如何开展数据合规审计?
《个人信息保护法》中第五十四条及第六十四条明确指出,个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计,必要时候,可要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。
1. 审计的概念
审计起源于「南海泡沫」,即在1720年春天到秋天之间,脱离常轨的投资狂潮引发的股价暴涨和暴跌,以及之后的大混乱。该股票在4个月时间从 100 多英镑涨到 1000 多英镑,然后用5个月左右的时间又跌回去了,期间投资者趋之若鹜,其中包括半数以上的参众议员,国王亦禁不住诱惑,连物理学家牛顿都丧失理智,亏了 2 万多英镑。
事后,英国政府对该事件进行独立调查,可以成为第一次审计。
审计繁荣于现代公司治理架构,企业所有权与治理权分离提升了审计的重要性。也产生了审计的三大理论,代理理论、信息理论、保险理论。
信息理论:在股市上,大家互相缺乏信任,因为所有公司会对外公布说自身是盈利的,但是股民如何才能获知哪家公司才是真正的盈利者?
由于真假信息混同,一家真正盈利的公司,即使在告知公众自身的盈利状态,也未必获取公众的信任,此时应当如何破局?
企业可以聘请一个审计师,通过审计师发布信息给股民,告知股民企业的真实盈利状态。
保险理论:会计准则复杂,很多上市公司自身并不具备熟悉的会计知识,一旦不小心违反相关法律及行业规定该怎么办?
企业稍有不慎就很可能诱发法律风险,被股民告上法庭。
此时上市公司可以聘请审计事务所,进行风险转移,一旦上市公司账目出现问题,法律风险可以划分到审计所,由审计所承担。
2. 审计分类
审计可以分为第一方审计(内审)、第二方审计(供应商审计)、第三方审计(独立审计)三种。
内部审计是指由本单位内部专门的审计机构和人员对本单位财务收支和经营活动实施的独立审查和评价。
供应商审计是指企业采购部门负责与外部供应商就采购订单和合同进行谈判,在合同中确定「有权审计条款」,保证企业有权在某些情况下对供应商提供的产品的生产成本等资料进行审计。
独立审计即由注册会计师受托有偿进行的审计活动,也称为民间审计
1. 数据合规审计内容
数据合规审计重点关注政策 & 流程的完备性与政策&流程的遵从性这两个部分。对政策及流程的完备性进行审计,需要注意以下几个主要风险点:
① 未建立完善的制度体系。
企业若未按要求建立个人信息保护合规制度体系,包括个人信息保护内部管理制度和操作规程,以及专门制定未满十四周岁未成年人的个人信息处理细则及个人信息跨境提供细则,将涉及合规风险。
② 未对个人信息实行分类管理。
具体表现为:个人信息处理者内部未结合法律、行政规范要求,自身业务特性、行业要求等制定合理的个人信息分类标准,未全面识别组织涉及的个人信息并进行有效的分类管理。
③ 未采取安全技术措施。未采取网络安全、计算机环境安全、应用和数据安全等基础安全控制措施,未采取加密、去标识化等安全技术措施,未合理分配个人信息处理的操作权限,造成未经授权访问个人信息,以及个人信息泄露、篡改、丢失等,均属于未采取安全技术措施。
④ 未定期对从业人员进行安全教育和培训。
个人信息处理者应当制定个人信息保护安全培训计划,定期对相关从业人员开展适当的教育和培训。
⑤ 未制定和实施应急预案。企业应当制定并组织实施个人信息安全事件应急预案,发生个人泄露、篡改、丢失等事件时,及时处置和采取补救措施,通知履行个人信息保护职责的部门和个人。
⑥ 未进行个人信息保护影响评估。个人信息处理者在开展对个人权益有重大影响的个人信息处理活动前,应当按要求对个人信息处理活动进行事前评估,并对处理情况进行记录及保存。
⑦ 缺少独立定期监督,未明确平台义务。对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当建立健全的个人信息保护合规制度体系,同时按照要求使用外部独立机构对组织个人信息保护情况进行监督,明确平台的个人信息保护规范和义务,定期发布个人信息保护社会责任报告。
⑧ 未按要求设置个人信息保护负责人。个人信息处理者应当根据自身情况合理制定个人信息保护负责人,负责对个人信息处理活动以及采取的措施等进行监督,并将个人信息保护负责人的联系方式进行适当的公开和报送。
2. 数据合规内审流程
数据合规内审流程可以分为三个部分:策划、现场审核、纠正措施及跟踪验证。
① 策划。审计策划需要确定年度审计重点,关注高风险场景、国家(针对跨国企业),可以从企业外部环境进行分析,如地缘政治、执法热点等。审计策划大致分为以下五部分:
②现场审核。在展开现场审核可从以下几个方面着手:
a 召开首次会议;
b 进行现场审核;
c 审核组内部沟通,汇总分析内审情况,确定不合格项,得出审核结论;
d 内审员开具不合格报告,内审组长编制内审报告;
e 召开末次会议,进行复盘总结。
③ 纠正措施及跟踪验证。在纠正及跟踪验证阶段,企业应当遵循以下步骤,才可及时查找错误,并验证改正措施的有效性。
首先,责任部门分析不合格原因; 其次,责任部门提出纠正措施建议并实施整改; 再次,责任部门记录纠正措施完成情况; 最后,内审员验证纠正措施的有效性,同时要附上证明材料复印件。
④ 沿着数据处理活动进行全生命周期开展审计时,要明确各阶段的审计清单。以数据收集阶段为例,重点关注以下风险点:
a 未保证数据收集活动的合法正当性。通过误导、欺诈、胁迫等方式及非法渠道收集个人信息,未通过合同协议等方式明确第三方机构个人信息获取的合法性和个人信息真实性的,均属于违规行为。
b 个人信息收集缺少合法性基础。收集个人信息的行为应符合法律、行政法规规定,事前取得个人同意,搜集信息应基于履行法定职责或法定义务所必需。
c 缺少个人信息收集的明确告知。基于个人同意收集个人信息的,未经过明确告知的情况下收集个人信息。如基于隐私政策、告知同意书等个人信息处理规则的告知方式内容不真实、不准确、不完整、不易访问、不清晰易懂,缺少适当的更新和通知等,均属于违规行为。
d 未获得个人的同意。基于个人同意收集个人信息的,通过各种方式收集个人信息前未获得个人同意,如通过 SDK 代码插件收集、使用手机系统权限(例如相机、麦克风、位置)等,均属于违规行为。
e 超范围收集。基于个人同意收集个人信息的,实际收集的个人信息不应超出个人同意的范围。
f 变更后未重新获得个人同意。基于个人同意收集个人信息的,个人信息的处理目的、处理方式和处理的个人信息种类发生变更后,应当重新获取个人同意。
g 敏感个人信息收集未获得单独同意。针对敏感个人信息的收集,企业应当事前进行个人信息保护影响评估,获取个人的单独同意。法律、行政法规规定处理敏感个人信息,应当获得个人的书面同意。
h 未向个人告知处理敏感个人信息的必要性以及对个人权益的影响。基于个人同意收集敏感个人信息时,应向个人告知处理敏感个人信息的必要性以及对个人权益的影响。
i 未成年人信息收集未获得监护人授权同意。针对不满十四周岁未成年人个人信息的收集,需要获取未成年人的父母或者其他监护人的同意。
j 间接收集的个人信息未获得个人同意。针对间接收集的个人信息,应当明确个人信息提供方已获得个人的同意,包括使用目的,个人是否同意转让共享等。
K 未提供同意授权撤回方式或者撤回困难。基于个人关于推进个人信息保护合规审计的若干建议人同意收集个人信息的,应提供给个人撤回其同意的功能或者方法,或者为撤回制造不合理操作步骤和障碍。
以现场审计之 APP 合规审计为例,应当如何开展 APP 合规审计工作呢?
1. 从准备工作着手
相关审计人员应专门学习《个人信息保护法》、《数据安全法》、《网络安全法》等法律知识,另外,进行业务学习,学习包括产品开发流程、业务运营流程、项目组会议纪要、业务运营报告等具体知识。
2. 确定首次会议参加的人员名单
开展 APP 合规审计,应先确定人员名单。审计工作组全员、APP开发团队项目经理、主要共功能模块产品经理、业务运营团队关键成员、IT运维团队关键成员等均应被纳入其中。
3. 审计产品开发流程
在该环节,应着重关注产品研发流程文件、流程执行记录、具体的产品文档,包括 DI 清单、数据流向图、隐私文档、 PIA 报告、测试报告等。另外,查看产品是否有隐藏的数据收集功能、产品方案是否通过数据合规评审( PIA )、合规风险是否闭环、是否通过安全测试、测试风险是否全部闭环。
4. 产品运营流程
此环节将涉及的文档包括:运营流程、运营报告、相关系统权限清单、关键人员系统使用记录、产品文档。此时,应重点审查实际的数据处理活动是否与隐私政策一致、系统权限设置是否合理、数据分享/对外提供/跨境是否签署相关协议等内容。
5. IT 运维流程
此环节涉及的文档包括:运维流程、运维报告、相关系统权限清单、系统操作审批记录等,除重点关注上述文件外,应注意 IT 系统运维操作是否均按照流程操作执行、数据存储到期后是否按时进行删除/匿名化。
6. 除了上述五点之外
进行 APP 合规审计还应注意数据主体请求( DSR )处理规范性及定期进行数据泄露事件处理及演练。
随着大数据技术飞速发展和应用,数据安全以及合规性面临着新挑战。系统全面的数据合规隐患排查有利于保障企业数据安全,提升企业合规管理水平。
公司各相关部门应积极排查合规风险,制定整改计划并开展整改工作,定期组织汇报工作进展,积极推动合规审计措施的有效落地。