本报记者 裴昱 北京报道
面对日益重要的数据安全问题,中国的监管机构和市场主体正在试图通过建立并完善一整套机制,来确保数据传输、处理、运营中的安全问题,而在这其中,掌握海量数据的大型互联网平台,或将成为相关机制和工作的重中之重。
最新的进展是,中国网络和数据安全的有关监管部门,已经考虑开始建立“数据安全审计制度”,以期采用类似于财务审计制度一样,以固定时间为周期,由此类第三方专业机构对数据处理方的数据安全等情况进行审计,并出具相关审计报告。
“我们注意到了这一点要求,我们内部现在也有类似的例行工作,但不是由第三方专业机构进行的,目前这种自我检视,更多是从业务层面进行的,如果监管有外部数据安全审计的要求,我们会配合好工作,做到经营合规。”一位互联网平台企业合规部门的人士于11月14日晚间向《中国经营报》记者表示。
11月14日,国家网络信息办公室就《网络数据安全管理条例》(以下简称“条例”)征求意见,并发布了征求意见稿,对于数据安全、数据分级分类、数据处理者境外上市、数据出境等方面提出详细和有针对性的监管措施,并对数据处理者在数据安全方面的义务,提出了明确的要求。
多位法律界人士向记者表示,条例征求意见稿是在《网络安全法》《数据安全法》《个人信息保护法》的大框架进行的,其监管手段和措施,与上述法律的立法精神、原则和方向一致。同时,也与2021年5月征求意见的《网络安全审查办法(修订草案征求意见稿)》的相关内容有针对性的衔接。
记者了解到,数据安全审计制度包含两大方面:第一类是由独立第三方专业数据审计机构,对数据处理者进行数据安全等方面的审计;第二类是来自有关监管部门的审计。对于后者而言,是专门针对重要数据处理活动的审计,其重点在于法律履行情况,行政法规所涉义务的履行情况等。
“重要数据”是数据分级分类的一种用于监管的标准。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。国家对个人信息和重要数据进行“重点保护”,对核心数据实行“严格保护”。
另外一家互联网平台合规部门的人士告诉记者,“重要数据”的概念,最早现于《网络安全法》,而在此后,信标委征求意见的《信息安全技术数据出境安全评估指南(征求意见稿)》中,则提及了“重要数据”的范围,即相关组织、机构和个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据)。
中国一直以来建立有例行审计制度,但基本上集中于财务状况领域,如第三方审计机构会依法依规对企业的财务账目进行审计,并出具具备法律效力,第三方审计机构承担法律责任的审计报告;另外,国家设有审计署,对于政府部门及其政府财政资金有关的事项事宜进行审计,并出具审计报告。此外,对于上市公司而言,则必须按照监督出具由具备资质的会计师事务所出具的财务审计报告,并予以公布。
“审计制度是一项在相关领域被证实有比较好效果,同时也运行得比较成熟的制度,现在数据安全领域也准备开展这项工作,是一种很好的外部监督的方式。”一位熟悉该领域立法有关情况的人士告诉记者,他个人认为,国家监管部门对重要数据的审计,和未来由具备资质的第三方进行的数据安全审计同等重要。
对于由专业第三方机构进行的数据安全审计,他认为,关键在于像财务审计那样,让第三方机构出具的数据安全审计报告承担法定责任,由此,建立起一整套社会资源对数据处理者进行例行外部监督的机制,从而实现数据安全监督的日常化、常态化。
记者了解到,数据安全审计中,大型互联网平台企业,或是工作的重点所在。目前,监管部门提出,大型互联网平台运营者应以年为单位,开展审计工作,这项审计工作应是通过委托第三方审计的方式,审计内容包括平台数据安全情况、平台规则和自身承诺执行情况、个人信息保护情况、数据开发利用情况。
按照监管部门的思路,这一审计结果将对外进行披露。
除此之外,监管部门明确提出,数据处理者应当委托数据安全审计专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
条例征求意见稿提出,大型互联网平台运营者应当通过委托第三方审计方式,每年对平台数据安全情况、平台规则和自身承诺的执行情况、个人信息保护情况、数据开发利用情况等进行年度审计,并披露审计结果。与此同时,条例征求意见稿还明确,国家建立数据安全审计制度。数据处理者应当委托数据安全审计专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
前述两位互联网平台企业合规部门的人士都告诉记者,之前按照监管部门的要求,他们的企业都建立了相应的内部机构专门负责网络安全、数据安全的工作,同时也建立并实施了相应的工作机制,在企业内部也会进行例行的网络安全、数据安全方面的检查。“这属于业务层面和内部自我约束的部分。”其中一位人士表示。
条例征求意见稿则明确提出,数据处理者应当对有关主管、监管部门的数据安全监督检查予以配合,包括对组织运作、技术系统、算法原理、数据处理程序等进行解释说明,开放安全相关数据访问、提供必要技术支持等。上述合规部门人士则表示,他所在的企业有专门工作部门,与监管部门对接,配合监管机构的相关工作。
与此同时,数据安全的监督管理工作的职能也相对明确起来。国家网信部门负责统筹协调数据安全和相关监督管理工作。公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。
“数据安全审计制度,我们还要重点研究,毕竟这是企业合规工作的一个重要组成部分,对于我们而言,这和财务审计一样重要,我们也得考虑,是不是像财务内审制度一样,也在企业内部建立相应的专门的数据安全内审制度,毕竟合规经营是企业稳定的最重要条件。”前述互联网平台企业的合规部门人士向记者表示。
(编辑:郝成 校对:颜京宁)
举报/反馈