7月12日，全国网络安全标准化技术委员会就国家标准《数据安全技术 个人信息保护合规审计要求（征求意见稿）》（以下简称“《合规审计要求》”）公开征求意见，意见征求截至2024年9月11日。

根据《合规审计要求》，个人信息保护合规审计通常包括审计准备、审计实施、审计报告、问题整改、归档管理5个阶段。其中，《合规审计要求》附录C（资料性）“个人信息保护合规审计内容和审计方法”的审计内容延续了2023年发布的《个人信息保护合规审计管理办法（征求意见稿）》（以下简称“《办法》”）附件“个人信息保护合规审计参考要点”中的绝大多数内容，并对《办法》附件进行了增

• 增加独立的“个人信息处理必要性”要求模块，涵盖目的明确及最小必要原则内容；
  

• “处理敏感个人信息”模块下，增加敏感个人信息处理取得相关行政许可或者遵守其限制性规定相关审计内容；

• 结合出境新规要求，修改“向境外提供个人信息”模块审查点；

• 未成年人个人信息处理部分，增加“未成年人真实身份审核”“未成年人个人信息主体权利”“未成年人个人信息安全事件应急响应处置”“未成年人个人信息访问的最小必要”“未成年人私密信息保护”等审核模块。

从审计内容来看，审计覆盖了个保法下对于个人信息处理者提出的各类合规要求。对于企业而言，应根据不同主体定位与处理活动，确定自身的合规义务，积极履行，为审计打好基础。

此外，值得关注的是，在<内部管理制度和操作规程>部分，第C.27.3提到了数据分类分级管理，并对个人信息审计做了具体介绍，其中审计证据包含：数据分类分级、数据资产制度文件、数据分级分类目录、数据资产清单、数据防护策略等文件，数据库、数据资产管理系统等记录，而且审计方法明确给出了标准。

在数据安全领域，数据分类分级是重要的研究版块，只有把杂乱的数据梳理清楚后才能让数据产生价值，数据分类分级既是数据安全分级保护的基础，也是数据治理和资产入表的基础。面对与日俱增的海量数据，分类分级工作势在必行，在这个过程中，企业会面临诸多困难和阻碍，需要有专业先进的技术和工具帮助提升效率和质量。

「太极·简」S3 Backup数据资产安全管理平台，可以帮助企业实现数据资产标准化统一管理，并通过定时备份、双重保障、三重加密等方式保障数据资产安全，通过数据分类分级功能，把数据划分为核心数据、重要数据、一般数据，帮助企业快速构建数据分类分级保护制度，保障数据在各个业务场景流转过程中的安全性。

随着数字化信息的深入发展，数据共享与交互日益频繁，企业在个人信息安全方面存在诸多挑战，如个人隐私信息、家庭情况、财务状况、婚姻状况等，因这些信息在日常有高度的流通性和敏感性，成为不法分子觊觎的目标。

基于网络安全责任制、等级保护、密码应用、数据安全、个人信息保护等监管要求，企业必须要有一套全面的数据资产管理体系，建立覆盖数据全生命周期的数据管理平台。

「太极·简」S3 Backup数据资产安全管理平台，符合各项法律、法规要求，满足企业运营、合规测评要求，加大了对企业内外偶联性与复杂性数据安全风险环境抵御能力，保障数据安全和业务连续性。

个人信息保护合规审计不仅仅是一项法律义务，更是个人信息处理者自我检查、自我纠正的有力工具，同时也是监管部门履行监督职责，以及专业机构开展合规审计工作的重要指引。《数据安全技术 个人信息保护合规审计要求》（征求意见稿）的发布，无疑给企业做个人信息保护合规审计提供了更为细致和深入的标准要求。

关注公众号，了解更多企业动态