立工(gōng)作(zuò)流程、完善内控制度,保障個人信息處理(lǐ)合規與安(ān)全。合規審計時,應當重點對個人信息處理(lǐ)者個人信息保護内部管理(lǐ)制度和操作(zuò)規程進行審查,包括但不限于:
(一)個人信息保護工(gōng)作(zuò)的方針、目标、原則是否符合法律、行政法規規定;
(二)個人信息保護組織架構、人員配備、行為(wèi)規範、管理(lǐ)責任是否與應當履行的個人信息保護責任相适應;
(三)是否根據個人信息的種類、來源、敏感程度、用(yòng)途等,對個人信息進行分(fēn)類;
(四)是否建立個人信息安(ān)全事件應急響應機制;
(五)是否建立個人信息保護影響評估制度、合規審計制度;
(六)是否建立暢通的個人信息保護投訴舉報受理(lǐ)流程;
(七)是否合理(lǐ)制定個人信息處理(lǐ)操作(zuò)權限;
(八)是否制定實施個人信息保護安(ān)全教育和培訓計劃;
(九)是否建立個人信息保護負責人及相關人員履職評價制度;
(十)是否建立個人信息違法處理(lǐ)責任制度;
(十一)法律、行政法規規定的其他(tā)事項。
二十、個人信息處理(lǐ)者應當采取與所處理(lǐ)個人信息規模、類型相适應的安(ān)全技(jì )術措施,并對個人信息處理(lǐ)者采取的技(jì )術措施的有(yǒu)效性進行評價,評價内容包括但不限于:
(一)是否采取相應安(ān)全技(jì )術措施實現個人信息的保密性、完整性、可(kě)用(yòng)性;
(二)是否采取加密、去标識化等安(ān)全技(jì )術措施,确保在不借助額外信息的情況下,消除或者降低個人信息的可(kě)識别性;
(三)采取的安(ān)全技(jì )術措施能(néng)否合理(lǐ)确定有(yǒu)關人員查閱、複制、傳輸個人信息等的操作(zuò)權限,減少個人信息在處理(lǐ)過程中(zhōng)未經授權的訪問和濫用(yòng)風險。
二十一、對個人信息處理(lǐ)者教育培訓計劃的制定和實施情況進行合規審計時,應當重點對下列事項進行評價:
(一)是否按計劃對管理(lǐ)人員、技(jì )術人員、操作(zuò)人員、全員開展相應的安(ān)全教育和培訓,是否對相應人員的個人信息保護意識和技(jì )能(néng)進行考核;
(二)培訓内容、方式、對象、頻率等能(néng)否滿足個人信息保護需要。
二十二、對個人信息處理(lǐ)者指定的個人信息保護負責人履職情況進行合規審計的,應當重點審查下列事項:
(一)個人信息保護負責人是否具(jù)有(yǒu)相關的工(gōng)作(zuò)經曆和專業知識,熟悉個人信息保護相關法律、行政法規;
(二)個人信息保護負責人是否具(jù)有(yǒu)明确清晰的職責,是否被賦予充分(fēn)的權限協調個人信息處理(lǐ)者内部相關部門與人員;
(三)個人信息保護負責人在個人信息處理(lǐ)重大事項決策前是否有(yǒu)權提出相關意見和建議;
(四)個人信息保護負責人是否有(yǒu)權對個人信息處理(lǐ)者内部個人信息處理(lǐ)的不合規操作(zuò)進行制止和采取必要的糾正措施;
(五)個人信息處理(lǐ)者是否公(gōng)開個人信息保護負責人的聯系方式,并将個人信息保護負責人的姓名(míng)、聯系方式等報送保護部門。
二十三、對個人信息處理(lǐ)者開展個人信息保護影響評估情況進行合規審計時,應當重點對影響評估開展情況和評估内容進行審查:
(一)是否依照法律、行政法規的規定,在進行對個人權益具(jù)有(yǒu)重大影響的個人信息處理(lǐ)活動前進行個人信息保護影響評估;
(二)是否對個人信息的處理(lǐ)目的、處理(lǐ)方式等進行合法、正當、必要評估;
(三)是否對個人權益的影響及安(ān)全風險進行評估;
(四)是否對所采取的保護措施的合法性、有(yǒu)效性,以及與風險程度的适應性進行評估。
二十四、個人信息處理(lǐ)者應當制定個人信息安(ān)全事件應急預案。合規審計時,應當對應急預案的全面性、有(yǒu)效性、可(kě)執行性作(zuò)出評價,包括但不限于下列内容:
(一)是否結合業務(wù)實際,對面臨的個人信息安(ān)全風險作(zuò)出系統評估和預測;
(二)總體(tǐ)要求、基本策略,組織機構、人員,技(jì )術、物(wù)資保障,指揮處置程序,應急和支持措施等是否足以應對預測的風險;
(三)是否對相關人員進行應急預案培訓,定期對應急預案進行演練。
二十五、對個人信息處理(lǐ)者個人信息安(ān)全事件應急響應處置情況進行合規審計的,應當重點審查下列事項:
(一)是否按照應急預案、操作(zuò)規程及時查明個人信息安(ān)全事件的影響、範圍和可(kě)能(néng)造成的危害,分(fēn)析、确定事件發生的原因,提出防止危害擴大的措施方案;
(二)是否建立通報渠道,在安(ān)全事件發生後按照相關規定及時通知保護部門和個人;
(三)是否采取相應措施将個人信息安(ān)全事件可(kě)能(néng)造成的損失和可(kě)能(néng)産(chǎn)生的危害風險降低到最小(xiǎo)。
二十六、對提供重要互聯網平台服務(wù)、用(yòng)戶數量巨大、業務(wù)類型複雜的個人信息處理(lǐ)者制定的平台規則進行合規審計的,應當重點審查下列事項:
(一)平台規則是否與法律、行政法規相抵觸;
(二)平台規則個人信息保護條款的有(yǒu)效性,是否合理(lǐ)界定了平台、平台内産(chǎn)品或者服務(wù)提供者的個人信息保護權利和義務(wù);
(三)平台規則的執行情況,是否通過抽樣等方式驗證平台規則被有(yǒu)效執行。
二十七、對提供重要互聯網平台服務(wù)、用(yòng)戶數量巨大、業務(wù)類型複雜的個人信息處理(lǐ)者發布的個人信息保護社會責任報告進行合規審計的,應當重點審查社會責任報告披露下列内容的情況:
(一)個人信息保護組織架構和内部管理(lǐ)情況;
(二)個人信息保護能(néng)力建設情況;
(三)個人信息保護措施和成效;
(四)個人行使權利的申請受理(lǐ)情況;
(五)獨立監督機構履職情況;
(六)重大個人信息安(ān)全事件處理(lǐ)情況;
(七)促進個人信息保護社會共治的科(kē)普宣傳、公(gōng)益活動情況;
(八)法律、行政法規規定的其他(tā)事項。
