近日，国家互联网信息办公室公布《个人隐私信息保护合规审计管理办法》(以下简称《办法》)。国家互联网信息办公室有关负责人就《办法》有关问题回答了记者提问。

  答：当前，个人隐私信息被企业、机构甚至个人广泛收集使用，个人隐私信息保护和个人隐私信息利用的矛盾一天比一天突出。为压实个人隐私信息处理者个人隐私信息保护主体责任，加强个人信息处理活动风险控制和监督，《中华人民共和国个人信息保护法》《网络数据安全管理条例》对个人信息处理者开展合规审计作了规定。为有效落实法律和法规要求，国家互联网信息办公室制定出台《办法》，对个人隐私信息保护合规审计活动的开展、合规审计机构的选择、合规审计的频次、个人隐私信息处理者和专业机构在合规审计中的义务等作出细化规定，旨在为个人隐私信息处理者开展个人隐私信息保护合规审计提供系统性、针对性、可操作性的规范，提升个人隐私信息处理活动合法合规水平，保护个人信息权益。

  答：《中华人民共和国个人信息保护法》第五十四条规定，个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况做合规审计。第六十四条规定，履行个人隐私信息保护职责的部门在履行职责中，发现个人信息处理活动存在比较大风险或者发生个人隐私信息安全事件的，可根据规定的权限和程序对该个人隐私信息处理者的法定代表人或者主要负责人进行约谈，或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。《网络数据安全管理条例》第二十七条规定，网络数据处理者应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况做合规审计。以上法律和法规明确了个人隐私信息保护合规审计的两种情形：一是个人隐私信息处理者自行开展合规审计。二是按照履行个人信息保护职责的部门要求，委托专业机构开展合规审计。

  答：《办法》主要对下列内容做了规定：一是明确个人隐私信息处理者自行开展合规审计和按照履行个人隐私信息保护职责的部门要求委托专业机构开展合规审计的条件，合规审计机构的选择和合规审计的频次。二是明确开展合规审计的个人信息处理者应当履行的义务，规定个人信息处理者按照履行个人信息保护职责的部门要求开展合规审计的，应当为专业机构正常开展合规审计工作提供必要支持并承担审计费用，在限定时间内完成合规审计，报送合规审计报告并进行整改。三是明确专业机构在合规审计中的义务，规定专业机构应当具备开展合规审计的能力，遵守法律和法规，明确同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人隐私信息保护合规审计。四是明确履行个人隐私信息保护职责的部门对个人信息处理者开展合规审计情况做监督检查，任何组织、个人有权对合规审计中的违法活动向履行个人信息保护职责的部门进行投诉、举报，并规定个人信息处理者、专业机构违反《办法》规定的法律责任。

  答：个人信息处理者开展个人信息保护合规审计分两种情形：一是自行开展合规审计，即个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。处理超过1000万人个人信息的个人信息处理者，应当每两年至少开展一次个人信息保护合规审计。其他个人信息处理者根据自身情况合理确定定期开展个人信息保护合规审计的频次。二是按照要求开展合规审计，即履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险、可能侵害众多个人的权益或者发生个人信息安全事件的，可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。

  答：个人信息处理者自行开展合规审计时，可以选择由内部机构自行开展，也可以委托专业机构开展。《办法》对采取何种审计方式、是否选择专业机构，以及选择哪家专业机构没有强制性要求。个人信息处理活动存在较大风险、可能侵害众多个人的权益或者发生个人信息安全事件时，履行个人信息保护职责的部门可以要求个人信息处理者委托专业机构开展个人信息保护合规审计。

  答：专业机构接受个人信息处理者委托开展合规审计，应当公正客观地作出合规审计结论，提出合规审计建议，其出具的合规审计报告是履行个人信息保护职责的部门开展监督管理工作的重要参考。《办法》对专业机构提出以下要求：一是应当具备开展个人信息保护合规审计的能力，有与服务相适应的审计人员、场所、设施和资金等。二是应当遵守法律法规，诚信正直，公正客观地作出合规审计职业判断，对在履行个人信息保护合规审计职责中获得的个人信息、商业秘密、保密商务信息等依法予以保密，不得泄露或者非法向他人提供，在合规审计工作结束后及时删除相关信息。三是不得转委托其他机构开展个人信息保护合规审计。四是同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。

  答：《办法》遵循自愿性、市场化的原则，通过认证认可方式对专业机构做监督管理。专业机构的认证按照《中华人民共和国认证认可条例》的有关规定执行。具备开展个人隐私信息保护合规审计能力，有与服务相适应的审计人员、场所、设施和资金的专业机构，可以自愿申请相关服务能力认证。

  问8：个人隐私信息处理者按照履行个人隐私信息保护职责的部门要求开展个人隐私信息保护合规审计时，应当履行哪些义务？

  答：《办法》对个人隐私信息处理者按照履行个人隐私信息保护职责的部门要求开展个人隐私信息保护合规审计提出以下要求：一是保障合规审计正常进行，为专业机构正常开展个人隐私信息保护合规审计工作提供必要支持，并承担审计费用。二是按照履行个人隐私信息保护职责的部门要求选定专业机构，在限定时间内完成个人隐私信息保护合规审计，情况复杂的，报履行个人隐私信息保护职责的部门批准后，可以适当延长。三是报送合规审计报告并进行整改，个人隐私信息处理者在完成合规审计后，应当将专业机构出具的个人隐私信息保护合规审计报告报送履行个人隐私信息保护职责的部门，按照履行个人隐私信息保护职责的部门要求对合规审计中发现的问题进行整改，在整改完成后15个工作日内，向履行个人隐私信息保护职责的部门报送整改情况报告。

  问9：个人隐私信息处理者开展个人信息保护合规审计如何适用《个人隐私信息保护合规审计指引》？

  答：《个人隐私信息保护合规审计指引》对个人隐私信息保护相关法律、行政法规的关键要点作了梳理，从合规审计的角度进行了细化，便于个人隐私信息处理者对个人隐私信息处理活动是否遵守法律、行政法规要求进行审查和评价。个人隐私信息处理者自行开展或者按照履行个人隐私信息保护职责的部门要求委托专业机构开展个人隐私信息保护合规审计，应当参照《个人隐私信息保护合规审计指引》。

  2025年4月10日，安徽省芜湖市无为市昆山镇三公山茶叶种植基地，千亩高山野生杜鹃在翠绿的茶园之间绚丽绽放，美轮美奂，美不胜收

  近年来，江苏省泰州市姜堰区以科学技术创新赋能产业高质量发展、以产业创新带动技术突破，持续优化营商环境，迭代升级“堰商汇”数智亲商服务平台，厚植民营经济发展沃土，以高质量服务促进非公有制企业高质量发展。

  2025年4月1日，北京怀柔慕田峪长城内外山花盛开，美丽的春花把古长城打扮的多姿多娇，犹如春天里一幅壮美的风景画

  引江济淮菜巢线日，船舶航行在安徽省合肥市庐江县境内的引江济淮航道上，标志着菜子湖湿地候鸟越冬季禁航结束，菜（子湖）巢（湖）线

  2025年3月31日，江苏苏州吴中区光福镇，太湖之滨，桃花、樱花、油菜花等竞相绽放，生态优美，春景如画

  2025年2月25日，云南省昭通市绥江县，新市金沙江特大桥施工现场，工人正加紧施工。

  2025年2月7日，重庆市巫山县曲尺乡月明村一大片梅花竞相开放、灿若红霞，游客和市民前来游玩打卡，尽享春日的快乐和惬意

  2025年2月5日，福建省福清市石竹山风景区，一场非遗英歌舞、建瓯挑幡等非遗表演正在进行，让游客感受中华优良历史传统文化魅力，丰富景区文化内涵和游览品质

  2025年1月20日，江西省赣州市章贡区城市中央公园内，游船与湖水、植被、高楼相互映衬，呈现出一幅冬日多彩美丽生态画卷

  2025年1月16日，受低温天气影响，山西省运城盐湖出现冬季独特的“硝花”景观，水面上的硝花形态各异晶莹剔透，美不胜收。

  一位“行者”行走在广袤的沙漠中，遮掩着绝世的面庞，一面“古镜”掩埋于厚重的沙下，刻满了时间的裂痕。

  2025年1月9日，重庆市酉阳土家族苗族自治县桃花源国家森林公园白雪皑皑，雪景如画

  2025年1月5日，在山西太原南站开往呼和浩特东站的D4022次列车前，游客合影。

  2024年12月8日，广西梧州岑溪市岑城镇木榔村，生态田园中阡陌纵横线条分明，冬韵如画。

  2024年12月10日，贵州省黔西市绿化白族彝族乡大海子村，青山环绕树木葱茏，构成一幅美丽的生态画卷。

  2024年12月6日，古城苏州街头，成片的银杏、红枫等树木色彩斑斓满目缤纷，成为一道迷人的风景。

  2024年12月6日，初冬时节，山东省青岛市即墨区灵山街道花卉种植基地的大棚里一片繁忙，种植户忙着管护花卉。