据“网信中国”微信大多号2月14日音讯，​今天，国度互联网音讯办公室通告《私人音讯爱护合规审计办理宗旨》（以下简称《宗旨》），自2025年5月1日起践诺。

　　国度互联网音讯办公室相闭担当人表现，《中华公民共和国私人音讯爱护法》《汇集数据安适办理条例》对私人音讯执掌者展开私人音讯爱护合规审计作了原则，《宗旨》对合规审计行动的展开、合规审计机构的遴选、合规审计的频次、私人音讯执掌者和专业机构正在合规审计中的负担等作出细化原则，旨正在为私人音讯执掌者展开私人音讯爱护合规审计供给编造性、针对性、可操作性的类型，晋升私人音讯执掌行动合法合规秤谌，爱护私人音讯权力。

　　《宗旨》鲜理解私人音讯执掌者展开合规审计的两种景遇。一是私人音讯执掌者自行展开合规审计的，该当由私人音讯执掌者内部机构或者委托专业机构按期对其执掌私人音讯屈从司法、行政法例的环境举行合规审计。执掌高出1000万人私人音讯的私人音讯执掌者，该当每两年起码展开一次私人音讯爱护合规审计。二是践诺私人音讯爱护职责的部分察觉私人音讯执掌行动存正在较大危险、恐怕伤害繁多私人的权力或者产生私人音讯安适事宜的，能够央浼私人音讯执掌者委托专业机构对私人音讯执掌行动举行合规审计。

　　《宗旨》鲜理解展开合规审计的私人音讯执掌者该当践诺的负担。原则私人音讯执掌者根据践诺私人音讯爱护职责的部分央浼展开合规审计的，该当为专业机构寻常展开合规审计使命供给须要增援并负责审计用度，正在限造时分内已毕合规审计，报送合规审计陈说并举行整改。

　　《宗旨》鲜理解专业机构正在合规审计中的负担。一是该当具备展开私人音讯爱护合规审计的才智，有与任事相适宜的审计职员、园地、办法和资金等。二是该当屈从司法法例，诚信梗直，平允客观地作出合规审计职业判决，对履职中知悉的私人音讯、贸易阴私、保密商务音讯等依法予以保密。三是不得转委托其他机构展开私人音讯爱护合规审计。四是统一专业机构及其相干机构、统一合规审计担当人不得一连三次以上对统一审计对象展开私人音讯爱护合规审计。

　　《宗旨》以附件阵势供给了《私人音讯爱护合规审计指引》，对私人音讯爱护闭系司法、行政法例的要害重点作了梳理，从合规审计的角度举行了细化。私人音讯执掌者自行展开或者根据践诺私人音讯爱护职责的部分央浼委托专业机构展开私人音讯爱护合规审计，该当参照《私人音讯爱护合规审计指引》。

　　《宗旨》同时对践诺私人音讯爱护职责的部分的监视办理职守和私人音讯执掌者、专业机构违反《宗旨》原则的司法职守等作出了原则。

　　第一条 为了类型私人音讯爱护合规审计行动，爱护私人音讯权力，遵循《中华公民共和国私人音讯爱护法》、《汇集数据安适办理条例》等司法、行政法例，造订本宗旨。

　　本宗旨所称私人音讯爱护合规审计，是指对私人音讯执掌者的私人音讯执掌行动是否屈从司法、行政法例的环境举行审查和评议的监视行动。

　　第三条 私人音讯执掌者自行展开私人音讯爱护合规审计的，该当由私人音讯执掌者内部机构或者委托专业机构按期对其执掌私人音讯屈从司法、行政法例的环境举行合规审计。

　　第四条 执掌高出1000万人私人音讯的私人音讯执掌者，该当每两年起码展开一次私人音讯爱护合规审计。

　　第五条 私人音讯执掌者有以下景遇之一的，国度网信部分和其他践诺私人音讯爱护职责的部分（以下统称为爱护部分），能够央浼私人音讯执掌者委托专业机构对私人音讯执掌行动举行合规审计：

　　（三）产生私人音讯安适事宜，导致100万人以上私人音讯或者10万人以上敏锐私人音讯透露、窜改、丧失、毁损的。

　　对统一私人音讯安适事宜或者危险，不得反复央浼私人音讯执掌者委托专业机构展开私人音讯爱护合规审计。

　　第六条 私人音讯执掌者自行展开或者根据爱护部分央浼委托专业机构展开私人音讯爱护合规审计的，该当参照本宗旨附件《私人音讯爱护合规审计指引》。

　　第七条 专业机构该当具备展开私人音讯爱护合规审计的才智，有与任事相适宜的审计职员、园地、办法和资金等。

　　第八条 私人音讯执掌者根据爱护部分央浼展开私人音讯爱护合规审计的，该当为专业机构寻常展开私人音讯爱护合规审计使命供给须要增援，并负责审计用度。

　　第九条 私人音讯执掌者根据爱护部分央浼展开私人音讯爱护合规审计的，该当根据爱护部分央浼选定专业机构，正在限造时分内已毕私人音讯爱护合规审计；环境庞大的，报爱护部分接受后，能够适宜伸长。

　　第十条 私人音讯执掌者根据爱护部分央浼展开私人音讯爱护合规审计的，正在已毕合规审计后，该当将专业机构出具的私人音讯爱护合规审计陈说报送爱护部分。

　　第十一条 私人音讯执掌者根据爱护部分央浼展开私人音讯爱护合规审计的，该当根据爱护部分央浼对合规审计中察觉的题目举行整改。正在整改已毕后15个使命日内，向爱护部分报送整改环境陈说。

　　第十二条 执掌100万人以上私人音讯的私人音讯执掌者该当指定私人音讯爱护担当人，担当私人音讯执掌者的私人音讯爱护合规审计使命。

　　供给主要互联网平台任事、用户数目重大、生意类型庞大的私人音讯执掌者，该当创造首要由表部成员构成的独立机构对私人音讯爱护合规审计环境举行监视。

　　第十三条 专业机构正在从事私人音讯爱护合规审计行动时，该当屈从司法法例，诚信梗直，平允客观地作出合规审计职业判决，对正在践诺私人音讯爱护合规审计职责中获取的私人音讯、贸易阴私、保密商务音讯等该当依法予以保密，不得透露或者不法向他人供给，正在合规审计使命罢了后实时删除闭系音讯。

　　第十五条 统一专业机构及其相干机构、统一合规审计担当人不得一连三次以上对统一审计对象展开私人音讯爱护合规审计。

　　第十七条 任何机闭、私人有权对私人音讯爱护合规审计中的违法行动向爱护部分举行投诉、举报。收到投诉、举报的部分该当依法实时执掌，并将执掌结果见知投诉、举报人。

　　第十八条 私人音讯执掌者、专业机构违反本宗旨原则的，遵从《中华公民共和国私人音讯爱护法》、《汇集数据安适办理条例》等司法法例的原则执掌；组成违警的，依法查究刑事职守。

　　第十九条 对国度圈套和司法、法例授权的拥有办理大多事情本能的机闭的私人音讯爱护合规审计，不实用本宗旨。

　　一、本指引遵循《中华公民共和国私人音讯爱护法》、《汇集数据安适办理条例》等司法、行政法例造订。

　　（一）基于私人附和执掌私人音讯的，是否获得私人附和，该附和是否由私人正在敷裕知情的条件下志愿、鲜明作出；

　　（二）基于私人附和执掌私人音讯的，私人音讯的执掌目标、执掌形式、执掌的私人音讯品种产生更改的，是否从新获得私人附和；

　　（四）是否鲜明私人音讯保留刻日或者保留刻日真实定手腕、到期后的执掌形式，以及确定保留刻日为竣工执掌目标所须要的最短时分；

　　（五）是否鲜明私人查阅、复造、迁徙、改正、添补、删除、范围执掌私人音讯以及刊出账号、撤回附和的途径和手腕。

　　（一）私人音讯执掌者正在执掌私人音讯前，是否以明显形式、分明易懂的措辞确凿、精确、完全地向私人见知私人音讯执掌章程；

　　五、对私人音讯执掌者与其他私人音讯执掌者合伙执掌私人音讯举行合规审计的，该当中心审查下列事项：

　　（二）私人音讯执掌者与受托人签定的合同，是否与受托人商定了委托执掌的目标、刻日、形式、私人音讯的品种、爱护手段以及两边的权益负担等；

　　七、私人音讯执掌者存正在因统一、重组、分立、结束、被公告崩溃等因为需求迁徙私人音讯景遇的，该当中心审查私人音讯执掌者是否向私人见知汲取方的名称或者姓名和闭系形式。

　　八、对私人音讯执掌者向其他私人音讯执掌者供给其执掌的私人音讯举行合规审计的，该当中心审查下列事项：

　　（二）是否向私人见知汲取方的名称或者姓名、闭系形式、执掌目标、执掌形式和私人音讯的品种，司法、行政法例原则该当保密或者不需求见知的除表；

　　（四）是否向用户供给保证机造，以便私人通过便捷形式拒绝通过自愿化决定形式作出对私人权力有宏大影响的决计，并央浼私人音讯执掌者就通过自愿化决定形式作出对用户私人权力有宏大影响的决计予以证据；

　　（五）向私人举行音讯推送、贸易营销的，是否同时供给不针对私人特点的选项，或者供给便捷的拒绝自愿化决定任事的形式；

　　（六）是否接纳了有用手段，造止自愿化决定遵循消费者的偏好、生意民风等对私人正在生意前提上实行不对理的分别待遇；

　　（一）私人音讯执掌者公然其执掌的私人音讯前是否获得私人只身附和，该授权是否确凿、有用，是否存正在违背私人意图将私人音讯予以公然的环境；

　　十一、私人音讯执掌者正在大庭广多装配图像汇集、私人身份识别开发的，该当中心对其装配图像汇集、私人音讯身份识别开发的合法性及所汇集私人音讯的用处举行审查。审查实质蕴涵但不限于：

　　（三）私人音讯执掌者所汇集的私人图像、身份识别音讯用于庇护大多安适以表用处的，是否获得私人只身附和。

　　十二、对私人音讯执掌者执掌已公然的私人音讯举行合规审计的，该当中心审查私人音讯执掌者是否存鄙人列违法违规行动：

　　（一）基于私人附和执掌私人音讯的，执掌生物识别、宗教信心、特定身份、医疗强壮、金融账户、足迹轨迹等敏锐私人音讯，是否事前获得私人的只身附和；

　　（二）基于私人附和执掌私人音讯的，执掌不满十边缘岁未成年人的私人音讯，是否事前获得未成年人的父母或者其他监护人的附和；

　　（五）是否向私人见知执掌敏锐私人音讯的须要性以及对私人权力的影响，司法、行政法例原则该当保密或者不需求见知的除表；

　　十四、对私人音讯执掌者执掌不满十边缘岁未成年人私人音讯举行合规审计的，该当中心审查下列事项：

　　（二）是否向未成年人及其监护人见知未成年人私人音讯的执掌目标、执掌形式、执掌须要性，以及执掌私人音讯的品种、所接纳的爱护手段等，司法、行政法例原则不需求见知的除表；

　　（三）基于私人附和执掌私人音讯，是否存正在强造央浼未成年人或者其监护人附和执掌非须要私人音讯的行动。

　　（一）要害音讯根柢办法运营者向境表供给私人音讯是否源委国度网信部分机闭的安适评估，司法、行政法例、国度网信部分另有原则的，从其原则；

　　（二）要害音讯根柢办法运营者以表的数据执掌者自当年1月1日起累计向境表供给100万人以上私人音讯（不含敏锐私人音讯）或者1万人以上敏锐私人音讯是否源委国度网信部分机闭的安适评估，司法、行政法例、国度网信部分另有原则的，从其原则；

　　（三）要害音讯根柢办法运营者以表的数据执掌者自当年1月1日起累计向境表供给10万人以上、不满100万人私人音讯（不含敏锐私人音讯）或者不满1万人敏锐私人音讯的，是否根据国度网信部分的原则，经私人音讯爱护认证或者根据国度网信部分造订的轨范合同与境表汲取方签定合同并向所正在地省级网信部分挂号，或者切合司法、行政法例、国度网信部分原则的其他前提；

　　（四）存正在向表国执法或者司法机构供给存储于中华公民共和国境内私人音讯景遇的，是否源委中华公民共和国主管圈套接受；

　　（六）该当删除私人音讯，但司法、行政法例原则的保留刻日未届满，或者删除私人音讯从时间上难以竣工的，私人音讯执掌者是否逗留除存储和接纳须要的安适手段以表的执掌。

　　十七、对私人音讯执掌者保证私人正在私人音讯执掌行动中的权益环境举行合规审计的，该当中心审查下列事项：

　　十八、私人音讯执掌者该当反映私人申请，对其私人音讯执掌章程举行讲明证据，合规审计时该当中心对下列实质举行评议：

　　（一）私人音讯执掌者是否供给便捷的形式和途径，继承、执掌私人闭于私人音讯执掌章程讲明证据的央浼；

　　（二）接到私人的央浼后，私人音讯执掌者是否正在合理的时分内，利用普通易懂的措辞对其私人音讯执掌章程作出讲明证据。

　　十九、私人音讯执掌者该当遵从司法、行政法例的原则造订内部办理轨造和操作规程，鲜明机闭架构、岗亭职责，创造使命流程、圆满内控轨造，保证私人音讯执掌合规与安适。合规审计时，该当中心对私人音讯执掌者私人音讯爱护内部办理轨造和操作规程举行审查，蕴涵但不限于：

　　（二）私人音讯爱护机闭架构、职员装备、行动类型、办理职守是否与该当践诺的私人音讯爱护职守相适宜；

　　二十、私人音讯执掌者该当接纳与所执掌私人音讯范围、类型相适宜的安适时间手段，并对私人音讯执掌者接纳的时间手段的有用性举行评议，评议实质蕴涵但不限于：

　　（二）是否接纳加密、去标识化等安适时间手段，确保正在不借帮格表音讯的环境下，湮灭或者消浸私人音讯的可识别性；

　　（三）接纳的安适时间手段能否合理确定相闭职员查阅、复造、传输私人音讯等的操作权限，削减私人音讯正在执掌历程中未经授权的拜望和滥用危险。

　　二十一、对私人音讯执掌者训导培训打算的造订和践诺环境举行合规审计时，该当中心对下列事项举行评议：

　　（一）是否按打算对办理职员、时间职员、操作职员、全员展开相应的安适训导和培训，是否对相应职员的私人音讯爱护认识和才能举行考察；

　　二十二、对私人音讯执掌者指定的私人音讯爱护担当人履职环境举行合规审计的，该当中心审查下列事项：

　　（一）私人音讯爱护担当人是否拥有闭系的使命经过和专业常识，熟谙私人音讯爱护闭系司法、行政法例；

　　（二）私人音讯爱护担当人是否拥有鲜明分明的职责，是否被授予敷裕的权限谐和私人音讯执掌者内部闭系部分与职员；

　　（四）私人音讯爱护担当人是否有权对私人音讯执掌者内部私人音讯执掌的不对规操作举行压造和接纳须要的更改手段；

　　（五）私人音讯执掌者是否公然私人音讯爱护担当人的闭系形式，并将私人音讯爱护担当人的姓名、闭系形式等报送爱护部分。

　　二十三、对私人音讯执掌者展开私人音讯爱护影响评估环境举行合规审计时，该当中心对影响评估展开环境和评估实质举行审查：

　　（一）是否遵从司法、行政法例的原则，正在举行对私人权力拥有宏大影响的私人音讯执掌行动挺举行私人音讯爱护影响评估；

　　二十四、私人音讯执掌者该当造订私人音讯安适事宜应急预案。合规审计时，该当对应急预案的周至性、有用性、可推行性作出评议，蕴涵但不限于下列实质：

　　（二）总体央浼、基础政策，机闭机构、职员，时间、物资保证，率领措置标准，应急和增援手段等是否足以应对预测的危险；

　　二十五、对私人音讯执掌者私人音讯安适事宜应急反映措置环境举行合规审计的，该当中心审查下列事项：

　　（一）是否根据应急预案、操作规程实时查明私人音讯安适事宜的影响、边界和恐怕酿成的摧残，说明、确定事宜产生的因为，提出造止摧残扩充的手段计划；

　　二十六、对供给主要互联网平台任事、用户数目重大、生意类型庞大的私人音讯执掌者造订的平台章程举行合规审计的，该当中心审查下列事项：

　　（二）平台章程私人音讯爱护条件的有用性，是否合理界定了平台、平台内产物或者任事供给者的私人音讯爱护权益和负担；

　　二十七、对供给主要互联网平台任事、用户数目重大、生意类型庞大的私人音讯执掌者公布的私人音讯爱护社会职守陈说举行合规审计的，该当中心审查社会职守陈说披露下列实质的环境：

　　今天，国度互联网音讯办公室通告《私人音讯爱护合规审计办理宗旨》（以下简称《宗旨》）。国度互联网音讯办公室相闭担当人就《宗旨》闭系题目答复了记者提问。

　　答：今朝，私人音讯被企业、机构以至私人平常汇集利用，私人音讯爱护和私人音讯诈骗的抵触日益高出。为压实私人音讯执掌者私人音讯爱护主体职守，强化私人音讯执掌行动危险掌管和监视，《中华公民共和国私人音讯爱护法》《汇集数据安适办理条例》对私人音讯执掌者展开合规审计作了原则。为有用落实司法法例央浼，国度互联网音讯办公室造订出台《宗旨》，对私人音讯爱护合规审计行动的展开、合规审计机构的遴选、合规审计的频次、私人音讯执掌者和专业机构正在合规审计中的负担等作出细化原则，旨正在为私人音讯执掌者展开私人音讯爱护合规审计供给编造性、针对性、可操作性的类型，晋升私人音讯执掌行动合法合规秤谌，爱护私人音讯权力。

　　答：《中华公民共和国私人音讯爱护法》第五十四条原则，私人音讯执掌者该当按期对其执掌私人音讯屈从司法、行政法例的环境举行合规审计。第六十四条原则，践诺私人音讯爱护职责的部分正在践诺职责中，察觉私人音讯执掌行动存正在较大危险或者产生私人音讯安适事宜的，能够根据原则的权限和标准对该私人音讯执掌者的法定代表人或者首要担当人举行约叙，或者央浼私人音讯执掌者委托专业机构对其私人音讯执掌行动举行合规审计。《汇集数据安适办理条例》第二十七条原则，汇集数据执掌者该当按期自行或者委托专业机构对其执掌私人音讯屈从司法、行政法例的环境举行合规审计。以上级法法例鲜理解私人音讯爱护合规审计的两种景遇：一是私人音讯执掌者自行展开合规审计。二是根据践诺私人音讯爱护职责的部分央浼，委托专业机构展开合规审计。

　　答：《宗旨》首要对下列实质举行了原则：一是鲜明私人音讯执掌者自行展开合规审计和根据践诺私人音讯爱护职责的部分央浼委托专业机构展开合规审计的前提，合规审计机构的遴选和合规审计的频次。二是鲜明展开合规审计的私人音讯执掌者该当践诺的负担，原则私人音讯执掌者根据践诺私人音讯爱护职责的部分央浼展开合规审计的，该当为专业机构寻常展开合规审计使命供给须要增援并负责审计用度，正在限造时分内已毕合规审计，报送合规审计陈说并举行整改。三是鲜明专业机构正在合规审计中的负担，原则专业机构该当具备展开合规审计的才智，屈从司法法例，鲜明统一专业机构及其相干机构、统一合规审计担当人不得一连三次以上对统一审计对象展开私人音讯爱护合规审计。四是鲜明践诺私人音讯爱护职责的部分对私人音讯执掌者展开合规审计环境举行监视搜检，任何机闭、私人有权对合规审计中的违法行动向践诺私人音讯爱护职责的部分举行投诉、举报，并原则私人音讯执掌者、专业机构违反《宗旨》原则的司法职守。

　　答：私人音讯执掌者展开私人音讯爱护合规审计分两种景遇：一是自行展开合规审计，即私人音讯执掌者该当按期对其执掌私人音讯屈从司法、行政法例的环境举行合规审计。执掌高出1000万人私人音讯的私人音讯执掌者，该当每两年起码展开一次私人音讯爱护合规审计。其他私人音讯执掌者遵循自己环境合理确定按期展开私人音讯爱护合规审计的频次。二是根据央浼展开合规审计，即践诺私人音讯爱护职责的部分正在践诺职责中，察觉私人音讯执掌行动存正在较大危险、恐怕伤害繁多私人的权力或者产生私人音讯安适事宜的，能够央浼私人音讯执掌者委托专业机构对其私人音讯执掌行动举行合规审计。

　　答：私人音讯执掌者自行展开合规审计时，能够遴选由内部机构自行展开，也能够委托专业机构展开。《宗旨》对接纳何种审计形式、是否遴选专业机构，以及遴选哪家专业机构没有强造性央浼。私人音讯执掌行动存正在较大危险、恐怕伤害繁多私人的权力或者产生私人音讯安适事宜时，践诺私人音讯爱护职责的部分能够央浼私人音讯执掌者委托专业机构展开私人音讯爱护合规审计。

　　答：专业机构继承私人音讯执掌者委托展开合规审计，该当平允客观地作出合规审计结论，提出合规审计提议，其出具的合规审计陈说是践诺私人音讯爱护职责的部分展开监视办理使命的主要参考。《宗旨》对专业机构提出以下央浼：一是该当具备展开私人音讯爱护合规审计的才智，有与任事相适宜的审计职员、园地、办法和资金等。二是该当屈从司法法例，诚信梗直，平允客观地作出合规审计职业判决，对正在践诺私人音讯爱护合规审计职责中获取的私人音讯、贸易阴私、保密商务音讯等依法予以保密，不得透露或者不法向他人供给，正在合规审计使命罢了后实时删除闭系音讯。三是不得转委托其他机构展开私人音讯爱护合规审计。四是统一专业机构及其相干机构、统一合规审计担当人不得一连三次以上对统一审计对象展开私人音讯爱护合规审计。

　　答：《宗旨》效力志愿性、墟市化的规定，通过认证认同形式对专业机构举行监视办理。专业机构的认证根据《中华公民共和国认证认同条例》的相闭原则推行。具备展开私人音讯爱护合规审计才智，有与任事相适宜的审计职员、园地、办法和资金的专业机构，能够志愿申请闭系任事才智认证。

　　问8：私人音讯执掌者根据践诺私人音讯爱护职责的部分央浼展开私人音讯爱护合规审计时，该当践诺哪些负担？

　　答：《宗旨》对私人音讯执掌者根据践诺私人音讯爱护职责的部分央浼展开私人音讯爱护合规审计提出以下央浼：一是保证合规审计寻常举行，为专业机构寻常展开私人音讯爱护合规审计使命供给须要增援，并负责审计用度。二是根据践诺私人音讯爱护职责的部分央浼选定专业机构，正在限造时分内已毕私人音讯爱护合规审计，环境庞大的，报践诺私人音讯爱护职责的部分接受后，能够适宜伸长。三是报送合规审计陈说并举行整改，私人音讯执掌者正在已毕合规审计后，该当将专业机构出具的私人音讯爱护合规审计陈说报送践诺私人音讯爱护职责的部分，根据践诺私人音讯爱护职责的部分央浼对合规审计中察觉的题目举行整改，正在整改已毕后15个使命日内，向践诺私人音讯爱护职责的部分报送整改环境陈说。

　　答：《私人音讯爱护合规审计指引》对私人音讯爱护闭系司法、行政法例的要害重点作了梳理，从合规审计的角度举行了细化，便于私人音讯执掌者对私人音讯执掌行动是否屈从司法、行政法例央浼举行审查和评议。私人音讯执掌者自行展开或者根据践诺私人音讯爱护职责的部分央浼委托专业机构展开私人音讯爱护合规审计，该当参照《私人音讯爱护合规审计指引》。