中国的《个人信息保护法》规定了个人信息保护合规审计制度,但具体操作细则尚在制定中。此前的《个人信息保护合规审计管理办法》征求意见稿已公布,但正式稿尚未发布。在这一背景下,我们通过本文简要梳理了英国的数据保护审计制度,看看作为目前国际上较为成熟的数据保护合规实践之一,英国ICO的数据保护审计是如何运作的,以期助益于中国的个人信息保护合规审计制度的构建完善。
01 英国数据保护合规审计的法律依据
在个人数据保护方面,英国现行有效的法律规定是Data Protection Act 2018(以下称“《2018数据保护法》),其中关于”数据保护审计“的规定主要在第129条、第146条。
第129条规定了”自愿审计“制度,根据该条款:专员在征得控制者或处理者同意的情况下,具有权力进行评估,以确定控制者或处理者是否在个人数据处理方面遵守良好实践。评估结果应当通知数据控制者或处理者。
第146条规定了”强制审计“制度,根据该条款:专员可以通过书面通知(评估通知)要求控制者或处理者允许进行评估,以确定其是否遵守数据保护法规。
ICO指出,在上述两类审计方式中,他们主要根据《数据保护法》第129条的规定进行自愿审计。审计活动主要由ICO的Assurance Department具体负责。
02 为什么要进行数据保护审计
对于数据控制者或处理者而言,进行数据保护审计有以下益处:
有助于提高对数据保护、一般信息安全和网络安全的认识;
展示组织对数据保护和个体权利的承诺和认识的重要性;
高水平的个人数据保护合规性有助于组织通过建立与公众和消费者的信任来创新和提供优质服务;
有机会免费使用ICO的资源;
对数据保护政策和实践的独立保证;
识别数据保护风险并提供实际、务实、组织特定的建议来解决这些风险;
与经过培训、经验丰富、合格的员工分享知识,并改善与ICO的工作关系;
使组织有信心负责任地使用个人数据,创新并支持经济增长。
审计的要点是确定数据控制者或处理者是否实施了管理个人数据处理的政策和程序,以及个人数据处理是否符合这些政策和程序。
在审计之前,ICO将与数据控制者或处理者协商确定要涵盖的范围。范围可能考虑到与数据控制者或处理者有关的任何数据保护问题或风险,这些问题或风险可能是根据ICO的情报或组织自身的关切确定的,和/或可能影响其特定行业或组织更广泛的任何数据保护问题或风险。
ICO将提出建议,以帮助组织降低不合规风险,并减少对个体以及采取针对数据控制者或处理者违反数据保护法的监管行动的可能性的伤害。
在完成审计后,Assurance Department将提供一份报告,为每个涵盖的范围区域提供一个评级;侧重于弱点和最大风险或已识别的特别良好实践领域的观察和发现;以及优先级评定的建议,以解决薄弱点和风险。他们还将提供报告的执行摘要。最终报告的执行摘要将在ICO网站上发布。
03 如何通过风险评估确定审计对象
ICO的信息专员通常根据其掌握的信息来判断和识别高风险的数据处理主体,例如:报告的违规事件、信息专员收到的投诉的数量和性质、控制者的年度报告和其他公开信息、商业舆情等。通过这项风险分析工作,信息专员将制定相应的数据保护审计计划。
在针对控制者的审计计划和风险评估将基于对个人自由和权利的潜在风险或可能性的评估,该评估将考虑以下一个或多个因素:
控制者的合规“历史”,基于向信息专员提出的投诉和控制者的回应;
控制者“自报”的违规事件和控制者确定的纠正措施;
与控制者的沟通,突显合规控制的不足和/或对数据保护法规的理解薄弱;
商业情报,如公共领域的新闻报道,突显控制者在个人数据处理方面存在问题,并来自其他监管机构的信息;
由控制者发布的内部控制报告和/或其他信息,突显个人数据处理中存在的问题;
针对与数据保护和个人数据处理相关的内部或外部审计;
数据保护费用和历史记录;
在公众担心隐私可能受到威胁的情况下,新系统或流程的实施;
正在处理的个人数据的数量和性质;
已识别和相关的外部认证的证据;
非合规可能对个人产生的感知影响;
其他相关信息,例如“吹哨者”报告和由控制者进行的数据保护影响评估。
在确定不合规对个人的潜在影响时,将考虑以下因素:可能受影响的个人数量;正在处理的数据的性质和敏感性;以及不合规可能导致的损害或痛苦的性质和程度。
04 审 计 方 法
01.审计前的沟通
一旦确定审计,ICO的负责部门将安排一个介绍性的会议或电话会议来讨论审计过程。将商定审计各要素的具体日期;其将与数据控制者或处理者合作,尽量减小对其日常工作的影响。在介绍性会议上,将使用一份草案的委托函作为议程,以制定审计范围并设定适当的时间框架。
在介绍性电话会议上,将与数据控制者或处理者一起商定审计范围;它将考虑到当前已知的任何风险、通用的数据保护问题,以及关于数据保护政策和程序可能存在的任何组织特定的关切。
可能涵盖的审计范围包括:
数据保护治理和问责制;
员工数据保护培训和意识;
个人数据安全;
个体权利请求;
信息共享;
记录管理;以及
数据保护影响评估和信息风险管理。
在介绍性会议之前,审计团队将与ICO同事联系,获取关于可能影响审计范围的组织的一般主题/投诉的背景和背景信息。
在介绍性会议后的几天内,ICO负责部门将发出一份正式的委托函,以反映讨论和商定的审计范围。
02.文件审查
在审计之前,ICO将要求被审计组织提供与商定范围领域相关的必要政策和程序。这些可能包括数据保护政策文件;员工处理敏感数据的操作指南或手册;数据保护培训模块;风险登记;信息资产登记;信息治理结构,处理活动记录和类似。这些文件将用于指导审计的方向,并将在预定的审计日期前在ICO的办公室进行审查。
在预定的审计日期前,可能会对关键人员进行面试,以进一步评估组织已经建立的控制的设计有效性。ICO还可能要求操作数据和用于管理服务水平协议或绩效的关键绩效指标,以了解对流程的遵守情况。
03.审计草案和最终报告
关于数据保护审计的草案报告通常将在计划的审计日期后的10个工作日内发布。报告将载明:
为每个范围领域提供保证评级;
详细说明不符合项及相关风险;以及
包括可能减轻风险的优先级建议。
组织将被要求接受、部分接受或拒绝建议,并完成一份行动计划,说明建议将由谁在何时以何种方式实施。然后将发布最终报告,并发表执行摘要。
对于处理大量个人数据的控制者或处理者而言,为期两天或三天的检查不能被视为是决定性的,最终报告的发现和建议应始终在这个背景下加以考虑。最终报告的内容是ICO来决定的,它表明在特定时间点,相对于已同意的范围领域,关于组织的数据保护法规政策和程序的保证水平。
在审计后,ICO将在其官方网站上发布关于审计情况的执行摘要。
审计之后,审计团队将与数据的控制者或处理者联系,安排在审计结束时商定的任何后续活动。后续审计是指数据的控制者或处理者展示了在原始审计后完成的工作。ICO将特别注意确保紧急和高优先级的建议已经得到(或正在)解决。如果没有解决,其可能会根据ICO的监管行动政策考虑进一步的行动。
对于已完成的后续活动,ICO将为组织制作一份报告,但ICO不会发布后续执行摘要,而是会在网站上添加一个简短的声明,表明数据的控制者或处理者已经完成了哪些后续工作。
05 关于ICO数据保护审计的常见问题
ICO数据保护审计需要花费很多时间吗?
ICO努力将对数据的控制者或处理者的干扰最小化,其使用一个单一的联系点,与数据的控制者或处理者商定时间,并要求他们提供面试日程安排。通常,审计不会超过一周,报告的制作日期在委托函中已经商定。
ICO数据保护审计费用是多少?
ICO的审计是免费的。
数据控制者或处理者是否能向ICO提供关于审计的反馈?
为了确保审计的流程是相关且有效的,ICO将在每次审计后向组织发布反馈问卷,ICO将利用这些信息来改进其审计程序。
ICO是否始终发布报告?
ICO将发布执行摘要,仅包含审计的背景、整体审计意见、良好实践领域和需要改进的领域。详细的调查情况不会被公开。
ICO审计的保密性如何?
ICO的任何成员都受到法律约束,根据2018年《数据保护法》第132条,在专业保密职责下不得透露任何信息。
ICO审计团队的执法行动怎么样?
信息专员视审计为积极和教育性的过程,以支持对数据保护法规的一致性,同时鼓励良好实践。然而,在极少数情况下并取决于违规的类型和严重程度,当在审计过程中发现严重的不合规行为时,信息专员保留利用其执法权力的权利。
ICO审计团队是否具备资质?
ICO审计团队在入职时都接受内部审计培训,并随后可能获得或努力获得ISO27001:2013信息安全主任审计员资格,这是信息安全的行业标准。他们还可能具有一系列技能和背景,包括数据保护案件工作、质量管理、业务改进、警务、银行业、IT服务和财务审计。
数据控制者或处理者是否可以主动要求进行审计?
是的。每年都会有一些数据控制者或处理者主动与ICO联系要求审计,希望从ICO的知识和技能中受益。不过,ICO将优先基于其风险评估情况确定审计对象。
ICO审计时是否会依据其他法规?
ICO对2018年《数据保护法》、《隐私和电子通信条例》(PECR)、《信息自由法》(FOIA)、《调查权法》(IPA)进行审计,同时还会对信息权利与其他法规重叠的情况进行审计,如《数字经济法》(DEA)。
(本文作者:北京观韬中茂(上海)律师事务所 王敏)
声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。