近日,“315”晚会曝光信息黑洞疯狂窃取个人隐私,知情人士表示窃取个人信息的获客公司称每日处理100亿条数据。
图源:央视财经
当前,个人信息收集与利用日益广泛,企业、机构及个人均参与其中,个人信息保护和利用的矛盾不断加剧。从政策层面来看,《中华人民共和国个人信息保护法》《网络数据安全管理条例》等都细化了个人信息保护和审计的具体规定。其中特别明确了个人信息保护合规审计的两种情形:一是个人信息处理者自行开展合规审计。二是按照履行个人信息保护职责的部门要求,委托专业机构开展合规审计。
为了提供系统的合规审计规范,强化个人信息处理的合法合规,国家互联网信息办公室制定出台了 《个人信息保护合规审计管理办法》 (以下简称《办法》),自2025年5月1日起施行。
《个人信息保护合规审计管理办法》要点速览
一是明确个人信息处理者自行开展和委托专业机构开展合规审计的条件,合规审计机构的选择和合规审计的频次。
为了避免过重的义务负担,根据个人信息处理者的业务合规能力,处理的个人信息数量、类型等,设置了外部审计和内部审计,有助于对安全风险状况进行全方位、短周期地评估和审查。
其中,专业机构应当具备开展个人信息保护合规审计的能力,有与服务相适应的审计人员、场所、设施和资金等。
二是明确开展合规审计的个人信息处理者应当履行的义务。
三是明确专业机构在合规审计中的义务。
专业机构接受委托开展合规审计,应当公正客观地作出合规审计结论,提出建议,其出具的合规审计报告是履行个人信息保护职责的部门开展监督管理工作的重要参考。
对专业机构的管理,遵循自愿性、市场化的原则,通过认证认可方式对其进行监督管理。具备开展个人信息保护合规审计能力及相应资源的专业机构可以自愿申请相关服务能力认证。
同时,也进一步明确专业机构、审计人员和审计活动的独立客观性。审计活动作为重要环节,为了确保审计结论能够真实反映个人信息处理者的业务合规情况,进而对个人信息处理者提出针对性的审计建议。
四是明确个人信息保护部门对合规审计的监督职责及公众投诉举报权利,并规定违法者的法律责任。
合规审计实战,数据分类分级与风险评估如何大显身手
《个人信息保护合规审计指引》(以下简称《指引》)为个人信息保护合规审计提供全面指导和规范,设置具体审查事项,指明个人信息保护业务合规的核心内容。个人信息处理者可以通过科学的数据分类分级和安全风险评估,有效提升合规审计的精准度和效率。
《个人信息保护合规审计指引》全文▲
一、分类分级
要求个人信息处理者应制定内部管理制度和操作规程,明确组织架构、岗位职责,并保障个人信息处理合规与安全。
数据分类分级能够识别生物识别信息、医疗健康信息等个人敏感信息,根据敏感程度,明确保护重点,有助于采取更严格的安全技术措施,如高级别的加密、去标识化等,以降低其在处理过程中未经授权访问和滥用的风险。
同时,分类分级也是制定个性化应急响应机制、影响评估制度等的基础,能够使相关制度和机制更具针对性和有效性。
企业在数据安全分类分级的能力,应该实现对企业数据进行分类分级标识并形成数据分类分级目录,最后对数据目录进行审核、上报备案,并且动态更新管理。开展分类分级工作的流程应该基于国标GB/T 43697-2024《数据安全技术数据分类分级规则》的分类分级实施步骤。
二、风险评估
合规审计时,应重点审查个人信息保护内部管理制度和操作规程的多个方面,包括但不限于个人信息保护工作的方针、目标、原则,组织架构与人员配备,分类情况,应急响应机制,影响评估与合规审计制度,投诉举报受理流程等,风险评估在此起到关键作用。
风险评估深度剖析个人信息处理的全生命周期(收集、存储、使用、传输、销毁),识别可能存在的安全隐患与合规风险,根据风险的可能性和影响程度,确定优先级,从而制定针对性的应急预案。
风险评估可以综合考量个人信息的重要性、处理目的、可能带来的影响及安全威胁,结合企业的业务需求和人员职责,制定合理的权限分配方案。确保只有经过授权的人员才能在必要的范围内访问、复制和传输个人信息,减少未经授权的访问和滥用风险,保护个人隐私和数据安全。
企业开展数据安全风险评估工作,应依据国家、行业数据安全风险评估要求,结合企业数据安全现状,围绕数据和数据处理活动,聚焦可能影响数据安全风险,评估数据安全全生命周期的各项指标,对评估的问题进行分析,提出数据安全管理和技术防护措施建议。
风险评估工作流程
推荐阅读
《银行保险机构数据安全管理办法》正式实施,分类分级、安全评估共筑安全防线
“千里之堤”如何抵御“数据蚁患”?全方位安全守护,让企业数据无忧!
更多关于数据安全、分类分级、风险评估等内容和分享,请持续关注厦门安胜网络科技有限公司!
