英国ICO健康数据合规审计报告解读

2022年9月至2023年5月期间，英国信息专员办公室（ICO）组织对苏格兰卫生健康委员会开展了合规审计。苏格兰国家医疗服务体系（NHS Scotland，NHSS），是一种“全民医保”模式，通过国家税收筹集医疗保障资金，向国民提供免费医疗服务，卫生健康委员会是NHSS下设的机构之一，共有14个地区卫生健康委员会、7个特殊非地区性的健康委员会以及一个公共卫生机构。2023年8月，ICO就其对苏格兰卫生健康委员会的合规审计情况发布审计报告。本文拟对这一份合规审计报告进行梳理与解读。

一、审计概述

ICO是英国一个独立公共监管机构，负责督促英国GDPR以及2018年数据保护法的落实执行。而合规审计则是ICO开展监管的重要手段，主张高标准的个人数据保护遵从性能够帮助数据处理组织建立与公众之间的信任。此次合规审计，ICO逐一对每个地区的卫生健康委员会进行了审计，以评估卫生健康委员会遵循数据保护规定的情况。ICO合规审计报告内容架构主要包括：审计范围、审计方法、审计发现、良好实践、审计结论及审计跟进六个部分。

二、审计报告的主体内容

（一）审计范围

ICO正式开展合规审计前，一般会组织数据处理的现有资讯、投诉反馈以及数据泄露情况确定合规审计范围。此次对各地苏格兰卫生健康委员会的合规审计，ICO主要通过卫生健康委员会数据处理活动现状、办事处的信息反馈以及卫生健康委员会IG论坛讨论的主题等多个维度确定审计范围。总体来看，此次合规审计范围侧重面向苏格兰地区卫生健康委员会的信息治理领域，包含数据保护专业培训以及数据共享等，旨在审查信息治理问责制落实情况、数据保护的政策与流程遵循情况、数据信息共享协议和日志与数据保护要求的契合度等内容。后续审计发现的信息披露，一般也是围绕上述审计范围进行。

（二）审计方法

审计方法上，ICO在审计报告中提到，此次对各地卫生健康委员会的审计所采取的审计方法包括：

1）对数据保护政策和流程的审查；

2）与特定工作人员访谈；

3）对证据文件的实质审查；

4）实地考察走访；

上述四种合规审计方法与ICO《合规审计指南》中提及的审计方法吻合。数据保护政策和流程的审查体现的是文件审查方法。与特定工作人员进行则体现了个别访谈的方法运用，当然，除此以外ICO《合规审计指南》还提及有集体访谈的方式。同理，对证据文件的实质审查以及实地考察走访也均在ICO《合规审计指南》中有提及。可见，一方面，ICO《合规审计指南》在英国数据保护合规审计领域有着重要的工作指引意义；另一方面ICO作为英国数据保护的公共监管机构，在实践中着力贯彻落实合规审计要求，推动《合规审计指南》的落地适用，以指导合规审计工作的切实开展。

（三）审计发现

审计发现是合规审计报告所披露的结果摘要内容之一。此次合规审计报告，ICO重点围绕管理架构、政策及程序、专业培训、第三方数据处理的合同订立、透明度与隐私信息、数据保护影响评估、个人数据泄露、数据共享协议八个方面进行了审计结果的摘要总结。同时，也结合审计发现中的不足针对性提出了改进建议。

1.管理架构

ICO认为监督与管理对数据治理是必要的。经合规审计，ICO总结认为苏格兰所有的地区卫生健康委员会都具备良好或者合理的管理架构，支持发挥数据保护的监督管理职能。主要体现在：

1）执行委员会设有由一名高级信息风险专员和数据卫士（主要履行督促健康和护理数据得到保护并安全正确使用的职责）组成的问责程序；

2）所有的地区卫生健康委员会都任命有一名数据保护干事，并且其中88%的数据保护干事都担负有适当的责任，向上一级管理人员报告工作，但同时也保持自身工作的独立性；

3）不少卫生健康委员会建立有业务角色和职责框架，用以支持日常信息管理工作，同时还建立了信息管理指导小组，用以在业务层面对数据保护合规性进行结构性管理和监督。

可见，在管理架构上，苏格兰地区健康委员会确实具备较为完善的管理架构，问责程序有设置能落实、数据保护专员能独立履职、日常信息管理有指导。

不过，ICO也针对卫生健康委员会的管理架构问题提出了一些改进建议：第一，信息管理团队的规模较小，职能履行有限、不够灵活，没有办法完成所有的合规要求。有如，在短期内响应数据访问主体的请求。第二，信息管理的文档记录没有反映对应角色的工作要求。例如，数据保护官（DPO）的责任内容与工作要求没有在数据保护政策或者其工作描述中体现。第三，信息资产所有者的框架没有能完全体现在委员会之中，信息资产所有者未能充分参与数据保护的角色履职。第四，少数委员会没有设置数据卫士的正式代表，以确保正式代表能在数据卫士缺席期间代为履行相应职能。

2.政策及程序

政策和程序有助于指导和支持数据处理者提高数据保护遵从性。经合规审计，ICO总结认为80%的地区卫生健康委员会都能制定良好的政策，具体包含数据保护政策、记录管理政策以及数据共享政策。并且政策的制定与发布还会经过批准与定期审查。所有的卫生健康委员会都能及时在内部网页向员工告知政策与程序动态更新情况。此外，部分卫生健康委员会还设置有政策阅读的管理软件，确保让员工能确切阅读新发布的或经过修订的政策。

不过，ICO也针对存在的一些问题提出了改进建议：一方面，部分卫生健康委员会没有制定数据共享政策，无法确保数据共享的安全使用；另一方面，一些卫生健康委员会没有按规定定期对政策及程序进行审查，存在潜在风险。

3.专业培训

数据保护培训能引导员工以及负有特定职责的主体认识、理解自身的数据保护职责，自觉履行数据保护义务。ICO通过审计发现，卫生健康委员会针对数据保护官、信息安全和记录管理、个人权利请求响应、信息资产管理以及等方面的培训资金支持方面持较为有限。ICO认为应提供专业、全面的培训，同时还需定期进行强化训练。

4.第三方处理合同

委托第三方进行数据处理的，应注意订立书面合同，以确定各方权利义务。ICO经合规审计认为，大部分卫生健康数据委员会在委托第三方进行医疗健康或护理数据处理时，能够将上述书面合同订立的要求履行到位。但是还存在以下问题：

第一，大部分卫生健康委员会未能采取足够措施确保第三方数据处理者能够遵循书面合同的义务要求开展数据处理。并提醒委员会应在书面合同中约定审计条款，定期对第三方数据处理行为进行审计。

第二，约有1/3卫生健康委员会所订立的书面合同，在条款内容上不够详细，无法确保第三方数据处理者的数据处理行为满足所有的合规要求。

第三，部分卫生健康委员会无法确保已经与所有的第三方数据处理者签订有书面合同。

5.透明度与隐私信息保护

GDPR第5条规定有数据处理的公平、合法与透明原则。ICO通过合规审计发现，大部分卫生健康委员会有遵守数据处理的透明原则，通过网站、海报或宣传单向公众提供有效的隐私资料，同时告知公众他们是如何进行个人数据的处理和分享的。在数据处理透明公开、以及隐私保护方面，ICO主要指出两点问题：一是没有特别针对儿童和弱势群体提供相应形式的隐私信息；二是部分卫生健康委员会的隐私告知义务存在被动履行的情况，没有主动向个人提供，而是需要依靠个人自行访问网站信息才能获取。

6.数据保护影响评估（DPIA）

在数据保护影响评估的义务履行方面，ICO经审计指出只有一个地区卫生健康委员会没有开展数据保护影响评估，其余的卫生健康委员会都能很好地遵循数据保护影响评估程序，并额外设置有风险管理程序进行风险管控。ICO还认为卫生健康委员会开展数据保护影响评估属于良好的数据保护实践，建议卫生健康委员会公布数据保护影响评估结果，增加数据处理的透明度。不过ICO也提醒到，在公布数据保护影响评估结果时，应注意与商业秘密保护、个人信息安全之间的利益平衡。

7.个人数据泄露

当发生个人数据泄露等个人信息安全事件时，卫生健康委员会有义务妥善进行处置，承担起相应的数据保护责任。此次合规审计，ICO发现，90%的卫生健康委员会都已采取适当的措施确保个人数据泄露被及时识别、报告，并对此展开调查响应。但是，ICO也指出，并非所有的卫生健康委员会都制定有书面的个人信息安全事件应急响应与处置方案。此外，ICO根据其个人数据泄露小组的数据统计指出，部分卫生健康委员会未能在法定的72小时内向ICO报告发生的个人数据泄露安全事件。

8.数据共享协议

数据共享一方面会带来更广泛的数据安全风险，但另一方面也是完善医疗健康服务的重要环节。因此，需要在个人权利保护与社会医疗健康服务水平提升之间进行利益平衡，有效控制数据共享。对此，ICO指出订立有全面的数据共享协议，并进行定期审查是有必要的。此次合规审计，ICO指出80%的卫生健康委员会与经常进行数据共享的数据处理方订立有数据共享协议，并且其中95% 的数据共享协议的内容详细，能够为数据共享提供较为全面、合乎数据保护要求的指导。不过，ICO也指出了存在的一些问题。第一，部分卫生健康委员会没有做好数据共享协议的签署记录。第二，数据共享协议没有对数据映射和之后的处理活动记录（ROPAs）进行规定。第三，部分数据共享协议没有对个人数据的接收者类型进行披露。第四，部分数据共享协议没有定期进行审查，或者存在审查后未载明审查日期的情况。

（四）良好实践

ICO开展合规审计报告中，还对卫生健康委员会在数据保护方面的良好实践进行了披露。一是对卫生健康委员会的合作开展提出了认同。ICO指出，卫生健康委员会在数据保护和信息治理层面专门设有论坛（NHS Scotland IG Leads Forum），定期进行会议讨论，交流想法与分享工作经验。ICO认为这是一个很好的资源共享平台，促进卫生健康委员会提高数据保护治理水平。二是认为卫生健康委员会在意识指引层面做得比较到位。ICO在与特定工作人员进行访谈过程中，工作人员对部门信息治理以及数据保护方面的评价很高，认同感很强。可见，数据保护原则在卫生健康委员会的各部门之间得到了有效的贯彻落实。三是认同卫生健康委员会在数据保护角色方面的安排。比如设置有高级信息风险专员和数据卫士等，有助于自上而下落实数据和隐私保护。

（五）审计结论

根据ICO《合规审计指南》的规定，结束合规审计后，ICO会根据审计结果给出相应的审计评级，共分非常有限的保证、有限的保证、合理的保证和高度保证四个等级。此次针对苏格兰地区卫生健康委员会的合规审计，ICO具体给出的保证评级如下所示：

首先，从整体来看，所有的卫生健康委员会的保证评级都处于“合理的保证”或者“高度保证”的范围，不存在“非常有限的保证”或“有限的保证”。其中，获得“合理的保证”的卫生健康委员会的数量占比约为43%；获得“高度保证”的卫生健康委员会的数量占比约为57%。（详见图1）

图1：苏格兰地区卫生健康委员会

图1：苏格兰地区卫生健康委员会保证评级的类型及数量占比

其次，从单一领域来看，57%给予的是高度保证评级；26%给予的是合理的保证；15%给予的是有限的保证；只有2%给予的是非常有限的保证。（详见图2）

图2：单一领域的保证评级及数量占比

最后，ICO还会根据审计结果对给出的审计建议进行优先等级区分。其中，只有1%属于紧急优先事项，急需整改，32%属于高优先级的建议，54%属于中等优先级的建议，13%属于低等优先级的建议。（详见图3）

图3：ICO审计建议的优先等级情况

（六）审计跟进

ICO非常注重审计结果的运用，在审计流程结束后，还会持续跟进组织的审计整改。根据ICO《合规审计指南》的规定，在后续审计跟进中，为了更好地防范数据安全风险、维护个人信息权利，ICO审计小组会高度关注紧急优先建议，如果被审计组织未及时遵循紧急优先建议，落实整改，ICO将考虑采用强制性的监管行动。在此次合规审计报告中，ICO单独对审计跟进情况进行了披露，提出已与卫生健康委员会以审计建议为基础建立了整改计划。同时指出，地方卫生健康委员会已积极采取行动。同时ICO也表示会持续监测和跟进苏格兰地方卫生健康委员会的审计整改。

三、总结评述

ICO合规审计是ICO专项负责的审计活动，用以监督数据处理者履行数据保护义务，督促落实数据保护要求。同时，为指导合规审计开展，ICO还制定有专门的《合规审计指南》，对审计范围确定、审计方法、审计流程、审计结果以及审计报告撰写等事项进行了详细规定。自ICO开展合规审计以来，还会定期在ICO官网发布审计报告摘要。从本文梳理的针对卫生健康委员会的审计报告来看，ICO的审计报告逻辑清晰，内容简练，重点对审计对象、审计方法、审计发现、良好实践进行披露，同时也会对审计整改等后续跟进进行简要说明。如此，既能展现出较为清晰完整的审计轮廓，使得数据处理者、公众了解真实的合规审计工作开展；也能发挥公众监督效应，鼓励公众一同参与，增加审计工作的透明度，提高合规审计的信任度与社会认同度。

参考文献

[1] ICO. NHS Scotland Health Boards Outcomes report,2023. https://ico.org.uk/media/action-weve-taken/audits-and-advisory-visits/4026246/nhs-scotland-health-boards-outcomes-report-v1_1.pd

伍旋航 | 清华大学智能法治研究院实习生

选题、指导 | 刘云

编辑 | 刘懿阳

注：本公众号原创文章的著作权均归属于清华大学智能法治研究院，需转载者请在本公众号后台留言或者发送申请至computational_law@tsinghua.edu.cn，申请需注明拟转载公众号/网站名称、主理者基本信息、拟转载的文章标题等基本信息。

声明：本文来自清华大学智能法治研究院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。