华南俳烁实业有限公司

　　(二)隱私管理

　　很多企業(yè)在風(fēng)險(xiǎn)管理方面面臨一個(gè)極具挑戰(zhàn)性的問(wèn)題，即如何保護(hù)客戶和雇員的隱私。如今，隱私保護(hù)已是一個(gè)全球性的議題。大多數(shù)企業(yè)都認(rèn)識(shí)到良好的隱私控制的重要性。

　　1.概述

　　(1)責(zé)任者

　　隱私管理往往是組織風(fēng)險(xiǎn)管理的一部分，其最終責(zé)任在于董事會(huì)和高層管理者。內(nèi)部審計(jì)師因工作關(guān)系在隱私管理中扮演了更直接的角色。

　　(2)隱私的定義及內(nèi)容

　　《實(shí)務(wù)公告》“評(píng)估組織的隱私制度”中規(guī)定“隱私的定義根據(jù)組織所在國(guó)家的文化、政治環(huán)境、法律制度存在廣泛的差異。相關(guān)的風(fēng)險(xiǎn)隱私信息包括：個(gè)人隱私(生理體和心理的空間隱私)不受監(jiān)控溝通隱私(不受監(jiān)管)，信息隱私(通過(guò)其他人收集，使用和披露個(gè)人信息)”。

　　個(gè)人信息通常是指與某個(gè)特定個(gè)人相關(guān)的信息，或能結(jié)合其他信息而具備辨識(shí)特征的信息。個(gè)人信息包括任何實(shí)際的或主觀推斷的信息，不論其是否記載或以何種媒介形式記載。個(gè)人信息可能包括：姓名，地址，身份證號(hào)，家庭關(guān)系;員工檔案，評(píng)價(jià)，意見，社會(huì)身份地位或違紀(jì)處分;信用記錄，收入，經(jīng)濟(jì)地位;健康狀況。

　　(3)隱私漏洞

　　隱私是個(gè)風(fēng)險(xiǎn)管理問(wèn)題，“保護(hù)個(gè)人隱私的適當(dāng)控制的失敗會(huì)給組織帶來(lái)嚴(yán)重的后果”。潛在漏洞普遍存在，因?yàn)殡[私跨越了組織設(shè)施的許多方面。組織的網(wǎng)站，網(wǎng)絡(luò)服務(wù)，信息技術(shù)系統(tǒng)，數(shù)據(jù)庫(kù)，應(yīng)用，以及與外部服務(wù)提供商和第三方的網(wǎng)絡(luò)聯(lián)系都構(gòu)成了隱私問(wèn)題。

　　國(guó)際內(nèi)審師紅皮書——實(shí)務(wù)公告2130.A1-2信息的可靠性和完整性中針對(duì)此問(wèn)題的相關(guān)標(biāo)準(zhǔn)：

　　內(nèi)部審計(jì)部門必須評(píng)估下列針對(duì)組織內(nèi)部治理、運(yùn)營(yíng)和信息系統(tǒng)等風(fēng)險(xiǎn)的控制的適當(dāng)性和有效性。

　　總結(jié)：獲取任何個(gè)人信息都會(huì)要求內(nèi)部審計(jì)師遵守關(guān)于獲取或使用個(gè)人信息的法律;內(nèi)部審計(jì)師有能力通過(guò)設(shè)計(jì)保護(hù)個(gè)人信息的審計(jì)程序來(lái)避免一些個(gè)人信息隱私風(fēng)險(xiǎn)。例如：在某些情況下，內(nèi)部審計(jì)師可以決定不將個(gè)人信息寫入業(yè)務(wù)記錄”。

　　(4)隱私法律、法規(guī)和指南

　　這些法律往往根據(jù)管轄權(quán)的不同而不同，應(yīng)咨詢法律顧問(wèn)，以確保合規(guī)性。

　　《實(shí)務(wù)指南》“審計(jì)隱私風(fēng)險(xiǎn)”指出：良好的治理涉及識(shí)別組織的重大風(fēng)險(xiǎn)，例如，潛在個(gè)人信息的濫用、泄露和丟失，以及保證適當(dāng)?shù)目刂埔詼p小這些風(fēng)險(xiǎn)。

　　對(duì)企業(yè)來(lái)說(shuō)，良好的隱私控制的益處包括：

　�、俦Ｗo(hù)組織的公共形象和品牌;

　�、诒Ｗo(hù)組織的客戶和員工的寶貴數(shù)據(jù);

　　③獲取市場(chǎng)競(jìng)爭(zhēng)優(yōu)勢(shì);

　�、茏袷剡m用的隱私保護(hù)法律和法規(guī);

　�、萏岣吖�信力，促進(jìn)信任和信譽(yù)。

　　對(duì)公共部門和非營(yíng)利組織來(lái)說(shuō)，良好的隱私控制的益處包括：

　�、倬S護(hù)公民和非公民的信任;

　　②通過(guò)尊重隱私保持與非營(yíng)利組織的捐贈(zèng)者的關(guān)系。

　　(5)消費(fèi)者隱私權(quán)的保護(hù)

　　隱私權(quán)信息交流中心(簡(jiǎn)稱PRC)是一個(gè)可以為消費(fèi)者的隱私提供相關(guān)問(wèn)題幫助的組織。這是一個(gè)非營(yíng)利性消費(fèi)者組織，為消費(fèi)者提供信息和消費(fèi)者權(quán)益保護(hù)。PRC的目標(biāo)包括：

　�、偬岣弑Ｗo(hù)個(gè)人隱私的警覺意識(shí)。

　�、谔峁┍Ｗo(hù)隱私的實(shí)用技巧。

　�、圩屜�費(fèi)者采取行動(dòng)保護(hù)自己的個(gè)人信息。

　�、芑貞�(yīng)消費(fèi)者具體的與隱私相關(guān)的投訴并酌情提供幫助。

　�、輰⑾�費(fèi)者的投訴記錄在報(bào)告、證詞和演講中，使它們能夠引起政策制定者、行業(yè)代表、消費(fèi)者保護(hù)團(tuán)體和媒體的重視。

　�、拊诠�共政策程序中倡導(dǎo)保護(hù)消費(fèi)者隱私權(quán)，包括立法證詞、監(jiān)管機(jī)構(gòu)聽證會(huì)、工作小組以及研究委員會(huì)。

　　⑦在會(huì)議、員工培訓(xùn)以及公民和社區(qū)團(tuán)體會(huì)議中倡導(dǎo)保護(hù)消費(fèi)者權(quán)益。

　　(6)全球法律和指導(dǎo)

　　許多國(guó)家都有隱私法，但也有的國(guó)家沒有這類法律。由于國(guó)家之間的差異，諸如經(jīng)濟(jì)合作與發(fā)展組織(OECD)一類的機(jī)構(gòu)正在創(chuàng)建個(gè)人資料跨界流動(dòng)的一致性。經(jīng)濟(jì)合作與發(fā)展組織的“保護(hù)隱私和個(gè)人資料的跨界流動(dòng)的指導(dǎo)方針”包括八個(gè)核心原則：

　　①收集限制：建議限制對(duì)個(gè)人數(shù)據(jù)的收集量。提倡數(shù)據(jù)應(yīng)當(dāng)以合法公平的方式獲得，并在適當(dāng)?shù)那闆r下，取得當(dāng)事人的了解和贊同。

　�、跀�(shù)據(jù)質(zhì)量：建議個(gè)人數(shù)據(jù)應(yīng)當(dāng)與其使用目的相關(guān)。提倡數(shù)據(jù)應(yīng)當(dāng)準(zhǔn)確、完整和與時(shí)俱進(jìn)。

　�、垡�(guī)范目的：提倡應(yīng)當(dāng)在收集資料之前列出收集個(gè)人資料的目的。建議后續(xù)的使用限于滿足這些目的或其他兼容的目的。

　�、苁褂孟拗疲褐鲝垈�(gè)人資料的披露(指定目的除外)必須取得當(dāng)事人的同意和法律的批準(zhǔn)。

　　⑤安全保障：促進(jìn)個(gè)人資料的合理保障，減少風(fēng)險(xiǎn)(如丟失或未經(jīng)授權(quán)訪問(wèn)，破壞，使用，修改或曝光)。

　�、揲_放：提倡對(duì)于個(gè)人資料應(yīng)當(dāng)有一個(gè)關(guān)于發(fā)展、實(shí)踐和政策的開放的總方針。

　�、邆�(gè)人參與：提倡資料主體可以以收費(fèi)方式方便合理地查閱個(gè)人資料，提倡數(shù)據(jù)主體可以對(duì)個(gè)人資料進(jìn)行質(zhì)疑，如果質(zhì)疑成功，要對(duì)數(shù)據(jù)進(jìn)行刪除、調(diào)整、完善和改進(jìn)。

　�、鄦�(wèn)責(zé)制。

　　4.內(nèi)部審計(jì)人員和尊重隱私權(quán)(重點(diǎn))

　　(1)董事會(huì)的工作

　　個(gè)人信息保護(hù)的有效性是組織治理、風(fēng)險(xiǎn)管理和控制程序的一項(xiàng)基本內(nèi)容，董事會(huì)負(fù)責(zé)識(shí)別組織的主要風(fēng)險(xiǎn)并采取適當(dāng)?shù)目刂瞥绦蚪档惋L(fēng)險(xiǎn)，包括為組織建立必要的隱私制度并監(jiān)督其實(shí)施。