网信办征求意见：处理超100万人个人信息者应每年开展信息保护合规审计

人民网北京8月3日电 （记者罗知之）为指导规范个人信息保护合规审计活动，国家互联网信息办公室起草了《个人信息保护合规审计管理办法（征求意见稿）》（以下简称《征求意见稿》）。《征求意见稿》提出，处理超过100万人个人信息的个人信息处理者，应当每年至少开展一次个人信息保护合规审计；其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。

《征求意见稿》指出，个人信息保护合规审计，是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。

此外，《征求意见稿》提出，专业机构在从事个人信息保护合规审计活动时，应当诚信正直，公正客观地作出合规审计职业判断。专业机构不得转包委托第三方开展个人信息保护合规审计。专业机构在履行个人信息保护合规审计职责中获得的信息，只能用于个人信息保护合规审计的需要，不得用于其他用途；专业机构应当对获得的信息承担保密责任；专业机构应当采取相应技术措施和其他必要措施，保障数据安全。专业机构在履行个人信息保护合规审计职责时不得恶意干扰个人信息处理者的正常经营活动。专业机构有出具虚假、失实报告等违规行为的，个人信息处理者及相关方可向履行个人信息保护职责的部门进行投诉，经履行个人信息保护职责的部门核实的，永久禁止列入个人信息保护合规审计专业机构推荐目录。