內(nèi)部審計如何推進GDPR的遵循

鮑麗 譯

一、GDPR介紹及其對亞洲企業(yè)的影響

GDPR是歐盟制定的關(guān)于數(shù)據(jù)保護和個人隱私的法規(guī)，任何處理歐盟公民個人信息的組織都必須遵守法規(guī)的各種不同條款。由于適用法規(guī)的領(lǐng)土范圍擴延到以歐盟公民為貿(mào)易目標(biāo)的組織，因此，它會影響到與歐盟公民有貿(mào)易往來的亞洲企業(yè)。此外，通過合作伙伴使業(yè)務(wù)實體與歐盟及其公民發(fā)生貿(mào)易往來的亞洲企業(yè)也要遵循GDPR。為更好地遵循GDPR，受影響企業(yè)必須深入分析企業(yè)內(nèi)部如何加工、處理和管理所獲取的歐盟公民個人數(shù)據(jù)。

GDPR常用術(shù)語說明

數(shù)據(jù)控制者：決定個人數(shù)據(jù)處理目的、條件和方式的實體。

數(shù)據(jù)處理者：代表數(shù)據(jù)控制者對數(shù)據(jù)進行處理的實體。

數(shù)據(jù)保護官：獨立確保實體遵循GDPR政策和程序要求的數(shù)據(jù)隱私專家。

個人數(shù)據(jù)：與自然人或“數(shù)據(jù)主體”相關(guān)的、能直接或間接識別個人身份的任何信息。

數(shù)據(jù)主體：個人數(shù)據(jù)被數(shù)據(jù)控制者或數(shù)據(jù)處理者處理的自然人。

數(shù)據(jù)處理：對個人數(shù)據(jù)實施的任何操作（不論是否采用自動化方式），包括收集、使用、記錄等。

二、內(nèi)部審計如何推進GDPR的遵循

內(nèi)部審計可以在確保企業(yè)達到GDPR合規(guī)要求的過程中發(fā)揮重要作用?？梢韵蚱髽I(yè)強調(diào)不符合合規(guī)要求帶來的風(fēng)險，幫助企業(yè)分析和規(guī)劃數(shù)據(jù)流，或者通過出具評估報告來識別與法規(guī)的差距，從而降低風(fēng)險，并實施適當(dāng)?shù)难a救程序?！拔宀椒ā笨晒﹥?nèi)部審計部門參考，如圖1所示。

圖1 “五步法”流程圖

（一）強調(diào)不合規(guī)風(fēng)險

目前，很多組織還沒有意識到GDPR對他們是適用的。內(nèi)部審計首先需要主動采取的行動之一是提請董事會或風(fēng)險管理委員會注意不符合合規(guī)要求將給企業(yè)帶來的風(fēng)險，如全球年營業(yè)額4%的高額罰款、名譽損害或被法院起訴等，這些風(fēng)險可能會嚴重損害組織利益。一旦潛在風(fēng)險得到確認，內(nèi)部審計人員必須為企業(yè)是否遵循GDPR提供一定程度的保證和警示，這符合內(nèi)部審計最大程度降低企業(yè)風(fēng)險的職業(yè)角色。如果企業(yè)達不到GDPR的合規(guī)要求，將會面臨嚴重后果。

內(nèi)部審計人員必須深入研究GDPR條款及其對企業(yè)產(chǎn)生的影響。實施GDPR差距評估能夠確認哪些條款企業(yè)已經(jīng)遵循，以及還需做哪方面的額外努力，企業(yè)才能符合全部合規(guī)要求。

（二）界定適用條款

假定組織已經(jīng)意識到GDPR對他們是適用的，并且映射了所有被處理的個人數(shù)據(jù)。在解決GDPR差距評估報告反映的問題前，內(nèi)部審計人員可以再界定GDPR的哪些條款在企業(yè)適用性方面發(fā)揮關(guān)鍵作用。至于哪些條款適用取決于多種因素，包括被處理數(shù)據(jù)的類型、聘用的數(shù)據(jù)處理員、數(shù)據(jù)主體的類型等。

（三）實施差距評估

一份GDPR差距評估報告包含企業(yè)必須遵守的相關(guān)且適用的GDPR條款。關(guān)鍵條款需要特別關(guān)注，具體包括以下方面：

1.數(shù)據(jù)保護官（DPO）及配備。GDPR規(guī)定，如果組織屬于公共權(quán)威部門或團體，或者組織的核心活動涉及規(guī)律且系統(tǒng)的監(jiān)控數(shù)據(jù)或大批量處理特殊類別數(shù)據(jù)（如敏感數(shù)據(jù)），則必須任命一名數(shù)據(jù)保護官。

2.法律依據(jù)和處理的合法性。為使處理行為合法化，組織必須確定法律依據(jù)來處理個人數(shù)據(jù)（比如獲取數(shù)據(jù)主體的同意）。

3.數(shù)據(jù)管理。GDPR要求完善的數(shù)據(jù)管理流程。鑒于內(nèi)部審計的監(jiān)督作用，內(nèi)部審計人員應(yīng)該評價、驗證并提供關(guān)于數(shù)據(jù)管理措施的建議，比如數(shù)據(jù)流的映射、不同類型個人信息的識別、訪問權(quán)限管理等。

4.合同義務(wù)和數(shù)據(jù)傳輸。GDPR第28條包含一系列特定要求，控制者須將這些要求包含在他們與處理者簽訂的合同中（比如關(guān)于數(shù)據(jù)保留、數(shù)據(jù)獲取、數(shù)據(jù)安全或參與法規(guī)遵守等方面的要求）。內(nèi)部審計的作用是查驗與數(shù)據(jù)處理合同和數(shù)據(jù)傳輸相關(guān)的條款是否已被遵守。

5.風(fēng)險評估和風(fēng)險降低。評估組織特有的風(fēng)險概況并采取適當(dāng)措施來降低安全風(fēng)險，不但能使企業(yè)符合GDPR的合規(guī)要求（定期風(fēng)險評估要求的一部分），也能降低數(shù)據(jù)違規(guī)的風(fēng)險。

6.數(shù)據(jù)泄露提醒。GDPR規(guī)定所有組織有義務(wù)向相關(guān)監(jiān)管機構(gòu)報告某些類型的個人數(shù)據(jù)泄露。當(dāng)個人數(shù)據(jù)泄露可能嚴重威脅自然人的權(quán)利和自由時，數(shù)據(jù)控制員必須第一時間將數(shù)據(jù)泄露的情況告知數(shù)據(jù)主體。

7.記錄處理活動。目前，以一種有意義的粒度級存儲方式記錄組織的處理活動是GDPR的強制要求。

8.數(shù)據(jù)主體權(quán)利。GDPR提出了一系列在特殊情況下可行使的特定數(shù)據(jù)主體權(quán)利。

9.數(shù)據(jù)保護。依據(jù)眾所周知的網(wǎng)絡(luò)安全標(biāo)準（如ISO、NIST等），內(nèi)部審計人員可以驗證組織是否實施了足夠的保護措施以確保個人數(shù)據(jù)的安全。

鑒于GDPR會影響一個典型組織的很多活動和功能，內(nèi)部審計人員應(yīng)該調(diào)查以下部門的處理活動：

1.銷售部門——因為他們收集和使用顧客的個人信息。

2.人事部門——因為他們處理員工的個人信息。

3.法律部門——因為他們了解需要遵守的相關(guān)條款，并且管理需要包含數(shù)據(jù)保護條款的合同。

4.采購部門——因為服務(wù)提供商可能也需要符合GDPR的合規(guī)要求。

5.涉及個人數(shù)據(jù)的業(yè)務(wù)運營部門——因為他們處理、使用或公布個人數(shù)據(jù)。

6.IT部門——因為他們負責(zé)保護組織各個系統(tǒng)中的數(shù)據(jù)。

（四）成熟度聲明和隱私規(guī)劃圖評價

實施差距評估之后，內(nèi)部審計人員要對組織應(yīng)該計劃達到的合規(guī)水平提供建設(shè)性意見。成熟度聲明應(yīng)以企業(yè)的風(fēng)險偏好和容忍度為依據(jù)，并且作為個人隱私和數(shù)據(jù)保護體系的制定基礎(chǔ)。

在差距評估期間，管理層將優(yōu)先考慮已識別的差距，并將這些差距按順序列入以確保符合GDPR合規(guī)要求為目標(biāo)的隱私規(guī)劃圖中。接下來，內(nèi)部審計人員可以對隱私規(guī)劃圖進行評價，并確保制定完善的措施來滿足各種不同的合規(guī)義務(wù)。

（五）定期評估合規(guī)性

通過定期評估，內(nèi)部審計能夠向管理機構(gòu)證實前期確認的差距已得到糾正，同時證明適用的GDPR條款已得到遵守。

此外，循環(huán)性內(nèi)部審計將使主要利益相關(guān)方（董事會、風(fēng)險委員會、首席運營官、數(shù)據(jù)保護官、首席信息官等）能夠跟蹤所實施措施的有效性、反映組織是否嚴格執(zhí)行隱私規(guī)劃圖以及強調(diào)哪些合規(guī)義務(wù)仍然沒有得到遵守。

GDPR已經(jīng)帶來了一系列變化，主要是公司風(fēng)險管理程序的改變?？紤]到涉及的風(fēng)險和義務(wù)，對公司來說這無疑是一個需要謹慎管理的領(lǐng)域。在企業(yè)的GDPR合規(guī)化進程中，內(nèi)部審計人員比以往任何時候都更能發(fā)揮作用，應(yīng)該大步向前，迎難而上。