引用格式:刁毅刚,张玲翠,刘晓蒙.个人信息保护合规审计的辅助实现技术框架研究[J].网络安全与数据治理,2024,43(9):49-54.
引言
党的二十大报告提出加快建设网络强国、数字中国,加快发展数字经济。近年来,顺应数字经济的发展需要,我国积极推进数字经济领域立法,从《网络安全法》的施行到《民法典》的颁布实施,从《数据安全法》《个人信息保护法》的制定出台到相关领域制度、标准、政策文件的起草和征求意见,在数字经济发展和法治建设进程中,我国数据安全、个人信息保护法律制度逐步建立并不断发展完善,数字经济法治环境日益完备健全[1]。近年来,个人信息保护合规审计受到业界广泛关注,其不仅有利于保护公民个人信息权益,还有望对解决公共数据授权运营等数据开发利用活动中的数据安全问题,对数字经济发展产生重要而深远的影响。
2021年出台实施的《个人信息保护法》第五十四条、第六十四条明确提出开展个人信息保护合规审计,构成个人信息保护合规审计制度的法律依据;2021年11月,面向社会公开征求意见的《网络数据安全管理条例(征求意见稿)》第五十三条规定“大型互联网平台运营者应当通过委托第三方审计方式,每年对平台数据安全情况、平台规则和自身承诺的执行情况、个人信息保护情况、数据开发利用情况等进行年度审计,并披露审计结果” [2];2023年11月,国家互联网信息办公室将《个人信息保护合规审计管理办法(征求意见稿)》(以下简称“《办法》”)面向社会公开征求意见,《办法》共16条,其中附录《个人信息保护合规审计参考要点》(以下简称“《要点》”)共31条,《办法》从审计分类、主体范围和审计频率、审计机构、审计时限等方面明确了个人信息保护合规审计的相关要求,《办法》的出台使个人信息保护合规审计制度落实落地更具可操作性,也对个人信息保护合规审计工作提出更严格细致的要求。
按照我国相关制度的顶层设计,个人信息保护合规审计是一项融法律、数据治理、网络(数据)安全技术“三位一体”的综合性合规活动,具备一定专业性、创新性[3],要做好这项工作,相关方宜树立系统思维,结合所在单位个人信息处理的实际,运用专业团队和手段,有效应对个人信息保护合规审计的审计项多、存证工作量大、技术性强等特点,履行好个人信息处理者的责任。
本文详细内容请下载:
https://www.chinaaet.com/resource/share/2000006163
作者信息:
刁毅刚1,张玲翠2,刘晓蒙3
(1.中央网信办(国家网信办)数据与技术保障中心,北京100048;
2.中国科学院信息工程研究所,北京100085;
3.中电科网络安全科技股份有限公司,四川成都610095)