华南俳烁实业有限公司

　　隱私管理

　　很多企業(yè)在風(fēng)險管理方面面臨一個極具挑戰(zhàn)性的問題，即如何保護客戶和雇員的隱私。如今，隱私保護已是一個全球性的議題。大多數(shù)企業(yè)都認識到良好的隱私控制的重要性。

　　1.概述

　　(1)責(zé)任者

　　隱私管理往往是組織風(fēng)險管理的一部分，其最終責(zé)任在于董事會和高層管理者。內(nèi)部審計師因工作關(guān)系在隱私管理中扮演了更直接的角色。

　　(2)隱私的定義及內(nèi)容

　　《實務(wù)公告》“評估組織的隱私制度”中規(guī)定“隱私的定義根據(jù)組織所在國家的文化、政治環(huán)境、法律制度存在廣泛的差異。相關(guān)的風(fēng)險隱私信息包括：個人隱私(生理體和心理的空間隱私)不受監(jiān)控溝通隱私(不受監(jiān)管)，信息隱私(通過其他人收集，使用和披露個人信息)”。

　　個人信息通常是指與某個特定個人相關(guān)的信息，或能結(jié)合其他信息而具備辨識特征的信息。個人信息包括任何實際的或主觀推斷的信息，不論其是否記載或以何種媒介形式記載。個人信息可能包括：姓名，地址，身份證號，家庭關(guān)系;員工檔案，評價，意見，社會身份地位或違紀(jì)處分;信用記錄，收入，經(jīng)濟地位;健康狀況。

　　(3)隱私漏洞

　　隱私是個風(fēng)險管理問題，“保護個人隱私的適當(dāng)控制的失敗會給組織帶來嚴重的后果”。潛在漏洞普遍存在，因為隱私跨越了組織設(shè)施的許多方面。組織的網(wǎng)站，網(wǎng)絡(luò)服務(wù)，信息技術(shù)系統(tǒng)，數(shù)據(jù)庫，應(yīng)用，以及與外部服務(wù)提供商和第三方的網(wǎng)絡(luò)聯(lián)系都構(gòu)成了隱私問題。

　　國際內(nèi)審師紅皮書——實務(wù)公告2130.A1-2信息的可靠性和完整性中針對此問題的相關(guān)標(biāo)準(zhǔn)：

　　內(nèi)部審計部門必須評估下列針對組織內(nèi)部治理、運營和信息系統(tǒng)等風(fēng)險的控制的適當(dāng)性和有效性。

　　總結(jié)：獲取任何個人信息都會要求內(nèi)部審計師遵守關(guān)于獲取或使用個人信息的法律;內(nèi)部審計師有能力通過設(shè)計保護個人信息的審計程序來避免一些個人信息隱私風(fēng)險。例如：在某些情況下，內(nèi)部審計師可以決定不將個人信息寫入業(yè)務(wù)記錄”。

　　(4)隱私法律、法規(guī)和指南

　　這些法律往往根據(jù)管轄權(quán)的不同而不同，應(yīng)咨詢法律顧問，以確保合規(guī)性。

　　《實務(wù)指南》“審計隱私風(fēng)險”指出：良好的治理涉及識別組織的重大風(fēng)險，例如，潛在個人信息的濫用、泄露和丟失，以及保證適當(dāng)?shù)目刂埔詼p小這些風(fēng)險。

　　對企業(yè)來說，良好的隱私控制的益處包括：

　�、俦Ｗo組織的公共形象和品牌;

　�、诒Ｗo組織的客戶和員工的寶貴數(shù)據(jù);

　�、郢@取市場競爭優(yōu)勢;

　　④遵守適用的隱私保護法律和法規(guī);

　　⑤提高公信力，促進信任和信譽。

　　對公共部門和非營利組織來說，良好的隱私控制的益處包括：

　�、倬S護公民和非公民的信任;

　　②通過尊重隱私保持與非營利組織的捐贈者的關(guān)系。

　　(5)消費者隱私權(quán)的保護

　　隱私權(quán)信息交流中心(簡稱PRC)是一個可以為消費者的隱私提供相關(guān)問題幫助的組織。這是一個非營利性消費者組織，為消費者提供信息和消費者權(quán)益保護。PRC的目標(biāo)包括：

　�、偬岣弑Ｗo個人隱私的警覺意識。

　�、谔峁┍Ｗo隱私的實用技巧。

　�、圩屜�費者采取行動保護自己的個人信息。

　�、芑貞�(yīng)消費者具體的與隱私相關(guān)的投訴并酌情提供幫助。

　�、輰⑾�費者的投訴記錄在報告、證詞和演講中，使它們能夠引起政策制定者、行業(yè)代表、消費者保護團體和媒體的重視。

　�、拊诠�共政策程序中倡導(dǎo)保護消費者隱私權(quán)，包括立法證詞、監(jiān)管機構(gòu)聽證會、工作小組以及研究委員會。

　　⑦在會議、員工培訓(xùn)以及公民和社區(qū)團體會議中倡導(dǎo)保護消費者權(quán)益。

　　(6)全球法律和指導(dǎo)

　　許多國家都有隱私法，但也有的國家沒有這類法律。由于國家之間的差異，諸如經(jīng)濟合作與發(fā)展組織(OECD)一類的機構(gòu)正在創(chuàng)建個人資料跨界流動的一致性。經(jīng)濟合作與發(fā)展組織的“保護隱私和個人資料的跨界流動的指導(dǎo)方針”包括八個核心原則：

　�、偈占�限制：建議限制對個人數(shù)據(jù)的收集量。提倡數(shù)據(jù)應(yīng)當(dāng)以合法公平的方式獲得，并在適當(dāng)?shù)那闆r下，取得當(dāng)事人的了解和贊同。

　�、跀�(shù)據(jù)質(zhì)量：建議個人數(shù)據(jù)應(yīng)當(dāng)與其使用目的相關(guān)。提倡數(shù)據(jù)應(yīng)當(dāng)準(zhǔn)確、完整和與時俱進。

　�、垡�(guī)范目的：提倡應(yīng)當(dāng)在收集資料之前列出收集個人資料的目的。建議后續(xù)的使用限于滿足這些目的或其他兼容的目的。

　�、苁褂孟拗疲褐鲝垈�人資料的披露(指定目的除外)必須取得當(dāng)事人的同意和法律的批準(zhǔn)。

　�、莅踩�保障：促進個人資料的合理保障，減少風(fēng)險(如丟失或未經(jīng)授權(quán)訪問，破壞，使用，修改或曝光)。

　�、揲_放：提倡對于個人資料應(yīng)當(dāng)有一個關(guān)于發(fā)展、實踐和政策的開放的總方針。

　�、邆�人參與：提倡資料主體可以以收費方式方便合理地查閱個人資料，提倡數(shù)據(jù)主體可以對個人資料進行質(zhì)疑，如果質(zhì)疑成功，要對數(shù)據(jù)進行刪除、調(diào)整、完善和改進。

　�、鄦栘�(zé)制。

　　4.內(nèi)部審計人員和尊重隱私權(quán)(重點)

　　(1)董事會的工作

　　個人信息保護的有效性是組織治理、風(fēng)險管理和控制程序的一項基本內(nèi)容，董事會負責(zé)識別組織的主要風(fēng)險并采取適當(dāng)?shù)目刂瞥绦蚪档惋L(fēng)險，包括為組織建立必要的隱私制度并監(jiān)督其實施。