回想一下,你下载、注册和使用的社交软件、网购平台、金融、教育、医疗等绝大多数APP功能时,提交过多少个人信息?又通过了多少隐私授权?而在大量真实的个人信息被收集后,被存放在哪里?又在被什么人以何种方式使用?多年来,这些问题对于广大普通用户而言几乎成为一个公开的“秘密”——会不会遇到真正的危机,全凭运气高低…一方面,平台收集个人信息难以被用户明确感知;另一方面,对所收集个人信息的使用也处于“黑盒子”状态,这两个特点造成的结果是个人(包括消费者组织)难以对个人信息处理者进行有效监督,即传统的主动检举揭发的模式难以充分发挥作用。比如2018年脸书及剑桥分析公司数据泄露事件,是由于媒体调查爆料,而不是用户的主动举报才得以曝光。由于个人信息的规模和复杂性使得其安全治理变得非常困难,平台出于商业目的等,可能将数据交由第三方进行研究或分析,导致数据被滥用或不当使用,出现“大数据杀熟”或“算法歧视”,或者为了吸引用户粘性,制造“信息茧房”,束缚用户可接触的信息范围。
2021年11月1日起正式实施的《个人信息保护法》(下称:《个保法》)第五十四条和六十四条提出了个人信息保护合规审计,是解决上述问题的有效方法之一。个人信息保护合规审计是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规及相关技术标准的情况进行审查和评价的监督活动。审计最早出现于财务专业,合规审计是识别风险的重要手段之一。企业或组织既要关注外部监管层面的合规性,也要关注企业内部层面的合规性。从外部法规关注和监管的重点来看,合规审计关注的重点领域有对外担保、反垄断、商业贿赂、知识产权、个人信息保护、数据安全、关联交易等方面的合规情况。企业或组织内部要建立起与风险管理相互配合的合规管理三道防线,第一道防线是业务部门的合规审计,其职责是风险评估、风险治理、落地执行、自我改进。第二道防线是合规部门的合规审计,其职责是明确责任、风险评估、制定标准、推进整改、完善体系、定期报告。第三道防线是审计监督部门的合规审计,其职责是通过合规审计实施监督检查、违规追责。
2023年8月3日国家网信办公开的《个人信息保护合规审计管理办法(征求意见稿)》(下称《办法》),并附《个人信息保护合规审计参考要点》(下称《要点》),本文重点介绍《办法》和《要点》的相关内容,并提出个人信息保护合规审计工具的设计思路。
《个保法》将合规审计的触发情形区分为“定期自主审计”与监管部门认为个人信息处理活动存在较大风险或者发生个人信息安全事件时要求的“不定期强制审计”两类。《办法》根据个人信息处理者的处理活动规模,进一步要求处理超过100万人个人信息的个人信息处理者,应当每年至少开展一次合规审计;其他个人信息处理者,应当每两年至少开展一次合规审计。《办法》对审计机构的推荐和选择也明确了要求:“负责开展合规审计的专业机构的推荐目录由国家网信部门会同公安机关等部门建立,并特别提出执行合规审计的专业机构应当保持独立性和客观性,连续为同一审计对象开展个人信息保护合规审计不得超过三次。”
对于触发“不定期强制审计”的情况,参照上图所示流程,《办法》规定一般在90个工作日内完成,个人信息处理者应在专业机构开展合规审计时予以协助配合,包括提供或者协助查阅相关文件或资料、协助进入个人信息处理活动相关场所,调查、测试相关业务活动及所依赖的信息系统与相关设备设施,调取、查阅个人信息处理活动相关数据或信息,访谈与个人信息处理活动有关的人员,配合专业机构的调查、质询和取证等开展合规审计工作必需的权限。
《要点》则将使用自动化决策、参与网络暴力、处理敏感信息等相关情况纳入审计范畴,首次针对外部独立监督机构职能和个人信息保护社会责任报告内容作出具体要求,详细列举了个人信息处理者或其委托的专业机构在开展合规审计时审查事项,与《个保法》中各章规定相对应,同时纳入了如GB/T 35273-2020《信息安全技术 个人信息安全规范》等行政法规和国家标准的要求,基本囊括了个人信息处理全流程各环节,具体可分为如下五个模块:
①参考《个保法》第二章内容,对个人信息处理的合法性基础、处理规则、告知、共同处理、委托处理、合并/分立/重组/破产、提供、自动化决策、公开、公共场所采集、已公开信息、敏感个人信息、未成年人个人信息等要求提出了审计要点。
②参考《个保法》第三章内容,对个人信息出境活动所选择的合规路径、基于司法要求或条约协定的个人信息出境、为保障境外接收方处理个人信息的活动达到《个保法》规定标准所采取的措施等要求提出了审计要点。
③参考《个保法》第四章内容,对个人信息权利申请受理以及个人信息主体所享有的查阅、复制、转移、更正、补充、删除、要求对个人信息处理规则解释说明等权利保障要求提出了审计要点。
④《个保法》第五章内容,对个人信息处理者主体责任、管理措施、技术措施、人员培训、个保负责人、个人信息保护影响评估、个人信息安全应急等要求提出了审计要点。
⑤《个保法》第58条内容,对个人信息保护独立监督机构、互联网平台规则、平台内的产品或者服务提供者监督、个人信息保护社会责任报告等方面提出了审计要点。
个保合规审计的核心内容包括个人信息权益保障和个人信息处理者基本义务两方面(具体内容参见下表)。
|
处理个人信息合法性基础,个人信息处理规则,处理告知,敏感信息处理,共同处理、委托、提供等情况下个人权益保障,公开与收集,删除权和可携带权,跨境提供及境外接收要求,未成年人保障和个人信息权益保障,自动化决策。 |
|
主体责任,管理制度,对应技术措施,制定信息处理负责人建立教育培训机制,影响范围评估,应急预案、应急响应、处置机制,社会责任报告。 |
审计人员在现场审计实施过程中,一般要做如下工作,参见用例图。
采用电子化和自动化手段可以让个保合规审计的效能提升,我们设计有三类人员角色使用个保合规审计工具用例图。
对于工具的设计思路,一方面我们需要按专业的审计文档和流程进行设计。比如:使用审计专业词汇及工作规范:“审计证据、审计对象、审计计划、审计组、审计依据、审计发现、审计底稿、审计结论、审计报告”;审计流程包括:审计准备→审计实施→审计报告→问题整改→归档管理;审计报告是发表审计意见的关键书面文件,应当包括审计概况、审计依据、审计结论、审计发现、审计意见、审计建议等;审计证据文档,应当包括:管理文件、协议文件、工作档案、资质证明、检查记录、访谈笔录、测试报告等。
另一方面我们需要设计系列工具实现个保合规审计过程的自动化。数据资产梳理和敏感个人信息识别,需要有自动化手段梳理数据资产,从应用系统、数据库等网络流量中识别出个人信息,并根据数据特征判断;采集个人信息保护合规的证据,比如:个人信息处理活动,包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等,每个阶段使用的个保技术手段(如:审计、脱敏、加密)的网络日志和安全策略;为审计员提供不同行业个人信息保护政策和审计要点参考知识库,随着各行业的个保合规审计项目的增加,通过不断完善的法律法规和审计要点知识库,更大范围的适应不同行业的个人信息保护,提升审计的自动化程度和准确率。
现代社会个人信息的合理使用毋庸置疑给我们带来非常多的好处,比如:汽车需要越来越多的个人数据以使其变得更聪明,自动驾驶汽车变得越“聪明”,对于汽车用户来说就越便利;电商企业收集与利用个人信息为消费者推荐一般商品时,个性化推荐总体上为个人提供更符合个性化偏好的产品也具有一定的合理性;搜索引擎和社交平类企业实际上为用户提供了免费服务,应当允许网络平台对于个人信息的合理商业化使用;电子病历记录患者的就诊过程,名医的电子病历更是代表着高效和准确的行医经验,也是科学研究和临床教学的需要。个人信息保护合规审计一定要考虑到行业特性和场景化特点,采用自动化工具提升审计效能,促进个人信息合理利用,督促个人信息处理者规范个人信息处理活动,提升个人信息处理者个人信息保护水平,切实保障个人合法权益。
(文章来源:CCIA数据安全工作委员会)