审计机关应建立个人信息保护制度,本文主要内容关键词为:个人信息论文,机关论文,制度论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
国家审计准则规定,审计人员应当保守其在执行审计业务中知悉的国家秘密、商业秘密;对于执行审计业务取得的资料、形成的审计记录和掌握的相关情况,未经批准不得对外提供和披露,不得用于与审计工作无关的事项。审计机关对收集到的审计证据包含的个人信息进行保密,既是依法审计的必然要求,也是防范审计风险的需要。
随着信息化的飞速发展,审计机关获知和掌握的个人信息越来越多,尤其在审计数据综合利用的大环境下,个人信息的大量聚集加大了审计风险。研究信息化环境下个人信息保护现状,探索防范审计风险的有效途径,是审计机关不可回避的课题。
建立个人信息保护制度的必要性
有研究表明,目前世界上已有五十多个国家和地区制定了保护个人信息的相关法律。
我国也高度重视个人信息的保护。2009年2月,刑法修正案(七)将公民个人信息纳入刑法保护:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”2010年11月,民事司法解释也首次明确了企业对泄露消费者个人信息行为应承担民事责任。2013年实施的《信息安全技术公共及商用服务信息系统个人信息保护指南》,将个人信息定义为“可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据”,对个人信息在信息系统处理过程各个阶段所涉及的行为提出了明确规范,要求相关机构加大信息安全建设与管理力度,确保一旦收集了公民个人信息,就必须建立一套个人信息安全保护制度。
因此,在信息化时代,当国家审计机关依据有关法律取得被审计单位含有个人信息的电子数据后,树立保护个人信息意识,采取保护个人信息的措施,不仅是审计机关依法履行审计职责,保护被审计单位相关权益的体现,也是审计人员自我防范,规避法律风险的现实需要。
国家审计中对个人信息保护的现状
目前,国家审计因工作需要,在金融、社会保障、电信、交通、教育、医疗等审计过程中,需获得相应的公民个人信息,并对取得的信息分类使用。特别是伴随国家审计数据中心的建立,会对获取和形成的基础数据进行应用、共享和交换,此过程中个人信息不当使用的风险将进一步加大。
(一)规范体系尚未形成
由于国家审计在工作中取得的个人信息主要以电子数据形式存在,国家审计对个人信息保护的规范也主要包括在对电子数据管理的相关制度中。纵观这些规范,还存在一些问题。
立法层级较低,效力低。目前,审计电子数据管理主要依据《审计署关于开展审计数据综合利用的试行意见》《特派办审计数据综合利用指南》《审计署审计项目电子数据保密管理办法(试行)》等相关规范性文件,最高规范层级是行政规章,而审计法及其实施条例仅规定审计人员对其在执行职务中知悉的国家秘密和被审计单位的商业秘密负有保密义务,未明确审计机关及审计人员对审计工作中取得的个人信息进行保护的义务。因此,逻辑上如果个人信息不涉及国家秘密或者商业秘密,审计人员并不需要承担保护义务。
另外,国家审计准则规定,对审计人员执行审计业务取得的资料、形成的审计记录和掌握的相关情况,未经批准不得对外提供和披露,不得用于与审计工作无关的目的,但这只是对审计人员职业道德的要求,未细化到对具体审计行为的规范上。
(二)具体规定操作性不强
审计法规定,审计机关有权取得被审计单位运用电子计算机存储、处理的财政、财务收支电子数据,也有权就审计事项的有关问题和个人进行调查并取得相关证明材料。实际工作中,这些电子数据或者相关证明材料中含有大量的个人信息,但是相关规范性文件未对个人信息电子数据与其他财政、财务收支的数据进行区分,未将个人信息明确作为涉密信息进行管理。因此,在具体管理制度中,未对含有个人信息电子数据的保存、使用做出具体、针对性的规定,或者仅有原则性要求。
例如,在《特派办审计数据综合利用指南》等文件中,强调对审计项目所获取的所有电子数据,要安全存储,并建立规范的数据授权管理使用办法,制定完善的数据访问权限规则,但是具体的数据访问规则、授权使用办法等尚未出台。特别是在数据使用上,侧重加强分析、充分利用,忽视个人信息具有隐私的特征,造成含有个人信息的电子资料不仅可以在不同审计项目中反复使用,甚至可以在各不同审计机关间资源共享,无形中增大了个人信息泄密风险。
(三)实践中存在大量风险点
审计项目实施中,审计人员采集、处理含有个人信息的电子数据时存在随意性。例如,由于对含有个人信息的电子数据要件没有特别规定,审计人员为便于开展审计,往往自行决定数据采集的范围、方式等,甚至仅口头沟通后,就从被审计单位信息库中下载数据,从而形成不同形式的个人信息载体,并分散在不同的审计人员手中。同时,由于存储设备、人员配置等原因,在审计项目完成后,审计机关获取的电子数据也无法严格遵照规定进行移交、存储,甚至出现对获取的信息基于各种目的,随意查询,自行复制、传递等情况。对含有个人信息的电子数据不加限制使用、在使用后未按期删除等行为必将带来风险隐患。
完善审计机关保护个人信息制度的建议
为更好地依法审计,规避风险,审计机关在审计管理中树立个人信息保护意识,落实个人信息保护制度迫在眉睫。
(一)完善制度,建立合理可行的电子数据个人信息保护模式
为落实依法审计工作目标,审计机关应尽快完善个人信息保护制度。根据目前审计工作实际,审计机关应采取分领域保护模式。首先,认真梳理审计工作中可能获取个人信息的范围,确立应该保护的个人信息范围。其次,将审计工作接触个人信息量较大的电子数据率先纳入保护范畴,建立电子数据个人信息收集、登记、编排、保存、改编或修改、复原、查询、使用乃至传送的全流程规定。再次,随着国家个人信息保护立法逐步完善,将审计工作中所获得其他形式的个人信息纳入保护范围。
(二)规范电子数据处理规则,明确含有个人信息的电子数据处理时应遵循的原则
审计机关应在目前电子数据综合使用的规范基础上,进一步明确处理含有个人信息的电子数据应遵循的原则。
公开透明原则,即审计人员履行必要的审批程序,以透明的方式对电子数据的处理全过程进行处理,避免暗箱操作。
正当目的原则,即审计人员处理涉及个人信息的电子数据时,不得偏离特定的审计目的,审计工作一旦完成,相关电子数据应根据规定删除或者集中封存。
有限善意原则,即为实现审计工作目的,尽可能收集、处理涉及最少个人信息的电子数据,将可能获取的个人信息限制在最小范围内,处理方式应当恰当。特定情况下,对电子数据中含有的个人信息采用技术屏蔽等保护措施。
(三)明确监督责任主体,加强对处理含有个人信息电子数据行为的监管
目前,根据规定,涉密的电子数据由审计组长负责管理,审计署机关各单位和各派出机构负责监督检查,审计署保密委员会负责组织计算机技术中心等有关单位,开展对电子数据保密管理情况的监督检查。特派办获取的其他电子数据则由特派办计算机部门负责管理,由于含有个人信息的电子数据是否为涉密电子数据并不明确,因此,现行制度中个人信息的电子数据保护监管主体不明确,更重要的是缺乏独立于电子数据使用者的部门对电子数据情况进行监督。审计机关应借鉴相关国家个人信息保护的做法,设立专门的电子数据个人信息保护机构,或将该职能明确赋予相关部门,对审计机关或审计人员使用含有个人信息的电子数据情况进行监督,确保使用含有个人信息电子数据的行为处于可控、可管状态,切实保护被审计单位的合法权益。