《個(gè)人信息保護(hù)法》中第五十四條及第六十四條明確指出，個(gè)人信息處理者應(yīng)當(dāng)定期對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)，必要時(shí)候，可要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)。

　　審計(jì)起源于「南海泡沫」，即在1720年春天到秋天之間，脫離常軌的投資狂潮引發(fā)的股價(jià)暴漲和暴跌，以及之后的大混亂。該股票在4個(gè)月時(shí)間從100多英鎊漲到1000多4166am金沙英鎊，然后用5個(gè)月左右的時(shí)間又跌回去了，期間投資者趨之若鶩，其中包括半數(shù)以上的參眾議員，國(guó)王亦禁不住誘惑，連物理學(xué)家牛頓都喪失理智，虧了2萬(wàn)多英鎊。

　　審計(jì)繁榮于現(xiàn)代公司治理架構(gòu)，企業(yè)所有權(quán)與治理權(quán)分離提升了審計(jì)的重要性。也產(chǎn)生了審計(jì)的三大理論，代理理論、信息理論、保險(xiǎn)理論。

　　代理理論：股東持有資金，但是完全不懂會(huì)計(jì)知識(shí)。股東委托總經(jīng)理幫助管理公司，此時(shí)，應(yīng)如何防止股東被精通會(huì)計(jì)的總經(jīng)理騙的團(tuán)團(tuán)轉(zhuǎn)?正確答案是，請(qǐng)審計(jì)公司幫忙進(jìn)行審計(jì)，也即核賬。

　　信息理論：在股市上，大家互相缺乏信任，因?yàn)樗泄緯?huì)對(duì)外公布說(shuō)自身是盈利的，但是股民如何才能獲知哪家公司才是真正的盈利者？

　　由于真假信息混同，一家真正盈利的公司，即使在告知公眾自身的盈利狀態(tài)，也未必獲取公眾的信任，此時(shí)應(yīng)當(dāng)如何破局？

　　企業(yè)可以聘請(qǐng)一個(gè)審計(jì)師，通過(guò)審計(jì)師發(fā)布信息給股民，告知股民企業(yè)的真實(shí)盈利狀態(tài)。

　　保險(xiǎn)理論：會(huì)計(jì)準(zhǔn)則復(fù)雜，很多上市公司自身并不具備熟悉的會(huì)計(jì)知識(shí)，一旦不小心違反相關(guān)法律及行業(yè)規(guī)定該怎么辦？

　　此時(shí)上市公司可以聘請(qǐng)審計(jì)事務(wù)所，進(jìn)行風(fēng)險(xiǎn)轉(zhuǎn)移，一旦上市公司賬目出現(xiàn)問(wèn)題，法律風(fēng)險(xiǎn)可以劃分到審計(jì)所，由審計(jì)所承擔(dān)。

　　審計(jì)可以分為第一方審計(jì)（內(nèi)審）、第二方審計(jì)（供應(yīng)商審計(jì)）、第三方審計(jì)（獨(dú)立審計(jì)）三種。

　　內(nèi)部審計(jì)是指由本單位內(nèi)部專門(mén)的審計(jì)機(jī)構(gòu)和人員對(duì)本單位財(cái)務(wù)收支和經(jīng)營(yíng)活動(dòng)實(shí)施的獨(dú)立審查和評(píng)價(jià)。

　　供應(yīng)商審計(jì)是指企業(yè)采購(gòu)部門(mén)負(fù)責(zé)與外部供應(yīng)商就采購(gòu)訂單和合同進(jìn)行談判，在合同中確定「有權(quán)審計(jì)條款」，保證企業(yè)有權(quán)在某些情況下對(duì)供應(yīng)商提供的產(chǎn)品的生產(chǎn)成本等資料進(jìn)行審計(jì)。

　　數(shù)據(jù)合規(guī)審計(jì)重點(diǎn)關(guān)注政策&流程的完備性與政策&流程的遵從性這兩個(gè)部分。對(duì)政策及流程的完備性進(jìn)行審計(jì)，需要注意以下幾個(gè)主要風(fēng)險(xiǎn)點(diǎn)：

　　企業(yè)若未按要求建立個(gè)人信息保護(hù)合規(guī)制度體系，包括個(gè)人信息保護(hù)內(nèi)部管理制度和操作規(guī)程，以及專門(mén)制定未滿十四周歲未成年人的個(gè)人信息處理細(xì)則及個(gè)人信息跨境提供細(xì)則，將涉及合規(guī)風(fēng)險(xiǎn)。

　?、畚床扇“踩夹g(shù)措施。未采取網(wǎng)絡(luò)安全、計(jì)算機(jī)環(huán)境安全、應(yīng)用和數(shù)據(jù)安全等基礎(chǔ)安全控制措施，未采取加密、去標(biāo)識(shí)化等安全技術(shù)措施，未合理分配個(gè)人信息處理的操作權(quán)限，造成未經(jīng)授權(quán)訪問(wèn)個(gè)人信息，以及個(gè)人信息泄露、篡改、丟失等，均屬于未采取安全技術(shù)措施。

　　個(gè)人信息處理者應(yīng)當(dāng)制定個(gè)人信息保護(hù)安全培訓(xùn)計(jì)劃，定期對(duì)相關(guān)從業(yè)人員開(kāi)展適當(dāng)?shù)慕逃团嘤?xùn)。

　　⑤未制定和實(shí)施應(yīng)急預(yù)案。企業(yè)應(yīng)當(dāng)制定并組織實(shí)施個(gè)人信息安全事件應(yīng)急預(yù)案，發(fā)生個(gè)人泄露、篡改、丟失等事件時(shí)，及時(shí)處置和采取補(bǔ)救措施，通知履行個(gè)人信息保護(hù)職責(zé)的部門(mén)和個(gè)人。

　?、尬催M(jìn)行個(gè)人信息保護(hù)影響評(píng)估。個(gè)人信息處理者在開(kāi)展對(duì)個(gè)人權(quán)益有重大影響的個(gè)人信息處理活動(dòng)前，應(yīng)當(dāng)按要求對(duì)個(gè)人信息處理活動(dòng)進(jìn)行事前評(píng)估，并對(duì)處理情況進(jìn)行記錄及保存。

　　⑦缺少獨(dú)立定期監(jiān)督，未明確平臺(tái)義務(wù)。對(duì)于提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者，應(yīng)當(dāng)建立健全的個(gè)人信息保護(hù)合規(guī)制度體系，同時(shí)按照要求使用外部獨(dú)立機(jī)構(gòu)對(duì)組織個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督，明確平臺(tái)的個(gè)人信息保護(hù)規(guī)范和義務(wù)，定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告。

　?、辔窗匆笤O(shè)置個(gè)人信息保護(hù)負(fù)責(zé)人。個(gè)人信息處理者應(yīng)當(dāng)根據(jù)自身情況合理制定個(gè)人信息保護(hù)負(fù)責(zé)人，負(fù)責(zé)對(duì)個(gè)人信息處理活動(dòng)以及采取的措施等進(jìn)行監(jiān)督，并將個(gè)人信息保護(hù)負(fù)責(zé)人的聯(lián)系方式進(jìn)行適當(dāng)?shù)墓_(kāi)和報(bào)送。

　　①策劃。審計(jì)策劃需要確定年度審計(jì)重點(diǎn)，關(guān)注高風(fēng)險(xiǎn)場(chǎng)景、國(guó)家（針對(duì)跨國(guó)企業(yè)），可以從企業(yè)外部環(huán)境進(jìn)行分析，如地緣政治、執(zhí)法熱點(diǎn)等。審計(jì)策劃大致分為以下五部分：

　?、奂m正措施及跟蹤驗(yàn)證。在糾正及跟蹤驗(yàn)證階段，企業(yè)應(yīng)當(dāng)遵循以下步驟，才可及時(shí)查找錯(cuò)誤，并驗(yàn)證改正措施的有效性。

　　首先，責(zé)任部門(mén)分析不合格原因;其次，責(zé)任部門(mén)提出糾正措施建議并實(shí)施整改; 再次，責(zé)任部門(mén)記錄糾正措施完成情況; 最后，內(nèi)審員驗(yàn)證糾正措施的有效性，同時(shí)要附上證明材料復(fù)印件。

　　④沿著數(shù)據(jù)處理活動(dòng)進(jìn)行全生命周期開(kāi)展審計(jì)時(shí)，要明確各階段的審計(jì)清單。以數(shù)據(jù)收集階段為例，重點(diǎn)關(guān)注以下風(fēng)險(xiǎn)點(diǎn)：

　　a未保證數(shù)據(jù)收集活動(dòng)的合法正當(dāng)性。通過(guò)誤導(dǎo)、欺詐、脅迫等方式及非法渠道收集個(gè)人信息，未通過(guò)合同協(xié)議等方式明確第三方機(jī)構(gòu)個(gè)人信息獲取的合法性和個(gè)人信息真實(shí)性的，均屬于違規(guī)行為。

　　b個(gè)人信息收集缺少合法性基礎(chǔ)。收集個(gè)人信息的行為應(yīng)符合法律、行政法規(guī)規(guī)定，事前取得個(gè)人同意，搜集信息應(yīng)基于履行法定職責(zé)或法定義務(wù)所必需。

　　c缺少個(gè)人信息收集的明確告知?；趥€(gè)人同意收集個(gè)人信息的，未經(jīng)過(guò)明確告知的情況下收集個(gè)人信息。如基于隱私政策、告知同意書(shū)等個(gè)人信息處理規(guī)則的告知方式內(nèi)容不真實(shí)、不準(zhǔn)確、不完整、不易訪問(wèn)、不清晰易懂，缺少適當(dāng)?shù)母潞屯ㄖ?，均屬于違規(guī)行為。

　　d未獲得個(gè)人的同意。基于個(gè)人同意收集個(gè)人信息的，通過(guò)各種方式收集個(gè)人信息前未獲得個(gè)人同意，如通過(guò) SDK 代碼插件收集、使用手機(jī)系統(tǒng)權(quán)限（例如相機(jī)、麥克風(fēng)、位置)等，均屬于違規(guī)行為。

　　e超范圍收集?；趥€(gè)人同意收集個(gè)人信息的，實(shí)際收集的個(gè)人信息不應(yīng)超出個(gè)人同意的范圍。

　　f變更后未重新獲得個(gè)人同意?；趥€(gè)人同意收集個(gè)人信息的，個(gè)人信息的處理目的、處理方式和處理的個(gè)人信息種類發(fā)生變更后，應(yīng)當(dāng)重新獲取個(gè)人同意。

　　g敏感個(gè)人信息收集未獲得單獨(dú)同意。針對(duì)敏感個(gè)人信息的收集，企業(yè)應(yīng)當(dāng)事前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估，獲取個(gè)人的單獨(dú)同意。法律、行政法規(guī)規(guī)定處理敏感個(gè)人信息，應(yīng)當(dāng)獲得個(gè)人的書(shū)面同意。

　　h未向個(gè)人告知處理敏感個(gè)人信息的必要性以及對(duì)個(gè)人權(quán)益的影響?；趥€(gè)人同意收集敏感個(gè)人信息時(shí)，應(yīng)向個(gè)人告知處理敏感個(gè)人信息的必要性以及對(duì)個(gè)人權(quán)益的影響。

　　i未成年人信息收集未獲得監(jiān)護(hù)人授權(quán)同意。針對(duì)不滿十四周歲未成年人個(gè)人信息的收集，需要獲取未成年人的父母或者其他監(jiān)護(hù)人的同意。

　　j間接收集的個(gè)人信息未獲得個(gè)人同意。針對(duì)間接收集的個(gè)人信息，應(yīng)當(dāng)明確個(gè)人信息提供方已獲得個(gè)人的同意，包括使用目的，個(gè)人是否同意轉(zhuǎn)讓共享等。

　　K未提供同意授權(quán)撤回方式或者撤回困難。基于個(gè)人關(guān)于推進(jìn)個(gè)人信息保護(hù)合規(guī)審計(jì)的若干建議人同意收集個(gè)人信息的，應(yīng)提供給個(gè)人撤回其同意的功能或者方法，或者為撤回制造不合理操作步驟和障礙。

　　相關(guān)審計(jì)人員應(yīng)專門(mén)學(xué)習(xí)《個(gè)人信息保護(hù)法》、《數(shù)據(jù)安全法》、《網(wǎng)絡(luò)安全法》等法律知識(shí)，另外，進(jìn)行業(yè)務(wù)學(xué)習(xí)，學(xué)習(xí)包括產(chǎn)品開(kāi)發(fā)流程、業(yè)務(wù)運(yùn)營(yíng)流程、項(xiàng)目組會(huì)議紀(jì)要、業(yè)務(wù)運(yùn)營(yíng)報(bào)告等具體知識(shí)。

　　開(kāi)展APP合規(guī)審計(jì)，應(yīng)先確定人員名單。審計(jì)工作組全員、APP開(kāi)發(fā)團(tuán)隊(duì)項(xiàng)目經(jīng)理、主要共功能模塊產(chǎn)品經(jīng)理、業(yè)務(wù)運(yùn)營(yíng)團(tuán)隊(duì)關(guān)鍵成員、IT運(yùn)維團(tuán)隊(duì)關(guān)鍵成員等均應(yīng)被納入其中。

　　在該環(huán)節(jié)，應(yīng)著重關(guān)注產(chǎn)品研發(fā)流程文件、流程執(zhí)行記錄、具體的產(chǎn)品文檔，包括 DI 清單、數(shù)據(jù)流向圖、隱私文檔、 PIA 報(bào)告、測(cè)試報(bào)告等。另外，查看產(chǎn)品是否有隱藏的數(shù)據(jù)收集功能、產(chǎn)品方案是否通過(guò)數(shù)據(jù)合規(guī)評(píng)審（ PIA ）、合規(guī)風(fēng)險(xiǎn)是否閉環(huán)、是否通過(guò)安全測(cè)試、測(cè)試風(fēng)險(xiǎn)是否全部閉環(huán)。

　　此環(huán)節(jié)將涉及的文檔包括：運(yùn)營(yíng)流程、運(yùn)營(yíng)報(bào)告、相關(guān)系統(tǒng)權(quán)限清單、關(guān)鍵人員系統(tǒng)使用記錄、產(chǎn)品文檔。此時(shí)，應(yīng)重點(diǎn)審查實(shí)際的數(shù)據(jù)處理活動(dòng)是否與隱私政策一致、系統(tǒng)權(quán)限設(shè)置是否合理、數(shù)據(jù)分享/對(duì)外提供/跨境是否簽署相關(guān)協(xié)議等內(nèi)容。

　　此環(huán)節(jié)涉及的文檔包括：運(yùn)維流程、運(yùn)維報(bào)告、相關(guān)系統(tǒng)權(quán)限清單、系統(tǒng)操作審批記錄等，除重點(diǎn)關(guān)注上述文件外，應(yīng)注意IT系統(tǒng)運(yùn)維操作是否均按照流程操作執(zhí)行、數(shù)據(jù)存儲(chǔ)到期后是否按時(shí)進(jìn)行刪除/匿名化。

　　進(jìn)行 APP 合規(guī)審計(jì)還應(yīng)注意數(shù)據(jù)主體請(qǐng)求（ DSR ）處理規(guī)范性及定期進(jìn)行數(shù)據(jù)泄露事件處理及演練。

　　隨著大數(shù)據(jù)技術(shù)飛速發(fā)展和應(yīng)用，數(shù)據(jù)安全以及合規(guī)性面臨著新挑戰(zhàn)。系統(tǒng)全面的數(shù)據(jù)合規(guī)隱患排查有利于保障企業(yè)數(shù)據(jù)安全，提升企業(yè)合規(guī)管理水平。

　　公司各相關(guān)部門(mén)應(yīng)積極排查合規(guī)風(fēng)險(xiǎn)，制定整改計(jì)劃并開(kāi)展整改工作，定期組織匯報(bào)工作進(jìn)展，積極推動(dòng)合規(guī)審計(jì)措施的有效落地。

　　今天下午3:00，iLaw直播間邀請(qǐng)?jiān)谌A為有8年合規(guī)管理工作經(jīng)驗(yàn)的張風(fēng)老師分享數(shù)據(jù)合規(guī)管理體系初探，通過(guò)理論、案例學(xué)習(xí)，幫助大家掌握數(shù)據(jù)合規(guī)管理體系各模塊的建設(shè)和運(yùn)作要點(diǎn)。