社會(huì)的數(shù)字化轉(zhuǎn)型和智能化發(fā)展深刻改變著各行各業(yè)的運(yùn)行模式,收集、處理和共享個(gè)人信息日益頻繁,全球各國和地區(qū)都高度關(guān)注如何在數(shù)字化時(shí)代保護(hù)個(gè)人信息,防止數(shù)據(jù)濫用和泄露。2021年9月,我國《個(gè)人信息保護(hù)法》頒布,建立了我國個(gè)人信息保護(hù)制度框架。2023年8月3日,《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法(征求意見稿)》(以下簡稱《合規(guī)審計(jì)辦法》)及《個(gè)人信息保護(hù)合規(guī)審計(jì)參考要點(diǎn)》發(fā)布,標(biāo)志著我國個(gè)人信息保護(hù)制度體系進(jìn)一步完善。
劃定個(gè)人信息流通的保護(hù)基線
《合規(guī)審計(jì)辦法》高度重視個(gè)人信息流通過程中的保護(hù)。數(shù)據(jù)的流通可以推動(dòng)創(chuàng)新,帶來商業(yè)機(jī)會(huì),促進(jìn)經(jīng)濟(jì)增長。但是,個(gè)人信息在流通過程中可能發(fā)生泄露、非法訪問、濫用等風(fēng)險(xiǎn),從而對個(gè)人信息主體權(quán)益產(chǎn)生不利影響。對此,辦法明確了個(gè)人信息處理者公開、轉(zhuǎn)移、與他人共同處理、委托處理等流通環(huán)節(jié)中的審計(jì)內(nèi)容。這有助于個(gè)人信息處理者在個(gè)人信息流通過程中遵守法規(guī)、落實(shí)個(gè)人信息保護(hù)工作,從而促進(jìn)個(gè)人信息在安全流通中釋放價(jià)值。
實(shí)現(xiàn)個(gè)人信息跨境處理閉環(huán)管理
我國采取了基于風(fēng)險(xiǎn)的數(shù)據(jù)跨境管理制度,因此非常重視事前評估,即數(shù)據(jù)出境風(fēng)險(xiǎn)自評估和個(gè)人信息保護(hù)影響評估。這兩大評估制度有助于各方提前識別數(shù)據(jù)跨境風(fēng)險(xiǎn),采取適當(dāng)措施,保障數(shù)據(jù)跨境流通安全。
個(gè)人信息保護(hù)合規(guī)審計(jì)與事前評估制度相呼應(yīng),能夠幫助個(gè)人信息處理者在事后回顧個(gè)人信息跨境處理活動(dòng)的風(fēng)險(xiǎn)管理和工作落實(shí)情況、分析合規(guī)差距并持續(xù)優(yōu)化工作方案,從而實(shí)現(xiàn)個(gè)人信息跨境處理活動(dòng)的閉環(huán)管理。具體而言,《合規(guī)審計(jì)辦法》特別對個(gè)人信息跨境處理活動(dòng)提出了三大審計(jì)要點(diǎn),包括個(gè)人信息處理者是否具備個(gè)人信息跨境條件、是否了解境外法規(guī)、是否違規(guī)出境個(gè)人信息等。
推動(dòng)我國個(gè)人信息保護(hù)制度的國際銜接
《合規(guī)審計(jì)辦法》的出臺推動(dòng)了我國個(gè)人信息保護(hù)制度與國際規(guī)則的銜接。歐盟、英國等國家的個(gè)人信息保護(hù)制度都包含個(gè)人信息保護(hù)合規(guī)審計(jì),且其制度架構(gòu)與我國個(gè)人信息保護(hù)合規(guī)審計(jì)基本一致。例如,我國與歐盟的合規(guī)審計(jì)制度都包括自我審計(jì)和監(jiān)督審計(jì)兩種模式。這在宏觀層面為我國與不同國家或地區(qū)就個(gè)人信息保護(hù)領(lǐng)域達(dá)成共識、建立合作機(jī)制、實(shí)現(xiàn)互利共贏奠定了基礎(chǔ)。
實(shí)施建議:智能技術(shù)賦能個(gè)人信息保護(hù)合規(guī)審計(jì)
隨著云計(jì)算、人工智能等技術(shù)的快速發(fā)展,數(shù)據(jù)的體量正在爆炸式增長,并且呈現(xiàn)出多源異構(gòu)的特征,這給個(gè)人信息保護(hù)合規(guī)審計(jì)的實(shí)施帶來了取證難度大和工作程序繁瑣等挑戰(zhàn)。
對此,應(yīng)加強(qiáng)個(gè)人信息保護(hù)合規(guī)審計(jì)技術(shù)手段和智能工具的創(chuàng)新、研發(fā)和應(yīng)用,實(shí)現(xiàn)對多個(gè)業(yè)務(wù)系統(tǒng)、終端設(shè)備數(shù)據(jù)處理活動(dòng)的自動(dòng)化記錄檢測和智能分析,實(shí)現(xiàn)審計(jì)流程的自動(dòng)化執(zhí)行,以適應(yīng)技術(shù)的快速迭代發(fā)展。
結(jié)語
個(gè)人信息保護(hù)合規(guī)審計(jì)是當(dāng)前數(shù)字化發(fā)展背景下,保護(hù)個(gè)人信息、保障個(gè)人主體權(quán)益的關(guān)鍵舉措。個(gè)人信息保護(hù)合規(guī)審計(jì)能夠幫助個(gè)人信息處理者全面評估其個(gè)人信息處理活動(dòng)的合規(guī)性和安全性,完善數(shù)據(jù)治理機(jī)制。這不僅有利于實(shí)現(xiàn)技術(shù)創(chuàng)新與用戶權(quán)益的平衡,還能促進(jìn)數(shù)據(jù)產(chǎn)業(yè)和數(shù)字經(jīng)濟(jì)健康、可持續(xù)發(fā)展,從而構(gòu)建可信賴的數(shù)字經(jīng)濟(jì)生態(tài)系統(tǒng)。
來源:本文來自數(shù)據(jù)信任與治理