2024年10月7日,英国信息专员办公室 (ICO) 推出了一个数据保护审计框架,旨在帮助包括公共机构在内的组织评估其自身是否遵守数据保护法规的关键要求。
该框架是ICO现有问责框架的延伸,旨在为公共、私营和第三部门的大型企业和组织提供一个起点,以评估它们如何处理和保护个人信息。
根据英国政府的报告,公众越来越关心个人数据的使用情况,并希望企业展示其数据保护能力。ICO监管事务总监Ian Hulme指出:“数据保护的透明度和问责制不仅是合规的关键,也是赢得公众信任的重要途径。我们希望通过这一框架,企业能够将数据保护视为资产,而不仅仅是法律义务。”
根据英国的数据保护法规,组织在处理个人数据时必须采取的安全、透明、可追溯的措施。ICO通过该框架为组织提供了合规审计的指导方案,组织可以借此工具验证其隐私保护措施是否符合法律要求,并识别潜在风险。
该框架是ICO现有问责框架的延伸,旨在为公共、私营和第三部门的大型企业和组织提供一个起点,以评估它们如何处理和保护个人信息。
“我们的新审计框架将有助于建立信任并鼓励积极的数据保护文化,同时灵活地针对最紧迫的合规领域。我们希望让组织能够将数据保护视为一项资产,而不仅仅是一项法律要求。”
该框架由负责其组织数据和具有数据合规工作知识的专业人员使用,其中可能包括高级管理人员、数据保护官员、合规审计员或负责记录管理或网络安全的人员。
-
问责制:该工具包将帮助企业了解需要采取哪些措施实现良好的公司治理以及如何在企业中实现问责制;
-
记录管理:该工具包将帮助企业评估其是否满足创建记录的最低标准,并拥有有效的机制来进行查找和检索,确保数据的保密性和完整性;
-
信息和网络安全:该工具包为企业提供信息安全措施评估标准,评估信息的完整性、可用性和安全性;
-
培训和意识:该工具包为企业列出了需要考虑的一些问题,以确保其在企业内提供适当的员工培训,提升员工的隐私保护意识;
-
数据共享:该工具包为企业提供了如何共享个人信息的实用指导,指导企业如何在合法的前提下共享个人数据,并保障数据共享的合规性和安全性;
-
数据请求:该工具包将帮助企业优化处理个人数据访问请求的流程,以符合数据保护法规的要求;
-
个人数据泄露管理:该工具包将帮助企业采取有效措施检测并防止个人数据泄露;
-
人工智能:该工具包将为企业在开发和部署AI技术时,提供遵守数据保护原则的操作指南,确保AI应用中的数据处理合规;
-
适合年龄的设计:特别为面向儿童的数字服务提供合规指导,确保企业设计符合儿童隐私保护的要求。
每个工具包都有一个可下载的数据保护审计跟踪器,组织可以使用它来评估自己的合规性并跟踪在需要改进的领域必须采取的行动。
据ICO称,该框架可作为创建隐私管理计划的基础,根据ICO的期望审核现有实践,改进现有实践,并记录和报告进展情况。ICO表示,它还可用于提高整个组织的高级管理层参与度和隐私意识。
该框架针对的是公共、私营和第三部门的大型企业和组织。它并不直接适用于小型企业和组织。它旨在供熟悉法律框架并负责确保其组织遵守数据保护法规的个人使用,其中包括高级管理人员、数据保护官员、内部合规审计员和负责记录管理和信息安全的人员。
该框架为组织提供了一个可以评估和审核其隐私管理的工具。但需要注意的是,它并不详尽,组织需要遵守其应当适用的数据保护法规的所有方面。并且需要自行判断是否使用其他相关指南和材料。
该框架重点关注审计期间可能审查的九种不同的工具包,每个工具包包括:
-
一些“控制措施”。组织应当采取一定的措施以管理已识别的风险并确保组织有效遵守数据保护法。但没有规定“一刀切”的方法。
-
提供一份对每项“控制措施”的期望的方法列表。列出了最有可能满足ICO期望的方法。但这些方法并不详尽,企业可能会以略有不同或独特的方式满足ICO的期望。
-
根据良好实践示例,可以考虑其他选项。ICO建议企业从问责制工具包(之前的问责制框架)开始评估其问责制措施。该工具包是支持有效隐私管理计划的基础。其他八个工具包则更深入地研究了数据保护法规的特定领域,并允许组织更详细地审核其合规性。
该在线工具的访问渠道:https://ico.org.uk/for-organisations/advice-and-services/audits/data-protection-audit-framework/toolkits/。
数据合规与治理技术:合规审计夯实个人信息保护制度框架
从全球视角来看,国外多个数据保护监管机构已经开始利用合规审计的手段来督促和协助企业切实履行个人信息保护的义务。如GDPR第28条、第39条、第47条及第58条分别提到数据保护审计活动。2021年6月至2022 年6月英国ICO多次开展合规审计活动,涵盖医疗健康、司法、政府、金融、互联网等10多个领域,公开发布审计报告60余份,以及近日推出的数据保护审计框架。2020-2022年法国国家信息自由委员会 (CNIL) 连续制定年度优先审计调查主题,并在其发布的《2022-2024年战略计划》提出将优先针对高风险个人隐私问题采取定向监管行动。
我国法律规定了个人信息保护审计制度,对企业的个人信息处理活动进行规制和监督。《个人信息保护法》规定了“自愿审计+强制审计”双层审计模式,《个人信息保护合规审计管理办法(征求意见稿)》(下称“《审计办法》”)初步细化了个人信息保护合规审计的触发情形、参考要点等事项,为合规审计的落地提供了重要依据。《数据安全技术 个人信息保护合规审计要求(征求意见稿)》(下称“《审计要求)》”)在上述立法基础上从国家标准层面提出开展个人信息保护合规审计的审计过程规范、审计开展的具体步骤等要求,为企业开展个人信息保护合规审计提供了更为详细的指引。
个人信息保护合规审计重点审查个人信息处理者个人信息保护合规义务的履行及相应技术保护、安全措施的落实情况。我国《个人信息保护法》第54条首次明确个人信息处理者应当具有法定合规审计义务,但是并未给个人信息保护合规审计下一个明确的定义。
《审计办法》和《审计要求》则对个人信息保护合规审计义务的外涵和内延进行详细说明,即个人信息保护合规审计(personal information protection compliance audit)指针对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。该规定突出了个人信息保护合规审计的“监督”性质。
这一“监督”性质意味着合规审计并不等同于一般意义的风险评估、风险监测,具有预测性质的判断企业潜在的个人信息保护合规风险。而是监督企业开展的个人信息保护工作是否符合法律法规要求。是对企业以往的个人信息处理行为与合规体系建设的相关“作业”进行批改。
个人信息保护合规审计是一个正式的、系统的、独立的、有文件记录的过程,为被审计的个人信息处理者的管理层和治理层提供实用价值,增强个人信息处理者与外部利益相关方的信任度。个人信息保护合规审计是个人信息处理者的法定强制义务,同时是推动企业建立健全合规治理体系不可或缺的重要举措。
《个人信息保护法》第五十四条、第六十四条要求个人信息处理者自行开展合规审计以及个人信息处理活动存在较大风险或发生安全事件时,按照履行个人信息保护职责部门要求,委托专业机构开展个人信息保护合规审计。这是首次以法律的形式明确个人信息处理者具有法定合规审计义务。但是由于缺少具体审计过程规范要求、审计开展方式步骤要求等,导致个人信息保护合规审计不易开展。
2022年7月,由中国信息通信研究院云计算与大数据研究所牵头发布了《个人信息保护合规 审计实务报告》,旨在为企业开展合规审计提供实务上的借鉴与帮助。
2023年8月3日,国家互联网信息办公室发布《审计办法》,对《个保法》个人信息合规审计的原则性要求进行了细化与补充,如处理超过100万人个人信息的个人信息处理者每年应至少开展一次个人信息保护个人信息合规审计;其他个人信息处理者应当每两年至少开展一次,并详细列举了审计点。
2024年7月12日,全国信息安全标准化技术委员会发布国家标准《审计要求》,进一步提供了个人信息合规审计的实操指引说明。
相关行政法规及部门规章也重申个人信息合规审计要求。如《未成年人网络保护条例》第三十七条规定,个人信息处理者应当自行或者委托专业机构每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计,并将审计情况及时报告网信等部门。《工业和信息化部关于进一步提升移动互联网应用服务能力的通知》规定,要求落实APP开发运营者主体责任,定期对个人信息保护措施及执行情况等进行合规审计。
个人信息处理规则:对个人信息处理的合法性基础、必要性、处理规则、告知、共同处理、委托处理、合并/分立/重组/破产、提供、自动化决策、公开、公共场所采集、已公开信息、敏感个人信息等要求提出了审计要点。
个人信息跨境处理规则:对个人信息出境活动所选择的合规路径(是否按照国家相关规定申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证)、对境外接收方采取监督措施的有效性等要求提出了审计要点。
未成年人信息保护:对未成年人真实身份审核、收集未成年人个人信息的最小必要、未成年人个人信息主体权利、未成年人个人信息安全事件应急响应处置、未成年人私密信息保护等提出了审计要点。
个人信息主体权利保障:对个人信息删除权保障情况、个人行使个人信息权益的权利保障、响应个人对个人信息处理规则解释说明的申请等提出了审计要点。
个人信息处理者的义务:对个人信息处理者保护责任、内部管理制度和操作规程、安全技术措施、个人信息保护影响评估、个人信息安全应急等要求提出了审计要点。
外部独立监督机构和大型互联网平台的义务:对个人信息保护独立监督机构、互联网平台规则、平台内的产品或者服务提供者的活动监督、个人信息保护社会责任报告等方面提出了审计要点。
企业应当明确个人信息处理者董事会(审计委员会)、个人信息保护负责人或者主要负责人承担审计实施管理的最终责任。在具体的审计组建立上,需要综合考虑组织规模,业务种类,个人信息数量、种类、敏感程度,涉及系统的复杂程度等因素。
如果组织内部有专职个人信息保护合规审计团队的,应从审计团队中选派相关审计人员;未设置专职个人信息保护合规审计团队的,分别从内审团队、安全团队、法务团队等具有审计或个人信息保护相关专业能力的团队中选派人员;也可以委托第三方专业机构组建审计组。《审计要求》还对审计人员的专业能力、独立性、客观性、公正性、保密性、实施要求进行了专条规定。
需要特别注意的是,提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,还应当成立主要由外部成员组成的独立机构对个人信息合规审计情况进行监督。
《审计要求》规范了个人信息保护合规审计的流程。个人信息处理者应定期开展个人信息保护合规审计,列明五个阶段:审计准备、审计实施、审计报告、问题整改、归档管理。
审计准备阶段:包括成立审计组、开展审前调查、明确审计对象和范围、编制审计方案、选择审计方式方法;
审计实施阶段:包括下发审计通知、收集审计证据、采信审计证据、撰写审计底稿、确认审计发现等;
审计报告阶段:包括异议解决、撰写审计报告、交付审计报告;
问题整改阶段:问题整改及跟踪审计。审计人员应对审计中发现的不合规项进行跟踪,督促被审计方在规定期限内整改。必要时,对整改措施的完成情况及有效性进行跟踪审计;
归档管理阶段:个人信息处理者和第三方专业机构应妥善保管个人信息保护合规审计底稿、报告等档案资料。
![英国信息专员办公室推出数据保护审计框架]( "英国信息专员办公室推出数据保护审计框架")
图:个人信息保护合规审计流程图
确保审计证据有效性
个人信息保护合规审计所收集的审计证据应对于个人信息合规判断具有相关性,其取得的方式应具有合法性,其记录的内容应具有真实性。
![英国信息专员办公室推出数据保护审计框架]( "英国信息专员办公室推出数据保护审计框架")
图:个人信息保护合规审计证据的有效性要求
采用自动化手段可以让个人信息保护合规审计的效能提升。个人信息保护合规审计过程的自动化包括数据资产梳理、敏感个人信息识别以及风险管理等,需要有自动化手段和工具梳理数据资产,从应用系统、数据库中识别出个人信息,并判断数据特征。
如工作流程自动化和数据自动化的个人信息权利请求响应,能够自动完成请求响应、数据查找,结果汇总、反馈报告生成等环节,在提高处理效率和准确度的同时,也能够为审计员提供不同行业个人信息保护政策和审计要点。
使用自动化工具进行个人信息保护审计能够帮助优化个人信息处理操作实践并提高审计效率,完善内部数据合规治理体系,做好合规留痕,确保企业在面对审计时能够从容应对。引导企业数据合规体系建设,全方位提升企业数据治理水平与合规能力。
1、世辉观点|《个人信息保护合规审计要求(征求意见稿)》亮点解析
2、解析新国标——《数据安全技术 个人信息保护合规审计要求(征求意见稿)》
3、《个人信息保护合规审计要求(征求意见稿)》:实务解读与趋势观察
4、深度分析 | 医院个人信息保护合规审计实践研究
欢迎访问粤港澳大湾区数据保护与数据跨境服务平台(www.dataspace.net.cn)
![英国信息专员办公室推出数据保护审计框架]( "英国信息专员办公室推出数据保护审计框架")
粤港澳大湾区数据保护与数据跨境服务平台是由广州南沙经济技术开发区管理委员会指导,下一代互联网国家工程中心粤港澳大湾区创新中心开发运营的,集技术服务、专业咨询、资讯分享为一体的一站式服务平台。
平台以粤港澳大湾区数据流通便利化为目标,致力于引导企业数据合规体系建设,全方位提升企业数据治理水平与合规能力。
面向数据业务需求的“数据跨境合规”、“APP合规”、“企业数据治理”、“数据交易流通”、“合规能力提升”五大关键功能
覆盖数据出境安全评估、个人信息保护认证、个人信息出境标准合同三种数据跨境机制的全路径解决方案
数据跨境自评估、个人信息保护影响评估两大关键评估能力
30+智能化数据合规技术工具集和1个智能问答助手,助力企业基础合规能力构建
运营合规知识社区,提供数据保护与数据跨境知识和资源共享平台
原文始发于微信公众号(数据信任与治理):英国信息专员办公室推出数据保护审计框架
评论