“专题研讨”系列延伸阅读
研讨背景
以下观点仅代表专家个人观点。
本期研讨主题
企业如何有效履行个人信息保护合规审计义务?
研讨问题
研讨问题1:审计的目的:个人信息保护合规审计与风险评估(影响评估)、风险监测(检测评价)、安全认证等工作的目的和侧重点分别是什么?企业如何通过评估、监测、审计、认证等多道防线的配合和协调,从而有效控制风险,提升合规水平?精彩观点如下:
研讨问题2:审计的工作范围:审计作为符合性检查,其工作范围是针对企业还是具体业务,工作内容是否包含风险分析、整改通知等环节?精彩观点如下:
通常来说,审计的工作范围既可以针对企业整体范围,也可以是具体的业务,其由审计目的所决定。对于个人信息保护合规审计而言,从开展审计的效率和成本出发,审计可以抽样业务的形式开展,对审计发现的问题再举一反三,向所有业务提出自查自纠要求。
个人信息保护合规审计工作结论应为符合性评价,而不是风险分析结果。个人信息保护合规审计工作结论应从合规偏离的角度进行分析,而不应从风险的维度进行分析,按照审计的通行做法,审计结果可以分为严重不符合、一般不符合、符合。个人信息保护合规审计是一种体系性的审计,符合性的程度或水平,还可能取决于影响的范围、问题是否为全局或单点,因此其评判的过程可以适当借鉴风险分析方法。
研讨问题3:如何开展审计:个人信息保护审计活动能否总结和提炼出一套标准流程和举证要求?精彩观点如下:
从大型企业的实践过程中来看,个人信息保护审计难以短期内总结和提炼出一套通用标准流程和举证要求,但是针对有相同特性的主体、业务可以尝试规范化一些环节,以提高个人信息保护合规审计的效率和效果。
个人信息保护合规审计工作与个人信息处理活动密切相关,大型企业的处理活动、业务复杂,同时内部的组织管理架构也有一定的差异性,因此其审计流程可能需要根据企业实际情况制定,举证要求可以原则性要求为指导,具体业务系统在原则下完善细则,不过,为了提高审计效率,如果企业内的不同主体、业务线有一定的相似性,可以提炼总结出一套适用于自身的通用化模板、工具。
对于中小型企业,特别是使用第三方平台所提供的业务系统的企业,其业务流程相对单一、固定,其个人信息的处理活动也相对简单,要确保个人信息保护合规审计工作能够长期开展,需要在流程标准化和压缩成本上予以考虑。比如,尽可能使用一些由第三方平台直接提供的通用性的合规审计模板、工具(如SaaS工具),在此基础上由内部人员对未覆盖的内容加以补充完善。
研讨问题4:审计的实施方式:审计作为一项需要合规、法务、安全、业务等多部门参与的活动,企业应该如何组织协调?牵头方通常为哪个部门,需要哪些人员参与,各部门如何分工?如何使用《个人信息保护合规审计管理办法》附件的参考要点?哪些行政法规、政策文件、国家标准对理解具体审计项要求有帮助? 精彩观点如下:
审计的组织架构优先考虑的是如何保障其独立性,优先考虑组织内部成立独立的信息化审计部门牵头,如无法实现可以选定一个部门牵头,多部门配合,或者由多个部门联合组成审计工作组。由于内部审计人员独立性要求,企业内部有独立的合规审计部门最合适,大型互联网平台如有外部独立委员会可以考虑参与审计工作。
很多中小型企业因为规模原因,没有独立的审计机构,建议根据企业内部实际架构,选择法务部门、合规部门或安全部门牵头,业务部门、技术部门进行配合开展审计工作,如无合适的牵头部门,企业可以指定具备审计能力的人员为临时审计工作组。上述情形下的审计,审计牵头部门、审计工作组是否足够独立,是否具备相应的权限是审计有效开展的关键。如果企业内部缺少能承担审计任务的人员,在有预算支持下,也可考虑委托外部专业机构开展审计。
在实际审计过程中,如果选中信息化审计部门作为牵头,虽然其具有独立性和公正性,但如果缺乏对业务、专业技术的了解,则还需考虑如何协调业务部门、技术部门进行配合。
企业使用《个人信息保护合规审计管理办法》附件的参考要点(以下简称“参考要点”)时,可将其作为审计内容的最小集,但是,也有可能导致企业仅凭参考要点开展审计,而不能与时俱进,持续提升个人信息保护水平。
参考要点为审计的内容提供了一定的确定性,便于统一标准开展审计工作,避免了执行层面、多部门或不同人员产生的争议。针对参考要点,建议对相应条款进一步明确,做到精准、合理,增加执行层面的可操作性,进一步减少由于审计人员认识不同导致审计结论出现偏差的可能。
为了避免死板套用参考要点或仅针对参考要点开展审计导致个人信息保护工作固步自封,建议在审计时将审计要点分为法律法规的强制性要求和国家标准、行业实践、内部管理等提出的优化型、扩展型要求,两类要求的审计结果性质不同可予以区分。鼓励大型企业尽可能加入优化型、扩展型要求项进行审计,以增强企业自审计的适用性和审计效果。
研讨问题5:审计所需的准备工作:目前企业梳理和记录个人信息处理活动的现状如何?是否有电子化证据关联分析等实践?是否能够提升审计效率和审计质量?哪些具体合规工作适合提前开展?精彩观点如下:
企业的合规管理水平与审计工作的效率关联度高,当下,企业应重视个人信息保护合规留痕以及证据保存工作,提升后续审计工作效率。企业需要在开展业务的同时将个人信息合规工作与业务紧密绑定,尽可能把现有安全合规工作与涉及审计的要点(即法律法规的强制性义务)做好对应,重视留痕工作,建立证据链意识。具备条件的,还可通过业务改造等方式,增加前置留痕动作,通过工具进行证据链的管理,提高内审配合效率,甚至还可以支持向展示证据。
企业可考虑通过开展认证、评估以及梳理已开展的合规工作,以方便后续开展个人信息保护合规审计工作。第三方认证对合规审计有显著的帮助,其一是因为第三方认证时,可以帮助企业建立必要的合规管理流程以及合规要点,其二是因为认证时需采信证据,可以帮助企业在必要环节进行证据留痕,认证过程形成的证据可能会被审计直接采信。
评估与认证不同,认证为自愿行为,而是否开展评估工作本身就是被审计的要点,只有开展评估才能满足审计关注的合规要求。比如,参考要点中提出的个人信息保护影响评估(PIA)工作,是需要审计的要点之一,是否开展过PIA,是否形成了相应的评估报告就是审计所关注的,因此开展PIA工作成为了通过合规审计的前提之一。此外,PIA工作开展过程中,是一个促进业务合规的过程,其中也包括了对个人信息处理活动的梳理,合规要点的检查,个人权利保障机制的验证等等,所形成的过程文档、结论、证据等均可对后续的审计工作提供支撑。
CCIA数据安全工作委员会持续欢迎大家参与以上具体问题的研讨,通过观点交汇、碰撞,为推动深入研究难点问题、启发安全保护措施创新贡献一份微薄之力。
(记录整理:CCIA数据安全工作委员会)
“专题研讨”系列延伸阅读
原文始发于微信公众号(CCIA数据安全工作委员会):专题研讨 | 企业如何有效履行个人信息保护合规审计义务?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论