在《个人信息保护合规审计管理办法》正式施行前夕,由电科网安承办的“个人信息保护合规实践研讨会暨数据合规促进荟第三次活动”在蓉成功举办,通过宣贯相关标准规范的要求、注意事项,提供相关审计的工作经验,更好的帮助企业更好的开展个人信息保护合规审计工作。
《个人信息保护合规审计管理办法》将于2025年5月1日正式施行,作为《中华人民共和国个人信息保护法》的配套细则,该办法首次将企业合规审计从原则性要求细化为可操作的制度框架,标志着我国个人信息保护进入“深度治理”阶段。为加快推动数据安全合规生态体系的规范健康发展,有序推动个人信息保护合规审计活动,保护个人信息权益,近日,由中电科网络安全科技股份有限公司承办的“个人信息保护合规实践研讨会暨数据合规促进荟第三次活动”在蓉成功举办,以个人信息保护合规审计为主题,通过宣贯相关标准规范的要求、注意事项,提供相关审计的工作经验,更好的帮助企业更好的开展个人信息保护合规审计工作。
来自中央网信办数据与技术保障中心、中国网络安全审查认证和市场监管大数据中心、上海自贸区临港新片区管委会、上海临港国际数据经济产业研究院、中国电子技术标准化研究院网安中心、国家工业信息安全发展研究中心等单位的专家,以及上海临港自贸区管委会及相关单位、大型互联网平台企业、知名安全企业、律师事务所代表齐聚一堂,围绕数据安全合规生态体系建设、个人信息保护审计实践等议题展开深度探讨,共话数据安全合规生态体系建设新路径。
数据合规是国家安全与企业发展的共同命题,会议旨在促进数据安全治理的进步,通过凝聚行业共识,以技术创新与协同合作驱动数字经济高质量发展。中央网信办数据与技术保障中心专家向与会代表介绍了个人信息保护合规审计管理办法及其专业机构服务要求,强调了个人信息处理者自行审计或委托专业机构审计的重要性,并对国内外相关法律中关于合规审计的规定进行了对比分析。
在数据要素市场化配置与安全治理并行的新阶段,如何将《数据安全技术 个人信息保护合规审计要求》转化为可落地的企业实践?如何通过技术工具破解跨境数据流动中的合规验证难题?临港“数据海关”等创新机制能否为行业提供可复制的范式?本次研讨会从标准解读、认证规则构建到工具研发层层递进,通过“政策解构-技术赋能-场景攻坚”,为数据合规生态建设铺展出一条从合规治理到价值释放的实践路径。
顶层设计引领:标准落地与体系筑基
中国电子技术标准化研究院工程师李卓峻对《数据安全技术个人信息保护合规审计要求》国家标准进行解读,提出“分级分类管理+动态评估”框架,强调企业需建立覆盖审计准备、实施、整改的全流程体系,并通过技术工具实现证据链追溯。
中国网络安全审查认证中心网络安全审查五处处长陈世祥聚焦认证规则,指出“服务认证需覆盖管理审核、能力构建与流程评估”,未来将通过自愿性认证制度提升专业机构服务质量,强化监管反馈机制。
技术赋能实践:工具创新与场景攻坚
电科网安数据安全专家望娅露通过对已有的企业个人信息保护合规审计工作的经验总结,针对审计人员与个人信息处理者之间的信任问题,审计证据的多样性导致的审计工作复杂度增加,日志内容难以阅读等问题,提炼出基于电子化流程、AI分析以及日志处理技术提升审计效率的技术方案,并现场展示了电科网安自主研发的“个人信息保护合规审计工具”。
该工具依托日志记录与业务流程关联,形成可追溯的电子化审计报告,通过AI技术实现自动化证据分析,可提升40%审计效率,并且帮助自动化生成审计报告,进行审计证据与报告保全,提升审计结果及相关材料的可信度。
上海自贸区临港新片区管委会数据处副处长曹阳分享了临港新片区的创新实践经验:通过建立“数据海关”监管机制和跨境白名单制度,已服务多家企业完成数据出境试点,五年内区域工业总产值从900亿跃升至4230亿元,并在集成电路、新能源汽车等领域形成四大产业支柱。
通过现场分享和交流研讨,来自大型互联网企业、律师事务所、咨询机构等单位的与会嘉宾纷纷表示,对审计流程复杂、审计证据理解困难、合规知识库建立困难等数据合规审计实操过程中曾出现的问题,收获了独到的见解和宝贵的经验。与会专家一致呼吁,行业需加快推动“标准-认证-工具”三位一体协同创新,探索数据安全治理的“中国方案”,护航数字经济高质量发展。
延伸阅读
1、电科网安主要起草的团体标准《个人信息保护合规审计技术能力及工具要求》征求意见稿正式发布
2024年7月25日,中国网络空间安全协会发布由中国科学院信息工程研究所、电科网安等主要起草的团体标准《个人信息保护合规审计技术能力及工具要求》征求意见稿,该标准规定了个人信息保护合规审计技术能力及工具要求,包括个人信息保护合规审计技术能力要求和个人信息保护合规审计工具要求,该标准适用于规范个人信息处理者使用技术工具开展个人信息保护合规自审计工作,也适用于专业机构使用技术工具开展第三方合规审计工作,同时也可为技术工具的开发方、测试方、建设方提供指导和参考,有利于个人信息处理者合规技术的规范化和标准化,提高个人信息处理活动合规水平。
2、关于数据合规促进荟
数据合规促进荟是由从事数据及数据相关产业的科研院所、企事业单位、社会组织等自愿组成,属于非营利行业组织。数据合规促进荟的宗旨是贯彻落实国家“网络强国、数字中国”的战略部署,搭建数据领域合作交流平台,推动数据产业的技术创新与模式革新,提升数据安全治理监管能力,推动数据合规行业的规范化、健康化发展,促进数据要素有序流通,激发数字经济发展新动能。
