隐私管理

　　很多企业在风险管理方面面临一个极具挑战性的问题，即如何保护客户和雇员的隐私。如今，隐私保护已是一个全球性的议题。大多数企业都认识到良好的隐私控制的重要性。

　　1.概述

　　(1)责任者

　　隐私管理往往是组织风险管理的一部分，其最终责任在于董事会和高层管理者。内部审计师因工作关系在隐私管理中扮演了更直接的角色。

　　(2)隐私的定义及内容

　　《实务公告》“评估组织的隐私制度”中规定“隐私的定义根据组织所在国家的文化、政治环境、法律制度存在广泛的差异。相关的风险隐私信息包括：个人隐私(生理体和心理的空间隐私)不受监控沟通隐私(不受监管)，信息隐私(通过其他人收集，使用和披露个人信息)”。

　　个人信息通常是指与某个特定个人相关的信息，或能结合其他信息而具备辨识特征的信息。个人信息包括任何实际的或主观推断的信息，不论其是否记载或以何种媒介形式记载。个人信息可能包括：姓名，地址，身份证号，家庭关系;员工档案，评价，意见，社会身份地位或违纪处分;信用记录，收入，经济地位;健康状况。

　　(3)隐私漏洞

　　隐私是个风险管理问题，“保护个人隐私的适当控制的失败会给组织带来严重的后果”。潜在漏洞普遍存在，因为隐私跨越了组织设施的许多方面。组织的网站，网络服务，信息技术系统，数据库，应用，以及与外部服务提供商和第三方的网络联系都构成了隐私问题。

　　国际内审师红皮书——实务公告2130.A1-2信息的可靠性和完整性中针对此问题的相关标准：

　　内部审计部门必须评估下列针对组织内部治理、运营和信息系统等风险的控制的适当性和有效性。

　　总结：获取任何个人信息都会要求内部审计师遵守关于获取或使用个人信息的法律;内部审计师有能力通过设计保护个人信息的审计程序来避免一些个人信息隐私风险。例如：在某些情况下，内部审计师可以决定不将个人信息写入业务记录”。

　　(4)隐私法律、法规和指南

　　这些法律往往根据管辖权的不同而不同，应咨询法律顾问，以确保合规性。

　　《实务指南》“审计隐私风险”指出：良好的治理涉及识别组织的重大风险，例如，潜在个人信息的滥用、泄露和丢失，以及保证适当的控制以减小这些风险。

　　对企业来说，良好的隐私控制的益处包括：

　　①保护组织的公共形象和品牌;

　　②保护组织的客户和员工的宝贵数据;

　　③获取市场竞争优势;

　　④遵守适用的隐私保护法律和法规;

　　⑤提高公信力，促进信任和信誉。

　　对公共部门和非营利组织来说，良好的隐私控制的益处包括：

　　①维护公民和非公民的信任;

　　②通过尊重隐私保持与非营利组织的捐赠者的关系。

　　(5)消费者隐私权的保护

　　隐私权信息交流中心(简称PRC)是一个可以为消费者的隐私提供相关问题帮助的组织。这是一个非营利性消费者组织，为消费者提供信息和消费者权益保护。PRC的目标包括：

　　①提高保护个人隐私的警觉意识。

　　②提供保护隐私的实用技巧。

　　③让消费者采取行动保护自己的个人信息。

　　④回应消费者具体的与隐私相关的投诉并酌情提供帮助。

　　⑤将消费者的投诉记录在报告、证词和演讲中，使它们能够引起政策制定者、行业代表、消费者保护团体和媒体的重视。

　　⑥在公共政策程序中倡导保护消费者隐私权，包括立法证词、监管机构听证会、工作小组以及研究委员会。

　　⑦在会议、员工培训以及公民和社区团体会议中倡导保护消费者权益。

　　(6)全球法律和指导

　　许多国家都有隐私法，但也有的国家没有这类法律。由于国家之间的差异，诸如经济合作与发展组织(OECD)一类的机构正在创建个人资料跨界流动的一致性。经济合作与发展组织的“保护隐私和个人资料的跨界流动的指导方针”包括八个核心原则：

　　①收集限制：建议限制对个人数据的收集量。提倡数据应当以合法公平的方式获得，并在适当的情况下，取得当事人的了解和赞同。

　　②数据质量：建议个人数据应当与其使用目的相关。提倡数据应当准确、完整和与时俱进。

　　③规范目的：提倡应当在收集资料之前列出收集个人资料的目的。建议后续的使用限于满足这些目的或其他兼容的目的。

　　④使用限制：主张个人资料的披露(指定目的除外)必须取得当事人的同意和法律的批准。

　　⑤安全保障：促进个人资料的合理保障，减少风险(如丢失或未经授权访问，破坏，使用，修改或曝光)。

　　⑥开放：提倡对于个人资料应当有一个关于发展、实践和政策的开放的总方针。

　　⑦个人参与：提倡资料主体可以以收费方式方便合理地查阅个人资料，提倡数据主体可以对个人资料进行质疑，如果质疑成功，要对数据进行删除、调整、完善和改进。

　　⑧问责制。

　　4.内部审计人员和尊重隐私权(重点)

　　(1)董事会的工作

　　个人信息保护的有效性是组织治理、风险管理和控制程序的一项基本内容，董事会负责识别组织的主要风险并采取适当的控制程序降低风险，包括为组织建立必要的隐私制度并监督其实施。

　　(2)内部审计部门的工作

　　内部审计部门可以通过评估管理层对与隐私目标相关风险识别的适当性，以及把这些风险降低到可接受水平的控制建立的适当性，帮助组织实现良好的治理和风险管理。内部审计师在组织中处于良好位置，

　　在指导组织进行隐私制度管理的评估时，《实务公告》2130.A -2 建议内部审计师考虑以下项目：

　　①考虑组织所在管辖范围内的相关法律、法规和政策。

　　②与内部法律顾问联系，确定适用于组织的国家/地区法律、法规和其他标准及实务的确切性质。

　　③与信息技术专家联系，确定是否建立了信息安全和数据保护控制，并对其适当性进行定期检查和评估。

　　(3)内部审计在组织的隐私管理中的作用

　　内部审计师可推动隐私方案的制定和实施，评价管理层的隐私风险评估，确定组织的需要和风险暴露情况，或为组织的隐私政策、实务和控制的效果提供确认。

　　注意：如果内部审计师承担了任何制定实施隐私方案的责任，则内部审计师的独立性将受到损害。

　　(4)内部审计人员被期望的工作

　　内部审计部门应鉴别组织所收集的有可能属于个人或隐私信息的类别和适当性、采用的收集方法、组织对这些信息的使用是否符合原定用途并满足相关法规的要求。在合理范围内，内部审计师通常被期望做如下工作：

　　①确认组织收集的信息和其收集方法的类型和适当性;

　　②评价组织对这些信息的使用是否符合其原定的用途，是否遵守法律，是否限于信息收集、持有和使用范围;

　　③鉴于隐私内容具有很高的技术和法律方面的特性，内部审计部门需要具备适当的知识和能力，以实施组织的隐私制度的风险和控制评估，内部审计师可能必须寻求第三方专家的帮助来评估组织的隐私框架。