北京
“专题研讨”系列延伸阅读
第一期:
第二期:
第三期:
第四期:
第五期:
第六期:
第七期:
第八期:
第九期:
研讨背景
2023年8月3日,国家互联网信息办公室对《个人信息保护合规审计管理办法(征求意见稿)》(以下简称“合规审计管理办法”)进行公开征求意见。《个人信息保护法》第五十四条明确指出,个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计,个人信息保护合规审计成为个人信息处理者需履行的法定义务。合规审计管理办法旨在指导、规范个人信息保护合规审计活动,为企业开展个人信息保护合规审计提供具体依据。
CCIA数据安全工作委员会于近日组织各方专家进行了研讨。讨论围绕“合规审计管理办法”,讨论企业如何结合当下监管要求,落地个人信息保护合规审计工作。现就研讨中形成的主要观点以会议纪要方式公开,供各界参考、指正。
参与此次研讨的专家来自:中国电子技术标准化研究院以及部分CCIA数据安全工作委员会委员单位。
以下观点仅代表专家个人观点。
本期研讨主题
企业如何有效履行个人信息保护合规审计义务?
研讨问题
研讨问题1:审计的目的:个人信息保护合规审计与风险评估(影响评估)、风险监测(检测评价)、安全认证等工作的目的和侧重点分别是什么?企业如何通过评估、监测、审计、认证等多道防线的配合和协调,从而有效控制风险,提升合规水平?精彩观点如下:
个人信息保护合规评估、监测、认证和自审计属于运营、安全、审计三道防线中的不同防线,由于其目的、内容、评价方式会有所不同,一般企业内这三道防线应相互独立,即使从企业规模和成本考虑,审计这道防线至少应当独立。
风险评估、监测都是内部管理工作的一种工作方法,主要目的是进行风险管理,其评估、监测内容可以由企业根据自身的特点进行,得出的结论是影响程度、风险高低,监测与评估相比,区别在于监测是持续的过程,其根本目标还是风险控制;认证则是第三方对企业内部体系完备性、合规性等方面的评价,通过认证既可帮助企业提升合规水平,也可帮助企业展示合规能力。
相比上述工作,审计的性质更为特殊,根据《个人信息保护合规审计管理办法(征求意见稿)》,“个人信息保护合规审计,是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动”,审计得出的是一个与法律法规要求相比较是否“符合/满足”的结论。以学生学习打个比方,评估类似于做练习册,监测类似于课堂提问,认证类似于拿到竞赛等证书,审计类似于考试(自审计就是学校自己组织的考试,外部审计就是教育部门统一组织的考试),各有各的作用。
评估工作是日常性工作,企业可以根据自身的风险情况开展,其重点在于分析风险发生的可能性以及可能造成的影响,对于法律法规规定事项以外的要求,也可以通过评估得出高、中、低风险等结论以完善安全措施。审计的依据需非常明确,比如以法律、行政法规为依据的审计不能得出法律、行政法规以外的审计结论;除针对法律法规要求的审计以外,企业自审计可以指定标准规范、内部管理制度等为审计要点;审计过程中,更关注审计的独立性以及证据的有效性,对审计人员的客观性独立性要求高,对证据的抽样、证据集、证据链的保存和认定要求较高。
个人信息保护合规审计与评估、监测、认证虽各有侧重,执行人员有所不同,但存在关联性,实施中需要能力配合和相互协调,且工作成果能互相支持。比如,评估工作的开展可将安全风险抑制在萌芽状态,同时评估报告也是帮助审计人员快速了解企业当前合规管理水平的重要依据;监测则注重于持续的风险控制,大多数情况下依赖于技术能力,可作为合规审计中安全能力的重要展现内容;认证则是更全面地梳理现有合规措施,保留了大量有价值的证据,便于合规审计工作采信。从执行人员角度来看,通过长时间开展上述工作不断磨合,便于形成企业内部运转高效的合规工作团队,从而提升效率和效果。
研讨问题2:审计的工作范围:审计作为符合性检查,其工作范围是针对企业还是具体业务,工作内容是否包含风险分析、整改通知等环节?精彩观点如下:
通常来说,审计的工作范围既可以针对企业整体范围,也可以是具体的业务,其由审计目的所决定。对于个人信息保护合规审计而言,从开展审计的效率和成本出发,审计可以抽样业务的形式开展,对审计发现的问题再举一反三,向所有业务提出自查自纠要求。
个人信息保护合规审计工作结论应为符合性评价,而不是风险分析结果。个人信息保护合规审计工作结论应从合规偏离的角度进行分析,而不应从风险的维度进行分析,按照审计的通行做法,审计结果可以分为严重不符合、一般不符合、符合。个人信息保护合规审计是一种体系性的审计,符合性的程度或水平,还可能取决于影响的范围、问题是否为全局或单点,因此其评判的过程可以适当借鉴风险分析方法。
从审计工作的跟踪闭环角度来说,审计结论中明确指出的不符合项,审计方有义务告知具体的问题所在,以便于被审计方进行整改。审计结果中的问题可能会触发相关机构发出整改通知,为保证审计的独立性,原则上审计过程不应提出具体整改建议,但为了避免被审计方无法有效推动后续整改工作,审计方对不符合项的具体问题给出原则性、方向性的建议,再由企业的法务、合规、安全等团队完成具体的整改措施,完成整改后,根据工作安排,审计方可以通过复审等方式形成审计工作闭环。
研讨问题3:如何开展审计:个人信息保护审计活动能否总结和提炼出一套标准流程和举证要求?精彩观点如下:
从大型企业的实践过程中来看,个人信息保护审计难以短期内总结和提炼出一套通用标准流程和举证要求,但是针对有相同特性的主体、业务可以尝试规范化一些环节,以提高个人信息保护合规审计的效率和效果。
个人信息保护合规审计工作与个人信息处理活动密切相关,大型企业的处理活动、业务复杂,同时内部的组织管理架构也有一定的差异性,因此其审计流程可能需要根据企业实际情况制定,举证要求可以原则性要求为指导,具体业务系统在原则下完善细则,不过,为了提高审计效率,如果企业内的不同主体、业务线有一定的相似性,可以提炼总结出一套适用于自身的通用化模板、工具。
对于中小型企业,特别是使用第三方平台所提供的业务系统的企业,其业务流程相对单一、固定,其个人信息的处理活动也相对简单,要确保个人信息保护合规审计工作能够长期开展,需要在流程标准化和压缩成本上予以考虑。比如,尽可能使用一些由第三方平台直接提供的通用性的合规审计模板、工具(如SaaS工具),在此基础上由内部人员对未覆盖的内容加以补充完善。
研讨问题4:审计的实施方式:审计作为一项需要合规、法务、安全、业务等多部门参与的活动,企业应该如何组织协调?牵头方通常为哪个部门,需要哪些人员参与,各部门如何分工?如何使用《个人信息保护合规审计管理办法》附件的参考要点?哪些行政法规、政策文件、国家标准对理解具体审计项要求有帮助?精彩观点如下:
审计的组织架构优先考虑的是如何保障其独立性,优先考虑组织内部成立独立的信息化审计部门牵头,如无法实现可以选定一个部门牵头,多部门配合,或者由多个部门联合组成审计工作组。由于内部审计人员独立性要求,企业内部有独立的合规审计部门最合适,大型互联网平台如有外部独立委员会可以考虑参与审计工作。
很多中小型企业因为规模原因,没有独立的审计机构,建议根据企业内部实际架构,选择法务部门、合规部门或安全部门牵头,业务部门、技术部门进行配合开展审计工作,如无合适的牵头部门,企业可以指定具备审计能力的人员为临时审计工作组。上述情形下的审计,审计牵头部门、审计工作组是否足够独立,是否具备相应的权限是审计有效开展的关键。如果企业内部缺少能承担审计任务的人员,在有预算支持下,也可考虑委托外部专业机构开展审计。
在实际审计过程中,如果选中信息化审计部门作为牵头,虽然其具有独立性和公正性,但如果缺乏对业务、专业技术的了解,则还需考虑如何协调业务部门、技术部门进行配合。
企业使用《个人信息保护合规审计管理办法》附件的参考要点(以下简称“参考要点”)时,可将其作为审计内容的最小集,但是,也有可能导致企业仅凭参考要点开展审计,而不能与时俱进,持续提升个人信息保护水平。
参考要点为审计的内容提供了一定的确定性,便于统一标准开展审计工作,避免了执行层面、多部门或不同人员产生的争议。针对参考要点,建议对相应条款进一步明确,做到精准、合理,增加执行层面的可操作性,进一步减少由于审计人员认识不同导致审计结论出现偏差的可能。
为了避免死板套用参考要点或仅针对参考要点开展审计导致个人信息保护工作固步自封,建议在审计时将审计要点分为法律法规的强制性要求和国家标准、行业实践、内部管理等提出的优化型、扩展型要求,两类要求的审计结果性质不同可予以区分。鼓励大型企业尽可能加入优化型、扩展型要求项进行审计,以增强企业自审计的适用性和审计效果。
研讨问题5:审计所需的准备工作:目前企业梳理和记录个人信息处理活动的现状如何?是否有电子化证据关联分析等实践?是否能够提升审计效率和审计质量?哪些具体合规工作适合提前开展?精彩观点如下:
企业的合规管理水平与审计工作的效率关联度高,当下,企业应重视个人信息保护合规留痕以及证据保存工作,提升后续审计工作效率。企业需要在开展业务的同时将个人信息合规工作与业务紧密绑定,尽可能把现有安全合规工作与涉及审计的要点(即法律法规的强制性义务)做好对应,重视留痕工作,建立证据链意识。具备条件的,还可通过业务改造等方式,增加前置留痕动作,通过工具进行证据链的管理,提高内审配合效率,甚至还可以支持向展示证据。
企业可考虑通过开展认证、评估以及梳理已开展的合规工作,以方便后续开展个人信息保护合规审计工作。第三方认证对合规审计有显著的帮助,其一是因为第三方认证时,可以帮助企业建立必要的合规管理流程以及合规要点,其二是因为认证时需采信证据,可以帮助企业在必要环节进行证据留痕,认证过程形成的证据可能会被审计直接采信。
评估与认证不同,认证为自愿行为,而是否开展评估工作本身就是被审计的要点,只有开展评估才能满足审计关注的合规要求。比如,参考要点中提出的个人信息保护影响评估(PIA)工作,是需要审计的要点之一,是否开展过PIA,是否形成了相应的评估报告就是审计所关注的,因此开展PIA工作成为了通过合规审计的前提之一。此外,PIA工作开展过程中,是一个促进业务合规的过程,其中也包括了对个人信息处理活动的梳理,合规要点的检查,个人权利保障机制的验证等等,所形成的过程文档、结论、证据等均可对后续的审计工作提供支撑。
CCIA数据安全工作委员会持续欢迎大家参与以上具体问题的研讨,通过观点交汇、碰撞,为推动深入研究难点问题、启发安全保护措施创新贡献一份微薄之力。
(记录整理:CCIA数据安全工作委员会)
“专题研讨”系列延伸阅读
第一期:
第二期:
第三期:
第四期:
第五期:
第六期:
第七期:
第八期:
第九期:
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
