欧盟议会于2016年4月通过了《通用数据保护条例》(GDPR),取代了之前的《数据保护指令》(DPD),旨在保护欧盟公民免受隐私和数据泄露的影响,并对组织处理隐私和数据保护方面的工作方式提出了全新的要求。
GDPR虽已被纳入合规以及其他有关网络安全问题的范畴,但内部审计仍然需要特别关注GDPR带来的相关问题。原因在于,首先,当今社会个人信息渗透程度极高,所有具有一定规模的组织都持有大量客户和员工的信息,因此组织遵循GDPR监管要求的难度很大;其次, GDPR正式生效时间为2018年5月25日,时间非常紧迫,组织合规工作不容懈怠;此外,GDPR对信息泄露的惩罚相当严苛,罚金将上涨至组织收入的4%,或是2000万欧元。这些因素使得欧盟范围内的所有组织感到压力倍增。
一项涉及全球900位企业决策者的调查显示,仅有31%的组织决策者认为所在组织能够遵循GDPR的要求,但分析显示其中只有2%的组织真正做到了这一点。由于违规将伴随巨额的经济处罚,想要达到合规标准,组织还有很多问题亟待解决,因此董事会更应该将合规问题作为工作重点,充分发挥内部审计的重要作用,在GDPR生效之前完成组织的合规工作。
GDPR要求公司(数据的控制者)加固防火墙和其他加密技术,做好充分的防护准备;一旦发生个人数据泄露事件(包括数据处理者这样的第三方发生数据泄露),公司必须在72小时之内向监管部门报告。这就要求公司在与供应商签订合同时,添加有关数据保护和治理措施的条款。
但GDPR的监管范围不仅仅局限于网络安全,它一方面关注如何保护个人数据免受攻击和泄露,另一方面也关注组织对数据的收集、存储、使用和披露。它不仅为规范数据收集行为设立了更高的标准,要求组织在收集个人信息前取得信息所有者的明确许可,还进一步拓宽了对个人数据的定义,将一些可能出现的网络标识符纳入其中(如IP地址)。除此以外,治理也是GDPR重点关注的对象。组织需要在研发新产品的同时,有意识地保护组织每一位员工的个人数据安全;拥有250名以上员工的公司还需要记录所有处理个人数据的活动,同时指定一位数据保护官(DPO),负责向CEO及其他高级管理层报告数据管理情况。最后,GDPR的适用范围也是组织一项关键问题。GDPR不仅适用于欧盟地区的组织,也适用于欧盟以外对欧盟数据主体提供产品和服务或是进行监督的组织和机构。只有目的国实行的数据保护规定和GDPR保持统一标准,双方才可以实现数据交互。
以中国为例,2017年6月中国开始施行《中华人民共和国网络安全法》(CSL),这项法律同欧盟的GDPR和网络与信息安全(NIS)指令有异曲同工之效。CSL和GDPR都对数据收集做出了严格的规定,要求在对数据进行收集之前取得用户的许可,保护数据安全,防范数据泄露。特别是为跨国公司中公共事业企业和银行这类关键信息基础设施的运营者带来了巨大的挑战,CLS要求这类组织将在中国境内收集到的个人信息存储在中国,这就需要上述组织将存储在海外服务器的相关数据转移到中国境内。确需向境外提供数据的,应当向监管机构进行报备。
GDPR于2018年生效,组织需要高度重视数据保密问题,不仅需要保证数据安全,也要对数据的处理、所有权和用途等方面进行管理。新条例的诞生有利于强化组织对数据安全问题的重视,不断完善和提高组织数据安全性。
对于内部审计部门而言,由于组织的法律和IT部门已经开始着手处理GDPR相关的合规问题,因此内部审计部门可以采取对合规行为进行自上而下的风险评估的方式为组织提供确认,通过分析组织现有的控制措施距离条例的要求还存在哪些差距,确定需要改善的关键领域,并对新的控制措施和流程提供咨询服务。
(版权归原作者所有)