2021年11月1日起,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)正式实施,商业银行作为海量个人信息的处理者,毫无疑问将面临更加严格的监管。银行内部审计作为第三道监督防线,服务对象应不只局限于内部,还应按照《个人信息保护法》要求开展合规性审计监督,促进银行在保护消费者权益、履行社会责任义务、维护金融安全与稳定中发挥积极作用。本文从《个人信息保护法》对商业银行内部审计的影响出发,将商业银行个人信息保护应遵循的监管要求作为审计依据进行梳理,探讨安全治理、控制活动和监督评价三方面合规审计的要点,并结合数字化时代特征,探索个人信息保护合规审计方法实务。 《个人信息保护法》对商业银行及内部审计的影响 (一)为个人金融信息处理提供法律准绳 明确个人信息保护社会责任与义务。该法案以维护个人权益为目标,明确了对信息处理者的社会义务与法律责任。商业银行作为信息处理者肩负保障客户信息安全的义务。银行一旦触碰法律红线,将面临轻则由监管部门责令整改,重则吊销相关业务许可和牌照,同时面临最高5000万元或上一年度营业额5%以下的罚没。 诠释个人信息和个人敏感信息的含义。银行金融服务交互过程中面对大量的个人金融客户信息,既有个人账户和账户交易信息,还有客户基本信息、财产信息、生物识别信息,以及经过汇总融合后的客户画像等衍生信息,究竟哪些信息归属敏感信息一度缺乏法律层面的界定标准。该法第二十八条明确将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹以及不满十四周岁未成年人信息纳入敏感信息保护范围,且突出强调了敏感信息处理规则,为银行完善敏感信息管理范畴提供了法律依据。 强化个人金融信息全生命周期的保护。商业银行信息收集、存储、使用、加工、传输、删除、销毁各个生命周期阶段贯穿于银行个人零售业务全流程,由于公私业务存在着千丝万缕的关系,个人金融信息管理也渗透于各层级经营机构与业务管理部门。银行需对照法律规定查缺补漏,建立健全个人金融信息保护管理体系、安全稳固的信息系统保障体系,夯实银行合规经营、依法管理的底线。 (二)赋予银行内审部门合规性审计监督的法律责任 近年来,人民银行、银保监会等监管机构出台了一系列涉及个人信息安全的管理制度与技术规范,从行政层面强调了内部审计监督评价的履职要求。《个人信息保护法》的出台,进一步从法律层面强化了审计监督的法律义务,商业银行内部审计应根据该法律规定第五十四条、第六十四条规定,自律性开展合规审计,促进银行重视个人金融信息处理活动的合法性,定期开展个人信息保护风险评估,积极履行社会责任、法律义务,持续提高保护能力。 (三)个人金融信息安全监管处罚力度趋紧 近年来随着《个人信息保护法》《数据安全法》等法律法规的颁布,监管业加大了对银行业的个人信息保护处罚力度,内部审计作为银行的第三道防线,责无旁贷地要对第一、二道防线的个人信息安全保护开展审计监督,在监管处罚前提早发现问题,避免企业受到处罚或者减轻企业处罚。据相关资料信息显示,2021年涉及信息处理等违规问题的监管罚单共计119张、涉及金额约4654万元,违规行为集中于“个人金融信息保护不到位”“未按规定收集使用个人信息”“未经同意查询个人信息或企业信贷信息”“提供部分个人不良信息时未事先告知信息主体”“泄露客户信息”“网络授权访问控制不到位”等。其中,与“个人金融信息保护不到位”直接相关的案由出现40次(见表1)。
商业银行个人信息保护合规审计监督事项要点 (一)个人信息保护合规审计的参考依据 为加强银行个人金融信息安全规范管理,人民银行颁布了《个人金融信息保护技术规范》《征信业务管理办法》等监管制度,明确个人信息安全保护的行政性要求及技术执行参考标准,为商业银行落实《个人信息保护法》条款提供了翔实、明确的指引,这些内容也是银行内审工作开展的参考依据(参见表2)。
(二)个人信息保护合规审计的主要内容 银行内审部门按照《个人信息保护法》第二、三、五章节的法律条款,从安全治理、控制执行、内控监督三方面开展审计评价。 ——安全治理。根据《个人信息保护法》对个人信息处理者的义务要求,银行管理层应加强策略、制度、和规程等治理层面的建设,从而形成自上而下、标准统一的安全管理体系,用以指导全银行个人金融信息安全保护措施的落地。银行内审部门应对个人金融信息安全治理体系的健全性和系统性开展审计评价。 ——控制执行。为实现个人金融信息全方位、全生命周期的安全管理与技术措施保护,银行既要从流程控制层面加强业务活动中信息处理的规范管理;又要从技术层面加固信息系统的安全保护水平。鉴于此,审计关注的重点可聚焦于业务运营活动和安全技术管控两个层面: