【编者按】数据要素驱动的时代,个人信息保护至关重要。对于企业来说,做好个人信息保护合规工作是避免陷入法律风险的关键,而其中,审计、认证和评估各自扮演着重要角色。它们看似相似,实则有着不同的功能和意义,只有厘清它们之间的关系,企业才能更好地跨越个人信息保护的雷区,确保自身的合规运营。
一、审计:合规的 “体检医生”
赋十七认为,在个人信息保护领域,审计就像是一位 “体检医生”,对企业的个人信息处理活动进行全面细致的检查。根据《个人信息保护合规审计管理办法》,个人信息保护合规审计是对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。
从审计的目标对象来看,它聚焦于企业内部的个人信息处理活动,比如企业如何收集、存储、使用和共享用户的个人信息。审计的标准是判断这些活动是否符合法律、行政法规的要求,就如同医生依据健康标准来判断身体是否健康一样。在实际操作中,审计可以覆盖企业的全面活动,也可以针对特定业务领域进行。比如,一家电商企业可能会对其商品推荐系统中涉及的个人信息使用情况进行专项审计,检查是否存在未经用户同意就收集和使用其浏览记录等行为。
在审计过程中,审计师的独立性和客观性至关重要。他们就像是公正的裁判,不能受到企业内部其他因素的干扰,要依据清晰的审计依据,如相关的法律法规和内部管理制度,对企业的个人信息处理活动进行公正的评判。审计发现的问题会被归类为严重不符合、一般不符合及符合三种结果,企业需要根据这些结果进行整改,以达到合规要求。
二、认证:合规实力的 “展示牌”
赋十七认为,认证在个人信息保护中,就像是一块 “展示牌”,向外界展示企业在个人信息保护方面的合规实力。依据《认证认可条例》,认证是由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。在个人信息保护领域,认证主要针对个人信息处理者开展的个人信息收集、存储、使用等一系列处理活动。
我国在数据合规领域,确立了移动互联网应用程序(App)安全认证、数据安全管理认证与个人信息保护认证三类认证制度。这些认证制度都有各自的认证依据、适用范围、认证机构和认证类别。例如,个人信息保护认证依据《信息安全技术 个人信息安全规范》等标准,适用于个人信息处理者开展的各类个人信息处理活动,认证机构包括中国网络安全审查认证和市场监管大数据中心等。
赋十七需要提醒注意的是,获得认证不仅能提高企业的合规程度,还能增强用户、监管机构和其他利益相关方对企业的信任。比如,一款经过个人信息保护认证的 App,用户在使用时会更加放心,因为这意味着该 App 在个人信息保护方面达到了一定的标准。而且,认证过程中形成的证据和记录,对于企业开展个人信息保护合规审计也非常有帮助,它能帮助企业建立起必要的合规管理流程和核心合规点。
三、评估:风险的 “预警雷达”
赋十七认为,评估在个人信息保护中,扮演着 “预警雷达” 的角色,帮助企业提前发现潜在的风险。在我国,《个人信息保护法》等一系列法律法规和标准都对个人信息保护影响评估提出了要求。评估主要是针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性。
个人信息保护影响评估的实施手段包括数据映射分析、风险源识别、个人权益影响分析和风险分析等多个方面。通过数据映射分析,企业可以全面了解系统所涉的个人信息处理过程,形成清晰的数据清单及数据映射图表;风险源识别则是通过调研访谈、查阅文档等方式,找出可能导致安全事件发生的风险因素;个人权益影响分析是根据相关法律法规和标准,分析个人信息处理活动对个人权益可能产生的影响;最后,通过风险分析确定风险等级,以便企业采取相应的措施进行风险控制。
例如,一家金融机构在推出新的理财产品时,需要对涉及的个人金融信息处理活动进行评估。通过评估,可能会发现存在客户信息泄露的风险,于是及时采取加密等措施进行防范,避免了潜在的风险。
四、审计、认证、评估三者之间啥关系
审计、认证和评估虽然各有侧重,但它们之间存在着紧密的联系。简单地举个栗子吧,评估是每日检查作业完成情况和掌握水平,帮助学生发现自己的不足;认证是参加信奥竞赛获得证书,展示学生具备的能力;审计则是参加定期考试,检验学生的学习成果。
从功能上看,评估侧重于风险识别和分析,帮助企业提前发现问题并采取措施进行防范;认证是对企业合规能力的认可,向外界展示企业的合规实力;审计则是对企业合规情况的全面审查,判断企业是否符合法律法规的要求。
在实际操作中,评估报告可以为审计人员提供快速了解企业当前合规管理水平的重要工具。企业通过评估提前排查高风险场景,控制安全风险,为审计打下良好的基础。而认证过程中形成的合规管理流程和证据,也有助于审计工作的开展。例如,企业在通过个人信息保护认证后,其合规管理流程更加完善,在进行审计时,审计师可以参考这些流程和认证过程中的证据,更高效地进行审计工作。
同时,审计、认证和评估也可以相互补充。企业通过评估发现风险后,进行整改,整改后的情况可以通过认证来验证;而认证和评估的结果,又可以作为审计的重要参考。在个人信息保护合规审计中,判断符合性的水平可以适当借鉴风险分析的方法,因为评估中的风险分析可以帮助审计师更好地理解企业存在的问题及其影响程度。
此外,根据《网络数据安全管理条例》,个人信息保护合规审计、重要数据风险评估、重要数据出境安全评估等应当加强衔接,避免重复评估、审计。这就要求企业在进行这些工作时,要做好统筹规划,充分利用评估和审计的结果,提高工作效率。
五、企业如何做好个保合规工作
赋十七提醒广大企业注意的是,要做好个人信息保护合规工作,就需要充分认识到审计、认证和评估的重要性,并将它们有机地结合起来。
企业要建立完善的个人信息保护管理制度,明确个人信息处理的流程和规范,这是做好个保合规工作的基础。在日常业务经营中,将个人信息的合规工作与业务流程紧密结合,确保个人信息保护的合规措施与审计关注点相匹配。比如,在用户注册环节,明确告知用户收集的信息和使用目的,并获得用户的同意,这既符合法律法规的要求,也能在审计和评估中得到认可。
要重视评估工作,定期对个人信息处理活动进行风险评估。通过评估,及时发现潜在的风险,并采取相应的措施进行整改。同时,要保存好评估报告和相关记录,这些将为后续的审计和认证工作提供重要依据。
积极参与认证,通过认证机构的评审,不断完善企业的个人信息保护管理体系。获得认证不仅能提升企业的合规形象,还能为企业带来更多的商业机会。
要配合审计工作,无论是内部审计还是外部审计,都要认真对待。对于审计发现的问题,及时进行整改,确保企业的个人信息处理活动始终符合法律法规的要求。
在个人信息保护的道路上,审计、认证和评估是企业不可或缺的工具。只有厘清它们之间的关系,充分发挥它们的作用,企业才能更好地跨越个保合规的雷区,实现可持续发展。未来,随着法律法规的不断完善和技术的不断进步,企业还需要不断适应新的要求,持续加强个人信息保护工作,为用户的信息安全保驾护航。
原文始发于微信公众号(数据安全矩阵):【跨越雷区】个保合规审计(1): “审计、认证、评估” 啥区别?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论