数据资产,作为经济社会数字化转型进程中的新兴资产类型,正日益成为推动数字中国建设和加快数字经济发展的重要战略资源。近些年,我国先后出台了《中华人民共和国网络安全法》《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》,即“数据三法”,奠定了数据合规在法律层面的三大基石。其他中央层面的政策文件包括:2022年12月19日中共中央、国务院出台的《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”);2023年8月3日国家互联网信息办公室向社会公开征求意见的《个人信息保护合规审计管理办法(征求意见稿)》及配套的《个人信息保护合规审计参考要点》;2023年8月21日财政部对外发布的《企业数据资源相关会计处理暂行规定》,从推动规范企业执行会计准则、准确反映数据相关业务和经济实质方面做出了顶层设计;为规范和加强数据资产管理,更好推动数字经济发展,财政部近期还制定印发了《关于加强数据资产管理的指导意见》,要求企业应当按照企业会计准则相关规定,根据数据资源的持有目的、形成方式、业务模式,以及与数据资源有关的经济利益的预期消耗方式等,对数据资源相关交易和事项进行会计确认、计量和报告。 一系列数据相关法律法规和政策文件的出台,客观要求数据合规成为政府、企事业单位的法定义务和社会责任,而数据合规审计作为捍卫国家数据主权、保障发展数据生产力、保护个人信息的一道重要防线,成为监督履行这一责任与义务、规避法律风险的关键工具。 数据合规审计的现实价值 修订后的审计法在审计机关权限方面有了较大拓展。主要体现在审计机关有权要求被审计单位提供并检查被审计单位财政收支、财务收支电子数据及其管理系统,查询被审计单位在金融机构的账户、以个人名义在金融机构的存款,封存有关资料以及违反国家规定取得的资产。开展数据合规审计是审计机构依法维护国家利益、保护国家核心数据、捍卫国家数据主权的需要。 数据正成为国家之间竞争的战略工具,所谓数据主权是指网络空间中的国家主权,体现了国家控制数据权的主体地位。维护数据安全就是维护国家安全,捍卫数据主权就是捍卫国家主权。我国颁布实施的“数据三法”明确要求政府、企事业单位加强数据管理、数据治理、建立健全数据合规体系,对监管部门履行职责、开展数据监管,为政府、企事业单位合法处理数据,规范数据跨境传输和保障个人数据隐私等,提供了充分的法律依据。但目前“数据三法”落地施行面临诸多挑战,审计机关要在全新的数据要素领域持续推进国家治理体系和治理能力现代化,建议需要以数据合规为抓手,将“关系国家安全、国民经济命脉”的数据治理情况和算法责任纳入审计范围,通过数据合规审计检查国家相关政策落实执行的效果,评价重点领域和行业的数据安全管理制度是否健全和执行到位;依法履行监督职责实现审计监督全覆盖,对于审计发现的问题可以及时反馈相关决策部门,推动政策落实和改革创新。 数据合规作为数字治理生态的基础,是数字化发展的前提。以数据合规为主题开展“经济体检”工作,发挥审计监督作用是数字经济时代下维护国家经济秩序、保障经济社会健康发展、加快建设数字中国的重要手段。建设数字中国是推进中国式现代化的重要引擎,是构筑国家竞争新优势的有力支撑。中共中央、国务院发布的《数字中国建设整体布局规划》确定了到2025年“数字治理体系更加完善”的建设目标,并明确要求“建设公平规范的数字治理生态”。在建设网络强国和数字中国进程中,伴随大量关键数据的汇集、传输和存储,针对数据的合规风险控制融合了多主体多方面的需求,数据合规审计可以维护市场秩序、维护数据产品的流通交易,从而保障市场各主体的权益,推动构建新发展格局、服务数字经济的健康发展、加快建设数字中国。 个人信息直接关系到人民群众的隐私、财产和生命安全,个人信息保护对维护广大人民群众网络空间合法权益具有重要意义,因此数据合规审计变得尤为重要,是保护个人隐私安全、强化道德责任、推动法治中国建设的必要举措。数据合规审计确保组织在处理和存储个人数据时应遵循相关法律法规和标准,以防范数据泄露、滥用、盗窃等风险;数据合规审计强调组织特别是互联网企业、数据服务提供商,应当依法管理和运用数据,确保数据处理过程的合法、透明。通过合规审计,强化法治观念,促进政府、企事业单位更好地遵守法律,维护社会公平和正义,从而达到保护个人隐私信息的目的。此外,数据合规审计还有助于提高数据伦理意识、强化社会道德责任,“数据三法”鼓励政府、企事业单位审慎考虑数据的收集、使用和共享方式,确保数据用于公共利益和社会责任,而不是滥用或损害个人权益。鉴于道德与法治双重约束,数据合规审计不仅有助于保护个人隐私、避免数据泄露,增强公众对数字世界的信任感,还有助于强化法治观念、促进数据伦理、降低法律风险、提升组织声誉,从而推动数字时代的可持续发展。 数据合规审计的实施框架 (一)数据合规审计的特殊性 1.审计目标 个人信息保护法将合规审计分为自主审计和强制审计两种情形,前者主要是规定个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。后者则是指履行个人信息保护职责的监管部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。两者的合规审计目标存在较大差异。