《幼我音信维护合规审计执掌主张》一经2024年5月20日国度互联网音信办公室2024年第15次室务会聚会审议通过，现予发布，自2025年5月1日起实施。

　　第一条为了榜样幼我音信维护合规审计行径，维护幼我音信权利，遵循《中华百姓共和国幼我音信维护法》、《搜集数据平和执掌条例》等功令、行政准则，拟订本主张。

　　本主张所称幼我音信维护合规审计，是指对幼我音信经管者的幼我音信经管行径是否遵照功令、行政准则的情景举办审查和评议的监视行径。

　　第三条幼我音信经管者自行发展幼我音信维护合规审计的，该当由幼我音信经管者内部机构或者委托专业机构按期对其经管幼我音信遵照功令、行政准则的情景举办合规审计。

　　第四条经管超越1000万人幼我音信的幼我音信经管者，该当每两年起码发展一次幼我音信维护合规审计。

　　第五条幼我音信经管者有以下景况之一的，国度网信部分和其他施行幼我音信维护职责的部分（以下统称为维护部分），可能央求幼我音信经管者委托专业机构对幼我音信经管行径举办合规审计：

　　（三）产生幼我音信平和事变，导致100万人以上幼我音信或者10万人以上敏锐幼我音信吐露、窜改、丧失、毁损的。

　　对统一幼我音信平和事变或者危急，不得反复央求幼我音信经管者委托专业机构发展幼我音信维护合规审计。

　　第六条幼我音信经管者自行发展或者根据维护部分央求委托专业机构发展幼我音信维护合规审计的，该当参照本主张附件《幼我音信维护合规审计指引》。

　　第七条专业机构该当具备发展幼我音信维护合规审计的材干，有与办事相适当的审计职员、处所、举措和资金等。

　　第八条幼我音信经管者根据维护部分央求发展幼我音信维护合规审计的，该当为专业机构平常发展幼我音信维护合规审计作事供应须要援手，并担任审计用度。

　　第九条幼我音信经管者根据维护部分央求发展幼我音信维护合规审计的，该当根据维护部分央求选定专业机构，正在局限时候内结束幼我音信维护合规审计；情景繁复的，报维护部分准许后，可能妥贴伸长。

　　第十条幼我音信经管者根据维护部分央求发展幼我音信维护合规审计的，正在结束合规审计后，该当将专业机构出具的幼我音信维护合规审计叙述报送维护部分。

　　第十一条幼我音信经管者根据维护部分央求发展幼我音信维护合规审计的，该当根据维护部分央求对合规审计中挖掘的题目举办整改。正在整改结束后15个作事日内，向维护部分报送整改情景叙述。

　　第十二条经管100万人以上幼我音信的幼我音信经管者该当指定幼我音信维护卖力人，卖力幼我音信经管者的幼我音信维护合规审计作事。

　　供应紧急互联网平台办事、用户数目浩瀚、交易类型繁复的幼我音信经管者，该当缔造要紧由表部成员构成的独立机构对幼我音信维护合规审计情景举办监视。

　　第十三条专业机构正在从事幼我音信维护合规审计行径时，该当遵照功令准则，诚信清廉，平允客观地作出合规审计职业判定，对正在施行幼我音信维护合规审计职责中得回的幼我音信、贸易奥秘、保密商务音信等该当依法予以保密，不得吐露或者违法向他人供应，正在合规审计作事终了后实时删除干系音信。

　　第十五条统一专业机构及其干系机构、统一合规审计卖力人不得衔接三次以上对统一审计对象发展幼我音信维护合规审计。

　　第十七条任何机闭、幼我有权对幼我音信维护合规审计中的违法行径向维护部分举办投诉、举报。收到投诉、举报的部分该当依法实时经管，并将经管结果见告投诉、举报人。

　　第十八条幼我音信经管者、专业机构违反本主张轨则的，遵从《中华百姓共和国幼我音信维护法》、《搜集数据平和执掌条例》等功令准则的轨则经管；组成坐法的，依法深究刑事负担。

　　第十九条对国度圈套和功令、准则授权的拥有执掌大多工作机能的机闭的幼我音信维护合规审计，不实用本主张。

　　一、本指引遵循《中华百姓共和国幼我音信维护法》、《搜集数据平和执掌条例》等功令、行政准则拟订。

　　（一）基于幼我答应经管幼我音信的，是否获得幼我答应，该答应是否由幼我正在饱满知情的条件下自觉、了了作出；

　　（二）基于幼我答应经管幼我音信的，幼我音信的经管主意、经管方法、经管的幼我音信品种产生改革的，是否从新获得幼我答应；

　　（四）是否了了幼我音信保管限期或者保管限期切实定举措、到期后的经管方法，以及确定保管限期为完毕经管主意所须要的最短时候；

　　（五）是否了了幼我查阅、复造、蜕变、改动、增补、删除、局限经管幼我音信以及刊出账号、撤答复应的途径和举措。

　　（一）幼我音信经管者正在经管幼我音信前，是否以明显方法、明了易懂的措辞可靠、确切、完全地向幼我见告幼我音信经管条例；

　　五、对幼我音信经管者与其他幼我音信经管者协同经管幼我音信举办合规审计的，该当核心审查下列事项：

　　（二）幼我音信经管者与受托人订立的合同，是否与受托人商定了委托经管的主意、限期、方法、幼我音信的品种、维护程序以及两边的权柄负担等；

　　七、幼我音信经管者存正在因团结、重组、分立、完结、被公告停业等因由需求蜕变幼我音信景况的，该当核心审查幼我音信经管者是否向幼我见告收受方的名称或者姓名和闭系方法。

　　八、对幼我音信经管者向其他幼我音信经管者供应其经管的幼我音信举办合规审计的，该当核心审查下列事项：

　　（二）是否向幼我见告收受方的名称或者姓名、闭系方法、经管主意、经管方法和幼我音信的品种，功令、行政准则轨则该当保密或者不需求见告的除表；

　　（四）是否向用户供应保险机造，以便幼我通过便捷方法拒绝通过自愿化决定方法作出对幼我权利有强大影响的决策，并央求幼我音信经管者就通过自愿化决定方法作出对用户幼我权利有强大影响的决策予以证据；

　　（五）向幼我举办音信推送、贸易营销的，是否同时供应不针对幼我特性的选项，或者供应便捷的拒绝自愿化决定办事的方法；

　　（六）是否采用了有用程序，防备自愿化决定遵循消费者的偏好、来往风俗等对幼我正在来往条款上实行不对理的分歧待遇；

　　（一）幼我音信经管者公然其经管的幼我音信前是否获得幼我稀少答应，该授权是否可靠、有用，是否存正在违背幼我意图将幼我音信予以公然的情景；

　　十一、幼我音信经管者正在稠人广多安置图像汇集、幼我身份识别配置的，该当核心对其安置图像汇集、幼我音信身份识别配置的合法性及所汇集幼我音信的用处举办审查。审查实质囊括但不限于：

　　（三）幼我音信经管者所汇集的幼我图像、身份识别音信用于爱护大多平和以表用处的，是否获得幼我稀少答应。

　　十二、对幼我音信经管者经管已公然的幼我音信举办合规审计的，该当核心审查幼我音信经管者是否存鄙人列违法违规行径：

　　（一）基于幼我答应经管幼我音信的，经管生物识别、宗教信念、特定身份、医疗康健、金融账户、踪迹轨迹等敏锐幼我音信，是否事前获得幼我的稀少答应；

　　（二）基于幼我答应经管幼我音信的，经管不满十周遭岁未成年人的幼我音信，是否事前获得未成年人的父母或者其他监护人的答应；

　　（五）是否向幼我见告经管敏锐幼我音信的须要性以及对幼我权利的影响，功令、行政准则轨则该当保密或者不需求见告的除表；

　　十四、对幼我音信经管者经管不满十周遭岁未成年人幼我音信举办合规审计的，该当核心审查下列事项：

　　（二）是否向未成年人及其监护人见告未成年人幼我音信的经管主意、经管方法、经管须要性，以及经管幼我音信的品种、所采用的维护程序等，功令、行政准则轨则不需求见告的除表；

　　（三）基于幼我答应经管幼我音信，是否存正在强造央求未成年人或者其监护人答应经管非须要幼我音信的行径。

　　（一）症结音信根底举措运营者向境表供应幼我音信是否颠末国度网信部分机闭的平和评估，功令、行政准则、国度网信部分另有轨则的，从其轨则；

　　（二）症结音信根底举措运营者以表的数据经管者自当年1月1日起累计向境表供应100万人以上幼我音信（不含敏锐幼我音信）或者1万人以上敏锐幼我音信是否颠末国度网信部分机闭的平和评估，功令、行政准则、国度网信部分另有轨则的，从其轨则；

　　（三）症结音信根底举措运营者以表的数据经管者自当年1月1日起累计向境表供应10万人以上、不满100万人幼我音信（不含敏锐幼我音信）或者不满1万人敏锐幼我音信的，是否根据国度网信部分的轨则，经幼我音信维护认证或者根据国度网信部分拟订的规范合同与境表收受方订立合同并向所正在地省级网信部分登记，或者切合功令、行政准则、国度网信部分轨则的其他条款；

　　（四）存正在向表王法律或者司法机构供应存储于中华百姓共和国境内幼我音信景况的，是否颠末中华百姓共和国主管圈套准许；

　　（六）该当删除幼我音信，但功令、行政准则轨则的保管限期未届满，或者删除幼我音信从本事上难以完毕的，幼我音信经管者是否遏造除存储和采用须要的平和程序除表的经管。

　　十七、对幼我音信经管者保险幼我正在幼我音信经管行径中的权柄情景举办合规审计的，该当核心审查下列事项：

　　十八、幼我音信经管者该当反响幼我申请，对其幼我音信经管条例举办讲明证据，合规审计时该当核心对下列实质举办评议：

　　（一）幼我音信经管者是否供应便捷的方法和途径，承受、经管幼我闭于幼我音信经管条例讲明证据的央求；

　　（二）接到幼我的央求后，幼我音信经管者是否正在合理的时候内，利用平凡易懂的措辞对其幼我音信经管条例作出讲明证据。

　　十九、幼我音信经管者该当遵从功令、行政准则的轨则拟订内部执掌轨造和操作规程，了了机闭架构、岗亭职责，征战作事流程、完整内控轨造，保险幼我音信经管合规与平和。合规审计时，该当核心对幼我音信经管者幼我音信维护内部执掌轨造和操作规程举办审查，囊括但不限于：

　　（二）幼我音信维护机闭架构、职员装备、行径榜样、执掌负担是否与该当施行的幼我音信维护负担相适当；

　　二十、幼我音信经管者该当采用与所经管幼我音信范围、类型相适当的平和本事程序，并对幼我音信经管者采用的本事程序的有用性举办评议，评议实质囊括但不限于：

　　（二）是否采用加密、去标识化等平和本事程序，确保正在不借帮卓殊音信的情景下，消弭或者低浸幼我音信的可识别性；

　　（三）采用的平和本事程序能否合理确定相闭职员查阅、复造、传输幼我音信等的操作权限，淘汰幼我音信正在经管流程中未经授权的拜访和滥用危急。

　　二十一、对幼我音信经管者教养培训准备的拟订和奉行情景举办合规审计时，该当核心对下列事项举办评议：

　　（一）是否按准备对执掌职员、本事职员、操作职员、全员发展相应的平和教养和培训，是否对相应职员的幼我音信维护认识和工夫举办稽核；

　　二十二、对幼我音信经管者指定的幼我音信维护卖力人履职情景举办合规审计的，该当核心审查下列事项：

　　（一）幼我音信维护卖力人是否拥有干系的作事履历和专业学问，熟习幼我音信维护干系功令、行政准则；

　　（二）幼我音信维护卖力人是否拥有了了明了的职责，是否被给与饱满的权限调和幼我音信经管者内部干系部分与职员；

　　（四）幼我音信维护卖力人是否有权对幼我音信经管者内部幼我音信经管的不对规操作举办抵抗和采用须要的改正程序；

　　（五）幼我音信经管者是否公然幼我音信维护卖力人的闭系方法，并将幼我音信维护卖力人的姓名、闭系方法等报送维护部分。

　　二十三、对幼我音信经管者发展幼我音信维护影响评估情景举办合规审计时，该当核心对影响评估发展情景和评估实质举办审查：

　　（一）是否遵从功令、行政准则的轨则，正在举办对幼我权利拥有强大影响的幼我音信经管行径挺举办幼我音信维护影响评估；

　　二十四、幼我音信经管者该当拟订幼我音信平和事变应急预案。合规审计时，该当对应急预案的周密性、有用性、可奉行性作出评议，囊括但不限于下列实质：

　　（二）总体央求、根基政策，机闭机构、职员，本事、物资保险，率领措置圭表，应急和援手程序等是否足以应对预测的危急；

　　二十五、对幼我音信经管者幼我音信平和事变应急反响措置情景举办合规审计的，该当核心审查下列事项：

　　（一）是否根据应急预案、操作规程实时查明幼我音信平和事变的影响、鸿沟和可以变成的风险，领会、确定事变产生的因由，提出防备风险夸大的程序计划；

　　二十六、对供应紧急互联网平台办事、用户数目浩瀚、交易类型繁复的幼我音信经管者拟订的平台条例举办合规审计的，该当核心审查下列事项：

　　（二）平台条例幼我音信维护条件的有用性，是否合理界定了平台、平台内产物或者办事供应者的幼我音信维护权柄和负担；

　　二十七、对供应紧急互联网平台办事、用户数目浩瀚、交易类型繁复的幼我音信经管者公布的幼我音信维护社会负担叙述举办合规审计的，该当核心审查社会负担叙述披露下列实质的情景：