近年來，“隱私”一詞已成為熱點話題，它頻繁出現在關于網絡安全、合規性以及最近興起的人工智能（AI）等討論中。隨著新技術的廣泛應用，與隱私相關的風險也日益凸顯。

全球范圍內出臺了多種數據保護法律，包括歐盟的《通用數據保護條例（GDPR）》、中國的《個人信息保護法（PIPL）》以及拉丁美洲的《通用數據保護法（LGPD）》等。這些法律的目的是確保公民的隱私得到尊重與保護。

根據國際隱私專業協會（IAPP）進行的一項調查，近 93%的組織表示，隱私是它們面臨的十大組織威脅之一，其中36%將隱私列為前五大威脅。因此，隱私應成為審計計劃的重點關注領域。審計師還應關注高風險隱私領域，以便將該領域納入隱私審計中。根據組織的時機和規模，可能無法采取全面的方法。

在今天不斷變化的隱私環境中，有5個關鍵風險領域可為審計師提供指導方向。通過識別和定義這些關鍵風險領域，審計師可以確保全面且有力的隱私監督。

治理與問責機制

治理與問責機制指的是組織為確保其數據隱私項目有效并符合相關法律法規而制定的政策、流程和制度。這包括一系列機制（如流程、標準、框架），用以明確個人和團隊在履行組織隱私義務方面的責任。缺乏這樣的系統將使合規性的展示、執行的落實以及合規缺口的識別變得更加困難。審計師應期望在此領域發現一些控制措施，例如：

• 高層管理層對隱私項目的明確支持；

• 清晰的個人數據處理政策和程序；

• 明確界定的職責分工（包括數據保護官[DPO]的職責）；

• 定期開展的數據隱私培訓和意識提升活動；

• 成熟的數據最小化和目的限制實踐。

隱私設計

隱私設計是一項在全球隱私法規中普遍存在的要求。它強調，在引入新的系統、模塊或流程，以及在修改可能影響個人身份信息（PII）的現有流程時，隱私不應成為事后考慮的事項。這一原則確保在開發過程的早期就整合隱私考慮因素。審計師應驗證在產品開發從構思到退役的每個階段都包含了隱私因素，并應確保有文檔化的數據隱私影響評估（DPIA）流程和框架。此外，審計師還應檢查在 DPIA 流程結束時獲得DPO的簽字。

數據主體權利管理

數據主體權利管理是指接收、處理和回應個人（數據主體）行使其數據隱私權利請求的過程。這些權利可能包括訪問、更正、刪除或限制其個人數據處理的權利。審計師必須確認已建立處理這些請求的程序。此外，還應有一個流程定期評估這些程序的有效性和整體數據主體權利管理流程。

該流程包括從告知數據主體其權利到通過專用渠道接受請求的各個步驟，還包括驗證身份、跟蹤和優先處理請求、自動化響應、發現相關數據、傳輸信息和與請求者清晰、及時地溝通。及時響應至關重要；延誤可能會向數據主體和監管機構發出信號，表明組織不遵守規定，可能在個人信息方面不值得信任。

合同管理

某些司法管轄區規定，任何處理或提供數據的處理者或供應商必須與提供數據的組織簽訂明確的合同條款。通常，這些條款在數據處理補充協議中概述。協議規定了各方的義務和為保護數據而采取的安全措施。在某些組織中，該過程與成熟的供應商風險管理框架結合。

審計師應確保法律和采購團隊之間密切合作，制定一套標準化的合同語言（例如，標準合同條款[SCCs]），保護在與供應商共享或從供應商處接收時的個人信息安全。

安全和漏洞響應

根據 IBM 2024年的報告，全球數據泄露的平均成本已達到488萬美元，比上一年度增長了10%，創下了新高。這突顯了減輕風險和實施強大安全措施的重要性。盡管如此，安全和隱私團隊承認，即使是最全面的控制和預防措施也可能失敗。因此，組織必須制定一份書面計劃以保護、應對和減輕隱私事件和泄露的影響。審計師必須確保組織具備詳細的計劃來識別、報告、調查并通知受影響的個人和相關監管機構。

定期測試和完善響應流程，以及執行持續的監控和風險評估，對于識別潛在的弱點至關重要。

此外還存在其他的隱私考量因素，如通知、供應商風險管理以及項目管理，這些在本文未詳細探討。我們的目標并非覆蓋隱私領域的所有方面，而是為審計人員提供一個關于關鍵風險領域及其應考慮的控制措施的概覽。

作為下一步，審計人員應評估所在組織的隱私實踐情況，評估上述各領域中控制措施的有效性，并提出改進建議以彌補存在的差距。

作者：Fene Osakwe

來源：ISACA微信公眾號

編輯：孫哲

目前180000+人已關注我們，您還等什么？