企業(yè)如何履行個(gè)人信息保護(hù)義務(wù)？

來源：人民郵電報(bào) 時(shí)間：2023-09-26 10:09:25 作者：

　　互聯(lián)網(wǎng)時(shí)代，個(gè)人信息保護(hù)尤為重要，個(gè)人信息一旦泄露將會(huì)對(duì)個(gè)人及社會(huì)帶來極大不利。然而，更多時(shí)候，我們?cè)谑褂没ヂ?lián)網(wǎng)時(shí)不得不讓渡自己的信息，如電話號(hào)碼、姓名、出生日期等，還有一些平臺(tái)則要求人臉、指紋、身份證號(hào)碼甚至銀行賬號(hào)等。作為互聯(lián)網(wǎng)的使用者，用戶在與平臺(tái)博弈時(shí)處于非常弱勢的地位，必須由監(jiān)管者介入來保護(hù)弱勢一方。

　　8月3日，國家網(wǎng)信辦對(duì)《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法（征求意見稿）》公開征求意見。此前，我國已相繼出臺(tái)《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》等相關(guān)法律，其對(duì)于數(shù)據(jù)保護(hù)都作出了明確規(guī)定。如《個(gè)人信息保護(hù)法》第五十四條指出，個(gè)人信息處理者應(yīng)當(dāng)定期對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)。個(gè)人信息保護(hù)合規(guī)審計(jì)成為個(gè)人信息處理者需履行的法定義務(wù)。

　　作為個(gè)人信息處理者的企業(yè)，在嚴(yán)格的法律法規(guī)約束下，在開展業(yè)務(wù)的同時(shí)又履行個(gè)人信息保護(hù)的義務(wù)并不是一件容易的事情。近日，由中國電子技術(shù)標(biāo)準(zhǔn)化研究院發(fā)起成立的中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟數(shù)據(jù)安全工作委員會(huì)組織各方專家舉行了研討會(huì)，圍繞“個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法”，討論企業(yè)如何結(jié)合當(dāng)下監(jiān)管要求，落地個(gè)人信息保護(hù)合規(guī)審計(jì)工作。本報(bào)摘取研討會(huì)上部分專家的精彩觀點(diǎn)，以饗讀者。

　　問題1——審計(jì)的目的：個(gè)人信息保護(hù)合規(guī)審計(jì)與風(fēng)險(xiǎn)評(píng)估（影響評(píng)估）、風(fēng)險(xiǎn)監(jiān)測（檢測評(píng)價(jià)）、安全認(rèn)證等工作的目的和側(cè)重點(diǎn)分別是什么？企業(yè)如何通過評(píng)估、監(jiān)測、審計(jì)、認(rèn)證等多道防線的配合和協(xié)調(diào)，從而有效控制風(fēng)險(xiǎn)，提升合規(guī)水平？

　　個(gè)人信息保護(hù)合規(guī)評(píng)估、監(jiān)測、認(rèn)證和自我審計(jì)屬于運(yùn)營、安全、審計(jì)三道防線中的不同防線，由于其目的、內(nèi)容、評(píng)價(jià)方式有所不同，一般企業(yè)內(nèi)這三道防線應(yīng)相互獨(dú)立，即使從企業(yè)規(guī)模和成本考慮，審計(jì)這道防線至少應(yīng)當(dāng)獨(dú)立。

　　風(fēng)險(xiǎn)評(píng)估、監(jiān)測都是內(nèi)部管理的一種工作方法，主要目的是進(jìn)行風(fēng)險(xiǎn)控制；認(rèn)證則是第三方對(duì)企業(yè)內(nèi)部體系的完備性、合規(guī)性等方面的評(píng)價(jià)，通過認(rèn)證既可幫助企業(yè)提升合規(guī)水平，也可幫助企業(yè)展示合規(guī)能力。

　　評(píng)估工作是日常性工作，企業(yè)可以根據(jù)自身的風(fēng)險(xiǎn)情況開展，其重點(diǎn)在于分析風(fēng)險(xiǎn)發(fā)生的可能性以及可能造成的影響，對(duì)于法律法規(guī)規(guī)定事項(xiàng)以外的要求，可以通過評(píng)估得出高、中、低風(fēng)險(xiǎn)等結(jié)論以完善安全措施。審計(jì)的依據(jù)需非常明確，比如以法律、行政法規(guī)為依據(jù)的審計(jì)不能得出法律、行政法規(guī)以外的審計(jì)結(jié)論；除針對(duì)法律法規(guī)要求的審計(jì)以外，企業(yè)自我審計(jì)可以指定標(biāo)準(zhǔn)規(guī)范、內(nèi)部管理制度等為審計(jì)要點(diǎn)。

　　問題2——審計(jì)的工作范圍：審計(jì)作為符合性檢查，其工作范圍是針對(duì)企業(yè)還是具體業(yè)務(wù)，工作內(nèi)容是否包含風(fēng)險(xiǎn)分析、整改通知等環(huán)節(jié)？

　　通常來說，審計(jì)的工作范圍既可以針對(duì)企業(yè)整體范圍，也可以是具體的業(yè)務(wù)，其由審計(jì)目的所決定。對(duì)于個(gè)人信息保護(hù)合規(guī)審計(jì)而言，從開展審計(jì)的效率和成本出發(fā)，審計(jì)可以抽樣業(yè)務(wù)的形式開展，對(duì)審計(jì)發(fā)現(xiàn)的問題舉一反三，向所有業(yè)務(wù)提出自查自糾要求。

　　個(gè)人信息保護(hù)合規(guī)審計(jì)工作結(jié)論應(yīng)為符合性評(píng)價(jià)，而不是風(fēng)險(xiǎn)分析結(jié)果。審計(jì)結(jié)果可以分為嚴(yán)重不符合、一般不符合、符合。個(gè)人信息保護(hù)合規(guī)審計(jì)是一種體系性的審計(jì)，符合的程度或水平，還可能取決于影響的范圍、問題是否為全局或單點(diǎn)，因此評(píng)判的過程可以適當(dāng)借鑒風(fēng)險(xiǎn)分析方法。

　　從審計(jì)工作的跟蹤閉環(huán)角度來說，審計(jì)結(jié)論中明確指出的不符合項(xiàng)，審計(jì)方有義務(wù)告知具體的問題所在，以便被審計(jì)方進(jìn)行整改。為保證審計(jì)的獨(dú)立性，原則上審計(jì)過程不應(yīng)提出具體整改建議。

　　問題3——如何開展審計(jì)：個(gè)人信息保護(hù)審計(jì)活動(dòng)能否總結(jié)和提煉出一套標(biāo)準(zhǔn)流程和舉證要求？

　　從大型企業(yè)的實(shí)踐過程來看，個(gè)人信息保護(hù)審計(jì)難以短期內(nèi)總結(jié)和提煉出一套通用標(biāo)準(zhǔn)流程和舉證要求，但是針對(duì)有相同特性的主體、業(yè)務(wù)可以嘗試規(guī)范化一些環(huán)節(jié)，以提高個(gè)人信息保護(hù)合規(guī)審計(jì)的效率和效果。

　　個(gè)人信息保護(hù)合規(guī)審計(jì)工作與個(gè)人信息處理活動(dòng)密切相關(guān)，大型企業(yè)的處理活動(dòng)、業(yè)務(wù)復(fù)雜，同時(shí)內(nèi)部的組織管理架構(gòu)也有一定的差異性，因此其審計(jì)流程可能需要根據(jù)企業(yè)的實(shí)際情況制定，舉證要求可以原則性要求為指導(dǎo)，具體業(yè)務(wù)系統(tǒng)在原則下完善細(xì)則。不過，為了提高審計(jì)效率，如果企業(yè)內(nèi)的不同主體、業(yè)務(wù)線有一定的相似性，可以總結(jié)提煉出一套適用于自身的通用性模板、工具。

　　對(duì)于中小型企業(yè)，特別是使用第三方平臺(tái)提供的業(yè)務(wù)系統(tǒng)的企業(yè)，其業(yè)務(wù)流程相對(duì)單一、固定，其個(gè)人信息的處理活動(dòng)也相對(duì)簡單。要確保個(gè)人信息保護(hù)合規(guī)審計(jì)工作能夠長期開展，需要在流程標(biāo)準(zhǔn)化和壓縮成本上予以考慮。比如，盡可能使用一些由第三方平臺(tái)直接提供的通用性的合規(guī)審計(jì)模板、工具（如SaaS工具），在此基礎(chǔ)上由內(nèi)部人員對(duì)未覆蓋的內(nèi)容進(jìn)行補(bǔ)充完善。

　　問題4——審計(jì)的實(shí)施方式：審計(jì)作為一項(xiàng)需要合規(guī)、法務(wù)、安全、業(yè)務(wù)等多部門參與的活動(dòng)，企業(yè)應(yīng)該如何組織協(xié)調(diào)？牽頭方通常為哪個(gè)部門，需要哪些人員參與，各部門如何分工？如何使用《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法（征求意見稿）》附件的參考要點(diǎn)？哪些行政法規(guī)、政策文件、國家標(biāo)準(zhǔn)對(duì)理解具體審計(jì)要求有幫助？

　　審計(jì)的組織架構(gòu)優(yōu)先考慮的是如何保障其獨(dú)立性，優(yōu)先考慮由組織內(nèi)部成立獨(dú)立的信息化審計(jì)部門牽頭，如無法實(shí)現(xiàn)可以選定一個(gè)部門牽頭，多部門配合，或者由多個(gè)部門聯(lián)合組成審計(jì)工作組。由于內(nèi)部審計(jì)人員獨(dú)立性要求，企業(yè)內(nèi)部有獨(dú)立的合規(guī)審計(jì)部門最合適，大型互聯(lián)網(wǎng)平臺(tái)如有外部獨(dú)立委員會(huì)可以考慮參與審計(jì)工作。

　　很多中小型企業(yè)因?yàn)橐?guī)模原因，沒有獨(dú)立的審計(jì)機(jī)構(gòu)。建議根據(jù)企業(yè)內(nèi)部實(shí)際架構(gòu)，選擇法務(wù)部門、合規(guī)部門或安全部門牽頭，業(yè)務(wù)部門、技術(shù)部門配合開展審計(jì)工作。如無合適的牽頭部門，企業(yè)可以指定具備審計(jì)能力的人員組成臨時(shí)審計(jì)工作組。上述情形下的審計(jì)，審計(jì)牽頭部門、審計(jì)工作組是否足夠獨(dú)立，是否具備相應(yīng)的權(quán)限是審計(jì)能否有效開展的關(guān)鍵。

　　參考要點(diǎn)為審計(jì)的內(nèi)容提供了一定的確定性，便于統(tǒng)一標(biāo)準(zhǔn)開展審計(jì)工作，避免執(zhí)行層面、多部門或不同人員產(chǎn)生爭議。針對(duì)參考要點(diǎn)，建議對(duì)相應(yīng)條款進(jìn)一步明確，做到精準(zhǔn)、合理，增加執(zhí)行層面的可操作性，進(jìn)一步減少由于審計(jì)人員認(rèn)識(shí)不同導(dǎo)致審計(jì)結(jié)論出現(xiàn)偏差的可能。

　　問題5——審計(jì)所需的準(zhǔn)備工作：目前企業(yè)梳理和記錄個(gè)人信息處理活動(dòng)的現(xiàn)狀如何？是否有電子化證據(jù)關(guān)聯(lián)分析等實(shí)踐？是否能夠提升審計(jì)效率和審計(jì)質(zhì)量？哪些具體合規(guī)工作適合提前開展？

　　企業(yè)的合規(guī)管理水平與審計(jì)工作的效率關(guān)聯(lián)度高，當(dāng)下，企業(yè)應(yīng)重視個(gè)人信息保護(hù)合規(guī)留痕以及證據(jù)保存工作，提升后續(xù)審計(jì)的工作效率。企業(yè)可考慮通過開展認(rèn)證、評(píng)估以及梳理已開展的合規(guī)工作，方便后續(xù)開展個(gè)人信息保護(hù)合規(guī)審計(jì)工作。評(píng)估與認(rèn)證不同，認(rèn)證為自愿行為，而是否開展評(píng)估工作本身就是被審計(jì)的要點(diǎn)，只有開展評(píng)估才能滿足審計(jì)關(guān)注的合規(guī)要求。

責(zé)任編輯：張薇