《電子技術應用》
您所在的位置:首頁 > 其他 > 設計應用 > 個人信息保護合規(guī)審計的輔助實現(xiàn)技術框架研究
個人信息保護合規(guī)審計的輔助實現(xiàn)技術框架研究
網(wǎng)絡安全與數(shù)據(jù)治理
刁毅剛1,張玲翠2,劉曉蒙3
1.中央網(wǎng)信辦(國家網(wǎng)信辦)數(shù)據(jù)與技術保障中心;2.中國科學院信息工程研究所;3.中電科網(wǎng)絡安全科技股份有限公司
摘要: 數(shù)字經(jīng)濟時代背景下,合格評定工作呈現(xiàn)出數(shù)字轉型趨勢,這將對開展個人信息保護合規(guī)審計活動產(chǎn)生重要影響。概述了個人信息保護合規(guī)檢查技術工具概況和相關關鍵技術,在此基礎上,提出了個人信息保護合規(guī)審計可以依托技術輔助實現(xiàn)的審計項,指明了個人信息合規(guī)審計工作技術輔助實現(xiàn)的路徑。依托以上研究成果,提出《個人信息保護合規(guī)審計技術能力及工具要求(征求意見稿)》標準,明確了個人信息保護合規(guī)審計輔助實現(xiàn)技術框架,介紹了依據(jù)標準研發(fā)的個人信息保護合規(guī)審計技術工具原型,及其對于個人信息保護合規(guī)審計輔助技術框架的示范驗證作用。
中圖分類號:TP27文獻標識碼:ADOI:10.19358/j.issn.2097-1788.2024.09.008
引用格式:刁毅剛,張玲翠,劉曉蒙.個人信息保護合規(guī)審計的輔助實現(xiàn)技術框架研究[J].網(wǎng)絡安全與數(shù)據(jù)治理,2024,43(9):49-54.
Research on the framework of assisting technology for implementation of personal information protection compliance audit
Diao Yigang 1,Zhang Lingcui2,Liu Xiaomeng3
1.Data and Technology Support Center of the Cyberspace Administration of China (CAC); 2.National Computer System Engineering Research Institute of China;3.CETC Cyberspace Security Technology Co.,Ltd.
Abstract: In the context of digital economy, the process of digital transformation trend is appearing among conformity assessment activities, which would exert important influence on the personal information protection compliance audit activities afterwards. This article introduces the situation and development of checking software for personal information protection and the relevant technologies.According to basis of pre-research,this article enlists audit items that could be implemented and supported with the help of technical methods, specifying the path to accomplish personal information protection compliance audit activity with the aid of technical assistance. Basing on the research production done beforehand, the research team proposes the standard of "Specification for the technical ability of auditing for personal information protection compliance and Software", which demonstrates the framework of assisting technology for implementation of personal information protection compliance audit.This article also introduces the prototype of software assisting for personal information protection compliance audit and its function as the demonstration and verification for the framework.
Key words : protection of personal information; compliance audit; conformity assessment; digitization

引言

黨的二十大報告提出加快建設網(wǎng)絡強國、數(shù)字中國,加快發(fā)展數(shù)字經(jīng)濟。近年來,順應數(shù)字經(jīng)濟的發(fā)展需要,我國積極推進數(shù)字經(jīng)濟領域立法,從《網(wǎng)絡安全法》的施行到《民法典》的頒布實施,從《數(shù)據(jù)安全法》《個人信息保護法》的制定出臺到相關領域制度、標準、政策文件的起草和征求意見,在數(shù)字經(jīng)濟發(fā)展和法治建設進程中,我國數(shù)據(jù)安全、個人信息保護法律制度逐步建立并不斷發(fā)展完善,數(shù)字經(jīng)濟法治環(huán)境日益完備健全[1]。近年來,個人信息保護合規(guī)審計受到業(yè)界廣泛關注,其不僅有利于保護公民個人信息權益,還有望對解決公共數(shù)據(jù)授權運營等數(shù)據(jù)開發(fā)利用活動中的數(shù)據(jù)安全問題,對數(shù)字經(jīng)濟發(fā)展產(chǎn)生重要而深遠的影響。

2021年出臺實施的《個人信息保護法》第五十四條、第六十四條明確提出開展個人信息保護合規(guī)審計,構成個人信息保護合規(guī)審計制度的法律依據(jù);2021年11月,面向社會公開征求意見的《網(wǎng)絡數(shù)據(jù)安全管理條例(征求意見稿)》第五十三條規(guī)定“大型互聯(lián)網(wǎng)平臺運營者應當通過委托第三方審計方式,每年對平臺數(shù)據(jù)安全情況、平臺規(guī)則和自身承諾的執(zhí)行情況、個人信息保護情況、數(shù)據(jù)開發(fā)利用情況等進行年度審計,并披露審計結果” [2];2023年11月,國家互聯(lián)網(wǎng)信息辦公室將《個人信息保護合規(guī)審計管理辦法(征求意見稿)》(以下簡稱“《辦法》”)面向社會公開征求意見,《辦法》共16條,其中附錄《個人信息保護合規(guī)審計參考要點》(以下簡稱“《要點》”)共31條,《辦法》從審計分類、主體范圍和審計頻率、審計機構、審計時限等方面明確了個人信息保護合規(guī)審計的相關要求,《辦法》的出臺使個人信息保護合規(guī)審計制度落實落地更具可操作性,也對個人信息保護合規(guī)審計工作提出更嚴格細致的要求。

按照我國相關制度的頂層設計,個人信息保護合規(guī)審計是一項融法律、數(shù)據(jù)治理、網(wǎng)絡(數(shù)據(jù))安全技術“三位一體”的綜合性合規(guī)活動,具備一定專業(yè)性、創(chuàng)新性[3],要做好這項工作,相關方宜樹立系統(tǒng)思維,結合所在單位個人信息處理的實際,運用專業(yè)團隊和手段,有效應對個人信息保護合規(guī)審計的審計項多、存證工作量大、技術性強等特點,履行好個人信息處理者的責任。


本文詳細內容請下載:

http://theprogrammingfactory.com/resource/share/2000006163


作者信息:

刁毅剛1,張玲翠2,劉曉蒙3

(1.中央網(wǎng)信辦(國家網(wǎng)信辦)數(shù)據(jù)與技術保障中心,北京100048;

2.中國科學院信息工程研究所,北京100085;

3.中電科網(wǎng)絡安全科技股份有限公司,四川成都610095)


Magazine.Subscription.jpg

此內容為AET網(wǎng)站原創(chuàng),未經(jīng)授權禁止轉載。