摘 要:在大数据时代,个人隐私数据的泄露已经成为常态化。诸多相关法律法规的出台展现了国家对于个人数据的重视,开展个人隐私保护审计有利于更好地实现对个人数据的保护。而在企业内实施个人隐私保护审计,有利于从信息采集的源头上对个人隐私进行保护。本文从内部审计角度出发,从开展个人隐私保护审计的必要性、实施方式、目前面临的困境及对于个人隐私保护审计的建议几个方面来论述,以期推动个人隐私保护审计体系的建立。
关键词:个人隐私保护;内部审计;对策建议
一、研究背景
(一)个人隐私的概念
基于大数据的背景,个人隐私主要是指个人的网络空间留下的可识别的各种信息,而保护个人隐私则是指个人留在互联网上的痕迹、数据、信息不被他人监控,具体包括身份证号、指纹、银行账号、通信记录等。虽然有上述定义,但是隐私的概念和定义很大程度上会有个体差异,不能用统一的标准进行定义。
(二)隐私保护相关法律
目前,在我国涉及个人信息保护的法律和政策文件有:《中华人民共和国网络安全法》《信息安全技术个人信息安全规范》《数据安全法》《中华人民共和国侵权责任法》《中华人民共和国民法总则》《征信业管理条例》《国务院关于印发促进大数据发展行动纲要的通知》《中华人民共和国消费者权益保护法》以及在2021年通过的《中华人民共和国个人信息保护法》等,都涉及对个人信息的保护。从各项法规政策文件的制定实施可以看出国家对于个人信息保护的重视程度。从法律角度来看,建立个人信息合规体系,对个人信息开展保护已经成为现代企业需要完成的一项法律义务。
(三)安全性与隐私性的区别
安全性与隐私性两者存在区别。隐私和安全性一起构成了建立信任的基础,确保组织的安全性是保护个人隐私的基础,隐私需要有效的安全性。但安全性的有效并不能保证个人隐私受到完全的保护,隐私性会受到安全性故障的威胁。因此,在确保个人隐私安全的同时正确地使用个人信息,才能保护个人隐私。
二、企业开展隐私保护审计的必要性
企业内部审计也应将个人隐私保护纳入审计的范围。企业内部开展的个人隐私审计主要是指内审部门依据法律法规对企业处理个人隐私信息及有关资料的活动进行监督评价。保护用户的个人隐私是企业需要承担的责任,组织实施个人隐私保护审计对于企业具有重大的意义。首先,个人隐私审计有助于保护用户的隐私,为顾客提供更好的服务。其次,有助于增强用户对企业的信任,树立企业良好的品牌形象,形成良性循环,提高竞争力。再次,有助于降低数据流动风险,梳理相关控制流程的合理性和有效性。如若不能妥当地保护用户的个人隐私数据,隐私数据的泄露对个人来说,可能会危害人身安全和财产安全。对企业来说,可能会在短时间内给企业的声誉上带来巨大的打击,包括引发法律纠纷,造成经济损失,甚至影响社会的治安。由此可见,在企业内实施个人隐私保护审计是有必要的。
三、开展个人隐私审计的方式
目前大部分企业并未开展个人隐私保护审计,由于个人隐私保护审计涉及的范围广、情况复杂、风险高,企业的内部审计师应结合企业的财务能力、内审架构、企业的风险偏好等方面,综合考虑确定审计目标,具体可以从以下几个方面开展个人隐私审计:
首先,确定企业经营管理行为的法律界限。由于很多法律文件对于个人信息的保护都有涉及,并且各行各业涉及个人隐私数据范围是不同的,有些行业的监管部门已经制定了相关的政策。因此内部审计师需要考虑企业的实际情况,合理地衔接不同的法律法规和政策文件,选取适用的法规政策、规范性文件,以免出现政策过严难以实现,或是政策宽松形同虚设的情况。
其次,检查企业审计框架的完整性。企业是否根据信息收集的原则,制定容易实施的相关内部管理制度和数据安全合规体系,采取科学的信息安全规范和隐私保护措施,具体包括取得用户的同意、明确收集隐私的目的、数据获取权限的设置、数据访问的限制、问责机制的建立、个人信息处理活动的监测、信息风险的评估、安全风险的预判等。
再次,检查企业政策的实际执行到位。企业是否将方案落地落实,判断制度的有效性,是否能够检测出潜在的违规风险;是否建立个人隐私保护的举报调查、合规考核、教育培训、风险防控有效性评价等机制,将责任具体切实落实在个人,为个人隐私保护制度的落实提供保障。
最后,与信息技术专家联系了解企业的自动化审计系统情况。企业是否建立个人信息风险管理、访问控制权限、数据保护控制、数据传输安全保障等机制,并对其合理性有效性进行定期检查和评估。
个人隐私保护审计在我国才刚刚起步,这并不是一蹴而就的。因此,企业内审部门要根据企业的自身情况,与其他部门相互合作,整合资源,履行确认和咨询职责,开展个人隐私保护审计,逐步推动隐私保护工作。
四、个人隐私审计面临的挑战
(一)个人隐私保护的范围难以界定
个人隐私的概念会受到信息技术发展的影响,并且这是一个具有主观色彩的词汇,在界定是否属于个人隐私时还要考虑不同人的特性和背景。因此,隐私的边界比较模糊,个人隐私中哪些属于敏感数据很难界定。
(二)侵犯个人隐私的主体难以认定
个人隐私泄露的方式复杂多样,可能是企业储存不善流出、员工为了私利贩卖、多重数据重新组合构建等方式。再加上网络是一个匿名化的世界,这使得隐私受到伤害的个人难以收集有效证据,即使受害人通过截图、备份等手段取得证据,但数据时刻都处于流动状态的,无法判定最初的个人隐私数据泄露的来源,找到真正的侵犯个人隐私的主体。因此,如何判定是谁侵犯了个人隐私面临着极大的挑战。
(三)管理个人隐私数据变得更加困难
企业主要涉及个人隐私信息的包括收集、存储、使用、传输、销毁等多方面的管理。在收集个人信息时,如何保证收集的信息符合最小化原则;在存储个人信息时,企业都有足够的技术保证个人的隐私信息不会被盗用或者是非法访问;在使用个人信息时,应该如何设置合理的数据获取和访问控制权限,在对不同等级数据进行分类分级管理的同时提高管理效率;在传输信息时,如何保证数据传输过程中的完整性,既在隐藏个人隐私数据的同时又保证数据的效用;在销毁数据时,如何保证数据被完全销毁,不会被重新恢复。
(四)个人隐私保护的技术挑战
某一单独的个人信息数据可能不会暴露用户隐私,但是由于网络数据是能够长期保存的,并且数据和数据之间具有关联性。在不限制数据被二次利用的情况下,不同的信息汇集成一起,用户的隐私将被暴露,但这种隐形的数据泄露往往是不可预测的。因此,企业要考虑如何在不损害数据使用性的情况下,建立个人隐私保护规则。
五、开展个人隐私审计的建议
(一)提高企业内部审计隐私管理意识
企业是用户信息数据的使用主体,在企业发展与个人隐私保护中发挥关键的作用。目前诸多的个人信息泄露的案件都反映出企业对于个人信息的保护不到位,不重视。如果企业不重视对用户个人隐私的保护,不仅是违反法律法规的,更会在数字市场中损失用户对于企业的信任,使用户更加青睐于隐私保护水平更好的同类型企业。企业应当充分意识到保护用户的个人隐私数据,不仅能够给企业带来正面的社会效益,而且还会提高企业的经济效益。因此,企业要发挥主观能动性,积极保护用户个人隐私数据,加强对个人隐私保护相关法律法规的重视,遵守基本的法律法规,增强社会责任感。
(二)提高人员的个人隐私保护意识
首先,应当加强员工数据安全和个人隐私保护的意识,制定关于个人信息保护的手册。通过对数据管理关键岗位的员工签署保密协议,进行定期的培训考核,制定操作指南,保存培训和考核记录等方式约束员工的行为。此外,内部审计人员也要进一步树立个人信息保护意识,在企业开展的其他审计项目时,如涉及个人隐私的审计事项,要考虑是否需要从个人信息保护的视角进一步开展审计工作。
(三)注重综合性人才的培养
大数据时代,为了保护用户隐私和信息安全,企业需要培养人才、开发程序拥有自己的技术。而个人数据加密升级都是使用代码和命令进行操作。因此,审计团队中需要具有既了解审计又了解企业信息技术知识的人员,才能有效地监管数据流通的全过程,以便于更好地开展个人隐私保护审计。企业需要加强对内部审计人员信息技术相关知识的培训工作,提升其审计专业技能。
六、结束语
目前个人隐私泄露已经成为常态化,虽然已经有很多相关法律的出台,但还缺乏较为完善的制度。个人隐私的保护并不仅仅是靠国家监督,也需要公民提高隐私保护意识,避免个人隐私数据的泄露,同时运用法律的武器监督企业,保护自己的隐私数据。(文 / 黎煜璇)
(作者简介:黎煜璇,南京审计大学政府审计学院,研究生。)
参考文献
[1]张铤,程乐.大数据背景下公民隐私保护的困境及其对策[J].中州学,2021(02):92-95.
[2]韩伟.数字经济中的隐私保护与支配地位滥用[J].中国社会科学院研究生院学报,2020(01):37-45.
[3]黄月婷.大数据时代个人信息权保护路径探究[J].兵团党校学报,2019(02):99-103.
[4]谢琳.大数据时代个人信息边界的界定[J].学术研究,2019(03):69-75.
- 本文固定链接: http://www.dlqsyzz.com/7698.html
- 转载请注明: 《大陆桥视野》 于 大陆桥视野 发表