| 
“个保合规审计”深解读正规配资炒股 《个人信息保护合规审计管理办法》于近日公布,将自2025年5月1日起施行。作为落实个人信息保护治理体系的重要抓手之一,个人信息保护合规审计应如何开展,将为相关行业和个人带来哪些影响?南都大数据研究院推出系列解读报道,从办法背景、特色亮点、审计实务、行业影响等方面进行详细解读。 第四篇聚焦新规给不同行业带来的影响,如何应对不同领域的个人信息保护挑战。 数字经济时代,个人信息价值日益凸显,成为社会经济运行活动必不可少的组成部分,个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。同时,数据跨境流动、AI大模型等新应用、新场景、新模式涌现,不断为个人信息保护治理带来新挑战。《个人信息保护合规审计管理办法》(以下简称《办法》)的出台能否应对这些挑战,可能为相关行业带来哪些影响? 个人信息处理:多部门协同监管,形成合力 在数据成为新生产要素的背景下,近年违规收集使用个人信息、个人信息泄露等安全事件在全球范围内时有发生。中国电子技术标准化研究院华南分院网络安全中心个人信息保护评估工程师谢蜜指出,在某些复杂场景下,个人信息处理活动可能涵盖了多种处理场景,或在不同场景中多次嵌套,个人信息处理者的责任界定往往难以明确。例如,在多个个人信息处理者共同处理个人信息时,理论上往往是“谁处理、谁担责”,但发生事件后可能是双方都有责任,难以确认主责、更难量化责任,个人权益主体难以去维权。 南都大数据研究院留意到,相较于征求意见稿,正式发布的《办法》明确由国家网信部门和其他履行个人信息保护职责的部门(以下简称“保护部门”)对个人信息处理者开展个人信息保护合规审计情况进行监督检查。金杜律师事务所宁宣凤团队撰文指出,这一转变适应了当前更加顺应了个人信息保护工作跨领域、多维度与监管部门多元化的特性。其认为,《办法》通过多部门协同监管的局面可以实现从数据源头收集、网络传输到最终使用环节的全链条覆盖的监管合力,一定程度上提升监管效能,为个人信息安全筑牢防线,亦为相关个人信息处理者的合规审计情况的评估工作提供更加专业的帮助。 AI应用:平衡个人信息安全保护与合理利用 多位专家接受南都大数据研究院采访时表示,个人信息的合理使用边界是个人信息保护工作的重点之一。上海交通大学数据法律研究中心执行主任何渊指出,当前,在数据最小化原则和商业创新需求之间,如何平衡合法使用与过度收集个人信息仍存在一定灰色地带,需要进一步得到关注与治理。 以近年火热的生成式AI大模型为例,2025年开年,DeepSeek掀起的大模型应用热潮席卷全球。南都大数据研究院梳理公开信息发现,在《办法》出台之前,已有法律界、科技界等不同领域专家提出,AI大模型训练数据来源广,可能包含大量个人信息。利用个人信息开展大模型训练的合法合规性引发广泛关注。诚然,AI大模型训练离不开高质量的、海量的数据集,针对大模型训练及应用等关键场景开展合规审计,或可探索保障个人信息权益的有效实践做法,促进个人信息在安全合规的基础上进行充分的开发利用,为大模型技术创新应用保驾护航。 数据跨境:增强业务合规性和竞争力 当前,数据跨境流动在跨境电商、数字贸易等场景日益普遍。如何在保障重要数据和个人信息安全的前提下,建立高效便利安全有序的数据跨境流动机制,同样受到关注。南都大数据研究院留意到,相较于征求意见稿,正式发布的《办法》在附件《个人信息保护合规审计指引》(以下简称《指引》)中更新了个人信息出境合规审计的重点审查事项,与《促进和规范数据跨境流动规定》等相关规定相互衔接。 何渊认为,《办法》的出台,在推动企业优化数据安全管理技术,提升企业国际竞争力,实现数据价值最大化等方面发挥了积极作用。通过个人信息保护合规审计对接国际标准,可以帮助企业更好地适应全球数据合规要求,增强跨境数据业务的合规性和竞争力。但他也指出,数据跨境流动合规在实际操作中仍缺乏细化标准,企业在合规评估、备案审批等方面面临不确定性。 谢蜜也表示,在进行跨境个人信息处理活动时,如何确保跨境个人信息处理的合规性,以及如何处理因跨境个人信息处理而产生的争议和纠纷,是一个需要解决的问题。 数据交易:审计报告将成数据产权登记审查重点之一 在数据交易领域,广州数据交易所法务合规部孙薇、邓洪亮撰文指出,在数据交易机构开展场内交易,应先完成相应的数据产权登记。个人信息保护合规审计与个人信息保护影响评估一样,都是个人信息保护合规体系的组成部分。《办法》出台后,需强制开展个人信息保护审计的个人信息处理者相应的审计报告乃至整改措施记录,将成为数据产权登记机构判断其是否满足个人信息保护合规要求的审查重点。其判断,此类个人信息处理者可能涉及的行业主要包括:教育业、金融业、移动通信行业、互联网行业及汽车行业。 孙薇、邓洪亮认为,《办法》是《个人信息保护法》的重要延伸和实施指引。此次《办法》的出台,意味着监管部门将对企业落实个保审计义务展开实际性监督(尤其在跨境传输、大体量处理、数据交易、敏感行业等高风险场景下)的监管倾向。 电信和互联网:促进个保水平全面提升 在中国信息通信研究院副院长魏亮看来,电信和互联网企业拥有海量的个人信息和复杂的业务处理场景,规范个人信息处理行为对保护用户合法权益来说具有重要意义。2023年,工业和信息化部已发布《关于进一步提升移动互联网应用服务能力的通知》,明确提出APP开发运营者应定期对个人信息保护措施及执行情况等进行合规审计。 魏亮撰文表示,《办法》的出台标志着合规审计工作迈入新阶段。面向未来,将加快合规审计关键细分场景的标准制定,开展审计工具评估评测,推广优秀实践案例,服务市场需求,持续纵深推进电信和互联网行业个人信息保护合规审计工作落实落细,促进电信和互联网行业企业的个人信息保护水平全面提升。 中国网络空间安全协会副秘书长杜阿宁提醒,个人信息处理者应充分认识到审计工作的重要性和必要性,理解把握《办法》相关要求,加快建立与个人信息保护合规审计相适应的技术和管理体系,避免高风险事件的发生。个人信息处理者应理顺自主开展审计的流程和方式,自觉定期开展合规审计,并为审计机构提供必要的支持和协助,确保审计工作的顺利进行。各相关机构应加强对个人信息保护合规审计工作的宣传和教育,提高全社会对审计工作的认知度和支持度。 出品:南都大数据研究院正规配资炒股
|
