企業如何建立PIPA個人信息保護監查體系

隨著信息技術及網絡技術的快速發展，信息的流通與使用變得越來越容易了。信息化在為我們提供便利生活的同時，也為我們增添了不少煩惱，利用高新技術竊取個人信息等問題接踵而至，人們經常忍受著信息泄漏之煩惱。因此，對個人信息實施保護已經成為國際社會普遍關注的問題。

為了加強對本企業所擁有的個人信息的保護，提升企業的市場競爭力和社會信譽度，一些企事業單位依據《軟件及信息服務業個人信息保護規范》(DB21/T 1522-2007)，開展了個人信息保護工作，并構建了本單位的個人信息保護管理體系。目前國內已有大連、北京、上海、沈陽等城市的近50家企事業單位通過了個人信息保護評價(Personal Information Protection Assessment，PIPA)。

在《軟件及信息服務業個人信息保護規范》的第7.2節明確了單位的個人信息保護管理體系應建立內部監查機制，內部監查關系到個人信息保護管理體系能否正確運行的關鍵所在。其重要的職能在于:首先，通過監查發現本單位個人信息保護管理體系的不符合事項，對不符合事項提出改進的意見和糾正的措施，并對實施的效果進行跟蹤;其次，為單位個人信息保護管理體系的改善提供參考依據，監查負責人應有責任在國家相關的法律法規頒布和修改、單位業務領域及經營范圍發生變化等情況下，向單位領導者提出為適應社會的發展和業務的變化需要改進的內容，以保證管理體系適應于新法令、新形勢。因而，內部監查機制是保障單位個人信息保護管理體系正常運行的不可或缺的重要環節。

已通過PIPA評價的單位均按照《軟件及信息服務業個人信息保護規范》的要求，在個人信息保護組織機構中設立了個人信息保護監查人員，實施對本單位個人信息保護管理體系運行狀況的監查，但由于對監查工作重要性認識不足或缺乏一定的工作經驗，不少單位的個人信息保護監查工作存在著一定的問題，為了指導企業做好監查，本文向已運行或正準備運行個人信息保護管理體系的單位提供一些工作參考。

企業個人信息保護監查體系的四大要點

對企業個人信息保護管理體系的監查究竟應該從什么時間開始，監查的對象和監查的范圍是什么，監查體制的核心工作是什么，這是企業開展個人信息保護監查工作首先應該明確的問題。

監查對象。監查工作應首先明確監查的對象，監查的對象及范圍應確保沒有遺漏，可以從以下三個方面來考慮:從信息的角度來考慮，應包括本單位進行處理的全部個人信息;從業務的角度來考慮，應包括與個人信息相關的全部業務;從部門的角度來考慮，應包括涉及個人信息處理業務的所有部門。

實施時間。運行個人信息保護管理體系的單位應按照《軟件及信息服務業個人信息保護規范》的要求有計劃地實施監查，監查工作啟動的時間應與個人信息保護管理體系運行的時間是相輔相成的，即個人信息保護體系開始的時間，就是監查實施的時間。監查時間確定的原則是:按照計劃，對運行情況做定期監查(每年至少一次);根據需要，對必要的事項進行隨時監查。

監查人員責任及義務。監查負責人具有獨立性，與個人信息保護負責人一樣直接受單位領導者的領導，并站在客觀、公正的立場上開展工作，其責任和義務是:

(1)由監查負責人負責制定監查計劃，并按照計劃進行監查，監查結束后提交監查報告，監查報告應指出在監查中發現的問題，并提出改進意見及建議，跟蹤改進結果。

(2)為確保工作質量，要求監查人員不得兼任個人信息保護組織機構中的其它職務，且不得監查其所在的部門。

(3)監查人員有責任監查個人信息泄漏、不正當使用等現象或隱患，但對相關內容有保守秘密的義務，且離職后仍應保守秘密。

實施流程。個人信息保護監查工作是在監查負責人的組織協調下完成的，應有計劃、有目標、有組織地實施，其實施流程是:

(1)制定監查計劃。監查負責人負責制定年度監查計劃，并要得到單位領導者的同意。年度計劃經單位領導者批準后備案并發送到各部門。在無法預知的緊急情況下，監查負責人應具有對監查必要性的判斷能力，并決定監查的時間和場所。

(2)監查前的準備工作。實施內部監查前，監查負責人應在基本監查計劃的基礎上，制定各部門的監查計劃書，明確監查的內容并報單位領導者批準。同時，監查負責人向被監查部門發送監查通知書，明確具體的監查時間，被監查部門在接到通知后應做好監查前的準備工作，并在本部門指定專人配合監查人員的工作。

(3)實施監查工作。實施監查工作時，監查人員應做好如下工作:由監查負責人主持召開監查小組會議，按照已制定的監查計劃書，布置本次監查工作的任務及分工;監查人員根據監查計劃書的項目進行現場監查，監查結束后將監查記錄提交監查負責人及被監查部門的主管進行確認;由監查負責人主持召開講評會，宣讀監查報告，報告中應提出單位在個人信息保護方面的優缺點，有關部門及相關人員參加會議，并對監查報告的內容進行評審及認可;對監查中發現的不符合事項應記載在不符合事項記錄表中，不符合事項記錄表應詳細敘述不符合事項及針對該不符合事項制定的糾正措施及改進的跟蹤，監查報告與不符合事項記錄表應提交單位領導者審核，批準后發放給相關部門。

(4)跟進。對監查中發現的問題，相關部門應按照單位領導者已認可的糾正措施進行改進，監查負責人有責任幫助其改進與完善，并對所采取措施的符合性做出評價。

企業個人信息保護管理體系的監查內容

監查對象確定后，那么針對監查對象需要審查的內容是什么?這是監查負責人在制定監查計劃書時涉及到的重要問題。對已通過PIPA認證的單位的現場評審中不難看出，幾乎所有的單位在內部監查時都有或多或少的漏項，這一現象不僅影響了監查的工作質量，而且直接影響了個人信息保護管理體系的運行效果，因此，保證內部監查不漏項是監查負責人的第一責任。

為保證監查工作的完整性和全面性，監查負責人應以國家相關的法律法規及行業規范(目前在軟件及信息服務業有《軟件及信息服務業個人信息保護規范》可參考)為基準，精通單位的個人信息保護規章制度，并以此為切入點，使監查工作能夠涵蓋本單位涉及個人信息的所有崗位、所有事項，具體的考慮以下幾個方面的因素:

對個人信息保護方針宣傳的監查。個人信息保護方針是單位實施個人信息保護的基本準則，是以文檔的形式對內、對外宣傳的主要方式，監查人員應監查個人信息保護方針對內、對外的宣傳是否到位，目前公布的方針是否是最新版本。

對個人信息保護培訓教育質量與效果的監查。個人信息保護培訓教育是提高全體員工個人信息保護意識、增強員工個人信息保護責任的主要途徑，培訓教育的范圍應包括全體員工(正式員工、外派人員、臨時工、清潔工等)。該工作是由培訓教育負責人組織和實施的，為保證培訓教育的質量，監查人員應對參加培訓教育的人員情況、培訓教育的效果及跟蹤教育等項內容列為監查對象。

對個人信息崗位責任的監查。對個人信息崗位責任的監查是個人信息監查的重要環節，應按照風險分析中涉及的風險點監查相應崗位是否按照已制定的安全保護措施運行，如網絡(設備)管理崗位、人事管理崗位、業務處理崗位、出入管理崗位等等，要保證不遺漏一個崗位。

對技術及物理安全的監查。技術物理安全主要是針對辦公環境和辦公設備的監查，如員工桌面及四周有無隨意擺放與個人信息相關的資料、PC機及存儲設備的管理是否妥當、網絡安全及病毒預防是否到位、業務數據收發是否安全等相關內容。

對個人信息保護相關記錄的監查。單位的個人信息保護管理制度中都有一套相應的管理表格，它是個人信息保護管理體系運行過程的重要記錄，是管理制度中重要的組成部分。然而，不少單位的監查人員往往忽略或不重視對管理表格的審查，導致了管理上的漏洞。為提高對管理表格的監查質量，監查人員應熟知本單位所使用的與個人信息保護相關的所有管理表格，應對記錄的實時更新、妥善管理等項目實施監查。

總之，監查是個人信息保護管理體系的重要組成部分，監查不僅是對現有個人信息保護管理體系管理狀況的審查，也是對現有個人信息保護管理體系適應性的審查，每一次監查結束后，監查負責人都要根據監查的結果，總結管理體系存在的問題，提出需要完善和改進的建議，以保證個人信息保護管理體系在運行中不斷完善。