国家审计准则规定,审计人员应当保守其在执行审计业务中知悉的国家秘密、商业秘密;对于执行审计业务取得的资料、形成的审计记录和掌握的相关情况,未经批准不得对外提供和披露,不得用于与审计工作无关的事项。审计机关对收集到的审计证据包含的个人信息进行保密,既是依法审计的必然要求,也是防范审计风险的需要。 随着信息化的飞速发展,审计机关获知和掌握的个人信息越来越多,尤其在审计数据综合利用的大环境下,个人信息的大量聚集加大了审计风险。研究信息化环境下个人信息保护现状,探索防范审计风险的有效途径,是审计机关不可回避的课题。 建立个人信息保护制度的必要性 有研究表明,目前世界上已有五十多个国家和地区制定了保护个人信息的相关法律。 我国也高度重视个人信息的保护。2009年2月,刑法修正案(七)将公民个人信息纳入刑法保护:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”2010年11月,民事司法解释也首次明确了企业对泄露消费者个人信息行为应承担民事责任。2013年实施的《信息安全技术公共及商用服务信息系统个人信息保护指南》,将个人信息定义为“可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据”,对个人信息在信息系统处理过程各个阶段所涉及的行为提出了明确规范,要求相关机构加大信息安全建设与管理力度,确保一旦收集了公民个人信息,就必须建立一套个人信息安全保护制度。 因此,在信息化时代,当国家审计机关依据有关法律取得被审计单位含有个人信息的电子数据后,树立保护个人信息意识,采取保护个人信息的措施,不仅是审计机关依法履行审计职责,保护被审计单位相关权益的体现,也是审计人员自我防范,规避法律风险的现实需要。 国家审计中对个人信息保护的现状 目前,国家审计因工作需要,在金融、社会保障、电信、交通、教育、医疗等审计过程中,需获得相应的公民个人信息,并对取得的信息分类使用。特别是伴随国家审计数据中心的建立,会对获取和形成的基础数据进行应用、共享和交换,此过程中个人信息不当使用的风险将进一步加大。 (一)规范体系尚未形成 由于国家审计在工作中取得的个人信息主要以电子数据形式存在,国家审计对个人信息保护的规范也主要包括在对电子数据管理的相关制度中。纵观这些规范,还存在一些问题。 立法层级较低,效力低。目前,审计电子数据管理主要依据《审计署关于开展审计数据综合利用的试行意见》《特派办审计数据综合利用指南》《审计署审计项目电子数据保密管理办法(试行)》等相关规范性文件,最高规范层级是行政规章,而审计法及其实施条例仅规定审计人员对其在执行职务中知悉的国家秘密和被审计单位的商业秘密负有保密义务,未明确审计机关及审计人员对审计工作中取得的个人信息进行保护的义务。因此,逻辑上如果个人信息不涉及国家秘密或者商业秘密,审计人员并不需要承担保护义务。 另外,国家审计准则规定,对审计人员执行审计业务取得的资料、形成的审计记录和掌握的相关情况,未经批准不得对外提供和披露,不得用于与审计工作无关的目的,但这只是对审计人员职业道德的要求,未细化到对具体审计行为的规范上。 (二)具体规定操作性不强 审计法规定,审计机关有权取得被审计单位运用电子计算机存储、处理的财政、财务收支电子数据,也有权就审计事项的有关问题和个人进行调查并取得相关证明材料。实际工作中,这些电子数据或者相关证明材料中含有大量的个人信息,但是相关规范性文件未对个人信息电子数据与其他财政、财务收支的数据进行区分,未将个人信息明确作为涉密信息进行管理。因此,在具体管理制度中,未对含有个人信息电子数据的保存、使用做出具体、针对性的规定,或者仅有原则性要求。 例如,在《特派办审计数据综合利用指南》等文件中,强调对审计项目所获取的所有电子数据,要安全存储,并建立规范的数据授权管理使用办法,制定完善的数据访问权限规则,但是具体的数据访问规则、授权使用办法等尚未出台。特别是在数据使用上,侧重加强分析、充分利用,忽视个人信息具有隐私的特征,造成含有个人信息的电子资料不仅可以在不同审计项目中反复使用,甚至可以在各不同审计机关间资源共享,无形中增大了个人信息泄密风险。 (三)实践中存在大量风险点 审计项目实施中,审计人员采集、处理含有个人信息的电子数据时存在随意性。例如,由于对含有个人信息的电子数据要件没有特别规定,审计人员为便于开展审计,往往自行决定数据采集的范围、方式等,甚至仅口头沟通后,就从被审计单位信息库中下载数据,从而形成不同形式的个人信息载体,并分散在不同的审计人员手中。同时,由于存储设备、人员配置等原因,在审计项目完成后,审计机关获取的电子数据也无法严格遵照规定进行移交、存储,甚至出现对获取的信息基于各种目的,随意查询,自行复制、传递等情况。对含有个人信息的电子数据不加限制使用、在使用后未按期删除等行为必将带来风险隐患。