引用格式:刁毅剛,張玲翠,劉曉蒙.個人信息保護合規(guī)審計的輔助實現技術框架研究[J].網絡安全與數據治理,2024,43(9):49-54.
引言
黨的二十大報告提出加快建設網絡強國、數字中國,加快發(fā)展數字經濟。近年來,順應數字經濟的發(fā)展需要,我國積極推進數字經濟領域立法,從《網絡安全法》的施行到《民法典》的頒布實施,從《數據安全法》《個人信息保護法》的制定出臺到相關領域制度、標準、政策文件的起草和征求意見,在數字經濟發(fā)展和法治建設進程中,我國數據安全、個人信息保護法律制度逐步建立并不斷發(fā)展完善,數字經濟法治環(huán)境日益完備健全[1]。近年來,個人信息保護合規(guī)審計受到業(yè)界廣泛關注,其不僅有利于保護公民個人信息權益,還有望對解決公共數據授權運營等數據開發(fā)利用活動中的數據安全問題,對數字經濟發(fā)展產生重要而深遠的影響。
2021年出臺實施的《個人信息保護法》第五十四條、第六十四條明確提出開展個人信息保護合規(guī)審計,構成個人信息保護合規(guī)審計制度的法律依據;2021年11月,面向社會公開征求意見的《網絡數據安全管理條例(征求意見稿)》第五十三條規(guī)定“大型互聯網平臺運營者應當通過委托第三方審計方式,每年對平臺數據安全情況、平臺規(guī)則和自身承諾的執(zhí)行情況、個人信息保護情況、數據開發(fā)利用情況等進行年度審計,并披露審計結果” [2];2023年11月,國家互聯網信息辦公室將《個人信息保護合規(guī)審計管理辦法(征求意見稿)》(以下簡稱“《辦法》”)面向社會公開征求意見,《辦法》共16條,其中附錄《個人信息保護合規(guī)審計參考要點》(以下簡稱“《要點》”)共31條,《辦法》從審計分類、主體范圍和審計頻率、審計機構、審計時限等方面明確了個人信息保護合規(guī)審計的相關要求,《辦法》的出臺使個人信息保護合規(guī)審計制度落實落地更具可操作性,也對個人信息保護合規(guī)審計工作提出更嚴格細致的要求。
按照我國相關制度的頂層設計,個人信息保護合規(guī)審計是一項融法律、數據治理、網絡(數據)安全技術“三位一體”的綜合性合規(guī)活動,具備一定專業(yè)性、創(chuàng)新性[3],要做好這項工作,相關方宜樹立系統(tǒng)思維,結合所在單位個人信息處理的實際,運用專業(yè)團隊和手段,有效應對個人信息保護合規(guī)審計的審計項多、存證工作量大、技術性強等特點,履行好個人信息處理者的責任。
本文詳細內容請下載:
http://m.xxav2194.com/resource/share/2000006163
作者信息:
刁毅剛1,張玲翠2,劉曉蒙3
(1.中央網信辦(國家網信辦)數據與技術保障中心,北京100048;
2.中國科學院信息工程研究所,北京100085;
3.中電科網絡安全科技股份有限公司,四川成都610095)
