精华观点 | DSG数安先锋行第六期：数据安全与个人信息保护合规实践主题沙龙 - 新鲜讯息

11月16日，由中国信息产业商会信息安全产业分会、中关村网络安全与信息化产业联盟指导，中关村网络安全与信息化产业联盟数据安全治理专业委员会主办，北京安华金和科技有限公司承办的“数安先锋行”系列沙龙活动——第六期“数据安全与个人信息保护合规实践”主题沙龙成功举办。

本期沙龙活动特邀中国信息安全测评中心高级工程师桂畅旎、国家计算机网络应急技术处理协调中心高级工程师林星辰、中国软件评测中心政务数据安全合规联合实验室副主任白惠文、北京安华金和科技有限公司研发中心产品总监孙铮围绕国际数据安全态势、数据安全风险评估实践、个人信息保护合规审计政策解读及工具应用等方向分享最新研究实践成果，为各行业落实数据安全与个人信息保护要求、强化安全防护能力提供参考。

中国信息安全测评中心高级工程师桂畅旎

2023年度国际数据安全风险形势

进入数字时代以来，数据安全风险的危害性和外溢性已对政治、科技、经济和社会等多个领域产生了负面影响，全球数据安全议题的重要性和紧迫性不断上升。当前，全球网络攻击频发、大规模数据泄露风险突出；各国数据治理规则体系进入深化调整期；大型科技公司与平台利用海量数据资源，谋求新型政治权力；新技术新应用组合叠加，在数据收集、存储和利用上催生新型数据安全风险，多重数据安全威胁接踵而来。

放眼我国，存在关键基础设施部门数据防护措施不到位，云平台、托管服务中心数据泄露风险高；国际数据规则中的“小圈子”使得对手国家打压设障；境外情报机构、网络组织多渠道多方式窃取、刺探、收购我国内重要数据；大型科技公司和数字平台违规数据收集和利用，影响个人隐私、危害国家安全等问题，亟须对此加以深入研究和科学应对。

处理好发展与安全的关系

统筹数据资源开发利用和安全；依法出台数据安全地方性法规和地方政府规章；鼓励有条件的行业先行先试，在能源、交通、金融、电信等重要行业出台行业性数据安全自律规范，推动制度细化完善。

提高数据安全技术水平

加快构建自主可控的数据安全防护技术体系；进一步促进数据安全产业系统化、集约化发展，为筑牢数据安全技术屏障提供产业依托；引导企业协同创新，扶持培育具有数据安全技术储备、能够提供高层次数据安全综合解决方案的典型企业。

培养数据安全治理人才

加快数据安全治理相关学科建设；推动产学研紧密结合，搭建好人才培养实践平台，实现政府、高校、企业协同育人，涵养培育实用型人才的教育生态。

国家计算机网络应急技术处理协调中心高级工程师林星辰

数据安全风险评估实践和思考

数据安全风险评估是促进数据要素流通的重要内容和技术支撑，是做到“数据安全心中有数”的关键。开展风险评估的前提是要正确认识数据安全风险，数据处理的基础计算环境、数据开发过程、数据要素流通、数据使用过程中均伴生安全风险，需要有针对性地开展评估工作。

评估流程包含评估准备（确定评估范围）、信息调研、风险识别、评估总结四部分。信息调研涵盖数据处理者调研、业务和信息系统调研、数据资产和数据处理活动调研，其中，识别数据资产要关注数据的存储位置、载体形态以及分类分级开展情况；针对数据存储要评估是否根据数据类别和级别采取相应的存储方式和安全措施，是否明确数据备份与恢复的策略和操作规程；数据使用要评估是否用于人工智能、自动化决策，是否使用生物识别特征作为身份认证的方式，数据使用方式是否不可控，使用数据的人员是否有越权获取控制数据的风险；数据加工要评估是否委托加工，加工之后是否形成新的级别的数据形态；数据出境则要依据《数据出境安全评估办法》《个人信息保护法》《数据安全法》，重点检查涉及数据的外包服务。

风险评估方法包含传统的网络安全评估检测方法、APP技术检测、探测信息系统对外开放的数据接口、互联网暴露数据检测、密码技术应用有效性检测等。

中国软件评测中心政务数据安全合规联合实验室副主任白惠文

个人信息保护合规审计政策解读及实施指南分享

随着《个人信息保护法》的出台，其首次明确了个保合规审计制度，但缺乏对合规审计制度的详细规定，个人信息处理者对合规审计义务仍存在疑虑，导致该项制度难以有效落实，因此中央网信办网络数据管理局组织开展个人信息保护合规审计制度研究，参考国内经济审计、科技风险审计等，研究起草了《个人信息保护合规审计管理办法》（征求意见稿）。

合规审计的目的是审查和评价个人信息处理者的个人信息处理活动是否遵守我国相关的法律法规。通过审查和评价，发现个人信息处理活动的安全问题和合规风险，提升个人信息处理活动合法合规水平和个人信息保护能力。自行开展的合规审计以及依监管部门要求开展的合规审计均可参照征求意见稿中的“个人信息保护合规审计参考要点”。个人信息处理者按照履行个人信息保护职责的部门要求委托专业机构开展个人信息保护合规审计的，应当保证专业机构能够正常行使“进入个人信息处理活动相关场所，调查相关业务活动及所依赖的信息系统调取，查阅个人信息处理活动相关数据或信息，访谈与个人信息处理活动有关的人员”等权限。

《个人信息保护合规审计管理办法》以《个人信息保护法》为上位法依据，进一步细化《个人信息保护法》第五十四条和第六十四条的规定，明确审计频率、审计时限、审计流程和形式要求等，还以附件《个人信息保护合规审计参考要点》的形式提供个人信息保护合规审计事项和要点的具体参考。但合规审计制度落地实施，还需对第三方专业机构及其人员管理、行为规范、审计流程等进一步明确。

北京安华金和科技有限公司研发中心产品总监孙铮

个人信息保护合规审计工具应用

2023年8月，国家网信办发布《个人信息保护合规审计管理办法（征求意见稿）》，支撑个人信息保护合规审计制度的落实。“个保审计”的核心审计内容包括个人信息权益保障以及个人信息处理者基本义务；审计人员需要具备掌握法律和规范、广谱的技术背景、对个人信息能够进行识别和级别判断、判定个人信息处理风险和合规敏感度等能力；被审计单位要从“人员与制度、系统与信息”两方面入手做好准备工作；审计实施的过程除审计计划和准备外，还包含信息调研、风险识别、综合分析、报告并存档等步骤。

“个保审计”的工具设计可以围绕“系统管理员制定审计方案、条款、细则与标准报告样式，审计总监进行多项目检查和审核、多审计员情况检查和审核、各项目进度管理和汇总分析，多审计员进行审计项目基本情况记录、审计过程及佐证材料记录，最后依据审计结果自动生成报告”的思路开展。审计管理工具内置审计细则，可以辅助检查审计过程，实现个人信息安全合规审计的“标准化”服务，将复杂的审计过程“条理化”、报告“自动化”。

个人信息安全合规审计工具可以协助评估单位或组织梳理个人信息安全合规建设现状，量化个人信息处理风险，辅助个人信息合规审计服务过程管理，最终实现易管控、更快捷的标准化审计服务。

“DSG数安先锋行”系列技术沙龙自2022年7月推出，寓意数据安全产业界的先锋引领者们一同行动，共探数据安全治理之路。迄今已成功举办六期，分别围绕数据分类分级、数据跨境流动治理、数据安全管理及个人信息保护认证、数据安全风险评估、个人信息保护合规审计等话题，邀请相关领域专家解读最新政策标准，展示技术方案、分享实践案例，获得了业界的广泛关注与积极参与。“数安先锋行”系列沙龙将为产业界持续提供开放交流的平台，不断推动数据安全治理实践落地，技术赋能，数智未来。