陸監管再升級 網信辦：個人訊息處理者應每年審計一次

大陆国家网信办近期持续收紧网路监管力道。（搜狐新闻网）

大陆的网路控制又要再加大力道了吗？大陆国家互联网信息办公室宣布，拟对个人讯息保护做出新规定，要求处理超过100万人个人讯息的个人讯息处理者，每年至少接受一次个人讯息保护的「合规审计」。

澎湃新闻报导，大陆网信办8月3日于官网上公布，该单位起草「个人信息保护合规审计管理办法（征求意见稿）」，向社会公开征求意见，且意见回馈将止于9月2日。

据征求意见稿，处理超过100万人个人信息的个人信息处理者，每年应至少展开一次个人讯息保护合规审查。而其他个人信息处理者应当每两年至少开展一次个人信息保护合规审计。

报导还指出，个人讯息处理者按照履行个人信息保护职责部门要求、委托专业机构开展个人信息保护合规审计的，应在90个工作日内完成个人信息保护合规审计。若情况复杂者，报经履行个人讯息保护职责的部门批准后可适当延长。

其中，该办法在「个人信息保护合规审计参考要点」的附件中，明确列出共31条要点。其中，网信办提及，对个人讯息处理规则进行审计时，应当重点审查是否真实、准确、完整地告知个人信息处理者的名称或者姓名和联系方式。还有，是否以清单形式列明所收集的个人信息及其处理目的、方式、范围。再来，明确个人讯息存储期限或者存储期限的确定方法、到期后的处理方式，以及确保存储期限为实现处理目的所必要的最短时间。是否明确个人查阅、复制、加工、转移、更正、补充、删除、公开、限制处理个人信息以及注销帐号、撤回同意的途径和方法。向第三方提供个人信息的，是否明确向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，是否取得个人的单独同意。法律、行政法规规定的其他事项。

其次，个人讯息处理者存在因合并、重组、分立、解散、被宣告破产等原因需要转移个人讯息情形的，应当重点审查其个人讯息处理者是否向个人告知接收方的名称或者姓名和联系方式。以及接收方是否继续履行个人讯息处理者的义务。还有，接收方变更原先处理目的、处理方式的，是否依照法律、行政法规有关规定重新取得个人同意。

再来，个人讯息处理者处理敏感个人资讯时，审计时应当重点审查，处理生物识别、宗教信仰、特定身份等敏感个人资讯的，是否事前取得个人的单独同意。并且，处理不满十四周岁未成年人的个人讯息，是否事前取得未成年人的父母或者其他监护人的同意。还要注意到，处理敏感个人信息的目的、方式是否合法、正当、必要。其中，在法律、行政法规规定应当取得书面同意的，是否取得书面同意。并且，是否对处理敏感个人讯息的过程进行了记录，以保障处理敏感个人讯息流程合法合规。

最后，个人讯息处理者存在向境外提供个人信息情形时，应审查其关键讯息基础设施运营者和处理100万人以上个人讯息的个人讯息处理者向境外提供个人信息「是否经过国家网信部门组织的安全评估」等。

另，报导还称，若违反上述办法及规定者，将依「个人信息保护法」等法律法规处理。而构成犯罪者，则依法追究刑事责任。

中国国家网信办表示，未来处理超过百万人个人讯息者，应每年展开一次「合规审计」。（路透）