即将于11月1日生效的《幼我信息��������;しā返谖迨奶鹾偷诹奶醣鹄牖擞孜倚畔⒋χ谜叩亩ㄆ诤瞎嫔蠹剖姑约凹喙芑沟那吭焐蠹圃於�������。此项要求是在立法层面针对幼我信息处置者��������;び孜倚畔⑹姑矫嫣岢龅男乱�����,若何理解、落实此项要求�����,若何将此项要求融入企业现有的幼我信息��������;ず瞎婵蚣苤�����,是企业当前面对的问题�������。本文将萦绕幼我信息��������;ず瞎嫔蠹频慕缢怠⒍源讼钍姑蟮睦斫狻⑵笠当匾泻瞎嫔蠹频脑蛞约叭艉谓泻瞎嫔蠹频燃父龇矫孀龀銎缆�������。
1.幼我信息��������;ず瞎嫔蠹剖鞘裁������?
幼我信息��������;ず瞎嫔蠹剖且陨蟛楸簧蠹浦魈宓挠孜倚畔⒋χ没疃欠褡袷匚夜泄氐乃痉晒嫖髡沤械募喽叫陨蠹�������。
从立法主张来看�����,目前我国的幼我信息��������;ず瞎嫔蠹埔宰孕猩蠹莆荚�����,以强造审计为补充�������。幼我信息��������;さ暮瞎嫔蠹剖撬杏孜倚畔⒋χ谜叩囊幌钭月尚允姑�����,而监管机构只有在发现幼我信息处置活动存在较大风险或者产生幼我信息安全事务时�����,才要求幼我信息处置者委托专业机构对其幼我信息处置活动进行合规审计�������。
《幼我信息��������;しā菲揪莘⑵鹕蠹频闹魈宸制�����,将幼我信息��������;ず瞎嫔蠹品治孜倚畔⒋χ谜咦远械摹岸ㄆ谧孕猩蠹啤焙图喙芑挂笥孜倚畔⒋χ谜呶凶ㄒ祷菇械摹扒吭焐蠹啤�������。
幼我信息��������;ず瞎嫔蠹频闹匾髡攀墙谠旌驮し榔笠导霸惫ひ虼χ糜孜倚畔⒉缓瞎�����,引发司法责任、受到有关处罚、造成经济或名誉损失以及其他负面影响的可能性�������。
2.若何理解《幼我信息��������;しā废掠孜倚畔⒋χ谜叨ㄆ诮泻瞎嫔蠹频氖姑������?
合法准则是《幼我信息��������;しā返囊幌罡荚�����,即幼我信息处置者该当采取合法的方式处置幼我信息�������。要确保幼我信息处置活动切合司法要求�����,除了必要来自表界的他律�����,还必要企业的自律�����,即幼我信息处置者自行采取技术措施、组织措施以及其他必要措施来确保幼我信息处置活动切合司法、行政律例的划定�������。
我们以为�����,《幼我信息��������;しā返54条对幼我信息处置者定期进行合规审计的划定�����,既是在强调司法的他律�����,也是强调幼我信息处置者的自律�����,能够理解为立法者但愿通过要求幼我信息处置者定期核查自身对幼我信息的处置是否切合司律例定的方式�����,来落实《幼我信息��������;しā废碌暮戏ㄗ荚�������。
3.企业为什么要进行幼我信息��������;ず瞎嫔蠹������?
首先�����,从立法层面上看�����,我国关于幼我信息��������;さ乃痉晒妗⒐娣缎晕募以及部门国度尺度都已确立了幼我信息��������;ず瞎嫔蠹圃於�������。具体规范蕴含但不限于:
◆《幼我信息��������;しā返谖迨奶酢⒌诹奶��������;
◆《互联网幼我信息安全��������;ぶ改稀返4.3.2条��������;
◆《信息安全技术 网络安全等级��������;じ蟆罚℅B/T 22239-2019)第8.1.7.2条��������;
◆《信息安全技术 幼我信息安全规范》(GB/T 35273-2020)第11.7条�������。
其次�����,基于法律视角观察�����,企业在幼我信息��������;ち煊蛎娑宰哦嗤芳喙艿木置�����,必要同时面对国度网信部门、国务院有关部门以及县级以上处所人民当局有关部门的监管�������。幼我信息��������;ず瞎嫔蠹朴兄谄笠祷Χ约喙�����,适应多头监管与力度日益加强的日常监管�������。
从企业自身对司法的遵守角度来看�����,由于幼我信息处置者的活动是持续的�����,保障幼我信息处置活动的合法性也该当是一个持续的动态过程�������。随着业务状态的变动、技术的进取、司法要求的更新�����,某一阶段幼我信息处置活动的合法并不料味着处置活动在职何时期都是合法的�����,定期的合规审计会使得幼我信息处置者对自身处置活动的合法性进行持续的关注�������。
最后�����,企业自身拥有进行幼我信息��������;ず瞎嫔蠹菩枰�������。《幼我信息��������;しā返诹盘跞妨⒘擞孜倚畔⑶秩ň婪字�����,幼我信息处置者的“不对推定”责任规定�������。幼我信息��������;ず瞎嫔蠹颇芄蛔魑孜倚畔⒋χ谜呶薏欢缘挠辛χぞ�����,从而免去严苛的民事责任�������。此表�����,幼我信息��������;ず瞎嫔蠹圃诳隙ㄋ缴峡赡苡行У脑造笠翟し佬姓处罚甚至刑事处罚�������。
4.企业若何进行幼我信息��������;ず瞎嫔蠹������?
目前�����,我国立法对于幼我信息��������;ず瞎嫔蠹频纳蠹浦氐忝挥忻魅返幕�������。参考国表的成熟实际(如英国信息专员办公室颁布的审计指南)�����,笔者以为我国的幼我信息��������;ど蠹频闹氐愀玫痹毯
● 通常性或已知风险的幼我信息��������;な孪��������;
● 幼我信息��������;ふ策与法式��������;
● 幼我信息��������;ぶ卫砗臀试鹪��������;
● 工作人员的幼我信息��������;づ嘌岛鸵馐��������;
● 幼我信息的安全��������;
● 对于幼我信息权势的要求��������;
● 幼我信息共享��������;
● 幼我信息治理纪录��������;
● 幼我信息��������;び跋炱拦牢⒎缦罩卫�������。
对于强造审计活动的流程�����,可拜见下图�������。
相较监管机构提议的强造审计流程�����,幼我信息处置者自觉进行的合规审计在流程上能够参照强造审计并省略部门步骤�����,是以造度性的形成定期发展的幼我数据��������;ず瞎嫔蠹频墓娣读鞒�����,从而更矫捷便捷的适应日常的合规治理�������。
此表�����,幼我信息��������;ず瞎嫔蠹圃诼闵蠹苹疃⒄沟亩懒⑿浴⒈C苄浴⒖凸坌院妥ㄒ敌缘韧ǔW荚蛐砸蟮耐�����,监管机构发起强造审计还需满足特定要求�����,即监管机构“发现幼我信息处置活动存在较大风险或者产生幼我信息安全事务”�������。若何认定风险和鉴别幼我信息安全事务是这一造度合用的关键�������。
首先�����,是明确认定风险和鉴别安全事务的信息起源:
▼ 汇报的违规行为��������;
▼ 幼我信息处置者受到投诉的数量和性质��������;
▼ 幼我信息处置者关于幼我信息处置的申明以及其他可公开获得的信息��������;
▼ 贸易谍报��������;
▼ 其他有关的信息�������。
其次�����,是明确认定风险和鉴别安全事务的有关成分:
▼ 对于投诉的回答与合规“汗青”��������;
▼ 自我汇报的违规行为以及确定的补救行动��������;
▼ 沟通过程中是否凸显了对于幼我信息��������;さ挠奈⒗斫��������;
▼ 关于幼我信息��������;さ哪诓拷谠焐昝骱/或其他信息以及内部或表部审计��������;
▼ 幼我信息��������;さ耐度牒秃骨��������;
▼ 在公家不安隐衷可能受到威胁的情况下是否执行新的系统或法式��������;
▼ 在处置的幼我信息的数量和性质��������;
▼ 受认可的有关表部认证的证据��������;
▼ 任何潜在的不合规行为对幼我信息��������;さ挠跋�������。
最后�����,凭据获得的信息结合有关成分的鉴别分析�����,监管机构将做出是否要求幼我信息处置者接受强造审计的决定�������。
幼我信息��������;ず瞎嫔蠹剖浅中U掀笠底袷厮痉ㄒ蟆⑿笠涤Χ约喙艿鞑�����,降低企业及员工因幼我信息处置不合规引发处罚的风险的沉要措施�������。由于目前我国立法对于幼我信息��������;ず瞎嫔蠹频纳蠹浦氐忝挥薪衔魅返幕�����,因而在会商企业若何进行合规审计时�����,参考域表的立法经验是不成或缺的�������。企业在参考域表的幼我信息��������;び泄厣蠹浦改匣蛑敢�����,也应凭据自身情况对其中的具体操作流程予以调整�������。
公安登记号:44030502000376