内部审计如何推进GDPR的遵循

鲍丽 译

一、GDPR介绍及其对亚洲企业的影响

GDPR是欧盟制定的关于数据保护和个人隐私的法规，任何处理欧盟公民个人信息的组织都必须遵守法规的各种不同条款。由于适用法规的领土范围扩延到以欧盟公民为贸易目标的组织，因此，它会影响到与欧盟公民有贸易往来的亚洲企业。此外，通过合作伙伴使业务实体与欧盟及其公民发生贸易往来的亚洲企业也要遵循GDPR。为更好地遵循GDPR，受影响企业必须深入分析企业内部如何加工、处理和管理所获取的欧盟公民个人数据。

GDPR常用术语说明

数据控制者：决定个人数据处理目的、条件和方式的实体。

数据处理者：代表数据控制者对数据进行处理的实体。

数据保护官：独立确保实体遵循GDPR政策和程序要求的数据隐私专家。

个人数据：与自然人或“数据主体”相关的、能直接或间接识别个人身份的任何信息。

数据主体：个人数据被数据控制者或数据处理者处理的自然人。

数据处理：对个人数据实施的任何操作（不论是否采用自动化方式），包括收集、使用、记录等。

二、内部审计如何推进GDPR的遵循

内部审计可以在确保企业达到GDPR合规要求的过程中发挥重要作用。可以向企业强调不符合合规要求带来的风险，帮助企业分析和规划数据流，或者通过出具评估报告来识别与法规的差距，从而降低风险，并实施适当的补救程序。“五步法”可供内部审计部门参考，如图1所示。

图1 “五步法”流程图

（一）强调不合规风险

目前，很多组织还没有意识到GDPR对他们是适用的。内部审计首先需要主动采取的行动之一是提请董事会或风险管理委员会注意不符合合规要求将给企业带来的风险，如全球年营业额4%的高额罚款、名誉损害或被法院起诉等，这些风险可能会严重损害组织利益。一旦潜在风险得到确认，内部审计人员必须为企业是否遵循GDPR提供一定程度的保证和警示，这符合内部审计最大程度降低企业风险的职业角色。如果企业达不到GDPR的合规要求，将会面临严重后果。

内部审计人员必须深入研究GDPR条款及其对企业产生的影响。实施GDPR差距评估能够确认哪些条款企业已经遵循，以及还需做哪方面的额外努力，企业才能符合全部合规要求。

（二）界定适用条款

假定组织已经意识到GDPR对他们是适用的，并且映射了所有被处理的个人数据。在解决GDPR差距评估报告反映的问题前，内部审计人员可以再界定GDPR的哪些条款在企业适用性方面发挥关键作用。至于哪些条款适用取决于多种因素，包括被处理数据的类型、聘用的数据处理员、数据主体的类型等。

（三）实施差距评估

一份GDPR差距评估报告包含企业必须遵守的相关且适用的GDPR条款。关键条款需要特别关注，具体包括以下方面：

1.数据保护官（DPO）及配备。GDPR规定，如果组织属于公共权威部门或团体，或者组织的核心活动涉及规律且系统的监控数据或大批量处理特殊类别数据（如敏感数据），则必须任命一名数据保护官。

2.法律依据和处理的合法性。为使处理行为合法化，组织必须确定法律依据来处理个人数据（比如获取数据主体的同意）。

3.数据管理。GDPR要求完善的数据管理流程。鉴于内部审计的监督作用，内部审计人员应该评价、验证并提供关于数据管理措施的建议，比如数据流的映射、不同类型个人信息的识别、访问权限管理等。

4.合同义务和数据传输。GDPR第28条包含一系列特定要求，控制者须将这些要求包含在他们与处理者签订的合同中（比如关于数据保留、数据获取、数据安全或参与法规遵守等方面的要求）。内部审计的作用是查验与数据处理合同和数据传输相关的条款是否已被遵守。

5.风险评估和风险降低。评估组织特有的风险概况并采取适当措施来降低安全风险，不但能使企业符合GDPR的合规要求（定期风险评估要求的一部分），也能降低数据违规的风险。

6.数据泄露提醒。GDPR规定所有组织有义务向相关监管机构报告某些类型的个人数据泄露。当个人数据泄露可能严重威胁自然人的权利和自由时，数据控制员必须第一时间将数据泄露的情况告知数据主体。

7.记录处理活动。目前，以一种有意义的粒度级存储方式记录组织的处理活动是GDPR的强制要求。

8.数据主体权利。GDPR提出了一系列在特殊情况下可行使的特定数据主体权利。

9.数据保护。依据众所周知的网络安全标准（如ISO、NIST等），内部审计人员可以验证组织是否实施了足够的保护措施以确保个人数据的安全。

鉴于GDPR会影响一个典型组织的很多活动和功能，内部审计人员应该调查以下部门的处理活动：

1.销售部门——因为他们收集和使用顾客的个人信息。

2.人事部门——因为他们处理员工的个人信息。

3.法律部门——因为他们了解需要遵守的相关条款，并且管理需要包含数据保护条款的合同。

4.采购部门——因为服务提供商可能也需要符合GDPR的合规要求。

5.涉及个人数据的业务运营部门——因为他们处理、使用或公布个人数据。

6.IT部门——因为他们负责保护组织各个系统中的数据。

（四）成熟度声明和隐私规划图评价

实施差距评估之后，内部审计人员要对组织应该计划达到的合规水平提供建设性意见。成熟度声明应以企业的风险偏好和容忍度为依据，并且作为个人隐私和数据保护体系的制定基础。

在差距评估期间，管理层将优先考虑已识别的差距，并将这些差距按顺序列入以确保符合GDPR合规要求为目标的隐私规划图中。接下来，内部审计人员可以对隐私规划图进行评价，并确保制定完善的措施来满足各种不同的合规义务。

（五）定期评估合规性

通过定期评估，内部审计能够向管理机构证实前期确认的差距已得到纠正，同时证明适用的GDPR条款已得到遵守。

此外，循环性内部审计将使主要利益相关方（董事会、风险委员会、首席运营官、数据保护官、首席信息官等）能够跟踪所实施措施的有效性、反映组织是否严格执行隐私规划图以及强调哪些合规义务仍然没有得到遵守。

GDPR已经带来了一系列变化，主要是公司风险管理程序的改变。考虑到涉及的风险和义务，对公司来说这无疑是一个需要谨慎管理的领域。在企业的GDPR合规化进程中，内部审计人员比以往任何时候都更能发挥作用，应该大步向前，迎难而上。