個人信息保護合規審計工作的現狀分析和建議
責編:gltian |2022-08-11 15:38:48背景
隨著數據成為了重要的資產,成為了生產要素,數據安全也越來越重要。2021年,我國陸續發布了《數據安全法》、《個人信息保護法》這些專門針對數據安全相關的法律,同時也陸續發布了管理辦法,開始著手制定相關的支撐標準,當前數據安全合規要求成為了當前數據安全最急迫、最重要、最基本的數據安全工作。
在已發布的相關法律法規中,規定數據處理者需要針對自身所使用的數據情況開展審計合規審計工作,包括《個人信息保護法》“第五十四條 個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。”,《網絡數據安全管理條例(征求意見稿)》“第五十三條 大型互聯網平臺運營者應當通過委托第三方審計方式,每年對平臺數據安全情況…等進行年度審計,并披露審計結果。” 、“第五十八條 國家建立數據安全審計制度。數據處理者應當委托數據安全審計專業機構定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。…” ,這些法律法規都表明,數據安全合規審計的必要性。
盡管IT審計已經持續多年,但是在個人信息保護的合規審計工作需要從信息安全合規細化到數據安全合規,并且精確定位到對個人信息的處理,在這方面我國還處于探索階段,審計方、安全廠商以及律所各方都發現在個人信息保護合規審計工作下的問題,都在積極探索如何才能幫助企業進行全面、透徹的審計工作。本文從當前個人信息保護合規審計工作的現狀分析當前所遇到的問題,結合已有的經驗和思考,給出一些解決的思路和建議,希望能對正在開展合規審計工作的企業有一定的幫助。
現象分析
現象一:企業對合規要求的理解不一,審計工作還處于探索階段
由于《個人信息保護法》于2021年發布,發布還不到一年,司法部門、企業也處于逐漸摸索的階段,盡管在某些領域,例如人臉識別的使用、算法管理等方面已有一些共識,但是還沒有形成全面的司法解釋以及最佳實踐,因此企業在開展個人信息保護的合規工作時,對于業務的合規判斷還有一定的不確定性。
企業的個人信息合規處于一個摸索階段,針對合規的審計工作就更為困難了,當然,審計也是合規工作中的一部分,因此,審計工作需要與企業的合規實踐同步摸索,而不是等合規指引明確之后才開始著手審計工作。
現象二:難以快速、持續性的開展合規審計工作以支撐不同的合規審計要求
根據《數據安全法》、《個人信息保護法》可以看出針對個人信息保護的合規審計工作將是一個常態化的工作,可以是自審計也可以是監管部門的強制審計,同時每個行業會由主管部門根據行業特點、個人信息保護情況建立更為具體、詳細的審計體系,例如工信部發布的《工業和信息化領域數據安全管理辦法(試行)》中規定,“第二十七條【安全審計】工業和電信數據處理者應當在數據全生命周期處理過程中,記錄數據處理、權限管理、人員操作等日志。日志留存時間不少于六個月,定期進行安全審計,并形成審計報告,……。”因此,個人信息保護合規審計工作是一個持續化的工作,企業需要充分掌握自身的合規情況,隨時做好迎接合規審計的準備,而不是每年開展一次性、臨時性的審計工作。
從個人信息合規工作來看,合規審計是一個復雜的工作,尤其是個人細膩處理過程的合規審計幾乎需要涉及企業內部的所有業務流程。一個大型企業的業務復雜,業務間交互眾多,包括企業內部及企業與外部,這些業務系統是否有足夠的證據來支撐數據處理過程的還原,是否有足夠的證據證明這些采集的個人信息都是有合法性基礎的,從目前的情況來看,并不是一個肯定的答案,因此當前企業的審計工作是一個證據不充分、審計工作復雜且審計投入較大的一個狀態。這與審計的需求有巨大的沖突,而如何才能從當前的無序、不充分的狀態到一個可隨時、持續的審計的狀態,是當前個人信息保護合規審計工作的難點。
現象三:難以深入、透徹的開展審計工作,全面的評估企業的合規狀態
企業在進行個人信息合規保護主要需要關注3個方面,基本的安全管理義務、為個人信息主體提供對個人權利實現的方式以及個人信息處理過程的合規性,這三個方面都需要對企業進行深入的了解,不僅僅是原有的IT審計所涉及的組織管理制度、研發流程、系統的安全測試,還包括業務設計、系統設計等一系列深入企業業務流程的才能實現對企業個人信息保護狀態的合規審計。而這不僅遵循原有的審計方法,還需要遵循審計工作的原則,根據個人信息保護合規審計的特點研究新的審計操作方式,來實現深入、透徹的合規審計工作。
思考與建議
一、個人信息的監管機構應考慮發布官方的數據合規指引
參考歐盟的GDPR的實施可以看出,法案自2017年發布,經過了2年左右的實踐、司法解釋以及公民維權才逐漸走向成熟,并形成了相對穩定、有共識的實踐指南,歐盟也在此基礎上出臺了一系列的具體的實施指引,用來規范企業的合規工作,明確哪些處理方式、技術措施是有效的、合規的。
因此當前階段,需要監管機構、司法部門、企業及相關合規支撐方(包括測評機構、安全廠商、審計機構等)多方共同努力,探索出最佳的合規實踐,推動企業合規的實踐指引落地。監管部門和司法部門需自頂向下的給出個人信息保護合規的具體目標和要求,企業及相關合規支撐方,自底向上的通過最佳實踐來給監管部門、司法部門以實現情況及該種狀態下的安全效果,最終綜合考慮目標、結果形成合規的實施指引,推動企業落實個人信息保護合規措施。
二、審計機構推動合規審計的具體實施步驟及方法的落地
基于當前IT審計工作的完善性以及在個人信息保護合規審計方面的部分需要進一步細化的需求,筆者建議可以從兩個方向逐步探索:
其一是,基于IT審計的原則、方法和步驟,分析在個人信息保護合規審計工作中的適用性,例如審計原則、基本方法和大致審計流程與傳統IT審計完全一致,但是,從業務層面來進行合規審計需要哪些支撐材料,如何可以有效證明該業務的合規性是需要進一步細化和研究的。
其二是,常態化、持續化的審計工作在企業內部審計工作的組織架構、制度流程及工具需要結合企業的管理情況進一步細化研究,以實現在不影響業務正常運轉的情況下,便捷高效地開展審計工作。
建議審計機構與企業共同探討,探索出個人信息保護合規審計工作的具體實施流程和方法,并且推動該流程方法的標準化,使審計工作可以真正達到發現企業合規風險、敦促企業進行合規完善的目的。
三、企業及安全廠商推動使用合規審計工具來支撐常態化、清晰化的合規審計
在個人信息合規審計工作中,人為的審計既會由于審計人員的差異造成合規結果的不一、合規風險的發現不徹底,也會由于業務難以理解造成審計過程復雜,耗時長,難以支撐常態化、清晰化的合規審計工作,因此可以更多的通過工具來關聯分析、記錄越多的客觀、可信的合規證據,這樣就可以更好的支撐快速、透徹的審計。
合規審計工具的重點在于采集什么樣的證據、如何采集證據、如何關聯分析證據以支撐審計以及如何保全證據,企業及安全廠商可以共同推動審計工具的標準化工作,探討企業需要通過哪些日志來證明自身的管理制度、措施以及處理流程是合規的,探討如何分析這些日志是符合審計要求的,如何保全這些日志才可以作為審計證據。這樣,推動工具化的個人信息保護合規審計,就可以更方便、客觀、量化的來判斷企業是否滿足了合規要求,更好地達成企合規審計工作的目標。
來源:CCIA數據安全工作委員會