在其他国家和地区,一些国家和地区已经有流程相对规范、执行标准相对细致的有关个人信息保护合规审计(数据保护审计)的操作规范或指引,值得我们观察与思考。1、美国由于美国为联邦制国家,各州立法司法相对独立,各州针对个人信息保护都有不同的立法,其中针对数据的保护也有不同的审计要求。其中最典型的就是以《加州消费者隐私法(CCPA)》为基础进行修改和拓展的《加州隐私权法案(CPRA)》,该法案针对那些处理消费者个人信息并对具备潜在重大风险的企业,应当每年进行一次网络安全审计(Cybersecurity Audit),包括确定审计的范围,并建立一个确保审计彻底和独立的流程,在确定个人信息处理活动何时可能对个人信息安全造成较大风险时,应当考虑企业的规模、复杂性,以及处理活动的性质和范围。法案仅对企业开展网络安全审计工作明确了要求和目标,并未指出具体如何开展网络安全风险审计。为此,美国政府问责办公室(U.S. Government Accountability Office,简称“GAO”)[1]于2023年9月发布了《网络安全项目审计指南》(Cybersecurity Program Audit Guide)[2]。该指南旨在为网络分析师和审计人员提供一套方法、技术和审计程序,以评估网络安全项目和系统的各个组成部分。其全文共分为六个部分,分别为资产和风险管理、配置管理、身份和访问管理、持续监控和日志记录、事件响应、应急方案与恢复。GAO鼓励美国联邦与其他政府组织使用该指南评估网络安全项目,但其作为推荐性指南,并无强制效力。2、欧盟不同于美国,欧盟有较为统一的有关个人信息保护的立法成果和实施标准——《通用数据保护条例》(General Data Protection Regulation,简称“GDPR”)。GDPR是全球数据立法中较早提出“数据保护审计(Data Protection Audit)”要求的。在GDPR中,数据保护审计共在四处出现:在GDPR的框架下,数据保护审计的作用是评估数据控制者和处理者所进行的个人信息处理活动是否符合GDPR及相关数据保护规定。企业可以通过合规审计证明自身个人信息处理行为的合法合规性,同时监管部门也可以要求企业以审计的方式监督其个人信息处理行为。其中,监管部门强制企业开展数据保护审计的权力,归属于欧盟数据保护监管局(European Data Protection Supervisor,简称“EDPS”)。2021年12月,EDPS针对数据保护审计发布了《EDPS审计指南》(EDPS Audit Guidelines),在该指南中明确了数据保护审计的定义、审计对象、审计启动条件、监管机构权力、审计程序、异议救济、公开性等内容。尽管该指南并不具备强制性,但为欧盟及其成员国开展有关监管活动提供了指引。
