个人信息保护合规审计:个人信息删除落地与审计
责编:gltian |2024-12-12 14:49:31《个人信息保护法》第54条规定,个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。2023年8月3日,国家网信办发布《个人信息保护合规审计管理办法(征求意见稿)》,明确了个人信息保护合规审计的具体要求、形式等内容。
2024年7月12日,全国网络安全标准化技术委员会发布了《数据安全技术 个人信息保护合规审计要求(征求意见稿)》(以下简称“《审计要求》”)进一步给出审计落地指引。作为近期审计试点工作的依据,同时也在修订过程中,预期正式稿很快发布。《审计要求》针对每一项个人信息保护合规要求从审计内容、审计证据和审计方法给出指导。审计内容作为审计的对象(Who),审计证据作为审计工作的支撑(What),审计方法给出依据证据如何进行审计的指引(How)。
《个人信息保护法》第47条规定,有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:
(一)处理目的已实现、无法实现或者为实现处理目的不再必要;
(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;
(三)个人撤回同意;
(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;
(五)法律、行政法规规定的其他情形。
法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。
针对个人信息删除这一项合规要求,《审计要求》从个人信息删除或匿名化处理的管理制度、个人信息删除或匿名化机制、个人信息删除或匿名化处理的记录、系统日志等几个层面核查数据删除相关要求是否落实到位。个人信息删除或匿名化处理的制度和机制分别可以从公司管理制度和内部流程找到答案,即是否针对不同情形制定不同的处理规则和流程。公司内部个人信息删除和匿名化的具体实现需要技术落地,而从审计视角则需要不同的方法来验证技术方案落地的有效性。
本文尝试从两个视角对个人信息删除权保障展开讨论,兼顾公司内部数据合规实践和内外审计落地,抛砖引玉。
一、企业内部:个人信息删除与匿名化的技术落地
企业内部的个人信息保护需要通过完善的技术方案和自动化工具来实现,以确保在保护用户数据安全的同时满足相关法律法规的要求。以下是数据删除和数据匿名化两个方面的落地思路。
1. 数据删除的技术实现
数据删除的目的是从系统中彻底移除用户数据,减少潜在的隐私风险,同时确保遵守合规要求。主要可以从以下几个层面进行技术落地:
(1)数据库层面的数据清除
- 企业通常会在数据库中设置规则或任务,自动清理超出保存期限的数据。这些规则确保数据只在“实现处理目的必要的最短时间”内保留。
- 数据删除需要与企业的隐私政策保持一致,删除的时间点和处理方式需经过严格定义和文档记录。
- 当然除了数据库层面,其他数据存储类型也需要考虑。
(2)备份数据的清理
- 除了数据库,企业还需要对数据备份进行管理。备份文件中可能包含个人信息,这些文件的清理周期需要与主数据保持一致,避免因遗漏而产生合规风险。
- 对于存储在云上的备份文件,企业可以使用存储服务提供的生命周期管理功能自动删除过期数据。
(3)监控与记录
- 每次删除任务的执行过程需要进行记录,包括删除的时间、数量以及删除失败时的错误信息。这些记录不仅便于企业内部管理,也可作为审计证据。
(4)手动删除机制
- 对于某些特殊需求(如用户要求删除数据),企业需要提供手动删除的途径。操作时需严格授权并记录,确保每一次手动删除都符合法律和内部政策。
2. 数据匿名化的技术实现
匿名化技术的目的是在技术上无法删除的情况下,以及应当删除但仍允许数据在特定情况下(如统计分析、机器学习)继续发挥作用。以下是主要的匿名化技术及其实现思路:
(1)去标识化
- 去除或替换数据中的直接标识符(如姓名、身份证号)是实现匿名化的第一步。通过生成随机标识符替代真实身份信息,可以降低数据的可追溯性。
(2)数据泛化
- 泛化通过降低数据的精细程度来减少辨识度。例如,将具体的年龄改为范围(如“20-30岁”),或者将地址精确到城市而不是街道。
(3)数据扰动与加噪
- 在数据中加入随机噪声或对数据进行扰动,可以有效防止个体信息的推断。此方法常用于统计数据发布场景。
(4)匿名化自动化管道
- 企业可以将匿名化集成到数据处理的自动化管道中。数据进入系统后即被处理为匿名化形式,在后续流程中使用匿名化数据代替原始数据,确保隐私保护贯穿始终。
二、审计视角:验证技术方案落地的有效性
根据《审计要求》审计人员通常从文档、技术验证和员工访谈三方面入手,确保企业的个人信息删除和匿名化措施确实落地。
1. 数据删除的审计
(1)文档审查:查看企业是否制定了清晰的删除策略,包括:
- 数据保存期限的定义
- 删除机制的描述。
- 删除失败时的应对措施。
(2)日志验证:
- 要求提供删除任务的执行日志,例如://plaintext[2024-01-01 10:00] DELETE user_data WHERE created_at < “2021-01-01//
- 验证日志是否符合删除策略中描述的时间和操作方式:删除的时间,删除的数据类型,操作者,使用的删除方法(例如逻辑删除、物理删除、数据覆写等)。
(3)实际数据抽查:
- 抽取一定量的过期数据,检查它们是否被有效删除。例如:
SELECT * FROM user_data WHERE created_at < DATE_SUB(CURDATE(), INTERVAL 3 YEAR); 如果发现数据未被删除,需要进一步排查原因。
(4)数据恢复测试
为了证明数据已被彻底删除,一种有效的方式是尝试通过数据恢复技术恢复已删除数据。如果恢复测试无法找回任何信息,则可以证明删除成功。恢复测试通常是使用专业的数据恢复工具来尝试找回已删除的文件或记录。
2. 数据匿名化的审计
(1)技术文件审查:
- 检查匿名化方案的设计文档,确认其方法是否符合法律要求(如“不可逆”)
- 是否包括常用匿名化技术(如去标识化、泛化)。
(2)数据样本验证:
- 要求企业提供匿名化前后的数据样本,并尝试进行逆向工程验证匿名化效果。
- 如果可以还原个人信息,需评估匿名化方案的风险。
(3)自动化工具审查:
- 检查企业使用的工具是否配置了合理的规则。
- 验证工具是否可以自动检测并匿名化个人信息。
三、总结
以上两个视角的分析比较宽泛,企业在设计和实施合规方案时,需要将技术细节与实际业务需求相结合,同时保持与法规要求的一致性。但总的来说,可以从以下三个方面努力。
1. 提升技术透明度:
- 企业应主动将数据删除和匿名化的技术流程标准化,并形成文档供审计查阅。
2. 持续改进能力:
- 定期复盘匿名化和删除策略,结合最新技术进行优化。
- 利用模拟攻击(如数据还原测试)评估现有措施的可靠性。
3. 合规培训与协作
- 针对内部审计人员和员工开展定期培训,确保对隐私保护措施的理解一致。
- 数据合规人员与技术团队需要紧密协作,推动技术方案与业务需求的无缝衔接。