为指导规范个人信息保护合规审计活动,国家互联网信息办公室起草了《个人信息保护合规审计管理办法(征求建议稿)》(以下简称《征求建议稿》)。《征求建议稿》提出,处理超过100万人个人信息的个人信息处理者,应当每年至少开展一次个人信息保护合规审计;其它个人信息处理者应当每二年至少开展一次个人信息保护合规审计。
《征求建议稿》指出,个人信息保护合规审计,是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情景进行审查和评价的监督活动。
另外,《征求建议稿》提出,专业机构在从事个人信息保护合规审计活动时,应当诚信正直,公正客观地作出合规审计职业判断。专业机构不得转包委托第叁方开展个人信息保护合规审计。专业机构在履行个人信息保护合规审计职责中获得的信息,只能用于个人信息保护合规审计的需求,不得用于其它用途;专业机构应当对获得的信息承担保密责任;专业机构应当采取相应技术措施和其它必要措施,保障 数据安全 。专业机构在履行个人信息保护合规审计职责时不得恶意干扰个人信息处理者的正常经营活动。专业机构有出具虚假、失实报告等违规行为的,个人信息处理者及相关方可向履行个人信息保护职责的部门进行投诉,经履行个人信息保护职责的部门核对的,永久禁止列入个人信息保护合规审计专业机构推荐目录。