澎湃新聞記者 田忠方
1月20日,澎湃新聞(www.thepaper.cn)記者了解到,今年上海“兩會”,上海市政協委員、普華永道亞太及中國主席趙柏基,帶來了《關于建立資料安全審計、評估機制的建議》的提案。
“2021年不僅是大陸網際網路法治程序中具有裡程碑意義的一年,也是上海在城市數字化轉型程序中的關鍵年份。”趙柏基指出。
趙柏基說,一方面,2021年大陸在資料安全和個人資訊保護領域的立法取得重大進展。9月1日,《資料安全法》正式生效,形成了大陸在整體資料安全治理領域的頂層設計。11月1日,《個人資訊保護法》正式生效,開啟了大陸在個人資訊保護領域的法制元年。《網際網路平台分類分級指南(征求意見稿)》和《網際網路平台落實主體責任指南(征求意見稿)》則聚焦網際網路平台,對其應承擔的資料安全和個人資訊保護責任給予了明确界定。
另一方面,2021年上海資料交易所的揭牌成立。同時,《上海市資料條例》的釋出,為上海全面推進城市數字化轉型提供基礎性制度保障。
不過,趙柏基進一步指出,雖然目前《網絡安全法》、《資料安全法》和《個人資訊保護法》形成了大陸網絡空間治理的三駕馬車,共同建構起一個強大的法律體系。但是,相關安全審計和評估的行業準則和執行規範尚有待探讨和明确。
“例如,第三方安全審計、評估機構的資質和準入要求不明确;安全審計、評估的範圍與标準不明确;安全審計、評估報告的内容、使用方式和時效要求不明确。”趙柏基解釋說。
對此問題,趙柏基提出了三方面建議:
一是盡快明确第三方安全審計、評估機構的資質和準入要求。
二是制定安全審計、評估的範圍與标準。為滿足相關安全審計、評估的需求,可由審計準則制定機構牽頭,組織審計行業領域的專家,與上海網際網路資訊辦公室等權威機構共同合作,制定相關的工作指引,明确專業機構開展安全審計及評估的範圍、内容、重要控制點等,為專業機構開展審計工作提供規範和指導。
三是明确安全審計、評估報告的内容、使用方式和時效。一般而言,安全審計、評估報告依據預期使用者分為公開報告和非公開報告。與公開報告相比,非公開報告包含了具體安全控制相關的描述,以及審計師針對這些控制設計和運作有效性的審計、評估工作内容。基于此,建議有關部門在研究相關審計、評估标準的同時,明确出具報告的内容、使用方式及時效等要求,以滿足報告預期使用者的資訊需求,同時便于監管。
“資料雖然可以推動數字經濟的發展,但安全的缺失将反向制約數字經濟的發展,并導緻個人資訊濫用等社會問題。是以,上海作為數字化轉型的排頭兵以及首批落地資料交易所的城市之一,有必要在資料安全和資料流通之間率先建立信任機制,盡快制定并出台與安全審計、評估相關的配套措施。”趙柏基強調。
責任編輯:王傑 圖檔編輯:沈轲
校對:施鋆
![最新!笑果之後,單立人也取消了……[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)