2024年2月,中国电子信息行业联合会正式发布《数据合规审计 指南》(“《指南》”)团体标准及其编制说明。《指南》由中国电子信息行业联合会组织北京大成律师事务所等相关单位联合编制,《指南》的主要起草人包括大成北京总所高级合伙人邓志松律师、上海办公室合伙人戴健民律师。
数据合规审计源于《个人信息保护法》中设定的合规审计义务,包括该法第五十四条所规定的定期合规审计义务,以及第六十四条所规定的根据监管部门要求进行的强制合规审计义务。2023年8月,国家互联网信息办公室发布《个人信息保护合规审计管理办法》(“《办法草案》”)及配套的《个人信息保护合规审计参考要点》征求意见稿,拟细化前述合规审计义务的相关要求。《办法草案》第四条规定,处理超过100万人个人信息的个人信息处理者,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。数据合规审计能够避免一次性审查所导致的后续监督缺位的情况,是常态化监管与合规的重要组成部分。
《指南》以科学性、实用性、可操作性、简明性为编制原则,内容详实,对数据合规审计的基本原则、审计分类、审计要素、审计事项、审计流程等事项进行了全面梳理。《指南》提出,内容合规、行为合规、业务合规、管理合规、技术合规等可能构成数据合规审计的潜在重点方面。

《指南》编制说明指出,数据泄露、数据贩卖、个人隐私被侵犯等恶性事件频发,揭示了数据管理和数据合规的重要性与紧迫性,而数据合规审计是企业自我评价和改进合规管理的有力工具。《指南》旨在助力加快构建数据合规与治理生态,改进传统审计方法论应对数字经济和新兴技术的不足,为应用数据合规审计的各类组织提供通用的工作导则,以合规审计促进数据要素健康有序流通,提升组织数据合规管理成熟度和数据合规风险管控水平,进一步推动《数据管理能力成熟度评估模型》(DCMM)国家标准贯标,促进数字经济健康发展和引导合规审计业务创新。
邓志松律师与戴健民律师在网络安全与数据保护领域具有丰富的实务经验,多次参与《指南》相关起草研讨会并提供了专业的书面意见。邓志松律师和戴健民律师自2012年起即开始在中国从事网络安全与数据保护的法律实务,在越发重要的中国数据保护领域是为数不多的具有丰富经验的律师之一,曾为国内外诸多客户提供数据合规体系建设、数字化转型下的商业模式设计与评估、数据跨境传输安全评估与标准合同备案、企业出海所涉及的全球数据合规评估与落地,以及应对该领域的行政调查和民事诉讼等方面的法律服务并获得高度评价。
大成能为您做什么?
联系我们 +