背景

随着数据成为了重要的资产,成为了生产要素,数据安全也越来越重要。2021年,我国陆续发布了《数据安全法》、《个人信息保护法》这些专门针对数据安全相关的法律,同时也陆续发布了管理办法,开始着手制定相关的支撑标准,当前数据安全合规要求成为了当前数据安全最急迫、最重要、最基本的数据安全工作。

在已发布的相关法律法规中,规定数据处理者需要针对自身所使用的数据情况开展审计合规审计工作,包括《个人信息保护法》“第五十四条 个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。”,《网络数据安全管理条例(征求意见稿)》“第五十三条 大型互联网平台运营者应当通过委托第三方审计方式,每年对平台数据安全情况…等进行年度审计,并披露审计结果。” 、“第五十八条 国家建立数据安全审计制度。数据处理者应当委托数据安全审计专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。…” ,这些法律法规都表明,数据安全合规审计的必要性。

尽管IT审计已经持续多年,但是在个人信息保护的合规审计工作需要从信息安全合规细化到数据安全合规,并且精确定位到对个人信息的处理,在这方面我国还处于探索阶段,审计方、安全厂商以及律所各方都发现在个人信息保护合规审计工作下的问题,都在积极探索如何才能帮助企业进行全面、透彻的审计工作。本文从当前个人信息保护合规审计工作的现状分析当前所遇到的问题,结合已有的经验和思考,给出一些解决的思路和建议,希望能对正在开展合规审计工作的企业有一定的帮助。

现象分析

现象一:企业对合规要求的理解不一,审计工作还处于探索阶段

由于《个人信息保护法》于2021年发布,发布还不到一年,司法部门、企业也处于逐渐摸索的阶段,尽管在某些领域,例如人脸识别的使用、算法管理等方面已有一些共识,但是还没有形成全面的司法解释以及最佳实践,因此企业在开展个人信息保护的合规工作时,对于业务的合规判断还有一定的不确定性。

企业的个人信息合规处于一个摸索阶段,针对合规的审计工作就更为困难了,当然,审计也是合规工作中的一部分,因此,审计工作需要与企业的合规实践同步摸索,而不是等合规指引明确之后才开始着手审计工作。

现象二:难以快速、持续性的开展合规审计工作以支撑不同的合规审计要求

根据《数据安全法》、《个人信息保护法》可以看出针对个人信息保护的合规审计工作将是一个常态化的工作,可以是自审计也可以是监管部门的强制审计,同时每个行业会由主管部门根据行业特点、个人信息保护情况建立更为具体、详细的审计体系,例如工信部发布的《工业和信息化领域数据安全管理办法(试行)》中规定,“第二十七条【安全审计】工业和电信数据处理者应当在数据全生命周期处理过程中,记录数据处理、权限管理、人员操作等日志。日志留存时间不少于六个月,定期进行安全审计,并形成审计报告,……。”因此,个人信息保护合规审计工作是一个持续化的工作,企业需要充分掌握自身的合规情况,随时做好迎接合规审计的准备,而不是每年开展一次性、临时性的审计工作。

从个人信息合规工作来看,合规审计是一个复杂的工作,尤其是个人细腻处理过程的合规审计几乎需要涉及企业内部的所有业务流程。一个大型企业的业务复杂,业务间交互众多,包括企业内部及企业与外部,这些业务系统是否有足够的证据来支撑数据处理过程的还原,是否有足够的证据证明这些采集的个人信息都是有合法性基础的,从目前的情况来看,并不是一个肯定的答案,因此当前企业的审计工作是一个证据不充分、审计工作复杂且审计投入较大的一个状态。这与审计的需求有巨大的冲突,而如何才能从当前的无序、不充分的状态到一个可随时、持续的审计的状态,是当前个人信息保护合规审计工作的难点。

现象三:难以深入、透彻的开展审计工作,全面的评估企业的合规状态

企业在进行个人信息合规保护主要需要关注3个方面,基本的安全管理义务、为个人信息主体提供对个人权利实现的方式以及个人信息处理过程的合规性,这三个方面都需要对企业进行深入的了解,不仅仅是原有的IT审计所涉及的组织管理制度、研发流程、系统的安全测试,还包括业务设计、系统设计等一系列深入企业业务流程的才能实现对企业个人信息保护状态的合规审计。而这不仅遵循原有的审计方法,还需要遵循审计工作的原则,根据个人信息保护合规审计的特点研究新的审计操作方式,来实现深入、透彻的合规审计工作。

思考与建议

一、个人信息的监管机构应考虑发布官方的数据合规指引

参考欧盟的GDPR的实施可以看出,法案自2017年发布,经过了2年左右的实践、司法解释以及公民维权才逐渐走向成熟,并形成了相对稳定、有共识的实践指南,欧盟也在此基础上出台了一系列的具体的实施指引,用来规范企业的合规工作,明确哪些处理方式、技术措施是有效的、合规的。

因此当前阶段,需要监管机构、司法部门、企业及相关合规支撑方(包括测评机构、安全厂商、审计机构等)多方共同努力,探索出最佳的合规实践,推动企业合规的实践指引落地。监管部门和司法部门需自顶向下的给出个人信息保护合规的具体目标和要求,企业及相关合规支撑方,自底向上的通过最佳实践来给监管部门、司法部门以实现情况及该种状态下的安全效果,最终综合考虑目标、结果形成合规的实施指引,推动企业落实个人信息保护合规措施。

二、审计机构推动合规审计的具体实施步骤及方法的落地

基于当前IT审计工作的完善性以及在个人信息保护合规审计方面的部分需要进一步细化的需求,笔者建议可以从两个方向逐步探索:

其一是,基于IT审计的原则、方法和步骤,分析在个人信息保护合规审计工作中的适用性,例如审计原则、基本方法和大致审计流程与传统IT审计完全一致,但是,从业务层面来进行合规审计需要哪些支撑材料,如何可以有效证明该业务的合规性是需要进一步细化和研究的。

其二是,常态化、持续化的审计工作在企业内部审计工作的组织架构、制度流程及工具需要结合企业的管理情况进一步细化研究,以实现在不影响业务正常运转的情况下,便捷高效地开展审计工作。

建议审计机构与企业共同探讨,探索出个人信息保护合规审计工作的具体实施流程和方法,并且推动该流程方法的标准化,使审计工作可以真正达到发现企业合规风险、敦促企业进行合规完善的目的。

三、企业及安全厂商推动使用合规审计工具来支撑常态化、清晰化的合规审计

在个人信息合规审计工作中,人为的审计既会由于审计人员的差异造成合规结果的不一、合规风险的发现不彻底,也会由于业务难以理解造成审计过程复杂,耗时长,难以支撑常态化、清晰化的合规审计工作,因此可以更多的通过工具来关联分析、记录越多的客观、可信的合规证据,这样就可以更好的支撑快速、透彻的审计。

合规审计工具的重点在于采集什么样的证据、如何采集证据、如何关联分析证据以支撑审计以及如何保全证据,企业及安全厂商可以共同推动审计工具的标准化工作,探讨企业需要通过哪些日志来证明自身的管理制度、措施以及处理流程是合规的,探讨如何分析这些日志是符合审计要求的,如何保全这些日志才可以作为审计证据。这样,推动工具化的个人信息保护合规审计,就可以更方便、客观、量化的来判断企业是否满足了合规要求,更好地达成企合规审计工作的目标。

(本文作者:卫士通信息产业股份有限公司 望娅露)

声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。