实务公告2300—1：内审师对个人信息的使用

　　实务公告2300—1：实施审计中内部审计师对个人信息的使用

　　解释《国际内部审计专业实务标准》中的第2300条标准

　　本实务公告性质

　　在开展确认或咨询业务的过程中考虑使用个人信息时，内部审计师应当考虑以下建议。本实务公告无意提供与使用个人信息相关的全面指导，仅提请注意在实施审计或开展经营时所处的管辖范围，按照相关法律或政策恰当使用个人信息的重要性。

　　1.信息技术和交流手段的改进，不断地对个人隐私带来新的风险和威胁，有关个人隐私和信息考虑保护的更加明显、集中和全球化。在世界大多数国家从事经营活动，隐私控制是一项法律要求。

　　2.个人信息通常指与某个特定个人有关的信息，或具备辨识特征，有可能结合其他信息与特定个人相联系的信息。个人资料包括任何客观或主观信息，不论其是否记载或以何种形式或媒介记载，例如：

　　姓名，地址，身份号码，收入，血型；评价，意见，社会地位，纪律措施；雇员档案，信用记录，贷款记录。

　　3.大多数情况下，法律要求组织在收集个人信息之前或收集时，明确收集的目的；除非征得本人同意或者根据法律要求，个人信息不得在该目的以外使用或披露。

　　4.对内部审计师而言，了解并遵守其执业及其所在组织经营所处的管辖范围内有关个人信息使用方面的法律非常重要。

　　5.内部审计师必须明白，在开展某些内部审计业务时，收集、检索、检查或使用个人信息有可能是不适当的，某些情况下可能是违法的。

　　6.内部审计师实施审计之前应当就此进行调查，如果有任何疑问或顾虑，应当和内部法律顾问咨询。