个人信息 | 从金融机构角度谈个人信息保护合规内审机制的搭建（二） - 新鲜讯息

本文作者：张善奋律师

上一期，在《》中，笔者聊到了什么是个人信息保护合规审计，个人信息保护合规审计的定位、个人信息保护合规审计的现状、为何要单独搭建个人信息保护合规内审机制等话题。

这一期，笔者想继续聊聊如何搭建个人信息保护合规内审机制。

个人信息保护合规内审，与传统内审体系、程序等不会存在很大区别，传统内审遵循的工作原则、框架、流程等，个人信息保护合规内审中都会继承。但是，个人信息因其自身的特殊性，在具体操作上有所不同，而这些不同点，是搭建个人信息保护合规内审机制时建议重点关注的。笔者今天就其中三点展开聊聊：

一、审计内容上的特殊性

传统内审项目中，一般是不包含个人信息保护相关内容的。即便在金融消保的专项内审中，个人信息保护的评价要素一般也不超过5%。

个人信息保护合规审计内容有其特殊性，根据国家标准《数据安全技术个人信息保护合规审计要求（征求意见稿）》，笔者将审计内容整理并总结为18个大类，包括合法性基础条件、处理规则、第三方合作、个人信息处理、个人信息删除、个人信息跨境、个人信息公开、未成年人权益保护、个人行使个人信息权益的权利保障、内部管理制度和操作规程、组织架构及职责分工、安全技术措施、个人信息安全事件应急响应及处置机制、教育培训计划的制定和实施、个人信息保护影响评估、监督机制等。其中，笔者认为，前16大类应当纳入金融机构日常性个人信息保护合规内审工作内容。（具体如下图）

当然，上述审计内容是通用型的，适用于所有企业，金融机构还应当根据其自身特点，添加审计内容，比如银行、信保等金融机构，建议将征信业务相关要求纳入个人信息保护合规审计内容；或者根据金融监管规定细化审计内容，比如审计个人信息删除权保障问题时，笔者在一文中提到过，保险数据的保存和删除问题，不仅要考虑国标中提到的必要性、合同约定、个人撤回同意、法律规定等因素，还要考虑金融监管部门的现行有效规定。

二、审计方式上的特殊性

传统的内审方式，主要是通过访谈、文件检查、现场核查、函证、询问、分析、穿行测试、控制性测试等方式来开展。这些方式仍然可以使用到个人信息保护合规审计中。但我们必须看到一个事实，那就是，在数字化经济时代，被审计内容已经从财务报表转向了个人信息，从纸质文件转向了代码。传统的文件检查、访谈、函证、询问、现场核查等方式有效性在降低，笔者认为，系统日志分析、测试，甚至是一些新技术的投入，可能更有用武之地。

1、加强系统日志分析在审计中的作用

比如，审计人员要如何验证抽样数据中每个客户的个人信息向第三方提供前是否获得单独同意？笔者认为，从逻辑上，至少应当将涉及个人信息的、带有时间戳的两个系统日志调出来对比：即“向第三方提供的时间”和“单独获得个人同意的时间”。“单独获得个人同意的时间”应当早于“向第三方提供信息的时间”才是合理的。

虽然，系统日志分析仍然停留在对静态信息分析的阶段，但是笔者认为，在系统日志真实的前提下，加强对系统日志的分析更具有客观性和可行度。

2、加强穿行、控制性或实质性测试等审计方式

对于个人信息保护情况的审计，很重要的一个逻辑线是个人信息的生命周期管理。采用测试的方式，可以让审计人员在较为接近实际生产环境的条件下，通过追踪个人信息的收集、存储、使用、传输、共享、销毁等处理活动全过程，分析经过所有流程和环节后的结果与设计要求的对比差异。

虽然，金融机构由于对安全性要求较高，一般都是在测试环境下进行测试。但是只要测试环境与生产环境尽可能的接近，那么测试的有效性、测试结果的可信度也是有较高价值的。

3、借助区块链存证、审计大模型等技术增强内审能力

如果金融机构在业务搭建时，已经在部分流程中采用了区块链存证技术，那么内部审计时就可以充分利用该技术并应用于审计证据的采集。例如，如果业务流程中已经对各个时点关于“个人同意”完成了区块链存证，那么利用区块链的不可篡改的特点，就能够保证获取“个人同意”的电子证据的真实性和可回溯性，也可以大大降低审计取证及验证的难度。

审计大模型是另一种基于大数据和人工智能技术的新型审计方法，虽然笔者认为尚未成熟，尤其是在个人信息保护合规审计这种领域，但是值得内审部门开始关注。毕竟，构建一个适用于金融机构内部的审计大模型是需要一个过程的，这个过程，还会涉及数据收集、预处理、模型训练、模型调试等若干个环节。

二、团队搭建上的特殊性

从上文可知，个人信息保护合规审计工作，无论是审计内容，还是审计方式上，与传统审计是有区别的。

现实中，金融机构的总部一般都设有专门的内审部门或岗位，但是常驻内审部门的人员以财务性审计技能为主，小部分较大的机构总部会有单独的IT审计部门或人员。传统财务型内审人员往往不具备数据相关的知识储备，不理解数据的流转方式，也不了解相关业务模式。而传统的IT审计人员，虽然懂信息技术的知识，但是对个人信息保护方面的法律法规、监管规定不了解，对相关合规要点把握不住。这就导致个人信息保护合规内部工作的开展遇到了技能性缺口。

所以，在搭建个人信息保护合规内审机制时，适当的配备具备融合性能力的人才是必要的。只有既能充分理解个人信息保护的合规要点，又懂得数据/信息技术方面的知识，才能真正做好个人信息保护合规内审工作。

在最新发布的《网络数据安全管理条例》中，第52条规定，“个人信息保护合规审计、重要数据风险评估、重要数据出境安全评估等应当加强衔接，避免重复评估、审计。”可见，个人信息保护合规审计与重要数据风险评估、重要数据出境安全评估等列为同等重要的安全性工作。第27条中，更是明确要求“网络数据处理者应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计。”可见，个人信息保护合规内审工作，是个人信息保护合规审计机制中的重要部分，尤其是对于强监管的金融行业来说，搭建个人信息保护合规内部审计机制尤为必要。

以往同类文章：