企業(yè)如何建立PIPA個人信息保護(hù)監(jiān)查體系

隨著信息技術(shù)及網(wǎng)絡(luò)技術(shù)的快速發(fā)展，信息的流通與使用變得越來越容易了。信息化在為我們提供便利生活的同時，也為我們增添了不少煩惱，利用高新技術(shù)竊取個人信息等問題接踵而至，人們經(jīng)常忍受著信息泄漏之煩惱。因此，對個人信息實施保護(hù)已經(jīng)成為國際社會普遍關(guān)注的問題。

為了加強(qiáng)對本企業(yè)所擁有的個人信息的保護(hù)，提升企業(yè)的市場競爭力和社會信譽(yù)度，一些企事業(yè)單位依據(jù)《軟件及信息服務(wù)業(yè)個人信息保護(hù)規(guī)范》(DB21/T 1522-2007)，開展了個人信息保護(hù)工作，并構(gòu)建了本單位的個人信息保護(hù)管理體系。目前國內(nèi)已有大連、北京、上海、沈陽等城市的近50家企事業(yè)單位通過了個人信息保護(hù)評價(Personal Information Protection Assessment，PIPA)。

在《軟件及信息服務(wù)業(yè)個人信息保護(hù)規(guī)范》的第7.2節(jié)明確了單位的個人信息保護(hù)管理體系應(yīng)建立內(nèi)部監(jiān)查機(jī)制，內(nèi)部監(jiān)查關(guān)系到個人信息保護(hù)管理體系能否正確運(yùn)行的關(guān)鍵所在。其重要的職能在于:首先，通過監(jiān)查發(fā)現(xiàn)本單位個人信息保護(hù)管理體系的不符合事項，對不符合事項提出改進(jìn)的意見和糾正的措施，并對實施的效果進(jìn)行跟蹤;其次，為單位個人信息保護(hù)管理體系的改善提供參考依據(jù)，監(jiān)查負(fù)責(zé)人應(yīng)有責(zé)任在國家相關(guān)的法律法規(guī)頒布和修改、單位業(yè)務(wù)領(lǐng)域及經(jīng)營范圍發(fā)生變化等情況下，向單位領(lǐng)導(dǎo)者提出為適應(yīng)社會的發(fā)展和業(yè)務(wù)的變化需要改進(jìn)的內(nèi)容，以保證管理體系適應(yīng)于新法令、新形勢。因而，內(nèi)部監(jiān)查機(jī)制是保障單位個人信息保護(hù)管理體系正常運(yùn)行的不可或缺的重要環(huán)節(jié)。

已通過PIPA評價的單位均按照《軟件及信息服務(wù)業(yè)個人信息保護(hù)規(guī)范》的要求，在個人信息保護(hù)組織機(jī)構(gòu)中設(shè)立了個人信息保護(hù)監(jiān)查人員，實施對本單位個人信息保護(hù)管理體系運(yùn)行狀況的監(jiān)查，但由于對監(jiān)查工作重要性認(rèn)識不足或缺乏一定的工作經(jīng)驗，不少單位的個人信息保護(hù)監(jiān)查工作存在著一定的問題，為了指導(dǎo)企業(yè)做好監(jiān)查，本文向已運(yùn)行或正準(zhǔn)備運(yùn)行個人信息保護(hù)管理體系的單位提供一些工作參考。

企業(yè)個人信息保護(hù)監(jiān)查體系的四大要點(diǎn)

對企業(yè)個人信息保護(hù)管理體系的監(jiān)查究竟應(yīng)該從什么時間開始，監(jiān)查的對象和監(jiān)查的范圍是什么，監(jiān)查體制的核心工作是什么，這是企業(yè)開展個人信息保護(hù)監(jiān)查工作首先應(yīng)該明確的問題。

監(jiān)查對象。監(jiān)查工作應(yīng)首先明確監(jiān)查的對象，監(jiān)查的對象及范圍應(yīng)確保沒有遺漏，可以從以下三個方面來考慮:從信息的角度來考慮，應(yīng)包括本單位進(jìn)行處理的全部個人信息;從業(yè)務(wù)的角度來考慮，應(yīng)包括與個人信息相關(guān)的全部業(yè)務(wù);從部門的角度來考慮，應(yīng)包括涉及個人信息處理業(yè)務(wù)的所有部門。

實施時間。運(yùn)行個人信息保護(hù)管理體系的單位應(yīng)按照《軟件及信息服務(wù)業(yè)個人信息保護(hù)規(guī)范》的要求有計劃地實施監(jiān)查，監(jiān)查工作啟動的時間應(yīng)與個人信息保護(hù)管理體系運(yùn)行的時間是相輔相成的，即個人信息保護(hù)體系開始的時間，就是監(jiān)查實施的時間。監(jiān)查時間確定的原則是:按照計劃，對運(yùn)行情況做定期監(jiān)查(每年至少一次);根據(jù)需要，對必要的事項進(jìn)行隨時監(jiān)查。

監(jiān)查人員責(zé)任及義務(wù)。監(jiān)查負(fù)責(zé)人具有獨(dú)立性，與個人信息保護(hù)負(fù)責(zé)人一樣直接受單位領(lǐng)導(dǎo)者的領(lǐng)導(dǎo)，并站在客觀、公正的立場上開展工作，其責(zé)任和義務(wù)是:

(1)由監(jiān)查負(fù)責(zé)人負(fù)責(zé)制定監(jiān)查計劃，并按照計劃進(jìn)行監(jiān)查，監(jiān)查結(jié)束后提交監(jiān)查報告，監(jiān)查報告應(yīng)指出在監(jiān)查中發(fā)現(xiàn)的問題，并提出改進(jìn)意見及建議，跟蹤改進(jìn)結(jié)果。

(2)為確保工作質(zhì)量，要求監(jiān)查人員不得兼任個人信息保護(hù)組織機(jī)構(gòu)中的其它職務(wù)，且不得監(jiān)查其所在的部門。

(3)監(jiān)查人員有責(zé)任監(jiān)查個人信息泄漏、不正當(dāng)使用等現(xiàn)象或隱患，但對相關(guān)內(nèi)容有保守秘密的義務(wù)，且離職后仍應(yīng)保守秘密。

實施流程。個人信息保護(hù)監(jiān)查工作是在監(jiān)查負(fù)責(zé)人的組織協(xié)調(diào)下完成的，應(yīng)有計劃、有目標(biāo)、有組織地實施，其實施流程是:

(1)制定監(jiān)查計劃。監(jiān)查負(fù)責(zé)人負(fù)責(zé)制定年度監(jiān)查計劃，并要得到單位領(lǐng)導(dǎo)者的同意。年度計劃經(jīng)單位領(lǐng)導(dǎo)者批準(zhǔn)后備案并發(fā)送到各部門。在無法預(yù)知的緊急情況下，監(jiān)查負(fù)責(zé)人應(yīng)具有對監(jiān)查必要性的判斷能力，并決定監(jiān)查的時間和場所。

(2)監(jiān)查前的準(zhǔn)備工作。實施內(nèi)部監(jiān)查前，監(jiān)查負(fù)責(zé)人應(yīng)在基本監(jiān)查計劃的基礎(chǔ)上，制定各部門的監(jiān)查計劃書，明確監(jiān)查的內(nèi)容并報單位領(lǐng)導(dǎo)者批準(zhǔn)。同時，監(jiān)查負(fù)責(zé)人向被監(jiān)查部門發(fā)送監(jiān)查通知書，明確具體的監(jiān)查時間，被監(jiān)查部門在接到通知后應(yīng)做好監(jiān)查前的準(zhǔn)備工作，并在本部門指定專人配合監(jiān)查人員的工作。

(3)實施監(jiān)查工作。實施監(jiān)查工作時，監(jiān)查人員應(yīng)做好如下工作:由監(jiān)查負(fù)責(zé)人主持召開監(jiān)查小組會議，按照已制定的監(jiān)查計劃書，布置本次監(jiān)查工作的任務(wù)及分工;監(jiān)查人員根據(jù)監(jiān)查計劃書的項目進(jìn)行現(xiàn)場監(jiān)查，監(jiān)查結(jié)束后將監(jiān)查記錄提交監(jiān)查負(fù)責(zé)人及被監(jiān)查部門的主管進(jìn)行確認(rèn);由監(jiān)查負(fù)責(zé)人主持召開講評會，宣讀監(jiān)查報告，報告中應(yīng)提出單位在個人信息保護(hù)方面的優(yōu)缺點(diǎn)，有關(guān)部門及相關(guān)人員參加會議，并對監(jiān)查報告的內(nèi)容進(jìn)行評審及認(rèn)可;對監(jiān)查中發(fā)現(xiàn)的不符合事項應(yīng)記載在不符合事項記錄表中，不符合事項記錄表應(yīng)詳細(xì)敘述不符合事項及針對該不符合事項制定的糾正措施及改進(jìn)的跟蹤，監(jiān)查報告與不符合事項記錄表應(yīng)提交單位領(lǐng)導(dǎo)者審核，批準(zhǔn)后發(fā)放給相關(guān)部門。

(4)跟進(jìn)。對監(jiān)查中發(fā)現(xiàn)的問題，相關(guān)部門應(yīng)按照單位領(lǐng)導(dǎo)者已認(rèn)可的糾正措施進(jìn)行改進(jìn)，監(jiān)查負(fù)責(zé)人有責(zé)任幫助其改進(jìn)與完善，并對所采取措施的符合性做出評價。

企業(yè)個人信息保護(hù)管理體系的監(jiān)查內(nèi)容

監(jiān)查對象確定后，那么針對監(jiān)查對象需要審查的內(nèi)容是什么?這是監(jiān)查負(fù)責(zé)人在制定監(jiān)查計劃書時涉及到的重要問題。對已通過PIPA認(rèn)證的單位的現(xiàn)場評審中不難看出，幾乎所有的單位在內(nèi)部監(jiān)查時都有或多或少的漏項，這一現(xiàn)象不僅影響了監(jiān)查的工作質(zhì)量，而且直接影響了個人信息保護(hù)管理體系的運(yùn)行效果，因此，保證內(nèi)部監(jiān)查不漏項是監(jiān)查負(fù)責(zé)人的第一責(zé)任。

為保證監(jiān)查工作的完整性和全面性，監(jiān)查負(fù)責(zé)人應(yīng)以國家相關(guān)的法律法規(guī)及行業(yè)規(guī)范(目前在軟件及信息服務(wù)業(yè)有《軟件及信息服務(wù)業(yè)個人信息保護(hù)規(guī)范》可參考)為基準(zhǔn)，精通單位的個人信息保護(hù)規(guī)章制度，并以此為切入點(diǎn)，使監(jiān)查工作能夠涵蓋本單位涉及個人信息的所有崗位、所有事項，具體的考慮以下幾個方面的因素:

對個人信息保護(hù)方針宣傳的監(jiān)查。個人信息保護(hù)方針是單位實施個人信息保護(hù)的基本準(zhǔn)則，是以文檔的形式對內(nèi)、對外宣傳的主要方式，監(jiān)查人員應(yīng)監(jiān)查個人信息保護(hù)方針對內(nèi)、對外的宣傳是否到位，目前公布的方針是否是最新版本。

對個人信息保護(hù)培訓(xùn)教育質(zhì)量與效果的監(jiān)查。個人信息保護(hù)培訓(xùn)教育是提高全體員工個人信息保護(hù)意識、增強(qiáng)員工個人信息保護(hù)責(zé)任的主要途徑，培訓(xùn)教育的范圍應(yīng)包括全體員工(正式員工、外派人員、臨時工、清潔工等)。該工作是由培訓(xùn)教育負(fù)責(zé)人組織和實施的，為保證培訓(xùn)教育的質(zhì)量，監(jiān)查人員應(yīng)對參加培訓(xùn)教育的人員情況、培訓(xùn)教育的效果及跟蹤教育等項內(nèi)容列為監(jiān)查對象。

對個人信息崗位責(zé)任的監(jiān)查。對個人信息崗位責(zé)任的監(jiān)查是個人信息監(jiān)查的重要環(huán)節(jié)，應(yīng)按照風(fēng)險分析中涉及的風(fēng)險點(diǎn)監(jiān)查相應(yīng)崗位是否按照已制定的安全保護(hù)措施運(yùn)行，如網(wǎng)絡(luò)(設(shè)備)管理崗位、人事管理崗位、業(yè)務(wù)處理崗位、出入管理崗位等等，要保證不遺漏一個崗位。

對技術(shù)及物理安全的監(jiān)查。技術(shù)物理安全主要是針對辦公環(huán)境和辦公設(shè)備的監(jiān)查，如員工桌面及四周有無隨意擺放與個人信息相關(guān)的資料、PC機(jī)及存儲設(shè)備的管理是否妥當(dāng)、網(wǎng)絡(luò)安全及病毒預(yù)防是否到位、業(yè)務(wù)數(shù)據(jù)收發(fā)是否安全等相關(guān)內(nèi)容。

對個人信息保護(hù)相關(guān)記錄的監(jiān)查。單位的個人信息保護(hù)管理制度中都有一套相應(yīng)的管理表格，它是個人信息保護(hù)管理體系運(yùn)行過程的重要記錄，是管理制度中重要的組成部分。然而，不少單位的監(jiān)查人員往往忽略或不重視對管理表格的審查，導(dǎo)致了管理上的漏洞。為提高對管理表格的監(jiān)查質(zhì)量，監(jiān)查人員應(yīng)熟知本單位所使用的與個人信息保護(hù)相關(guān)的所有管理表格，應(yīng)對記錄的實時更新、妥善管理等項目實施監(jiān)查。

總之，監(jiān)查是個人信息保護(hù)管理體系的重要組成部分，監(jiān)查不僅是對現(xiàn)有個人信息保護(hù)管理體系管理狀況的審查，也是對現(xiàn)有個人信息保護(hù)管理體系適應(yīng)性的審查，每一次監(jiān)查結(jié)束后，監(jiān)查負(fù)責(zé)人都要根據(jù)監(jiān)查的結(jié)果，總結(jié)管理體系存在的問題，提出需要完善和改進(jìn)的建議，以保證個人信息保護(hù)管理體系在運(yùn)行中不斷完善。