《电子技术应用》
您所在的位置:首页 > 其他 > 设计应用 > 个人信息保护合规审计的辅助实现技术框架研究
个人信息保护合规审计的辅助实现技术框架研究
网络安全与数据治理
刁毅刚1,张玲翠2,刘晓蒙3
1.中央网信办(国家网信办)数据与技术保障中心;2.中国科学院信息工程研究所;3.中电科网络安全科技股份有限公司
摘要: 数字经济时代背景下,合格评定工作呈现出数字转型趋势,这将对开展个人信息保护合规审计活动产生重要影响。概述了个人信息保护合规检查技术工具概况和相关关键技术,在此基础上,提出了个人信息保护合规审计可以依托技术辅助实现的审计项,指明了个人信息合规审计工作技术辅助实现的路径。依托以上研究成果,提出《个人信息保护合规审计技术能力及工具要求(征求意见稿)》标准,明确了个人信息保护合规审计辅助实现技术框架,介绍了依据标准研发的个人信息保护合规审计技术工具原型,及其对于个人信息保护合规审计辅助技术框架的示范验证作用。
中图分类号:TP27文献标识码:ADOI:10.19358/j.issn.2097-1788.2024.09.008
引用格式:刁毅刚,张玲翠,刘晓蒙.个人信息保护合规审计的辅助实现技术框架研究[J].网络安全与数据治理,2024,43(9):49-54.
Research on the framework of assisting technology for implementation of personal information protection compliance audit
Diao Yigang 1,Zhang Lingcui2,Liu Xiaomeng3
1.Data and Technology Support Center of the Cyberspace Administration of China (CAC); 2.National Computer System Engineering Research Institute of China;3.CETC Cyberspace Security Technology Co.,Ltd.
Abstract: In the context of digital economy, the process of digital transformation trend is appearing among conformity assessment activities, which would exert important influence on the personal information protection compliance audit activities afterwards. This article introduces the situation and development of checking software for personal information protection and the relevant technologies.According to basis of pre-research,this article enlists audit items that could be implemented and supported with the help of technical methods, specifying the path to accomplish personal information protection compliance audit activity with the aid of technical assistance. Basing on the research production done beforehand, the research team proposes the standard of "Specification for the technical ability of auditing for personal information protection compliance and Software", which demonstrates the framework of assisting technology for implementation of personal information protection compliance audit.This article also introduces the prototype of software assisting for personal information protection compliance audit and its function as the demonstration and verification for the framework.
Key words : protection of personal information; compliance audit; conformity assessment; digitization

引言

党的二十大报告提出加快建设网络强国、数字中国,加快发展数字经济。近年来,顺应数字经济的发展需要,我国积极推进数字经济领域立法,从《网络安全法》的施行到《民法典》的颁布实施,从《数据安全法》《个人信息保护法》的制定出台到相关领域制度、标准、政策文件的起草和征求意见,在数字经济发展和法治建设进程中,我国数据安全、个人信息保护法律制度逐步建立并不断发展完善,数字经济法治环境日益完备健全[1]。近年来,个人信息保护合规审计受到业界广泛关注,其不仅有利于保护公民个人信息权益,还有望对解决公共数据授权运营等数据开发利用活动中的数据安全问题,对数字经济发展产生重要而深远的影响。

2021年出台实施的《个人信息保护法》第五十四条、第六十四条明确提出开展个人信息保护合规审计,构成个人信息保护合规审计制度的法律依据;2021年11月,面向社会公开征求意见的《网络数据安全管理条例(征求意见稿)》第五十三条规定“大型互联网平台运营者应当通过委托第三方审计方式,每年对平台数据安全情况、平台规则和自身承诺的执行情况、个人信息保护情况、数据开发利用情况等进行年度审计,并披露审计结果” [2];2023年11月,国家互联网信息办公室将《个人信息保护合规审计管理办法(征求意见稿)》(以下简称“《办法》”)面向社会公开征求意见,《办法》共16条,其中附录《个人信息保护合规审计参考要点》(以下简称“《要点》”)共31条,《办法》从审计分类、主体范围和审计频率、审计机构、审计时限等方面明确了个人信息保护合规审计的相关要求,《办法》的出台使个人信息保护合规审计制度落实落地更具可操作性,也对个人信息保护合规审计工作提出更严格细致的要求。

按照我国相关制度的顶层设计,个人信息保护合规审计是一项融法律、数据治理、网络(数据)安全技术“三位一体”的综合性合规活动,具备一定专业性、创新性[3],要做好这项工作,相关方宜树立系统思维,结合所在单位个人信息处理的实际,运用专业团队和手段,有效应对个人信息保护合规审计的审计项多、存证工作量大、技术性强等特点,履行好个人信息处理者的责任。


本文详细内容请下载:

https://www.chinaaet.com/resource/share/2000006163


作者信息:

刁毅刚1,张玲翠2,刘晓蒙3

(1.中央网信办(国家网信办)数据与技术保障中心,北京100048;

2.中国科学院信息工程研究所,北京100085;

3.中电科网络安全科技股份有限公司,四川成都610095)


Magazine.Subscription.jpg

此内容为AET网站原创,未经授权禁止转载。