全国政协委员彭静：仍有数据处理主体合规能力欠缺 可发挥第三方专业机构作用

21世纪经济报道记者 王俊 实习生 温莹雪 北京报道

2021年《数据安全法》、《个人信息保护法》实施后，对数据处理者提出更高的合规要求，需建立并完善一整套数据处理机制。

不过不少数据处理主体数据合规意识淡薄、合规能力欠缺，需要依法委托第三方专业机构处理数据安全、个人信息保护合规工作。今年两会，全国政协委员、重庆静昇律师事务所主任彭静带来了关于“加强委托专业机构开展数据安全、个人信息保护合规工作的法治化、专业化水平”的提案。她建议，各地梳理数据保护重点行业、从事高风险数据处理活动的政府机关、国有企业，应当明确对外委托专业机构开展数据合规工作的类型，建立对外委托工作流程、考核机制，建立专业机构资质入库机制等。

第三方机构数据保护处理能力参差不齐

《数据安全法》、《个人信息保护法》生效后，要求数据处理者建立并完善一整套机制，如设置数据安全负责人、个人信息保护负责人和管理机构，重要数据处理者、个人信息处理者对其数据处理活动开展的风险评估或个人信息安全影响评估，个人信息处理者的定期合规审计等工作。

但彭静在提案中指出，除了一些大型互联网平台搭建了相对完整的内部合规管理体系，部分负责政务数据安全与开放的政府机关，涉及公共通信和信息服务、能源、交通、水利、公共服务等重要行业和重要领域的国有企业，大规模处理敏感个人信息的医疗机构、金融机构等处于数据保护风险“深水区”的数据处理主体，缺乏数据合规的能力和意识。

因此，有相当数量的机构需要委托第三方专业机构进行数据合规处理，协助履行相关数据保护义务。

不过，彭静注意到，由于规则缺位，各地区数据处理主体数据保护水平参差不齐。对外委托专业机构具有随意性，专业机构合规工作成果空泛，不能准确诊断数据合规风险。可能最终影响《数据安全法》、《个人信息保护法》的有效实施。

建立第三方专业机构准入标准

对于提供数据安全、个人信息保护合规的第三方专业机构，彭静认为必须严格把关，建立验证其技术水平和相关准入的制度。

她建议，对数据治理、保护能力梳理进行梳理，在各级党委、各地国有资产监督管理部门统一部署下，梳理数据保护重点行业、从事高风险数据处理活动的政府机关、国有企业，应当明确对外委托专业机构开展数据合规工作的类型。其次建立对外委托工作流程、考核机制，建立专业机构资质入库机制。

目前，法律法规尚未明确从事数据安全审计等业务专业机构及其从业人员的资质、范围。

彭静建议国家网信部门作为数据保护监管统筹部门，应针对《个人信息保护法》等法律法规出台细化规定，明确执业律师具备出具数据合规法律意见书的法定资格，明确从事数据安全审计等业务的专业机构应具有验证数据处理活动合规性的技术水平及相关准入制度，鼓励律师事务所与专业咨询机构、数据科技公司合作提供第三方数据合规工作，激励执业律师、信息安全技术人员等专业人士通过取得国家认证专业资质的方式提升数据合规工作能力。

设立不同行业数据合规标准

除此之外，彭静还建议制定个人信息保护合规标准，保障第三方合规工作质量。

21世纪经济报道记者注意到，国家标准化管理委员会于2020年发布过关于个人信息安全保护的两条标准，即《信息安全技术 个人信息安全规范》(GB/T 35273-2020)和《信息安全技术 个人信息安全影响评估指南》（GB/T 39335-2020）。目前已经对个人信息的收集、共享、转让、委托处理、公开披露、个人信息去标识化、个人信息安全影响评估等方面做出了规定。

彭静在提案中更进一步指出，银行保险、证券、市场、卫生健康等行业监管机关应鼓励、采纳本行业协会、企业编制符合本行业实际与发展的数据保护行业标准及第三方合规工作认证机制。

并且，她认为相关监管机关应与人民法院、人民检察院建立联席工作机制，实现相关行业第三方数据合规标准与《关于建立涉案企业合规第三方监督评估机制的指导意见》等司法合规制度无缝对接，确保第三方合规工作成果法律效力，整合企业事前、事后一体化数据合规能力。