国家网信办发布《个人信息保护合规审计管理办法（征求意见稿）》

　　【合规资讯】

　　8月3日，为指导、规范个人信息保护合规审计活动，根据《中华人民共和国个人信息保护法》等法律法规，国家互联网信息办公室起草了《个人信息保护合规审计管理办法（征求意见稿）》（以下简称《管理办法》），于2023年8月3日向社会公开征求意见，意见反馈截止时间为2023年9月2日。《管理办法》提出，处理超100万人个人信息的个人信息处理者，应每年至少开展一次个人信息保护合规审计；其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。个人信息处理者自行开展个人信息保护合规审计，可根据实际情况，由本组织内部机构或者委托专业机构按照本办法要求开展。（资讯分类：境内，数据与隐私保护，信息传输、软件和信息技术服务业；信息来源：国家互联网信息办公室）

　　【合规提示】

　　《管理办法》为个人信息保护合规审计提供了落地指引，并附《个人信息保护合规审计参考要点》（以下简称《参考要点》）作为风险识别的重要工具。建议作为个人信息处理者的企业，根据《管理办法》的规定，推进个人信息合规审计活动规范化，提高个人信息处理活动水平。一是，持续关注《管理办法》更新动态，并结合自身业务场景和管理体系，判断自身所属对象类型，及时制定内部个人信息合规审计制度，并将其作为企业个人信息保护合规制度的重要内容，完善企业个人信息保护体系。二是，以《参考要点》为依照，对企业个人信息处理活动进行梳理和检查，识别和控制潜在的个人信息保护合规风险，并加强企业内部各部门和各专业之间的沟通和配合，针对性地整改其中发现的合规风险。三是，将个人信息保护合规审计嵌入企业进行数据处理的各个流程中，形成长期有效的治理机制，开展员工培训和个人信息保护日常检查，从整体上对合规制度和业务流程进行改进和优化，定期对企业内部个人信息保护制度的设计有效性进行审查，确保企业内部制度依据法律法规的要求同步作出调整和更新。四是，注重企业个人信息处理活动的留痕，以落实《管理办法》和《参考要点》提出的合规审计要求，应对监管部门、目标客户、合作伙伴等内外部检查，展现良好的企业形象。