近年来,公共部门及政府机构不时发生个人信息泄露事件。审计机关由于经常查询、收集、分析个人信息,也存在个人信息泄露风险。 审计接触个人信息的途径 在人民银行职能部门查询个人信息。包括在支付结算部门查询个人开立银行账户的情况,在征信部门查询个人信用信息、贷款归还记录等。对一些重大经济案件进行审计调查时,审计人员有时还需在人民银行支付结算部门查询个人开立的银行账户情况。 在人民银行征信系统查询个人信用信息。审计法规定,经县级以上人民政府审计机关主要负责人批准,审计机关可以查询被审计单位以个人名义在金融机构开设的账户。这就有可能出现审计人员以调查名义扩大范围查询公民个人存款、掌握公民个人信息的情况。 在商业银行业务数据库中查询个人账户情况。审计人员通过查询与分析,既能了解个人在商业银行的开户情况、信贷情况,又能看出个人信贷资金的用途、个人账户与其他账户的往来关系,进而掌握个人的日常活动线索。 在工商、税务部门了解企业的工商登记信息和纳税情况。审计人员在工商、税务部门不仅可以了解企业工商登记信息和纳税情况,而且能够通过查询企业档案,掌握企业股东变更、资本金变化、审计报告等详细信息。 在产权管理、车辆登记、社会保障、医疗卫生、证券登记等单位查询个人信息。为核实审计事项中涉及个人的财产情况、社会保障情况、股票买卖情况,审计人员需到上述部门查询个人信息,有时甚至需采集并分析某地区某时段房屋产权管理、车辆登记管理、社会保障、医疗卫生等所有业务数据,这其中必然涉及大量个人财产数据。 在公安部门查询个人户籍信息及亲属关系,在单位人力资源部门查询个人人事信息。审计法规定“审计机关进行审计时,有权就审计事项的有关问题向有关单位和个人进行调查,并取得有关证明材料”,审计法还规定,审计机关履行审计监督职责时可以提请公安机关协助,因此,审计机关能够了解个人较为隐秘的户籍信息和人事信息。 由于审计人员接触的个人信息渠道多,容量大,一旦发生泄露事件,将产生严重后果:一是威胁公民财产和生命安全。公民个人信息被盗后,轻则受短信、电话骚扰,重则遭电信诈骗、网络诈骗甚至被敲诈勒索、暴力绑架。二是危害审计的公信力。如果审计人员在检查资料、查询账户、提请协助时,不严格遵守保密纪律,随意泄露个人信息,势必挫伤被审计单位、相关单位协助提供个人信息的积极性,危害审计形象,阻碍审计工作的正常开展。三是改变审计人员的人生轨迹。我国刑法对个人信息犯罪作了明确规定,一旦发生严重的个人信息泄露事件,审计机关和审计人员都难辞其咎,审计人员还可能被追究刑事责任。 审计防范接触个人信息泄露的措施 健全法制。虽然刑法修正案(七)规定“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役”,虽然审计法强调审计人员必须保守所接触的国家秘密和商业秘密,但时至今日,个人信息保护法尚未出台,审计法仍未明确审计人员必须保守知悉的公民个人信息。建议国家尽快出台个人信息保护法,从行政法角度明确个人信息基本标准、保护措施和惩处规定。审计法在适当时候也需修改,以促使审计人员更好地保护职务执行中知悉的个人信息。 加强教育。目前,部分审计人员法制观念薄弱,没有深刻理解宪法关于“国家尊重和保障人权”的精神实质,没有及时了解刑法对非法获取、泄露个人信息的定罪规定,随意谈论个人信息,对查询得到的个人信息保护不力,致使相关电子数据被盗取还浑然不知。因此,审计机关应结合实际,用以案说法等方式组织宪法和个人信息保护规定的学习,增强审计人员的法制意识和保密意识,做到依法审计。 扩大宣传。审计机关要向社会广泛宣传审计法特别是其中有关审计机关权限、义务的规定,宣传个人信息保护方面的法规,努力营造良好的审计执法氛围,使企事业单位、社会公众既更好地支持、配合审计工作,又有效监督审计人员的执法行为,正确行使审计监督权。 完善制度。目前,审计使用被审计单位电子数据的现象普遍,审计分析涉及的数据面广,参与数据分析的人员多,这加大了数据保密的难度。尽管近日审计署制定了《审计署保密工作纪律》,规定“不准擅自披露、公开或向知悉范围以外的人员透露审计工作中的国家秘密、工作秘密和商业秘密”,但对知悉的个人信息是否属于工作秘密没有明确,因而需要进一步完善,特别是要尽快将审计涉及个人信息的内容纳入保密范畴,以达到用制度约束行为、用制度管理干部的目的。