內部審計如何推進GDPR的遵循

鮑麗 譯

一、GDPR介紹及其對亞洲企業的影響

GDPR是歐盟制定的關于數據保護和個人隱私的法規，任何處理歐盟公民個人信息的組織都必須遵守法規的各種不同條款。由于適用法規的領土范圍擴延到以歐盟公民為貿易目標的組織，因此，它會影響到與歐盟公民有貿易往來的亞洲企業。此外，通過合作伙伴使業務實體與歐盟及其公民發生貿易往來的亞洲企業也要遵循GDPR。為更好地遵循GDPR，受影響企業必須深入分析企業內部如何加工、處理和管理所獲取的歐盟公民個人數據。

GDPR常用術語說明

數據控制者：決定個人數據處理目的、條件和方式的實體。

數據處理者：代表數據控制者對數據進行處理的實體。

數據保護官：獨立確保實體遵循GDPR政策和程序要求的數據隱私專家。

個人數據：與自然人或“數據主體”相關的、能直接或間接識別個人身份的任何信息。

數據主體：個人數據被數據控制者或數據處理者處理的自然人。

數據處理：對個人數據實施的任何操作（不論是否采用自動化方式），包括收集、使用、記錄等。

二、內部審計如何推進GDPR的遵循

內部審計可以在確保企業達到GDPR合規要求的過程中發揮重要作用?？梢韵蚱髽I強調不符合合規要求帶來的風險，幫助企業分析和規劃數據流，或者通過出具評估報告來識別與法規的差距，從而降低風險，并實施適當的補救程序。“五步法”可供內部審計部門參考，如圖1所示。

圖1 “五步法”流程圖

（一）強調不合規風險

目前，很多組織還沒有意識到GDPR對他們是適用的。內部審計首先需要主動采取的行動之一是提請董事會或風險管理委員會注意不符合合規要求將給企業帶來的風險，如全球年營業額4%的高額罰款、名譽損害或被法院起訴等，這些風險可能會嚴重損害組織利益。一旦潛在風險得到確認，內部審計人員必須為企業是否遵循GDPR提供一定程度的保證和警示，這符合內部審計最大程度降低企業風險的職業角色。如果企業達不到GDPR的合規要求，將會面臨嚴重后果。

內部審計人員必須深入研究GDPR條款及其對企業產生的影響。實施GDPR差距評估能夠確認哪些條款企業已經遵循，以及還需做哪方面的額外努力，企業才能符合全部合規要求。

（二）界定適用條款

假定組織已經意識到GDPR對他們是適用的，并且映射了所有被處理的個人數據。在解決GDPR差距評估報告反映的問題前，內部審計人員可以再界定GDPR的哪些條款在企業適用性方面發揮關鍵作用。至于哪些條款適用取決于多種因素，包括被處理數據的類型、聘用的數據處理員、數據主體的類型等。

（三）實施差距評估

一份GDPR差距評估報告包含企業必須遵守的相關且適用的GDPR條款。關鍵條款需要特別關注，具體包括以下方面：

1.數據保護官（DPO）及配備。GDPR規定，如果組織屬于公共權威部門或團體，或者組織的核心活動涉及規律且系統的監控數據或大批量處理特殊類別數據（如敏感數據），則必須任命一名數據保護官。

2.法律依據和處理的合法性。為使處理行為合法化，組織必須確定法律依據來處理個人數據（比如獲取數據主體的同意）。

3.數據管理。GDPR要求完善的數據管理流程。鑒于內部審計的監督作用，內部審計人員應該評價、驗證并提供關于數據管理措施的建議，比如數據流的映射、不同類型個人信息的識別、訪問權限管理等。

4.合同義務和數據傳輸。GDPR第28條包含一系列特定要求，控制者須將這些要求包含在他們與處理者簽訂的合同中（比如關于數據保留、數據獲取、數據安全或參與法規遵守等方面的要求）。內部審計的作用是查驗與數據處理合同和數據傳輸相關的條款是否已被遵守。

5.風險評估和風險降低。評估組織特有的風險概況并采取適當措施來降低安全風險，不但能使企業符合GDPR的合規要求（定期風險評估要求的一部分），也能降低數據違規的風險。

6.數據泄露提醒。GDPR規定所有組織有義務向相關監管機構報告某些類型的個人數據泄露。當個人數據泄露可能嚴重威脅自然人的權利和自由時，數據控制員必須第一時間將數據泄露的情況告知數據主體。

7.記錄處理活動。目前，以一種有意義的粒度級存儲方式記錄組織的處理活動是GDPR的強制要求。

8.數據主體權利。GDPR提出了一系列在特殊情況下可行使的特定數據主體權利。

9.數據保護。依據眾所周知的網絡安全標準（如ISO、NIST等），內部審計人員可以驗證組織是否實施了足夠的保護措施以確保個人數據的安全。

鑒于GDPR會影響一個典型組織的很多活動和功能，內部審計人員應該調查以下部門的處理活動：

1.銷售部門——因為他們收集和使用顧客的個人信息。

2.人事部門——因為他們處理員工的個人信息。

3.法律部門——因為他們了解需要遵守的相關條款，并且管理需要包含數據保護條款的合同。

4.采購部門——因為服務提供商可能也需要符合GDPR的合規要求。

5.涉及個人數據的業務運營部門——因為他們處理、使用或公布個人數據。

6.IT部門——因為他們負責保護組織各個系統中的數據。

（四）成熟度聲明和隱私規劃圖評價

實施差距評估之后，內部審計人員要對組織應該計劃達到的合規水平提供建設性意見。成熟度聲明應以企業的風險偏好和容忍度為依據，并且作為個人隱私和數據保護體系的制定基礎。

在差距評估期間，管理層將優先考慮已識別的差距，并將這些差距按順序列入以確保符合GDPR合規要求為目標的隱私規劃圖中。接下來，內部審計人員可以對隱私規劃圖進行評價，并確保制定完善的措施來滿足各種不同的合規義務。

（五）定期評估合規性

通過定期評估，內部審計能夠向管理機構證實前期確認的差距已得到糾正，同時證明適用的GDPR條款已得到遵守。

此外，循環性內部審計將使主要利益相關方（董事會、風險委員會、首席運營官、數據保護官、首席信息官等）能夠跟蹤所實施措施的有效性、反映組織是否嚴格執行隱私規劃圖以及強調哪些合規義務仍然沒有得到遵守。

GDPR已經帶來了一系列變化，主要是公司風險管理程序的改變。考慮到涉及的風險和義務，對公司來說這無疑是一個需要謹慎管理的領域。在企業的GDPR合規化進程中，內部審計人員比以往任何時候都更能發揮作用，應該大步向前，迎難而上。