国家互联网信息办公室关于《移动互联网未成年人模式建设指南(征求意见稿)》公开征求意见的通知
2023年08月02日 11:00来源: 中国网信网
为切实强化未成年人网络保护,近年来,国家网信办指导网站平台持续推进青少年模式建设,扩大覆盖范围,优化功能设置,丰富适龄内容。模式自上线以来,普及率稳步提升,在帮助未成年人减少网络沉迷和不良信息影响方面发挥了积极作用。
为进一步提升模式效能,立足未成年人网络保护新形势新要求,国家网信办研究起草了《移动互联网未成年人模式建设指南(征求意见稿)》,将全面升级“青少年模式”为“未成年人模式”,推动模式覆盖范围由APP扩大到移动智能终端、应用商店,实现软硬件三方联动,方便用户一键进入模式,为未成年人营造安全健康的网络环境。现面向社会公开征求意见建议,欢迎社会各界积极参与。公众可通过以下途径和方式提出反馈意见:
1.通过电子邮件方式发送至:wcnrms@cac.gov.cn。
2.通过信函方式将意见寄至:北京市西城区车公庄大街11号国家互联网信息办公室网络综合治理局,邮编:100044,并请在信封上注明“移动互联网未成年人模式建设指南征求意见”字样。
意见反馈截止日期为2023年9月2日。
国家互联网信息办公室
2023年8月2日
移动互联网未成年人模式建设指南
(征求意见稿)
一、目的依据
为了更好发挥互联网积极作用,营造良好网络环境,预防和干预未成年人网络沉迷问题,引导未成年人形成良好的网络使用习惯,按照《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国未成年人保护法》等法律、行政法规,以及未成年人网络保护有关规定,制定本指南。
二、适用范围
本指南规定了各类移动智能终端、移动互联网应用程序(以下简称“应用程序”)、移动互联网应用程序分发服务平台(以下简称“应用程序分发平台”)的未成年人模式应满足的基本要求、功能要求和管理要求,适用于移动智能终端提供者、应用程序提供者以及应用程序分发平台提供者等相关主体开展未成年人模式的研发和应用。
三、通用规范
(一)三方联动
移动智能终端、应用程序和应用程序分发平台之间应实现联动:
1.未成年人模式应具备自动切换功能。在移动智能终端一键启动未成年人模式后,应用程序、应用程序分发平台应自动切换到未成年人模式界面;在移动智能终端退出未成年人模式后,应用程序、应用程序分发平台应自动切换到普通模式界面。
2.未成年人模式应支持家长或未成年人用户通过账号在多移动智能终端(包括同一厂家的相同类型或不同类型的多个移动智能终端)进行统一设置。用户通过登录统一账号,自动将该账号下其他移动智能终端的已有配置复制到本地并开启。
3.移动智能终端、应用程序、应用程序分发平台之间应提供必要接口和数据共享,满足未成年人防沉迷提醒、家长监督管理等功能。
(二)便捷使用
1.为保护未成年人个人信息权益,鼓励家长为未成年人启动未成年人模式,移动智能终端、应用程序、应用程序分发平台应为家长管理提供便捷功能和服务,便于家长履行监护职责,引导未成年人形成良好上网习惯。
2.移动智能终端、应用程序、应用程序分发平台应当坚持最有利于未成年人的原则,提供有效识别违法信息和可能影响未成年人身心健康的信息、预防未成年人沉迷网络等功能,加强对未成年人的网络保护。
3.移动智能终端、应用程序、应用程序分发平台应在未成年人模式下建立便捷、合理、有效的投诉、举报渠道,及时受理处置涉未成年人投诉举报。
(三)分龄原则
移动智能终端、应用程序以及应用程序分发平台应根据不同年龄阶段的未成年人身心发展特点,通过评估产品的类型、内容与功能等要素,为不同年龄阶段用户提供适合其身心发展的信息和服务。分龄化设计根据以下5个年龄区间划分:
1.不满3周岁;
2.3周岁以上不满8周岁;
3.8周岁以上不满12周岁;
4.12周岁以上不满16周岁;
5.16周岁以上不满18周岁。
四、移动智能终端未成年人模式要求
(一)基本要求
1.未成年人模式入口
未成年人模式的入口设置应确保最简化原则。用户可通过开机提醒、桌面图标、系统设置等至少3种方式进入未成年人模式。模式入口应在固定位置、便捷易寻,满足家长和未成年人用户一键进入或切换。
用户在首次登录未成年人模式时,移动智能终端应在入口提供设置生日、选择年龄或年龄区间等多种方式供用户自行选择,并允许设置多个未成年人信息。
用户可在首次开机或系统设置选择不需要未成年人模式,系统将不再出现相关提醒。
2.未成年人模式退出
从未成年人模式退出时,需要家长进行验证同意,家长可基于现有移动智能终端认证机制,自行选择密码、指纹、人脸等识别方式进行单一或复合验证。
(二)使用时长管理
1.移动智能终端应为不同年龄段的未成年人用户提供差异化使用时长管理服务。当超过每日使用时限,移动智能终端应自动关闭除特定必要应用程序和家长自定义豁免的应用程序之外的其他应用程序:
(1)在面向不满8周岁用户的未成年人模式中,移动智能终端应支持默认使用总时长不超过40分钟,同时提供家长豁免操作;
(2)在面向8周岁以上不满16周岁用户的未成年人模式中,移动智能终端应支持默认使用总时长不超过1小时,同时提供家长豁免操作;
(3)在面向16周岁以上不满18周岁用户的未成年人模式中,移动智能终端应支持默认使用总时长不超过2小时,同时提供家长豁免操作;
(4)在未成年人模式下,当未成年人用户连续使用移动智能终端时长超过30分钟,移动智能终端应发出休息提醒;
(5)在未成年人模式下,移动智能终端每日22时至次日6时期间禁止向未成年人提供服务;
(6)以下应用程序和业务不受上述使用时长和时间段限制:
①应急类:用于保障未成年人人身安全的产品和服务,包括紧急呼叫业务及移动智能终端自定义的用于保障未成年人的人身安全的应用程序;
②教育类:在有关主管部门备案的,为未成年人提供网课等教育服务的产品和服务;
③适合未成年人使用的工具类:经应用程序分发平台认证的,适合未成年人身心发展的产品和服务,如部分图像处理、计算测量应用程序等;
④家长自定义设置可被豁免的应用程序。
2.在移动智能终端的未成年人模式中,家长使用时间管控功能应至少满足如下功能:
(1)设置移动智能终端整机使用时长;
(2)设置移动智能终端整机使用时间段,可根据具体需要,设置某个或者多个使用时间段;
(3)设置指定应用程序使用时间;
(4)禁止未成年人修改移动智能终端的系统日期和时间。
(三)防绕过要求
1.移动智能终端应具备防绕过功能。在进入未成年人模式后,移动智能终端应在家长验证并确认后才能执行退出未成年人模式或恢复出厂设置等操作。
2.开启未成年人模式的移动智能终端应确保提供未成年人模式服务功能的图标始终保持在桌面一级页面,不被卸载、冻结和隐藏,进程不被强制结束。
3.在未成年人模式下,如需启动开发者模式,应经家长验证并确认。
(四)补充要求
1.由于未成年人的视觉、听觉等生理和心理尚未发育成熟,鼓励移动智能终端利用技术手段降低或消除未成年人在使用移动智能终端过程中可能出现的危害。
2.移动智能终端应提供未成年人用户紧急向关联的家长用户终端发送位置和进行呼叫的服务。
3.儿童智能手表、早教机、智能音箱等儿童智能设备,及虚拟现实/增强现实(VR/AR)可穿戴设备在为未成年人提供服务时,应遵守本规定中的相关条款,确保信息内容安全可控,防范未成年人产生网络沉迷或接触可能影响身心健康的信息。
4.现有应用程序中的青少年模式,应在移动智能终端普通模式下予以保留,并按照本指南的有关要求进行升级改造,为未成年人在普通模式下使用现有应用程序提供安全防护。
五、移动互联网应用程序未成年人模式要求
(一)基本要求
在未成年人模式下移动互联网信息服务提供者应为未成年人提供分龄内容服务,并打造专属内容池。适龄推荐内容如下:
1.不满3周岁:推荐儿歌、启蒙教育等亲子陪伴类节目内容,建议以音频为主;
2.3周岁以上不满8周岁:推荐启蒙教育、兴趣素养、通识教育等节目内容;
3.8周岁以上不满12周岁:推荐通识教育、知识科普、生活技能、具有正向引导意义的娱乐性内容和适合本年龄段认知能力的新闻资讯等;
4.12周岁以上不满16周岁:推荐通识教育、学科教育、知识科普、生活技能、具有正向引导意义的娱乐性内容和适合本年龄段认知能力的新闻资讯等。
5.16周岁以上不满18周岁:推荐适合本年龄段认知能力、健康向上的信息内容。
鼓励移动互联网信息服务提供者根据分龄要求对未成年人专属内容池中的内容进行适龄推荐标注。
(二)内容安全要求
在未成年人模式下移动互联网信息服务提供者应履行主体责任,保障未成年人接触的信息内容安全:
1.在未成年人模式下移动互联网信息服务提供者应积极开展未成年人内容池建设。制作、复制、发布、传播弘扬社会主义核心价值观和社会主义先进文化、革命文化、中华优秀传统文化,铸牢中华民族共同体意识,培养未成年人家国情怀和良好品德,引导未成年人养成良好生活习惯和行为习惯等的网络信息,营造有利于未成年人健康成长的清朗网络空间和良好网络生态。
2.移动互联网信息服务提供者应履行主体责任,在未成年人模式下不应出现任何形式向未成年人用户提供诱导其沉迷或不利于其身心健康的相关产品和服务:
(1)禁止利用网络制作、复制、发布、传播含有危害未成年人身心健康内容的信息,禁止向未成年人发送含有危害或者可能影响未成年人身心健康内容的信息;
(2)禁止制作、复制、发布、传播或者持有有关未成年人的淫秽色情网络信息,禁止诱骗、强迫未成年人制作、复制、发布、传播可能暴露其个人隐私的文字、图片、音视频;
(3)禁止制作、复制、发布、传播可能引发或者诱导未成年人模仿不安全行为、实施违反社会公德行为、产生不良情绪、养成不良嗜好等可能影响未成年人身心健康的信息。
(三)功能限制要求
在未成年人模式下移动互联网信息服务提供者应限制未成年人用户使用可能危害其身心健康的产品和服务:
1.网络直播、网络音视频、网络社交等网络服务提供者应针对未成年人使用其服务设置相应的时间管理、权限管理、消费管理等功能。
2.网络直播、网络音视频、网络社交等网络服务提供者应采取措施,合理限制未成年人在使用网络产品和服务中的单次消费数额和单日累计消费数额,不得向未成年人提供与其民事行为能力不符的付费服务。
3.未成年人模式下不得设置以应援集资、投票打榜、刷量控评等为主题的网络社区、群组、话题,不得利用泛娱乐化功能和内容诱导未成年人沉迷网络。
4.网络游戏的防沉迷要求应遵守相关管理规定。
5.在线教育网络产品和服务不得插入网络游戏链接,不得推送广告等与教学无关的信息。
6.算法推荐服务提供者不得向未成年人推送可能引发未成年人模仿不安全行为和违反社会公德行为、诱导未成年人不良嗜好等可能影响未成年人身心健康的信息,不得利用算法推荐服务诱导未成年人沉迷网络。
7.鼓励应用程序开发者遵照相关法律法规,开发适应未成年人身心健康发展规律和特点的应用程序,帮助未成年人培养良好网络素养。
(四)社交管理要求
1.应用程序应为未成年人及家长提供社交管理权限,允许关注或屏蔽特定用户,限定特定信息的公开范围。
2.社交类应用程序不应在未成年人模式中为容易产生网络沉迷或使未成年人接触不利于其身心健康的互联网信息提供外链。
3.除即时通讯工具以外的应用程序,在未成年人模式下应关闭陌生人私信功能。
六、移动互联网应用程序分发服务平台未成年人模式要求
(一)基本要求
1.应用程序分发平台应提供未成年人应用专区,便利未成年人获取有益身心健康的平台内产品或者服务;
2.应用程序分发平台应根据不同年龄段未成年人的身心特点和认知水平,标注应用程序的推荐年龄,提供适宜不同年龄段未成年人的应用程序。
(二)未成年人专区建设要求
应用程序分发平台应根据相关管理要求,加强未成年人专区建设:
1.应用程序提供者应当坚持最有利于未成年人的原则,关注未成年人健康成长,履行未成年人网络保护各项义务,严格落实未成年人用户账号实名注册和登录要求,不得以任何形式向未成年人用户提供诱导其沉迷的相关产品和服务。
2.鼓励教育、益智、科普、读书、音乐、体育等有利于未成年人身心健康的应用程序在未成年人专区中上架。
3.有关部门针对各年龄段特点明确禁用的应用程序,不得在未成年人模式下的应用程序分发平台上架。
(三)下载安全
应用程序分发平台应根据有关法律法规对各类网络应用程序和服务准入未成年人模式进行审核和处置:
1.明确产品所适合的未成年人用户年龄阶段,并在用户下载、注册、登录界面等位置显著提示。
2.应用程序分发平台应根据未成年人的年龄特点,为未成年人用户提供差异化下载服务,并确保家长可以对未成年人模式下的应用程序下载和安装进行审核或豁免:
(1)不满12周岁的未成年人用户下载、安装未成年人专区中的应用程序时,需经家长同意;家长具备一定的豁免权力,允许未成年人下载未成年人专区以外的应用程序;
(2)12周岁以上不满16周岁的未成年人用户可自行下载、安装未成年人专区中的应用程序,家长具备一定的豁免权力,允许未成年人下载未成年人专区以外的应用程序。
3.禁止通过外链下载应用程序,家长审核并豁免的除外。
4.应用程序分发平台应建立相关举报机制,加强用户对未成年人模式中的信息内容与服务进行监督,必要时根据相关管理要求对有关应用程序予以下架处理。
七、家长管理
(一)基本要求
未成年人模式下,移动智能终端、应用程序、应用程序分发平台应为家长提供管理权限,保障家长能够对指定的未成年人用户进行日常和应急状态管理,更好监督引导未成年人用户上网行为:
1.移动智能终端、应用程序、应用程序分发平台应为家长提供对未成年人使用时长、信息服务接收、应用程序下载安装等方面的管理权限,满足家长对未成年人用户的监督、豁免和审核需求。
2.移动智能终端应为未成年人账号提供至少1个亲情号绑定作为家长账号,该账号可满足家长与未成年人同终端和异终端使用,并可同时关联应用程序和应用程序分发平台。
(二)家长对未成年人移动智能终端使用时间的管理
移动智能终端和应用程序应为未成年人及其家长提供防沉迷提醒,允许家长对未成年人移动智能终端的使用时间进行监督指导:
1.移动智能终端应定期向家长提供未成年人用户在未成年人模式下的使用时长、各应用程序使用时长、上网时长等概览报告,协助家长对未成年人网络行为进行监督。
2.当未成年人用户的使用时长超过本规定所建议的时间限制时,可由未成年人用户向关联的家长用户发出豁免申请。
(三)家长对未成年人信息服务内容的管理
家长可以使用关联账号对未成年人模式下的信息内容提供审核和豁免功能:
1.家长可对非专属内容池的信息进行豁免,加入到指定未成年人用户的内容池中。
2.鼓励家长对非专属内容池的内容进行标注和建议,为平台丰富专属内容池建设提供依据。
(四)家长对未成年人应用程序使用的管理
家长可以使用关联账号对未成年人模式下的应用程序下载进行审核,豁免或禁止用户下载及安装特定应用程序。包括:
1.为特定应用程序开放始终豁免的权限,如对辅助教育类应用程序开放未成年人长期使用权限。
2.为特定应用程序开放限时使用权限,如根据需要,对适合未成年人身心发展的工具类应用程序开放特定时间段内使用的权限。
3.将特定应用程序和功能设置为始终禁止使用,期间相关应用程序不得弹出通知,不得被调取使用。
4.相关法规明令禁止未成年人使用的应用程序和服务,不得被豁免。
八、管理要求
(一)移动智能终端、应用程序、应用程序分发平台应积极配合有关管理部门开展的监督检查,提供必要的技术、数据等支持和协助。
(二)向未成年人用户提供服务的移动智能终端、应用程序、应用程序分发平台,应定期开展未成年人网络保护影响评估。
(三)向未成年人用户提供服务的移动智能终端、应用程序、应用程序分发平台,应建立必要应急响应机制,确保保护未成年人用户人身安全的应急类业务不被屏蔽。
(四)在未成年人模式下移动互联网信息服务提供者应依照相关法律法规提供服务,不应超范围收集用户数据。
附录 术语和定义
(1)未成年人模式
本《指南》所称未成年人模式,是指适应未成年人身心健康发展规律和特点,专门面向未成年人使用,覆盖移动智能终端、移动互联网应用程序和移动互联网应用程序分发平台的网络保护模式。
(2)移动智能终端
移动智能终端是指接入公众移动通信网络、具有操作系统、可由用户自行安装运行和卸载应用程序的移动终端产品,包括智能手机、平板电脑、儿童智能手表、早教机等智能终端和智能可穿戴设备。
(3)移动互联网应用程序
移动互联网应用程序指通过应用程序向用户提供文字、图片、音频、视频等信息制作、复制、发布、传播等服务的软件。
(4)移动互联网应用程序分发服务平台
移动互联网应用程序分发服务平台指通过互联网提供应用程序发布、下载、动态加载等服务的平台,包括应用商店、应用中心、互联网小程序平台等。
国家互联网信息办公室关于《网络暴力信息治理规定(征求意见稿)》公开征求意见的通知
2023年07月07日 11:00来源: 中国网信网
为切实加强网络暴力信息治理力度,营造良好网络生态,根据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等法律、行政法规,国家互联网信息办公室起草了《网络暴力信息治理规定(征求意见稿)》,现向社会公开征求意见。公众可通过以下途径和方式提出反馈意见:
1.登录中华人民共和国司法部 中国政府法制信息网(www.moj.gov.cn、www.chinalaw.gov.cn),进入首页主菜单的“立法意见征集”栏目提出意见。
2.通过电子邮件方式发送至:wbzl@cac.gov.cn。
3.通过信函方式将意见寄至:北京市西城区车公庄大街11号国家互联网信息办公室网络综合治理局,邮编:100044,并请在信封上注明“网络暴力信息治理规定征求意见”字样。
意见反馈截止日期为2023年8月6日。
国家互联网信息办公室
2023年7月7日
网络暴力信息治理规定
(征求意见稿)
第一章 总则
第一条 为了强化网络暴力信息治理,营造良好网络生态,保障公民合法权益,维护社会公共利益,根据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等法律、行政法规,制定本规定。
第二条 中华人民共和国境内的网络暴力信息治理活动,适用本规定。
本规定所称网络暴力信息,是指通过网络对个人集中发布的,侮辱谩骂、造谣诽谤、侵犯隐私,以及严重影响身心健康的道德绑架、贬低歧视、恶意揣测等违法和不良信息。
第三条 国家网信部门负责统筹协调全国网络暴力信息治理和相关监督管理工作。
地方各级网信部门负责统筹协调本行政区域内的网络暴力信息治理和相关监督管理工作。
第四条 鼓励相关行业组织加强行业自律,督促指导网络信息服务提供者加强网络暴力信息治理并接受社会监督。
第二章 一般规定
第五条 网络信息服务提供者应当履行信息内容管理主体责任,建立完善网络暴力信息治理机制,健全账号管理、信息发布审核、监测预警、举报救助、网络暴力信息处置等制度。
第六条 网络信息服务提供者应当强化网络用户账号信息管理,防止假冒、仿冒、恶意关联网络暴力事件当事人进行违规注册或发布信息,协助当事人进行个人账号认证。
第七条 网络信息服务提供者应当制定和公开管理规则、平台公约,在用户协议中明确用户制作、复制、发布和传播网络暴力信息应承担的责任,并依法依约履行相应管理职责。
第八条 网络信息服务提供者应当定期发布网络暴力信息治理公告,并在网络信息内容生态治理工作年度报告中,报告相关工作情况。
发现存在网络暴力风险时,网络信息服务提供者应当及时公布治理工作情况,回应社会关切,引导网民理性发声,防范抵制网络暴力行为。
第三章 网络暴力信息监测预警
第九条 网络信息服务提供者应当建立健全网络暴力信息分类标准和典型案例样本库,在区分舆论监督和善意批评的基础上,明确细化网络暴力信息标准,增强识别准确性。
第十条 网络信息服务提供者应当根据历史发布信息、违规处置、举报投诉等情况,动态管理涉网络暴力重点账号,及时采取干预限制措施。
第十一条 网络信息服务提供者应当建立健全网络暴力信息预警模型,综合考虑事件类别、针对主体、参与人数、信息内容、发布频次、环节场景、举报投诉等维度,及时发现预警网络暴力风险。
第四章 网络暴力信息处置
第十二条 网络信息服务提供者发现侮辱谩骂、造谣诽谤、侵犯隐私等网络暴力信息的,应当采取删除屏蔽、断开链接、限制传播等处置措施。对于涉及网络暴力的不良信息,不得在《网络信息内容生态治理规定》第十一条规定的重点环节呈现,防止网络暴力信息扩散传播。
第十三条 网络信息服务提供者应当加强对跟帖评论信息内容的管理,及时处置以评论、回复、留言、弹幕、点赞等方式发布、传播的网络暴力信息。
第十四条 网络信息服务提供者应当加强对网络社区版块、网络群组的管理,不得在词条、话题、超话、群组、贴吧等环节集纳网络暴力信息,禁止创建以匿名投稿、隔空喊话等名义发布导向不良等内容的话题版块和群组账号。
网络社区版块、网络群组的建立者和管理者应当履行管理责任,规范成员网络行为和信息发布,发现用户制作、复制、发布、传播网络暴力信息的,应当依法依约采取移出群组等管理措施。
第十五条 网络信息服务提供者应当强化直播和短视频内容审核,及时阻断涉及网络暴力信息的直播,处置含有网络暴力信息的短视频。
第十六条 互联网新闻信息服务单位应当坚持正确的舆论导向,加强信息内容真实性、合法性审核,不得渲染炒作网络暴力事件,新闻信息跟帖评论实行先审后发。
第十七条 任何组织和个人不得借网络暴力事件实施蹭炒热度、推广引流、故意带偏节奏或者跨平台搬运拼接虚假信息等恶意营销炒作行为。网络信息服务提供者不得为传播网络暴力的账号、机构等提供流量、资金等支持。
第五章 保护机制
第十八条 网络信息服务提供者应当建立完善网络暴力防护功能,提供一键关闭陌生人私信、评论、转发和消息提醒等设置。用户面临网络暴力风险时,应当及时发送系统信息,提示其启动一键防护。
第十九条 网络信息服务提供者应当完善私信规则,允许用户根据自身需要设置仅接收好友私信或拒绝接收所有私信。采取技术措施阻断网络暴力信息通过私信传输。
第二十条 网络信息服务提供者发现以下情况时,应当及时协助当事人启动一键防护,切实强化当事人保护:
(一)网络暴力当事人涉及未成年人、老年人等的;
(二)当事人在公开环节表示遭受网络暴力的;
(三)若不及时采取强制介入措施,可能造成严重后果的其他情形。
第二十一条 网络信息服务提供者应当在显著位置设置专门的网络暴力信息快捷投诉举报入口,开通网络暴力信息投诉举报电话,简化投诉举报程序。
网络信息服务提供者应结合投诉举报内容以及相关证明材料及时受理研判,对明确为网络暴力的情况,依法依规处置并反馈结果,对核实不属于网络暴力的,应当按其他类型举报受理要求予以处理并反馈结果。
第二十二条 网络信息服务提供者应当向用户提供针对网络暴力信息的一键取证等功能,提高证据收集便捷性。依法依规为用户维权,司法机关、有关部门调查取证工作等提供及时必要的技术支持和协助。
第二十三条 坚持最有利于未成年人的原则,加强对于未成年人用户的特殊、优先保护。网络信息服务提供者应当优先处理涉未成年人网络暴力信息举报。发现未成年人用户存在遭受网络暴力风险的,应当立即处置违法违规信息,提供保护救助服务,并向有关部门报告。
第六章 监督管理和法律责任
第二十四条 网信部门依法对网络信息服务提供者网络暴力信息治理工作落实情况进行监督检查。
第二十五条 网信部门会同有关部门建立健全信息共享、会商通报、取证调证、案件督办等工作机制,协同开展网络暴力信息治理工作。
第二十六条 网络信息服务提供者违反本规定的,依照《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等法律、行政法规的规定予以处罚。
法律、行政法规没有规定的,各级网信部门依据职责给予警告、通报批评,责令限期改正,可以并处一万元以上十万元以下罚款;因处置不及时造成公民生命健康安全等严重后果的,处十万元以上二十万元以下罚款,可责令暂停信息更新。
网络信息服务提供者发起、组织网络暴力或借网络暴力事件实施恶意营销炒作等行为,应当依法从严从重处罚。
第二十七条 对组织、煽动发布网络暴力信息的网络机构,网络信息服务提供者应当依法依规采取警示沟通、暂停商业收益、限制提供服务、入驻清退等处置措施。
第二十八条 网络用户违反本规定的,网络信息服务提供者应当依法依约采取警示提醒、限制账号功能、关闭注销账号等处置措施;对首发、多发、组织、煽动发布网络暴力信息的,采取列入黑名单、禁止重新注册等处置措施。
对借网络暴力事件实施恶意营销、违规营利等行为的,除前款规定外,应当依法依约采取清除新增粉丝、暂停营利权限等处置措施。
网络信息服务提供者应当保存有关记录,并及时向网信等有关主管部门报告。
第二十九条 违反本规定,给他人造成损害的,依法承担民事责任;构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
第七章 附则
第三十条 本规定由国家互联网信息办公室负责解释。
第三十一条 本规定自 年 月 日起施行。
国家互联网信息办公室关于《个人信息保护合规审计管理办法(征求意见稿)》公开征求意见的通知
2023年08月03日 11:00来源: 中国网信网
为指导、规范个人信息保护合规审计活动,根据《中华人民共和国个人信息保护法》等法律法规,国家互联网信息办公室起草了《个人信息保护合规审计管理办法(征求意见稿)》,现向社会公开征求意见。公众可以通过以下途径和方式提出反馈意见:
1.登录中华人民共和国司法部 中国政府法制信息网(www.moj.gov.cn、www.chinalaw.gov.cn),进入首页主菜单的“立法意见征集”栏目提出意见。
2.通过电子邮件方式发送至:shujuju@cac.gov.cn。
3.通过信函方式将意见寄至:北京市海淀区阜成路15号国家互联网信息办公室网络数据管理局,邮编100048,并在信封上注明“个人信息保护合规审计管理办法征求意见”。
意见反馈截止时间为2023年9月2日。
附件:个人信息保护合规审计管理办法(征求意见稿)
国家互联网信息办公室
2023年8月3日
个人信息保护合规审计管理办法
(征求意见稿)
第一条 为指导、规范个人信息保护合规审计活动,提高个人信息处理活动合规水平,保护个人信息权益,根据《中华人民共和国个人信息保护法》等法律、行政法规和国家有关规定,制定本办法。
第二条 个人信息处理者定期开展个人信息保护合规审计,或者按照履行个人信息保护职责的部门要求委托专业机构对其个人信息处理活动进行合规审计,以及对个人信息保护合规审计活动的监督管理适用本办法。
第三条 本办法所称个人信息保护合规审计,是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。
第四条 处理超过100万人个人信息的个人信息处理者,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。
第五条 个人信息处理者自行开展个人信息保护合规审计,可根据实际情况,由本组织内部机构或者委托专业机构按照本办法要求开展。
第六条 履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。
第七条 个人信息处理者按照履行个人信息保护职责的部门要求开展个人信息保护合规审计的,应当在收到通知后尽快按照要求选定专业机构进行个人信息保护合规审计。
第八条 个人信息处理者按照履行个人信息保护职责的部门要求委托专业机构开展个人信息保护合规审计的,应当保证专业机构能够正常行使下列权限:
(一)要求提供或者协助查阅相关文件或资料;
(二)进入个人信息处理活动相关场所;
(三)观察场所内发生的个人信息处理活动;
(四)调查相关业务活动及所依赖的信息系统;
(五)检查、测试个人信息处理活动相关设备设施;
(六)调取、查阅个人信息处理活动相关数据或信息;
(七)访谈与个人信息处理活动有关的人员;
(八)就相关问题进行调查、质询和取证;
(九)其他开展合规审计工作所必需的权限。
第九条 个人信息处理者按照履行个人信息保护职责部门要求委托专业机构开展个人信息保护合规审计的,应当在90个工作日内完成个人信息保护合规审计;情况复杂的,报经履行个人信息保护职责的部门批准后可适当延长。
第十条 个人信息处理者按照履行个人信息保护职责部门要求委托专业机构开展个人信息保护合规审计的,应当按照本办法要求组织实施个人信息保护合规审计,在实施必要合规审计程序后,及时将专业机构出具的个人信息保护合规审计报告报送履行个人信息保护职责的部门。个人信息保护合规审计报告应当由合规审计负责人、专业机构负责人签字并加盖专业机构公章。
第十一条 个人信息处理者按照履行个人信息保护职责的部门要求委托专业机构开展个人信息保护合规审计的,应当按照专业机构给出的整改建议进行整改,经专业机构复核后将整改情况报送履行个人信息保护职责的部门。
第十二条 执行个人信息保护合规审计的专业机构应当保持独立性和客观性,连续为同一审计对象开展个人信息保护合规审计不得超过三次。
第十三条 国家网信部门会同公安机关等国务院有关部门按照统筹规划、合理布局、择优推荐的原则建立个人信息保护合规审计专业机构推荐目录,每年组织开展个人信息保护合规审计专业机构评估评价,并根据评估评价情况动态调整个人信息保护合规审计专业机构推荐目录。
鼓励个人信息处理者优先选择推荐目录中的专业机构开展个人信息保护合规审计活动。
第十四条 专业机构在从事个人信息保护合规审计活动时,应当诚信正直,公正客观地作出合规审计职业判断。
专业机构不得转包委托第三方开展个人信息保护合规审计。
专业机构在履行个人信息保护合规审计职责中获得的信息,只能用于个人信息保护合规审计的需要,不得用于其他用途;专业机构应当对获得的信息承担保密责任;专业机构应当采取相应技术措施和其他必要措施,保障数据安全。
专业机构在履行个人信息保护合规审计职责时不得恶意干扰个人信息处理者的正常经营活动。
专业机构有出具虚假、失实报告等违规行为的,个人信息处理者及相关方可向履行个人信息保护职责的部门进行投诉,经履行个人信息保护职责的部门核实的,永久禁止列入个人信息保护合规审计专业机构推荐目录。
第十五条 违反本办法规定的,依据《中华人民共和国个人信息保护法》等法律法规处理;构成犯罪的,依法追究刑事责任。
第十六条 本办法由国家互联网信息办公室负责解释,自 年 月 日起施行。
附件:个人信息保护合规审计参考要点
个人信息保护合规审计参考要点
第一条 本要点依据《中华人民共和国个人信息保护法》等法律、行政法规和国家标准的强制性要求制定,为开展个人信息保护合规审计提供参考。
第二条 个人信息保护合规审计应当首先审查个人信息处理活动的合法性基础条件,重点审查下列事项:
(一)处理个人信息是否取得个人同意,该同意是否在个人信息主体充分知情的前提下自愿、明确作出;
(二)基于个人同意处理个人信息,个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,是否重新取得个人同意;
(三)基于个人同意处理个人信息,是否为个人提供便捷的撤回同意的方式;
(四)基于个人同意处理个人信息,是否对个人同意的操作进行记录;
(五)基于个人同意处理个人信息,是否存在以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务的情况;处理个人信息属于提供产品或者服务所必需的除外;
(六)处理个人信息未取得个人同意,是否属于法律、行政法规规定不需取得个人同意的情形。
第三条 对个人信息处理规则进行审计时,应当重点审查下列事项:
(一)是否真实、准确、完整地告知个人信息处理者的名称或者姓名和联系方式;
(二)是否以清单形式列明所收集的个人信息及其处理目的、方式、范围;
(三)是否明确个人信息存储期限或者存储期限的确定方法、到期后的处理方式,以及确保存储期限为实现处理目的所必要的最短时间;
(四)是否明确个人查阅、复制、加工、转移、更正、补充、删除、公开、限制处理个人信息以及注销账号、撤回同意的途径和方法;
(五)向第三方提供个人信息的,是否明确向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,是否取得个人的单独同意;
(六)法律、行政法规规定的其他事项。
第四条 个人信息处理者处理个人信息应当履行告知义务,审计时应当重点审查下列事项:
(一)个人信息处理者在处理个人信息前,是否以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理规则;
(二)告知文本的大小、字体和颜色是否便于个人完整阅读告知事项;
(三)线下告知是否通过标注、说明等多种方式向个人履行告知义务;
(四)在线告知是否提供文本信息或者通过适当方式向个人履行告知义务;
(五)个人信息处理规则发生变更的,是否将变更内容及时告知个人。
第五条 个人信息处理者存在与他人共同处理个人信息情形的,应当重点审查下列事项:
(一)是否约定各自的权利义务;
(二)各方采取的个人信息保护措施;
(三)个人信息权益保护机制;
(四)个人信息安全事件报告机制;
(五)侵害个人信息权益造成损害的,各方应当承担的责任;
(六)其他法律、行政法规规定需要约定的权利和义务。
第六条 个人信息处理者存在委托处理个人信息情形的,应当重点审查下列事项:
(一)个人信息处理者在委托处理个人信息前,是否开展个人信息保护影响评估;
(二)个人信息处理者与受托人签订的合同,是否约定了委托处理的目的、期限、方式及个人信息的种类、受托人应当采取的技术措施和管理措施、双方的权利义务等;
(三)个人信息处理者是否采取定期检查等方式,对受托人的个人信息处理活动进行监督,以确保委托处理个人信息的活动符合法律规定;
(四)受托人是否严格按照委托合同的约定处理个人信息,是否存在超出约定的处理目的、处理方式处理个人信息的情况;
(五)当委托合同不生效、无效、被撤销或者终止时,受托人是否将个人信息返还个人信息处理者或者予以删除;
(六)受托人是否存在转委托他人处理个人信息的情况,是否得到个人信息处理者的同意。
第七条 个人信息处理者存在因合并、重组、分立、解散、被宣告破产等原因需要转移个人信息情形的,应当重点审查下列事项:
(一)个人信息处理者是否向个人告知接收方的名称或者姓名和联系方式;
(二)接收方是否继续履行个人信息处理者的义务;
(三)接收方变更原先处理目的、处理方式的,是否依照法律、行政法规有关规定重新取得个人同意。
第八条 个人信息处理者存在向其他个人信息处理者提供其处理的个人信息的,应当重点审查下列事项:
(一)是否取得个人的单独同意;
(二)是否向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类;
(三)接收方是否在双方约定的处理目的、处理方式和个人信息的种类等范围内处理个人信息;
(四)变更处理目的、处理方式的,是否依照法律、行政法规规定重新取得个人同意;
(五)是否事前进行个人信息保护影响评估。
第九条 个人信息处理者利用自动化决策处理个人信息的,审计时应当重点评价自动化决策的透明度和结果的公平性、公正性:
(一)是否事前主动告知个人自动化决策处理个人信息的种类及可能带来的影响;
(二)是否事前对算法模型进行安全评估,并按国家相关规定进行备案,以尽可能减少自动化决策算法模型存在的缺陷,当应用场景和主要功能发生变化时,是否对算法模型重新进行评估;
(三)是否事前对算法模型进行科技伦理审查;
(四)是否事前进行个人信息保护影响评估;
(五)是否向用户提供保障机制,以便用户可以通过便捷方式拒绝通过自动化决策方式作出对个人权益有重大影响的决定,或要求个人信息处理者就应用自动化决策方式作出对用户个人权益有重大影响的决定予以说明;
(六)是否向用户提供删除或者修改用于自动化决策服务的针对其个人特征的用户标签功能;
(七)是否采取必要措施对算法和参数模型进行保护;
(八)是否对个人信息处理、标签管理、模型训练等自动化决策过程中的人工操作进行记录,防范人为恶意操纵自动化决策信息和结果;
(九)向个人进行信息推送、商业营销时,是否同时提供不针对个人特征的选项,或者提供便捷的拒绝自动化决策服务的方式;
(十)是否采取了有效措施,防止自动化决策根据消费者的偏好、交易习惯等对个人在交易条件上实行不合理的差别待遇;
(十一)其他可能影响自动化决策的透明度和结果公平、公正的事项。
第十条 个人信息处理者存在公开其处理的个人信息情形的,应当重点审查下列事项:
(一)个人信息处理者公开其处理的个人信息前是否取得个人单独同意,该授权是否真实、有效,是否存在违背个人意愿将个人信息予以公开的情况;
(二)个人信息处理者公开个人信息前,是否进行了个人信息保护影响评估。
第十一条 个人信息处理者在公共场所安装图像采集、个人身份识别设备的,应当重点对其安装图像采集、个人信息身份识别设备的合法性及所收集个人信息的用途进行审查。审查内容包括但不限于:
(一)是否为维护公共安全所必需,是否存在为商业目的处理所采集信息的情况;
(二)是否设置了显著的提示标志;
(三)若个人信息处理者所收集的个人图像、身份识别信息用于维护公共安全以外用途的,是否取得个人单独同意。
第十二条 个人信息处理者处理已公开个人信息的,审计时应当重点审查个人信息处理者是否存在下列违规行为:
(一)向已公开个人信息中的电子邮箱、手机号等发送与其公开目的无关的信息;
(二)利用已公开的个人信息从事网络暴力活动;
(三)处理个人明确拒绝处理的已公开个人信息;
(四)未取得个人同意处理已公开的个人信息对个人权益造成重大影响。
第十三条 个人信息处理者处理敏感个人信息的,审计时应当重点审查下列事项:
(一)处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息的,是否事前取得个人的单独同意;
(二)处理不满十四周岁未成年人的个人信息,是否事前取得未成年人的父母或者其他监护人的同意;
(三)处理敏感个人信息的目的、方式是否合法、正当、必要;
(四)敏感个人信息处理是否与提供商品或者服务、履行法定职责或者法定义务等特定的目的密切相关,是否以非必要不处理为原则;
(五)是否在事前进行个人信息保护影响评估,并向个人告知处理敏感个人信息的必要性以及对个人权益的影响;
(六)法律、行政法规规定应当取得书面同意的,是否取得书面同意;
(七)是否对处理敏感个人信息的过程进行了记录,以保障处理敏感个人信息流程合法合规。
第十四条 个人信息处理者业务涉及处理不满十四周岁未成年人个人信息的,审计时应当重点审查下列事项:
(一)是否制定专门的未成年人个人信息处理规则;
(二)是否向未成年人及其监护人告知未成年人个人信息的处理目的、处理方式、处理必要性及处理个人信息的种类、所采取的保护措施等;
(三)是否存在强制要求未成年人或者其监护人同意非必要的个人信息处理的行为。
第十五条 个人信息处理者存在向境外提供个人信息情形的,应当重点审查下列事项:
(一)关键信息基础设施运营者和处理100万人以上个人信息的个人信息处理者向境外提供个人信息是否经过国家网信部门组织的安全评估;
(二)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的个人信息处理者向境外提供个人信息是否经过国家网信部门组织的安全评估;
(三)是否存在向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息的情形,若有,是否经过中华人民共和国主管机关批准;
(四)中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,是否按照其规定执行;
(五)是否按照国家网信部门的规定,经专业机构进行个人信息保护认证或者按照国家网信部门制定的标准合同与境外接收方签订合同,或者符合法律、行政法规、国家网信部门规定的其他条件;
(六)是否了解境外接收方所在国家或者地区的个人信息保护政策和网络安全环境对出境个人信息的影响;
(七)是否存在违规向被列入限制或者禁止个人信息提供清单的组织和个人提供个人信息的情形。
第十六条 个人信息处理者向境外提供个人信息,应当采取必要措施,保障境外接收方处理个人信息的活动达到《中华人民共和国个人信息保护法》规定的个人信息保护标准。审计时应当重点审查个人信息处理者对境外接收方采取监督措施的有效性,包括但不限于:
(一)是否了解和掌握境外接收方的情况,特别是接收方是否具备必要的个人信息保护能力;
(二)是否向境外接收方告知我国法律、行政法规对个人信息保护的要求,并要求境外接收方采取相应的保护措施;
(三)是否采取签订协议、定期核查等方式,督促境外接收方切实履行个人信息保护义务。
第十七条 对个人信息删除权保障情况进行审计时,应当重点审查下列情形个人信息删除的情况:
(一)个人信息处理目的已实现、无法实现或者为实现处理目的不再必要;
(二)停止提供产品或者服务,或者个人注销账号;
(三)达到与个人约定的存储期限;
(四)个人撤回同意;
(五)因使用自动化采集技术等,无法避免采集到非必要个人信息或者未经同意的个人信息;
(六)个人信息处理者违反法律、行政法规或者违反约定处理个人信息。
法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全措施之外的处理。
第十八条 个人信息处理者应当保障个人行使个人信息权益的权利,审计时应当重点审查下列事项:
(一)是否建立个人行使权利的申请受理机制;
(二)是否向个人提供便捷的查阅、复制、转移、更正、补充、删除个人信息的方法;
(三)是否及时响应个人行使权利的申请,是否及时、完整、准确告知处理意见或者执行结果。
第十九条 个人信息处理者应当响应个人申请,对其个人信息处理规则进行解释说明,审计时应当重点对下列内容进行评价:
(一)个人信息处理者是否提供便捷的方式和途径,接受、处理个人关于个人信息处理规则解释说明的要求;
(二)接到个人的要求后,个人信息处理者是否在合理的时间内,使用通俗易懂的语言对其个人信息处理规则作出解释说明。
第二十条 个人信息处理者对个人信息保护承担主体责任,审计时应当重点对个人信息处理者履行主体责任情况进行评价,包括但不限于下列事项:
(一)个人信息保护制度制定、组织架构、管理程序与处理个人信息的性质、规模、复杂程度、风险程度的适应性;
(二)个人信息保护职责分工是否合理、职责是否明确、报告关系是否清晰;
(三)个人信息处理者为个人信息保护提供的人、财、物保障与企业业务规模、运营计划、个人信息合规风险管理的匹配性。
第二十一条 个人信息处理者应当依照法律、行政法规的规定制定内部管理制度和操作规程,明确组织架构、岗位职责,建立工作流程、完善内控制度,保障个人信息处理合规与安全。审计时,应当重点对个人信息处理者个人信息保护内部管理制度和操作规程进行审查,包括但不限于:
(一)个人信息保护工作的方针、目标、原则是否符合法律、行政法规规定;
(二)个人信息保护组织架构、人员配备、行为规范、管理责任是否与应当履行的个人信息保护责任相适应;
(三)是否根据个人信息的种类、来源、敏感程度、用途等,对个人信息进行分类,并采取有针对性的管理或者安全技术措施;
(四)是否建立个人信息安全事件应急响应机制;
(五)是否建立个人信息保护影响评估、合规审计制度;
(六)是否建立畅通的个人信息保护投诉举报受理流程;
(七)是否制定实施个人信息保护安全教育和培训计划;
(八)是否建立个人信息保护负责人及相关人员履职评价制度;
(九)是否建立针对个人信息处理相关人员的个人信息违规处置或者违规行为责任制度,并有效实施;
(十)法律、行政法规规定的其他内容。
第二十二条 个人信息处理者应当采取与所处理个人信息规模、类型相适应的安全技术措施,并对个人信息处理者采取的技术措施的有效性进行评价,评价内容包括但不限于:
(一)是否参照有关国家标准或者技术要求,采取相应安全技术措施实现个人信息的保密性、完整性、可用性;
(二)是否采取加密、去标识化等安全技术措施,确保在不借助额外信息的情况下,消除或者降低个人信息的可识别性;
(三)采取的安全技术措施能否合理确定有关人员查阅、复制、传输等个人信息的操作权限,减少个人信息在处理过程中未经授权的访问和滥用风险。
第二十三条 对个人信息处理者教育培训计划的制定和实施情况进行审计时,应当重点对下列事项进行评价:
(一)是否按计划对管理人员、技术人员、操作人员、全员开展相应的安全教育和培训,是否对相应人员的个人信息保护意识和技能进行考核;
(二)培训内容、培训方式、培训对象、培训频率等能否满足个人信息保护需要。
第二十四条 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,对个人信息处理活动的合规性负责。审计时,应当重点审查下列事项:
(一)个人信息保护负责人是否具有相关的工作经历和专业知识,熟悉个人信息保护相关法律、行政法规;
(二)个人信息保护负责人是否具有明确清晰的职责,是否被赋予充分的权限协调组织内个人信息处理相关部门与人员;
(三)个人信息保护负责人是否有权提名个人信息保护团队负责人,并与其保持顺畅的沟通和联系;
(四)个人信息保护负责人在个人信息处理重大事项决策前是否有权提出相关意见和建议;
(五)个人信息保护负责人是否有权对组织内部个人信息处理的不合规操作进行制止和采取必要的纠正措施;
(六)个人信息处理者是否公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。
第二十五条 对个人信息处理者开展个人信息保护影响评估情况进行审计时,应当重点对影响评估开展情况和评估内容进行审查:
(一)是否依照法律、行政法规的规定,在进行对个人权益具有重大影响的个人信息处理活动前通过个人信息保护影响评估;
(二)是否对个人处理活动的合法性、正当性和必要性进行了分析评估,是否存在过度收集个人信息的情况;
(三)是否对限制个人自主决定权、引发差别性待遇、导致个人名誉受损或者遭受精神压力、造成人身财产受损等安全风险进行了分析评估;
(四)是否对所采取的保护措施的合法性、有效性、适应性进行了分析评估;
(五)个人信息保护影响评估报告和处理记录是否至少保存三年。
第二十六条 个人信息处理者应当制定个人信息安全事件应急预案。审计时,应当对应急预案的全面性、有效性、可执行性作出评价,包括但不限于下列内容:
(一)是否结合业务实际,对面临的个人信息安全风险作出了系统评估和预测;
(二)指导思想、基本策略,组织机构、人员,技术、物资保障及指挥处置程序、应急和支持措施等是否足以应对预测的风险;
(三)是否对相关人员进行应急预案培训,定期对应急预案进行演练。
第二十七条 对个人信息处理者个人信息安全事件应急响应处置情况进行评价时,应当重点考虑下列因素:
(一)是否按照应急预案、操作规程及时查明个人信息安全事件的影响、范围和可能造成的危害,分析、确定事件发生的原因,提出防止危害扩大的措施方案;
(二)是否建立通报渠道,能否在事件发生后72小时内通知履行个人信息保护职责的部门和个人;
(三)是否采取相应措施将个人信息安全事件可能造成的损失和可能产生的危害风险降低到最小。
第二十八条 大型互联网平台运营者应当成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。审计时,应当对独立机构的独立性、履职能力、监督作用等进行评价。
(一)评价独立机构对个人信息保护情况进行监督的独立性,重点审查外部成员与个人信息处理者及其主要股东是否存在可能妨碍其进行独立客观判断的关系;
(二)评价外部成员的履职能力,重点审查外部成员是否具备相应的专业知识、能力和经验,能否对个人信息处理者的个人信息保护情况进行监督、指导,发表客观公正的意见建议;
(三)评价独立机构的监督作用,重点审查独立机构在个人信息处理者合规制度体系建设、平台规则制定、重大个人信息安全事件处置、督促企业履行社会责任等方面发挥的作用。
第二十九条 针对大型互联网平台规则,应当重点审计下列事项:
(一)评价平台规则的合法合规性,是否存在与法律、行政法规相抵触的情况;
(二)评价平台规则的公平公正性,是否存在恶意竞争、影响消费者权益等违反公平竞争原则、诚实信用原则、公序良俗的内容;
(三)评价平台规则个人信息保护条款的有效性,是否合理界定了平台、平台内产品或者服务提供者的个人信息保护权利和义务,是否对平台内经营者处理个人信息行为进行规范,平台内经营者的个人信息保护义务是否明确;
(四)检查平台规则的执行情况,通过抽样等方式验证平台规则是否被有效执行。
第三十条 大型互联网平台运营者应当对其平台内产品或者服务提供者的个人信息处理活动进行监督。审计时,应当重点审查下列事项:
(一)是否定期审核平台内产品或者服务提供者个人信息处理规则的合法性、合理性;
(二)是否定期对平台内产品或者服务提供者处理个人信息遵守法律、行政法规情况进行审核;
(三)对于严重违反法律、行政法规处理个人信息的产品或者服务提供者,平台是否及时停止向其提供服务。
第三十一条 大型互联网平台运营者应当每年发布个人信息保护社会责任报告。审计时,应当重点审查社会责任报告下列内容的披露情况:
(一)个人信息保护组织架构和内部管理情况;
(二)个人信息保护能力建设情况;
(三)个人信息保护措施和成效;
(四)个人行使权利的申请受理情况;
(五)独立监督机构履职情况;
(六)重大个人信息安全事件处理情况;
(七)法律、行政法规规定的其他情况。