數據安全合規性評估包括哪些内容?9月8日，CCIA數據安全委員會組織委員單位公布《數據安全和個人信息保護社會責任指南》（征求意見稿）（以下簡稱“《指南》”），同時面向社會征求意見，截止時間為9月30日24時《指南》拟提出，組織宜指定具體的高管擔任數據安全和個人信息保護社會責任工作的牽頭人，為履行數據安全和個人信息保護社會責任提供專門、充足的财務預算等另外，組織還需為社會公衆提供參與預防、舉報、懲治數據安全和個人信息保護相關侵權行為的制度、渠道有專家表示，許多數據安全問題，從根源分析是企業缺乏社會責任擔當所産生的合規隻是底線、及格線，企業要在此基礎上追求更好的發展，需要承擔社會責任，而一些頭部企業、行業龍頭，自然要有更多的擔當，我來為大家講解一下關于數據安全合規性評估包括哪些内容?跟着小編一起來看一看吧!

數據安全合規性評估包括哪些内容

9月8日，CCIA數據安全委員會組織委員單位公布《數據安全和個人信息保護社會責任指南》（征求意見稿）（以下簡稱“《指南》”），同時面向社會征求意見，截止時間為9月30日24時。《指南》拟提出，組織宜指定具體的高管擔任數據安全和個人信息保護社會責任工作的牽頭人，為履行數據安全和個人信息保護社會責任提供專門、充足的财務預算等。另外，組織還需為社會公衆提供參與預防、舉報、懲治數據安全和個人信息保護相關侵權行為的制度、渠道。有專家表示，許多數據安全問題，從根源分析是企業缺乏社會責任擔當所産生的。合規隻是底線、及格線，企業要在此基礎上追求更好的發展，需要承擔社會責任，而一些頭部企業、行業龍頭，自然要有更多的擔當。

“合規是及格線”

據了解，為落實《數據安全法》《個人信息保護法》等法律法規中所提出關于數據安全和個人信息保護社會責任的要求，放大數據處理和個人信息使用的社會價值，由中國網絡安全産業聯盟歸口，CCIA數據安全委員會組織委員單位編制了聯盟技術文件《數據安全和個人信息保護社會責任指南》（征求意見稿）。《指南》為組織理解數據安全和個人信息保護社會責任和實施相關活動提供指南，幫助組織在遵守法律法規和基本道德規範的基礎上實現更高的組織社會價值 。起草單位有中國電子技術标準化研究院、中國科學院信息工程研究所、百度、快手、螞蟻集團等。《指南》将數據安全和個人信息保護社會責任劃分為五個主題和24個議題，分别從組織治理和内部管理、合規性、創新性和價值體現；公平運行、競争與合作、消費者權益保護、公益參與和社會發展等方面來提出數據安全和個人信息保護社會責任事項及優先事項。同時，《指南》強調，這些主題并不完全适用于所有組織，組織在滿足适用的法律法規要求的基礎上，可結合所在地區的經濟、社會和環境發展水平、自身特點和發展階段及利益相關方期望，識别确定每項社會責任主題中适用的具體内容。 數據安全法規定，開展數據處理活動，應當遵守法律、法規，尊重社會公德和倫理，遵守商業道德和職業道德。個人信息保護法規定，提供重要互聯網平台服務、用戶數量巨大、業務類型複雜的個人信息處理者，應當定期發布個人信息保護社會責任報告，接受社會監督。《指南》的主要起草人、CCIA數據工作委員會副主任何延哲表示，在數據安全和個人信息保護領域，大家更多關注技術類、管理類的法律條文，但從社會責任角度切入較為少見。許多數據安全問題，首先違反了法規的相關規定，但是從根源上分析，其實是因為沒有社會責任擔當而産生的。“我們經常打比方說合規是及格線，但是這就可以了嗎？我們要追求更好的發展。”何延哲認為，在個人信息保護和數據安全方面，法律要求的是合規，但合規隻是底線、及格線，企業要在此基礎上追求更好的發展，需要承擔社會責任。而一些頭部企業、行業龍頭，自然要有更多的擔當。

提供懲治個人信息侵權行為的制度

在組織治理和内部管理章節中，《指南》拟提出，組織宜指定具體的高管擔任數據安全和個人信息保護社會責任工作的牽頭人。擔任牽頭人的高管職務、姓名、聯系方式至少在組織層面予以公開。 同時，組織宜在相關部門或人員的工作職責中明确需定期向社會披露社會責任履行情況，包括發布包含數據安全和個人信息保護的社會責任報告等形式。另外，組織宜為履行數據安全和個人信息保護社會責任提供專門、充足的财務預算。 從《指南》可以了解到，企業的合規性主要表現形式為：組織開展制度、文檔、策略、流程的建設，完成内審、自評估、 第三方評估、第三方審計、權威機構認證等。 具體而言，組織宜采取的行動和達到的期望包括: 通過組織内自行發起或引入獨立第三方對産品或服務遵循法律法規、規章、強制性标準的情況進行評估或審計，并形成評估或審計記錄、結論或報告以指導産品或服務持續改進；評估或審計的依據還包括了推薦性的國家标準、行業标準、團體标準等，以及業界廣泛認可的技術規範等。在社會治理的價值體現方面，《指南》拟提出，為社會公衆提供參與預防、舉報、懲治數據安全和個人信息保護相關侵權行為的制度、渠道；對可能造成用戶數據安全和個人信息保護不利影響的行為、信息等能快速響應、及時處置等。另外，《指南》還強調了數字包容與特殊保護。組織應為保障多元人群的數據安全及個人信息保護所開展的技術活動，使得多元人群能公平、自由的獲取和享受技術變革和産業發展提供的便利，能無差别的體驗數字化生活。 其中提及，組織宜制定特殊人群(如青少年、殘障人士、老年人等)個人信息保護方面的處理規則，并為特殊人群提供專門的服務界面、服務渠道，以确保其能感知、獲取個人信息保護方面的信息。

社會責任評價等級分為三星級

個人信息保護法規定，基于個人同意處理個人信息的，該同意應當由個人在充分知情的前提下自願、明确作出。充分知情則離不開數據處理規則的透明性。《指南》拟提出，處理規則的透明性是指個人信息處理者應以适當方式公開其對個人信息處理的處理規則，明示處理的目的、方式和範圍，從而确保個人信息被處理的情況對于個人信息處理活動的相關方是清晰透明、容易獲知的。 “無論是我國的數據安全法、個人信息保護法，還是放眼整個世界範圍内關于數據保護的法律法規，都有一個共通的原則，即透明性原則。”北京市環球律師事務所合夥人孟潔作為《指南》的主要起草人說道。《指南》強調，數據處理規則影響範圍十分廣泛，或有關法律法規規定的，組織可通過公開征求意見等方式進一步确認具體條款内容的合理性。同時，組織向利益相關方提供數據處理規則問詢、答疑的渠道，針對複雜、難懂、關注度高的數據處理規則，可進一步解釋說明以增進理解。 孟潔解釋，當前有些企業的隐私政策可能非常冗長，同時使用了大量的專業術語，對用戶并不友好。對此，為用戶建立一個有效的答疑渠道或溝通路徑就成為了企業的社會責任。她認為，企業在與個人主體之間就數據處理訂立規則時，不應當首先站在企業是否獲利的角度考慮問題，而應當評估用戶和相關方的重大權益是否被這一規則納入考量。在構建有效平台規定方面，《指南》建議，組織宜形成适應于社會責任績效的計算框架用以衡量平台規則的執行效果，推動執行效果在計算框架内的執行規則、評估标準、評估規範落地；鼓勵将數據安全和個人信息保護相關平台規則執行效果面向社會公開，如定期發布相關的執行效果的報告等。孟潔表示，平台應當秉持誠信的态度，确保其推出的規則可以執行，并且能夠被納入合規審計流程當中。同時在規則實施之後，适時地評價其效果和社會影響。在此過程中，企業可以引入權威的第三方機構進行評估，并向社會公布評估報告。正向的案例可以為其他組織提供參考。同時，在指南的附錄中列出了數據安全和和個人信息保護社會責任評價方法。具體而言，評價等級分為一星級(基礎級) 、二星級(系統級) 以及三星級(成熟級) 。一星級的标準是遵守法律法規要求，滿足數據安全和個人信息保護社會責任的基本管理要求；二星級為在達到一星級指标要求的基礎上，建立良好的社會責任管理體系，并取得更高的社會責任績效；三星級為在達到了二星級指标要求的基礎上，持續改進社會責任管理績效，主動承擔更多社會責任，在五項核心主題的一項或多項指标上不斷實現更高的社會責任績效。 此外，若企業在重點關注項中出現可疑行為或不道德事件，受到相關平台或機關的曝光，則在原本所擁有評級的基礎上，降低一個等級，若原等級為一星級，則停止評價活動。若企業在重點關注項上出現嚴重違法事件，受到政府相應行政處罰或被媒體曝光，造成惡劣社會影響，應停止評價活動。 重點關注事件包括洩露消費者個人信息、侵犯知識産權行為、發生不正當競争行為、管理者存在違法行為、妨礙社區穩定(如公共安全等方面)。采寫：南都記者 孫朝 實習生梁丙鑒 索梓涵

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!