国度互联网信息办公室令第18号 《团体信息维护合规审计治理措施》曾经2024年5月20日国度互联网信息办公室2024年第15次室务会集会审议经由过程,现予颁布,自2025年5月1日起实施。国度互联网信息办公室主任 庄荣文2025年2月12日团体信息维护合规审计治理措施第一条 为了标准团体信息维护合规审计运动,维护团体信息权利,依据《中华国民共跟国团体信息维护法》、《收集数据保险治理条例》等执法、行政法例,制订本措施。第二条 在中华国民共跟国境内发展团体信息维护合规审计,实用本措施。 本措施所称团体信息维护合规审计,是指对团体信息处置者的团体信息处置运动能否遵照执法、行政法例的情形停止检察跟评估的监视运动。第三条 团体信息处置者自行发展团体信息维护合规审计的,应该由团体信息处置者外部机构或许委托专业机构按期对其处置团体信息遵照执法、行政法例的情形停止合规审计。第四条 处置超越1000万人团体信息的团体信息处置者,应该每两年至少发展一次团体信息维护合规审计。第五条 团体信息处置者有以下情况之一的,国度网信部分跟其余实行团体信息维护职责的部分(以下统称为维护部分),能够请求团体信息处置者委托专业机构对团体信息处置运动停止合规审计: (一)发明团体信息处置运动存在重大影响团体权利或许重大缺少保险办法等较微风险的; (二)团体信息处置运动可能损害浩繁团体的权利的; (三)产生团体信息保险变乱,招致100万人以上团体信息或许10万人以上敏感团体信息泄漏、改动、丧失、毁损的。 对统一团体信息保险变乱或许危险,不得反复请求团体信息处置者委托专业机构发展团体信息维护合规审计。第六条 团体信息处置者自行发展或许依照维护部分请求委托专业机构发展团体信息维护合规审计的,应该参照本措施附件《团体信息维护合规审计指引》。第七条 专业机构应该具有发展团体信息维护合规审计的才能,有与效劳相顺应的审计职员、场合、设备跟资金等。 激励相干专业机构经由过程认证。专业机构的认证依照《中华国民共跟国认证承认条例》的有关划定履行。第八条 团体信息处置者依照维护部分请求发展团体信息维护合规审计的,应该为专业机构畸形发展团体信息维护合规审计任务供给须要支撑,并承当审计用度。第九条 团体信息处置者依照维护部分请求发展团体信息维护合规审计的,应该依照维护部分请求选定专业机构,在限制时光内实现团体信息维护合规审计;情形庞杂的,报维护部分同意后,能够恰当延伸。第十条 团体信息处置者依照维护部分请求发展团体信息维护合规审计的,在实现合规审计后,应该将专业机构出具的团体信息维护合规审计讲演报送维护部分。 团体信息维护合规审计讲演应该由专业机构重要担任人、合规审计担任人具名并加盖专业机构公章。第十一条 团体信息处置者依照维护部分请求发展团体信息维护合规审计的,应该依照维护部分请求对合规审计中发明的成绩停止整改。在整改实现后15个任务日内,向维护部分报送整改情形讲演。第十二条 处置100万人以上团体信息的团体信息处置者应该指定团体信息维护担任人,担任团体信息处置者的团体信息维护合规审计任务。 供给主要互联网平台效劳、用户数目宏大、营业范例庞杂的团体信息处置者,应该建立重要由外部成员构成的自力机构对团体信息维护合规审计情形停止监视。第十三条 专业机构在从事团体信息维护合规审计运动时,应该遵照执法法例,诚信正派,公平客不雅地作出合规审计职业断定,对在实行团体信息维护合规审计职责中取得的团体信息、贸易机密、保密商务信息等应该依法予以保密,不得泄漏或许合法向别人供给,在合规审计任务停止后实时删除相干信息。第十四条 专业机构不得转委托其余机构发展团体信息维护合规审计。第十五条 统一专业机构及其关系机构、统一合规审计担任人不得持续三次以上对统一审计工具发展团体信息维护合规审计。第十六条 维护部分对团体信息处置者发展团体信息维护合规审计情形停止监视检讨。第十七条 任何构造、团体有权对团体信息维护合规审计中的守法运动向维护部分停止赞扬、告发。收到赞扬、告发的部分应该依法实时处置,并将处置成果告诉赞扬、告发人。第十八条 团体信息处置者、专业机构违背本措施划定的,按照《中华国民共跟国团体信息维护法》、《收集数据保险治理条例》等执法法例的划定处置;形成犯法的,依法查究刑事义务。第十九条 对国度构造跟执法、法例受权的存在治理大众事件本能机能的构造的团体信息维护合规审计,不实用本措施。第二十条 本措施自2025年5月1日起实施。附件团体信息维护合规审计指引 一、本指引依据《中华国民共跟国团体信息维护法》、《收集数据保险治理条例》等执法、行政法例制订。 二、对团体信息处置运动的正当性基本停止合规审计的,应该重点检察下列事项: (一)基于团体批准处置团体信息的,能否获得团体批准,该批准能否由团体在充足知情的条件下被迫、明白作出; (二)基于团体批准处置团体信息的,团体信息的处置目标、处置方法、处置的团体信息品种产生变革的,能否从新获得团体批准; (三)基于团体批准处置团体信息的,能否按照执法、行政法例获得团体独自批准或许书面批准; (四)处置团体信息未获得团体批准的,能否属于执法、行政法例划定不须要获得团体批准的情况。 三、对团体信息处置规矩停止合规审计的,应该重点检察下列事项: (一)能否实在、正确、完全地告诉团体信息处置者的称号或许姓名跟接洽方法; (二)能否以清单等便于检查的情势列明所网络的团体信息及其处置方法跟品种; (三)能否与处置目标直接相干,采用对团体权利影响最小的方法; (四)能否明白团体信息保留限期或许保留限期确实定方式、到期后的处置方法,以及断定保留限期为实现处置目标所须要的最短时光; (五)能否明白团体查阅、复制、转移、改正、弥补、删除、限度处置团体信息以及登记账号、撤回批准的道路跟方式。 四、对团体信息处置者实行告诉团体信息处置规矩任务停止合规审计的,应该重点检察下列事项: (一)团体信息处置者在处置团体信息前,能否以明显方法、清楚易懂的言语实在、正确、完全地向团体告诉团体信息处置规矩; (二)告诉文本的巨细、字体跟色彩能否便于团体完全浏览告诉事项; (三)线下告诉能否经由过程标注、阐明等多种方法向团体实行告诉任务; (四)在线告诉能否供给文本信息或许经由过程恰当方法向团体实行告诉任务;(五)团体信息处置规矩产生变革的,能否将变革内容实时告诉团体; (六)处置团体信息不须要告诉的,能否属于执法、行政法例划定应该保密或许不须要告诉的情况。 五、对团体信息处置者与其余团体信息处置者独特处置团体信息停止合规审计的,应该重点检察下列事项: (一)能否商定各自的权力任务; (二)团体信息权利维护机制; (三)团体信息保险变乱讲演机制; (四)其余执法、行政法例划定须要商定的权力跟任务。 六、对团体信息处置者委托处置团体信息停止合规审计的,应该重点检察下列事项: (一)团体信息处置者在委托处置团体信息前,能否发展团体信息维护影响评价; (二)团体信息处置者与受托人签署的条约,能否与受托人商定了委托处置的目标、限期、方法、团体信息的品种、维护办法以及两边的权力任务等; (三)团体信息处置者能否采用按期检讨等方法,对受托人的团体信息处置运动停止监视。 七、团体信息处置者存在因兼并、重组、分破、遣散、被宣布停业等起因须要转移团体信息情况的,应该重点检察团体信息处置者能否向团体告诉接受方的称号或许姓名跟接洽方法。 八、对团体信息处置者向其余团体信息处置者供给其处置的团体信息停止合规审计的,应该重点检察下列事项: (一)基于团体批准处置团体信息的,能否获得团体的独自批准; (二)能否向团体告诉接受方的称号或许姓名、接洽方法、处置目标、处置方法跟团体信息的品种,执法、行政法例划定应该保密或许不须要告诉的除外; (三)能否事先停止团体信息维护影响评价。 九、对团体信息处置者应用主动化决议处置团体信息停止合规审计的,应该重点检察下列事项: (一)主动化决议的通明度,以及主动化决议的成果能否公正、公平; (二)能否事先告诉团体主动化决议处置团体信息的品种及可能带来的影响; (三)能否事先停止团体信息维护影响评价; (四)能否向用户供给保证机制,以便团体经由过程便捷方法谢绝经由过程主动化决议方法作出对团体权利有严重影响的决议,并请求团体信息处置者就经由过程主动化决议方法作出对用户团体权利有严重影响的决议予以阐明; (五)向团体停止信息推送、贸易营销的,能否同时供给不针对团体特点的选项,或许供给便捷的谢绝主动化决议效劳的方法; (六)能否采用了无效办法,避免主动化决议依据花费者的偏好、买卖习气等对团体在买卖前提上履行分歧理的差异报酬; (七)其余可能影响主动化决议的通明度跟成果公正、公平的事项。 十、对团体信息处置者基于团体批准公然团体信息停止合规审计的,应该重点检察下列事项: (一)团体信息处置者公然其处置的团体信息前能否获得团体独自批准,该受权能否实在、无效,能否存在违反团体志愿将团体信息予以公然的情形; (二)团体信息处置者公然团体信息前,能否停止团体信息维护影响评价。 十一、团体信息处置者在大众场合装置图像网络、团体身份辨认装备的,应该重点对其装置图像网络、团体信息身份辨认装备的正当性及所网络团体信息的用处停止检察。检察内容包含但不限于: (一)能否为保护大众保险所必须,能否为贸易目标处置所网络的团体信息; (二)能否设置了明显的提醒标识; (三)团体信息处置者所网络的团体图像、身份辨认信息用于保护大众保险以外用处的,能否获得团体独自批准。 十二、对团体信息处置者处置已公然的团体信息停止合规审计的,应该重点检察团体信息处置者能否存鄙人列守法违规行动: (一)向已公然团体信息中的电子邮箱、手机号等发送与其公然目标有关的贸易信息; (二)应用已公然的团体信息从事收集暴力、传布收集谎言跟虚伪信息等运动; (三)处置团体明白谢绝处置的已公然团体信息; (四)对团体权利有严重影响,未获得团体批准; (五)网络、留存或处置已公然团体信息的范围、时光或应用目标超越公道范畴。 十三、对团体信息处置者处置敏感团体信息停止合规审计的,应该重点检察下列事项: (一)基于团体批准处置团体信息的,处置生物辨认、宗教信奉、特定身份、医疗安康、金融账户、行迹轨迹等敏感团体信息,能否事先获得团体的独自批准; (二)基于团体批准处置团体信息的,处置不满十四处岁未成年人的团体信息,能否事先获得未成年人的怙恃或许其余监护人的批准; (三)处置敏感团体信息的目标、方法、范畴能否正当、合法、须要; (四)能否在事先停止团体信息维护影响评价; (五)能否向团体告诉处置敏感团体信息的须要性以及对团体权利的影响,执法、行政法例划定应该保密或许不须要告诉的除外; (六)执法、行政法例划定应该获得书面批准的,能否获得书面批准; (七)能否遵照执法、行政法例对处置敏感团体信息的限度性划定。 十四、对团体信息处置者处置不满十四处岁未成年人团体信息停止合规审计的,应该重点检察下列事项: (一)能否制订专门的团体信息处置规矩; (二)能否向未成年人及其监护人告诉未成年人团体信息的处置目标、处置方法、处置须要性,以及处置团体信息的品种、所采用的维护办法等,执法、行政法例划定不须要告诉的除外; (三)基于团体批准处置团体信息,能否存在强迫请求未成年人或许其监护人批准处置非须要团体信息的行动。 十五、对团体信息处置者向境外供给团体信息停止合规审计的,应该重点检察下列事项: (一)要害信息基本设备经营者向境外供给团体信息能否经由国度网信部分构造的保险评价,执法、行政法例、国度网信部分尚有划定的,从其划定; (二)要害信息基本设备经营者以外的数据处置者自昔时1月1日起累计向境外供给100万人以上团体信息(不含敏感团体信息)或许1万人以上敏感团体信息能否经由国度网信部分构造的保险评价,执法、行政法例、国度网信部分尚有划定的,从其划定; (三)要害信息基本设备经营者以外的数据处置者自昔时1月1日起累计向境外供给10万人以上、不满100万人团体信息(不含敏感团体信息)或许不满1万人敏感团体信息的,能否依照国度网信部分的划定,经团体信息维护认证或许依照国度网信部分制订的尺度条约与境外接受方签署条约并向地点地省级网信部分存案,或许合乎执法、行政法例、国度网信部分划定的其余前提; (四)存在向本国司法或许法律机构供给存储于中华国民共跟国境内团体信息情况的,能否经由中华国民共跟国主管构造同意; (五)能否向被列入限度或许制止团体信息供给清单的构造跟团体供给团体信息。 十六、对团体信息删除权保证情形停止合规审计的,应该重点检察下列事项: (一)团体信息处置目标能否已实现、无奈实现或许为实现处置目标不再须要; (二)团体信息处置者能否结束供给产物或许效劳,或许团体能否已登记账号; (三)保留限期能否已届满; (四)团体能否撤回批准; (五)团体信息处置者能否违背执法、行政法例或许违背商定处置团体信息; (六)应该删除团体信息,但执法、行政法例划定的保留限期未届满,或许删除团体信息从技巧上难以实现的,团体信息处置者能否结束除存储跟采用须要的保险办法之外的处置。 十七、对团体信息处置者保证团体在团体信息处置运动中的权力情形停止合规审计的,应该重点检察下列事项: (一)能否树立便捷的团体行使权力的请求受理机制跟处置机制; (二)能否实时呼应团体行使权力的请求,能否实时、完全、正确告诉处置看法或许履行成果; (三)谢绝团体行使权力恳求的,能否向团体阐明来由。 十八、团体信息处置者应该呼应团体请求,对其团体信息处置规矩停止说明阐明,合规审计时应该重点对下列内容停止评估: (一)团体信息处置者能否供给便捷的方法跟道路,接收、处置团体对于团体信息处置规矩说明阐明的请求; (二)接到团体的请求后,团体信息处置者能否在公道的时光内,应用艰深易懂的言语对其团体信息处置规矩作出说明阐明。 十九、团体信息处置者应该按照执法、行政法例的划定制订外部治理轨制跟操纵规程,明白构造架构、岗亭职责,树立任务流程、完美内把持度,保证团体信息处置合规与保险。合规审计时,应该重点对团体信息处置者团体信息维护外部治理轨制跟操纵规程停止检察,包含但不限于: (一)团体信息维护任务的目标、目的、准则能否合乎执法、行政法例划定; (二)团体信息维护构造架构、职员装备、行动标准、治理义务能否与应该实行的团体信息维护义务相顺应; (三)能否依据团体信息的品种、起源、敏感水平、用处等,对团体信息停止分类; (四)能否树立团体信息保险变乱应急呼应机制; (五)能否树立团体信息维护影响评价轨制、合规审计轨制; (六)能否树立疏通的团体信息维护赞扬告发受理流程; (七)能否公道制订团体信息处置操纵权限; (八)能否制订实行团体信息维护保险教导跟培训打算; (九)能否树立团体信息维护担任人及相干职员履职评估轨制; (十)能否树立团体信息守法处置义务轨制; (十一)执法、行政法例划定的其余事项。 二十、团体信息处置者应该采用与所处置团体信息范围、范例相顺应的保险技巧办法,并对团体信息处置者采用的技巧办法的无效性停止评估,评估内容包含但不限于: (一)能否采用响应保险技巧办法实现团体信息的保密性、完全性、可用性; (二)能否采用加密、去标识化等保险技巧办法,确保在不借助额定信息的情形下,打消或许下降团体信息的可辨认性; (三)采用的保险技巧办法是否公道断定有关职员查阅、复制、传输团体信息等的操纵权限,增加团体信息在处置进程中未经受权的拜访跟滥用危险。 二十一、对团体信息处置者教导培训打算的制订跟实行情形停止合规审计时,应该重点对下列事项停止评估: (一)能否按打算对治理职员、技巧职员、操纵职员、全员发展响应的保险教导跟培训,能否对响应职员的团体信息维护认识跟技巧停止考察; (二)培训内容、方法、工具、频率等是否满意团体信息维护须要。 二十二、对团体信息处置者指定的团体信息维护担任人履职情形停止合规审计的,应该重点检察下列事项: (一)团体信息维护担任人能否存在相干的任务阅历跟专业常识,熟习团体信息维护相干执法、行政法例; (二)团体信息维护担任人能否存在明白清楚的职责,能否被付与充足的权限和谐团体信息处置者外部相干部分与职员; (三)团体信息维护担任人在团体信息处置严重事项决议前能否有权提出相干看法跟倡议; (四)团体信息维护担任人能否有权对团体信息处置者外部团体信息处置的分歧规操纵停止禁止跟采用须要的改正办法; (五)团体信息处置者能否公然团体信息维护担任人的接洽方法,并将团体信息维护担任人的姓名、接洽方法等报送维护部分。 二十三、对团体信息处置者发展团体信息维护影响评价情形停止合规审计时,应该重点对影响评价发展情形跟评价内容停止检察: (一)能否按照执法、行政法例的划定,在停止对团体权利存在严重影响的团体信息处置运动行进行团体信息维护影响评价; (二)能否对团体信息的处置目标、处置方法等停止正当、合法、须要评价; (三)能否对团体权利的影响及保险危险停止评价; (四)能否对所采用的维护办法的正当性、无效性,以及与危险水平的顺应性停止评价。 二十四、团体信息处置者应该制订团体信息保险变乱应急预案。合规审计时,应该对应急预案的片面性、无效性、可履行性作出评估,包含但不限于下列内容: (一)能否联合营业现实,劈面临的团体信息保险危险作出体系评价跟猜测; (二)总体请求、基础战略,构造机构、职员,技巧、物质保证,批示处理顺序,应急跟支撑办法等能否足以应答猜测的危险; (三)能否对相干职员停止应急预案培训,按期对应急预案停止练习训练。 二十五、对团体信息处置者团体信息保险变乱应急呼应处理情形停止合规审计的,应该重点检察下列事项: (一)能否依照应急预案、操纵规程实时查明团体信息保险变乱的影响、范畴跟可能形成的迫害,剖析、断定变乱产生的起因,提出避免迫害扩展的办法计划; (二)能否树立转达渠道,在保险变乱产生后依照相干划定实时告诉维护部分跟团体; (三)能否采用响应办法将团体信息保险变乱可能形成的丧失跟可能发生的迫害危险下降到最小。 二十六、对供给主要互联网平台效劳、用户数目宏大、营业范例庞杂的团体信息处置者制订的平台规矩停止合规审计的,应该重点检察下列事项: (一)平台规矩能否与执法、行政法例相抵牾; (二)平台规矩团体信息维护条目的无效性,能否公道界定了平台、平台内产物或许效劳供给者的团体信息维护权力跟任务; (三)平台规矩的履行情形,能否经由过程抽样等方法验证平台规矩被无效履行。 二十七、对供给主要互联网平台效劳、用户数目宏大、营业范例庞杂的团体信息处置者宣布的团体信息维护社会义务讲演停止合规审计的,应该重点检察社会义务讲演表露下列内容的情形: (一)团体信息维护构造架构跟外部治理情形; (二)团体信息维护才能建立情形; (三)团体信息维护办法跟功效; (四)团体行使权力的请求受理情形; (五)自力监视机构履职情形; (六)严重团体信息保险变乱处置情形; (七)增进团体信息维护社会共治的科普宣扬、公益运动情形; (八)执法、行政法例划定的其余事项。起源:网信中国小编:[db:摘要]
当前网址:https://www.tianyuanqing.com//a/meishi/409.html
