1月20日，澎湃新聞記者瞭解到，今年上海“兩會”，上海市政協委員、普華永道亞太及中國主席趙柏基，帶來了《關於建立數據安全審計、評估機制的建議》的提案。

“2021年不僅是我國互聯網法治進程中具有里程碑意義的一年，也是上海在城市數字化轉型進程中的關鍵年份。”趙柏基指出。

趙柏基說，一方面，2021年我國在數據安全和個人信息保護領域的立法取得重大進展。9月1日，《數據安全法》正式生效，形成了我國在整體數據安全治理領域的頂層設計。11月1日，《個人信息保護法》正式生效，開啓了我國在個人信息保護領域的法制元年。《互聯網平臺分類分級指南（徵求意見稿）》和《互聯網平臺落實主體責任指南（徵求意見稿）》則聚焦互聯網平臺，對其應承擔的數據安全和個人信息保護責任給予了明確界定。

另一方面，2021年上海數據交易所的揭牌成立。同時，《上海市數據條例》的發佈，爲上海全面推進城市數字化轉型提供基礎性制度保障。

不過，趙柏基進一步指出，雖然目前《網絡安全法》、《數據安全法》和《個人信息保護法》形成了我國網絡空間治理的三駕馬車，共同構建起一個強大的法律體系。但是，相關安全審計和評估的行業準則和執行規範尚有待探討和明確。

“例如，第三方安全審計、評估機構的資質和准入要求不明確；安全審計、評估的範圍與標準不明確；安全審計、評估報告的內容、使用方式和時效要求不明確。”趙柏基解釋說。

對此問題，趙柏基提出了三方面建議：

一是儘快明確第三方安全審計、評估機構的資質和准入要求。

二是制定安全審計、評估的範圍與標準。爲滿足相關安全審計、評估的需求，可由審計準則制定機構牽頭，組織審計行業領域的專家，與上海互聯網信息辦公室等權威機構共同合作，制定相關的工作指引，明確專業機構開展安全審計及評估的範圍、內容、重要控制點等，爲專業機構開展審計工作提供規範和指導。

三是明確安全審計、評估報告的內容、使用方式和時效。一般而言，安全審計、評估報告依據預期使用者分爲公開報告和非公開報告。與公開報告相比，非公開報告包含了具體安全控制相關的描述，以及審計師針對這些控制設計和運行有效性的審計、評估工作內容。基於此，建議有關部門在研究相關審計、評估標準的同時，明確出具報告的內容、使用方式及時效等要求，以滿足報告預期使用者的信息需求，同時便於監管。

“數據雖然可以推動數字經濟的發展，但安全的缺失將反向制約數字經濟的發展，並導致個人信息濫用等社會問題。因此，上海作爲數字化轉型的排頭兵以及首批落地數據交易所的城市之一，有必要在數據安全和數據流通之間率先建立信任機制，儘快制定並出臺與安全審計、評估相關的配套措施。”趙柏基強調。