一文通览数据合规审计工作要点(附依据、模板、评估表格)|iLaw
iLaw
编者按:
数据已成为数字经济时代的关键生产要素,数据生产力正在成为驱动经济发展的强大动能。然而,大数据的不当应用也会给社会带来安全威胁,健全并完善数据安全法规体系与合规监管细则、一体化推进数据合规多层次监管,成为应对数据带来的风险与挑战的主要着力点。数据合规成为政府、企事业单位的法定义务和社会责任,而数据合规审计作为捍卫国家数据主权、保障发展数据生产力、保护个人信息的一道重要防线,成为监督履行这一责任与义务、防范风险的关键工具。为此,本文将重点分析个保合规审计基本要求,数据合规审计与个保合规审计的异同点,明确数据合规审计工作重点注意事项,以期为推动数据合规审计工作提供助益。
✨温馨提示:
文末附《个人信息审计依据汇总》、《个人信息审计清单(模版)》、《个人信息保护能力成熟度评估最佳实践指南(附评估表格)》,可扫描二维码自行获取!
作者:钱钢
单位:南京审计大学江苏省审计大数据
工程研究中心主任
联系方式:13505170890(同微信号)
一
个保合规审计的基本要求
随着《中华人民共和国个人信息保护法》的正式实施,我国当前已经形成由《中华人民共和国网络安全法》(下称“网络安全法”)《中华人民共和国数据安全法》(下称“数据安全法”)《中华人民共和国个人信息保护法》(下称“个人信息保护法”)“三驾马车”为顶层设计的网络安全与数据保护监管体系,数据合规审计则是建立在该基础之上的法定义务。
依据《个人信息保护法》第五十四条与第六十四条规定,合规审计分为自主审计和强制审计两种情形。其中自主审计主要是规定个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计;强制审计则是指履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施,进行整改,消除隐患。二者在审计目标方面存在较大差异。
国家网信办依据上述两条规定,于2023年8月3日出台《个人信息保护合规审计管理办法(征求意见稿)》,明确提出,处理超过100万人个人信息的个人信息处理者,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每两年至少开展一次个人信息保护合规审计。并配套发布《个人信息保护合规审计参考要点》,分别从个人信息处理规则、个人信息跨境、个人信息主体权利、个人信息处理者责任、大型互联网平台等方面给予相应规定。
二
数据合规审计与个保合规审计的异同点
01
不同点
数字信息技术的广泛应用不仅会带来个人信息泄露的风险,同时也会因重要数据泄露给国家安全造成威胁。2023年10月27日,国家安全部于官方微博发布消息称,经调查发现,境外组织通过SDK等手段收集我国相关用户数据与个人信息;同月31日,国家安全部通报分布于全国20多个省份的数百个非法涉外气象探测站,非法实时向境外传输我国气象数据,种种行为给国家安全造成极大风险隐患。相关行为不仅违反了《个人信息保护法》,也违反了《数据安全法》对于数据安全监管的规定。
国家互联网信息办公室早已于2021年11月14日发布《网络数据安全管理条例(征求意见稿)》,将数据合规审计对象范围从“个人信息”扩大到“数据”,尤其“重要数据”更是成为主管、监管部门的审计重点。
《网络数据安全管理条例(征求意见稿)》第53条规定,“大型互联网平台运营者应当通过委托第三方审计方式,每年对平台数据安全情况、平台规则和自身承诺的执行情况、个人信息保护情况、数据开发利用情况等进行年度审计,并披露审计结果。”第58条规定,“国家建立数据安全审计制度。数据处理者应当委托数据安全审计专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。主管、监管部门组织开展对重要数据处理活动的审计,重点审计数据处理者履行法律、行政法规规定的义务等情况。”
由此发现,数据合规审计与个保合规审计存在以下不同点:
02
相同点
《数据安全法》*以数据对国家安全、公共利益或者个人组织合法权益的影响和重要程度为标准,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同保护措施,对于个人信息与重要数据进行重点保护,对核心数据实行严格保护措施。《网络数据安全管理条例(征求意见稿)》第五条**延续了《数据安全法》的规定。同时依据其第七十四条***规定发现,核心数据并不属于数据合规审计的对象。
基于此,数据合规审计工作仅针对重要数据进行审计,个保合规审计工作针对个人信息进行审计,而个人信息本质属于重要信息,二者在审计对象方面存在相同重合。
*《数据安全法》第二十一条 国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
**《网络数据安全管理条例(征求意见稿)》第五条 国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。
国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。
各地区、各部门应当按照国家数据分类分级要求,对本地区、本部门以及相关行业、领域的数据进行分类分级管理。
***《网络数据安全管理条例(征求意见稿)》第七十四条 涉及国家秘密信息、核心数据、密码使用的数据处理活动,按照国家有关规定执行。
三
数据合规审计重点注意事项
01
重要名词定义
02
主管、监管部门开展合规审计的主要内容
数据合规审计得出的应是一个与法律法规要求相比较是否“符合/满足”的结论。
依据《网络数据安全管理条例(征求意见稿)》第五十七条规定,主管、监管部门可从以下方面开展合规审计:
(1)要求数据处理者相关人员就监督检查事项作出说明;
(2)查阅、调取与数据安全有关的文档、记录;
(3)按照规定程序,利用检测工具或者委托专业机构对数据安全措施运行情况进行技术检测;
(4)核验数据出境类型、范围等;
(5)法律、行政法规、规章规定的其他必要方式。
同时有关主管、监管部门开展数据安全监督检查,应当客观公正,不得向被检查单位收取费用。在数据安全监督检查中获取的信息只能用于维护数据安全的需要,不得用于其他用途。
03
《网络数据安全管理条例(征求意见稿)》与《网络安全法》、《密码法》的衔接
《网络数据安全管理条例(征求意见稿)》第九条所规定实行的网络安全等级保护遵从其上位法《网络安全法》的规定,此外,其要求数据处理者应当使用密码对重要数据和核心数据进行保护,形成对于《中华人民共和国密码法》的“引致适用”,即数据保护涉及密码适用时,将引入《密码法》对相关数据合规行为进行审查。
04
对赴境外上市的数据处理者的要求
依据《网络数据安全管理条例(征求意见稿)》第三十二条规定,开展数据合规审计需要对数据处理者数据安全评估情况进行监督检查,并对其报送情况与报送内容进行审计,包括但不限于:
(1)处理重要数据的情况;
(2)发现的数据安全风险及处置措施;
(3)数据安全管理制度,数据备份、加密、访问控制等安全防护措施,以及管理制度实施情况和防护措施的有效性;
(4)落实国家数据安全法律、行政法规和标准情况;
(5)发生的数据安全事件及其处置情况;
(6)共享、交易、委托处理、向境外提供重要数据的安全评估情况;
(7)数据安全相关的投诉及处理情况;
(8)国家网信部门和主管、监管部门明确的其他数据安全情况;
(9)数据处理者风险评估报告保留年限等。
其中,数据处理者开展共享、交易、委托处理、向境外提供重要数据的安全评估,应当重点评估以下内容:
(1)共享、交易、委托处理、向境外提供数据,以及数据接收方处理数据的目的、方式、范围等是否合法、正当、必要;
(2)共享、交易、委托处理、向境外提供数据被泄露、毁损、篡改、滥用的风险,以及对国家安全、经济发展、公共利益带来的风险;
(3)数据接收方的诚信状况、守法情况、境外政府机构合作关系、是否被中国政府制裁等背景情况,承诺承担的责任以及履行责任的能力等是否能够有效保障数据安全;
(4)与数据接收方订立的相关合同中关于数据安全的要求能够有效约束数据接收方履行数据安全保护义务;
(5)在数据处理过程中的管理和技术措施等是否能够防范数据泄露、毁损等风险。
评估认为可能危害国家安全、经济发展和公共利益,数据处理者不得共享、交易、委托处理、向境外提供数据。
05
数据跨境安全管理
依据《网络数据安全管理条例(征求意见稿)》第三十五条规定,数据处理者因业务等需要,确需向中华人民共和国境外提供数据的,应当具备下列条件之一:
(1)通过国家网信部门组织的数据出境安全评估;
(2)数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证;
(3)按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同,约定双方权利和义务;
(4)法律、行政法规或者国家网信部门规定的其他条件。
END.
文末福利
为了更切实、便利地帮助读者们开展数据合规业务,iLaw准备了「《个人信息审计依据汇总》、《个人信息审计清单(模版)》、《个人信息保护能力成熟度评估最佳实践指南(附评估表格)》」(限前100名)。内容详实充分,一起助力企业实务开展!
如有需要,欢迎扫描下方二维码添加iLaw小助理,发送本文链接进行领取吧~👇👇👇
■直播预告
👓 你一定还想看
■
THE END.
Copyright©2023iLaw.All rights reserved.
本文正文内容由作者享有版权,除此之外的内容及配图设计为iLaw原创版权所有,任何个人或公司未经授权严禁转载使用。
如需转载请微信联络 @ilawhegui3
点亮在看👇
关键词
个人信息
信息
合规审计
信息
个人信息处理
最新评论
推荐文章
作者最新文章
你可能感兴趣的文章
Copyright Disclaimer: The copyright of contents (including texts, images, videos and audios) posted above belong to the User who shared or the third-party website which the User shared from. If you found your copyright have been infringed, please send a DMCA takedown notice to [email protected]. For more detail of the source, please click on the button "Read Original Post" below. For other communications, please send to [email protected].
版权声明:以上内容为用户推荐收藏至CareerEngine平台,其内容(含文字、图片、视频、音频等)及知识版权均属用户或用户转发自的第三方网站,如涉嫌侵权,请通知[email protected]进行信息删除。如需查看信息来源,请点击“查看原文”。如需洽谈其它事宜,请联系[email protected]。
版权声明:以上内容为用户推荐收藏至CareerEngine平台,其内容(含文字、图片、视频、音频等)及知识版权均属用户或用户转发自的第三方网站,如涉嫌侵权,请通知[email protected]进行信息删除。如需查看信息来源,请点击“查看原文”。如需洽谈其它事宜,请联系[email protected]。