2月14日线下股票配资平台，国家网信办公布《个人信息保护合规审计管理办法》（下称《办法》，并附《个人信息保护合规审计指引》（下称《指引》），定于今年5月1日起施行。《办法》明确了自行开展以及按照相关保护部门要求开展个人信息保护合规审计的两种情形及要求，并规定处理超过1000万人个人信息的个人信息处理者，应当每两年至少开展一次个人信息保护合规审计。

国家网信办发文

　　首先《办法》给出定义，个人信息保护合规审计是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。

　　近年来，《个人信息保护法》《网络数据安全管理条例》等法律法规相继出台，为个人信息保护提供了基本的法律框架与制度设计，并对个人信息处理者开展合规审计作出规定。《办法》则对前述上位法中的原则性规定进行了细化与落实。

　　《办法》明确了两种个人信息处理者开展合规审计的情形。

　　一是个人信息处理者自行开展个人信息保护合规审计的，应当由个人信息处理者内部机构或者委托专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。处理超过1000万人个人信息的个人信息处理者，应当每两年至少开展一次个人信息保护合规审计。处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人，负责个人信息处理者的个人信息保护合规审计工作。

　　二是某些情形下，国家网信部门和其他履行个人信息保护职责的部门，要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计。值得注意的是，对同一个人信息安全事件或者风险，不得重复要求个人信息处理者委托专业机构开展个人信息保护合规审计。

　　具体而言，上述情形包括三种——发现个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险的；个人信息处理活动可能侵害众多个人的权益的；发生个人信息安全事件，导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的。

　　此外，个人信息处理者按照保护部门要求开展个人信息保护合规审计的，应当为专业机构正常开展个人信息保护合规审计工作提供必要支持，并承担审计费用。完成合规审计后，其应当按照保护部门要求对合规审计中发现的问题进行整改。在整改完成后15个工作日内，向保护部门报送整改情况报告。

　　对于从事合规审计活动的专业机构提出了哪些要求？《办法》明确，专业机构应当公正客观地作出合规审计职业判断，对在履行个人信息保护合规审计职责中获得的个人信息、商业秘密、保密商务信息等应当依法予以保密，在合规审计工作结束后及时删除相关信息；不得转委托其他机构开展个人信息保护合规审计。需要注意的是，同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。

　　附件《指引》细化了个人信息保护合规审计的重点审查事项，共包括27个方面，涉及图像采集、个人信息删除权保障、自动化决策、敏感信息处理等。

　　对个人信息处理者利用自动化决策处理个人信息进行合规审计的，应审查的内容包括自动化决策的透明度，以及自动化决策的结果是否公平、公正；是否事前告知个人自动化决策处理个人信息的种类及可能带来的影响；向个人进行信息推送、商业营销的，是否同时提供不针对个人特征的选项；是否采取了有效措施，防止自动化决策根据消费者的偏好、交易习惯等实行不合理的差别待遇等。

　　对个人信息删除权保障情况进行合规审计，应重点审查处理目的是否已实现、无法实现或者为实现处理目的不再必要；个人信息处理者是否停止提供产品或者服务，或者个人是否已注销账号；保存期限是否已届满；个人是否撤回同意；个人信息处理者是否违反法律、行政法规或者违反约定处理个人信息等。

　　近年来，由网络暴力引发的惨剧频频上演，抵制这一网络顽疾已逐渐成为全民共识，同时网暴治理领域建章立制的步伐也在加快。针对个人信息处理者处理已公开的个人信息进行合规审计时，《指引》提出应重点审查是否存在利用已公开的个人信息从事网络暴力、传播网络谣言和虚假信息等活动的行为。

　　另外，《个人信息保护法》规定提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应成立主要由外部成员组成的独立机构对个人信息保护情况进行监督，并且定期发布个人信息保护社会责任报告。

　　此次《指引》明确，对符合上述要求个人信息处理者发布的社会责任报告进行合规审计时线下股票配资平台，应当重点审查报告中是否就独立监督机构的履职情况作出说明等。

• 线下股票配资平台
• 新规
• 审计
• 合规
• 歌爆