個人信息處理者的合規(guī)審計(jì)義務(wù)

鐘 晨

一、引言

《個人信息保護(hù)法》第54條和第64條從內(nèi)部和外部兩個方面對合規(guī)審計(jì)義務(wù)作出規(guī)定，這表明對個人信息處理者的監(jiān)管已經(jīng)從過去的事后監(jiān)管轉(zhuǎn)變到深入算法層面的事中或事前監(jiān)管，同時(shí)這也是我國第一次以法律的形式確定個人信息處理者應(yīng)當(dāng)承擔(dān)合規(guī)審計(jì)義務(wù)。遺憾的是雖然出臺了一些關(guān)于個人信息保護(hù)的標(biāo)準(zhǔn)和法律法規(guī)，但學(xué)界更多的是關(guān)注于個人信息權(quán)[1]、算法解釋權(quán)[2]、數(shù)據(jù)跨境流動[3]、目的限制原則[4]等問題，對合規(guī)審計(jì)義務(wù)的專題分析幾乎沒有，對《個人信息保護(hù)法》第54條和第64條的解讀也是付之闕如。本文嘗試填補(bǔ)關(guān)于合規(guī)審計(jì)義務(wù)的空白，以《個人信息保護(hù)法》第54條和第64條為切入點(diǎn)，從合規(guī)審計(jì)義務(wù)的義務(wù)來源、現(xiàn)實(shí)困境等多個方面進(jìn)行分析，初步構(gòu)建合規(guī)審計(jì)義務(wù)的制度框架。

二、合規(guī)審計(jì)義務(wù)的現(xiàn)實(shí)困境

合規(guī)審計(jì)義務(wù)的效力范圍從個人信息的收集階段、個人信息的處理階段到個人信息的應(yīng)用階段，包括了個人信息活動的全過程，可以在多個階段發(fā)揮作用。但在現(xiàn)實(shí)的應(yīng)用中，仍然存在一些問題亟待解決。

(一)概括性描述的合規(guī)審計(jì)義務(wù)執(zhí)行困難

合規(guī)審計(jì)義務(wù)在具體的實(shí)踐中，包括中國內(nèi)審協(xié)會、審計(jì)署在內(nèi)的學(xué)術(shù)組織和政府機(jī)構(gòu)都沒有對合規(guī)審計(jì)作出相應(yīng)的制度設(shè)計(jì)，缺少對合規(guī)審計(jì)的重視使得除了《個人信息保護(hù)法》外沒有其他規(guī)范性文件對合規(guī)審計(jì)進(jìn)行支撐，這不僅為執(zhí)法者、司法者帶來理解上的困擾，導(dǎo)致適用上的偏差，而且會讓企業(yè)在操作性較差或者遵守相關(guān)規(guī)則需要承擔(dān)較高成本的情況下，更傾向于選擇逃避法律。但是在國外，尤其是西方國家已經(jīng)對合規(guī)審計(jì)義務(wù)進(jìn)行了詳細(xì)的設(shè)計(jì)。以英國在2021年6月發(fā)布的《信息專員(ICO)審計(jì)指南》為例，目的是為了對英國2018年發(fā)布的《數(shù)據(jù)保護(hù)法》第146條(賦予信息專員強(qiáng)制審計(jì)進(jìn)行調(diào)查的權(quán)力)作出進(jìn)一步詳細(xì)的規(guī)定。我國也需要對合規(guī)審計(jì)義務(wù)進(jìn)行詳細(xì)的規(guī)定，出臺相應(yīng)的解釋性文件或國家標(biāo)準(zhǔn)。

(二)制度設(shè)計(jì)上的缺失難以發(fā)揮應(yīng)有的作用

除上述問題以外，合規(guī)審計(jì)義務(wù)在制度設(shè)計(jì)上也存在一定的缺陷。由于政府很難準(zhǔn)確和及時(shí)獲得平臺組織內(nèi)的網(wǎng)絡(luò)企業(yè)是否濫用個人信息的相關(guān)信息以及平臺個人信息處理活動行為的正當(dāng)性[5]，公權(quán)力機(jī)構(gòu)想要了解平臺合規(guī)審計(jì)的相關(guān)情況，只能在事后進(jìn)行強(qiáng)制性介入或委托第三方機(jī)構(gòu)參與，這與設(shè)立合規(guī)審計(jì)義務(wù)進(jìn)行前置性監(jiān)管的立法目的相悖，需要完善合規(guī)審計(jì)義務(wù)的制度設(shè)計(jì)，使合規(guī)審計(jì)義務(wù)能夠起到事中監(jiān)管的作用。在完善的方式上應(yīng)當(dāng)選擇對平臺影響較小的方式，不增設(shè)過多的義務(wù)，算法備案可以很好地解決這個問題。算法備案是行政機(jī)關(guān)作出的一種存檔備查的行為，其目的在于獲取平臺設(shè)計(jì)部署的具有潛在危害和風(fēng)險(xiǎn)的算法系統(tǒng)的相關(guān)資訊，以固定問責(zé)點(diǎn)為今后的行政監(jiān)管提供信息基礎(chǔ)。[6]平臺在進(jìn)行合規(guī)審計(jì)后將審計(jì)的報(bào)告通過備案的方式交由監(jiān)管機(jī)構(gòu)，使合規(guī)審計(jì)的內(nèi)容通過算法備案的方式固定下來。通過以上的分析可以發(fā)現(xiàn)，合規(guī)審計(jì)義務(wù)在應(yīng)用層面還面臨著不小的困難，需要對其進(jìn)行更多的理論探討。

三、合規(guī)審計(jì)義務(wù)的內(nèi)涵闡釋

我國在2021年正式通過了《個人信息保護(hù)法》，加上之前發(fā)布的《數(shù)據(jù)安全法》，初步在法律層面上建立起了對個人信息保護(hù)、數(shù)據(jù)跨境流動等問題的規(guī)制。那么在此背景下我國法律對平臺增加合規(guī)審計(jì)義務(wù)是出于什么目的？想達(dá)到怎樣的效果？要回答這些問題，必須從合規(guī)審計(jì)義務(wù)的內(nèi)涵來看待。

從《個人信息保護(hù)法》第54條和第64條來看，目前的合規(guī)審計(jì)從條文上來看，包括內(nèi)、外兩部分：內(nèi)部審計(jì)要求平臺定期對其個人信息處理行為進(jìn)行合規(guī)審計(jì)，外部審計(jì)要求如果平臺個人信息處理活動存在重大風(fēng)險(xiǎn)，要接受由監(jiān)管機(jī)構(gòu)啟動的外部強(qiáng)制性合規(guī)審計(jì)。相應(yīng)地，合規(guī)審計(jì)義務(wù)的內(nèi)涵也可以分為兩方面，分別是：附隨性義務(wù)與救濟(jì)性義務(wù)。附隨性義務(wù)主要是指《個人信息保護(hù)法》第54條的規(guī)定，該條要求個人信息處理平臺在個人信息處理過程中，要定期地履行合規(guī)審計(jì)，也就是說為個人信息處理平臺增設(shè)了合規(guī)審計(jì)的義務(wù)。該義務(wù)的產(chǎn)生有賴于個人信息處理活動的實(shí)施，不進(jìn)行個人信息處理的網(wǎng)絡(luò)平臺并沒有被施加該義務(wù)，合規(guī)審計(jì)義務(wù)隨著個人信息處理的產(chǎn)生而產(chǎn)生，更多是一種附隨性的義務(wù)，因此，從該角度來看合規(guī)審計(jì)義務(wù)是一種附隨性的義務(wù)。救濟(jì)性義務(wù)則是指，《個人信息保護(hù)法》第64條所規(guī)定的當(dāng)出現(xiàn)個人信息處理事故或者個人信息處理活動存在重大風(fēng)險(xiǎn)時(shí)，個人信息處理者將有可能面臨由外部監(jiān)管機(jī)構(gòu)強(qiáng)制啟動的合規(guī)審計(jì)以保證個人信息處理活動的合法合規(guī)，此時(shí)個人信息處理者需要履行配合外部強(qiáng)制審計(jì)的義務(wù)。從當(dāng)前的條文規(guī)定來看，救濟(jì)性義務(wù)針對不同的風(fēng)險(xiǎn)會產(chǎn)生不同的義務(wù)，雖然條文中沒有明確的告知，但是就實(shí)踐來看，約談的嚴(yán)重程度是小于外部強(qiáng)制合規(guī)審計(jì)的，以“滴滴打車赴美上市案”為例，在國家互聯(lián)網(wǎng)信息辦公室進(jìn)駐滴滴內(nèi)部之前，已經(jīng)多次約談過滴滴負(fù)責(zé)人，但是都沒有取得理想的效果，使得網(wǎng)信辦不得不通過外部的強(qiáng)制介入手段來保證滴滴平臺運(yùn)作的合規(guī)性與合法性。

四、合規(guī)審計(jì)義務(wù)的履行機(jī)制與制度框架架構(gòu)

根據(jù)前文所述，針對當(dāng)前法律規(guī)定下合規(guī)審計(jì)義務(wù)存在的兩方面問題，分別提出相應(yīng)的對策，力求架構(gòu)合規(guī)審計(jì)義務(wù)的理論原則與制度銜接。

(一)合規(guī)審計(jì)義務(wù)構(gòu)建的指導(dǎo)原則

如何確定合規(guī)審計(jì)義務(wù)的期間、范圍等程序性細(xì)節(jié)是一個技術(shù)難題，面臨著技術(shù)和倫理的詰問，這需要監(jiān)管機(jī)構(gòu)結(jié)合技術(shù)和法律進(jìn)行制定，本文試圖通過原理性的分析為監(jiān)管機(jī)構(gòu)制定相關(guān)標(biāo)準(zhǔn)提供理論性的引導(dǎo)。

比例原則。對平臺的監(jiān)管與個人信息的保護(hù)要處在平衡之中，應(yīng)明確行政監(jiān)管的基本理念仍是要發(fā)展數(shù)字經(jīng)濟(jì)促進(jìn)平臺發(fā)展，而非打壓平臺發(fā)展。監(jiān)管機(jī)構(gòu)在制定相關(guān)標(biāo)準(zhǔn)時(shí)應(yīng)當(dāng)充分考慮平臺的實(shí)際能力、付出的成本與收益等進(jìn)行綜合考慮，如果規(guī)定不合理會給平臺帶來巨大的壓力。如最近四部門聯(lián)合發(fā)布的《算法推薦管理規(guī)定》中的第24條規(guī)定的算法備案制就引發(fā)了較大的爭議，由于算法備案制沒有說明備案的算法所需要達(dá)到的標(biāo)準(zhǔn)，很可能使平臺陷入過重的壓力之中。因此，在《個人信息保護(hù)法》實(shí)施過程中，既應(yīng)當(dāng)正確評估行政規(guī)制的功能與作用，處理好外部監(jiān)管和平臺義務(wù)的關(guān)系，同時(shí)也應(yīng)結(jié)合我國實(shí)際情況，做出符合實(shí)際情況的制度設(shè)計(jì)，提升外部監(jiān)管的質(zhì)量。

公開原則。由于算法本身的技術(shù)特征，“算法黑箱”是不可避免的。[7]盡管對算法是否應(yīng)當(dāng)公開仍存在爭議，但為了解決“算法黑箱”所帶來的算法歧視等問題，通過構(gòu)建算法公開制度來對部分算法進(jìn)行公開和解釋也是必要的。[8]平臺在數(shù)字時(shí)代具有雙重身份，相對于公眾來說其處在強(qiáng)勢的地位，公眾與平臺并不平等，通過公開平臺個人信息處理的過程和結(jié)果有利于加強(qiáng)對平臺的監(jiān)管，并維護(hù)個人主體的個人信息權(quán)。而對合規(guī)審計(jì)義務(wù)來說，通過算法備案將審計(jì)的內(nèi)容進(jìn)行公開，可以確定平臺的問責(zé)節(jié)點(diǎn)，既能破解“算法黑箱”的難題，也能夠幫助認(rèn)定平臺的主觀責(zé)任，填補(bǔ)當(dāng)前法律規(guī)定下合規(guī)審計(jì)義務(wù)缺少外部介入手段的制度缺陷，因此，有必要探討將算法備案制度與合規(guī)審計(jì)義務(wù)進(jìn)行銜接的可能性。

公平信息實(shí)踐原則。“公平信息實(shí)踐原則”作為個人信息保護(hù)領(lǐng)域的理論基石，對各國的個人信息保護(hù)法產(chǎn)生了不同程度的影響。該原則主要內(nèi)容包括：合理使用與流通，平臺可以出于商業(yè)目的正當(dāng)?shù)厥褂檬占膫€人信息，但是不得妨礙個人信息的流通，那么進(jìn)行合規(guī)審計(jì)時(shí)需要重點(diǎn)審查個人信息流動的情況，不得有限制性的算法設(shè)計(jì)，不得將個人信息用于收集時(shí)未告知個人主體的其他用途等；公共利益優(yōu)先，將個人信息運(yùn)用于商業(yè)時(shí)要避免無限度地壓榨式使用，當(dāng)商業(yè)活動與公共利益產(chǎn)生沖突時(shí)，應(yīng)當(dāng)首先考慮公共利益，對合規(guī)審計(jì)來說可以作為評估的基石標(biāo)準(zhǔn)，公共利益應(yīng)當(dāng)放在首位來考慮；風(fēng)險(xiǎn)預(yù)防，個人信息處理者要采取合理合法的方式來防范個人信息活動可能出現(xiàn)的影響，要明確個人信息處理活動所要遵守的法律法規(guī)，在算法設(shè)計(jì)時(shí)就要審核有無違背法律的設(shè)計(jì)，從源頭上預(yù)防風(fēng)險(xiǎn)。

(二)履行機(jī)制的現(xiàn)實(shí)對策

針對合規(guī)審計(jì)義務(wù)在實(shí)踐應(yīng)用層面沒有相關(guān)規(guī)定的問題，在這里通過對時(shí)序分布和技術(shù)標(biāo)準(zhǔn)的探討，力圖從實(shí)務(wù)層面建立起能夠施行的制度，填補(bǔ)制度構(gòu)建上的空白。

1.合規(guī)審計(jì)義務(wù)的技術(shù)標(biāo)準(zhǔn)

如何判斷平臺個人信息處理活動是否合規(guī)，這是合規(guī)審計(jì)必須要面對的問題；但這卻又是個尚未明確的問題。合規(guī)審計(jì)首先要考慮如下因素：一是個人信息處理活動本身的技術(shù)性，二是技術(shù)運(yùn)用的正當(dāng)性。

(1)正當(dāng)性標(biāo)準(zhǔn)。《民法典》雖然對個人信息權(quán)的保護(hù)作出了規(guī)定，但直接將《民法典》作為個人信息保護(hù)的標(biāo)準(zhǔn)并不妥當(dāng)。有學(xué)者提出個人信息保護(hù)與民法人格權(quán)中的隱私權(quán)相比具有保護(hù)客體的特殊性、義務(wù)主體的特殊性、權(quán)利性質(zhì)的特殊性，因此，個人信息保護(hù)具有獨(dú)立于民法的特殊性，是一項(xiàng)不同于隱私權(quán)的獨(dú)立的法律制度。[9]因此，以《個人信息保護(hù)法》內(nèi)容作為算法合規(guī)審計(jì)標(biāo)準(zhǔn)是恰當(dāng)?shù)摹！秱€人信息保護(hù)法》第55條規(guī)定了事前風(fēng)險(xiǎn)評估制度，這在事實(shí)上就與第54條的定期合規(guī)審計(jì)合成了一條合規(guī)審計(jì)鏈。雖然事前合規(guī)審計(jì)在時(shí)間上具有提前性，但與事中和事后合規(guī)審計(jì)所追求的目標(biāo)具有一致性，故將第55條作為第54條的正當(dāng)性標(biāo)準(zhǔn)，也具有合理性和可操作性。

(2)制度性標(biāo)準(zhǔn)。即如何判斷平臺內(nèi)部的合規(guī)審計(jì)制度是否建立和健全。這主要包括三個方面：第一，制度的內(nèi)容要規(guī)范化，包括審計(jì)原則、審計(jì)方法、審計(jì)內(nèi)容、審計(jì)程序和審計(jì)評價(jià)等內(nèi)容，平臺行為都要有相應(yīng)的內(nèi)部規(guī)定或法律、法規(guī)作為依據(jù)，合規(guī)的標(biāo)準(zhǔn)和要求都要在平臺內(nèi)控制度中以規(guī)范性文件形式予以體現(xiàn)。第二，制度的內(nèi)容要體系化。要完整地涵蓋內(nèi)控的要素內(nèi)容，包括審計(jì)的本質(zhì)、審計(jì)的目標(biāo)、審計(jì)的內(nèi)容、審計(jì)的主體等，都應(yīng)包含在平臺審計(jì)制度之中。第三，制度的內(nèi)容要合法化，平臺內(nèi)控制度內(nèi)容除了要規(guī)范化、體系化外，實(shí)質(zhì)上還必須遵守法律、法規(guī)和《中國內(nèi)部審計(jì)準(zhǔn)則》等強(qiáng)制性規(guī)定，這也是制度性標(biāo)準(zhǔn)中最為重要的方面。

(三)與算法備案制度的銜接

算法備案制度屬于近年來學(xué)界討論較多的一種新型制度，在這里嘗試論述在合規(guī)審計(jì)義務(wù)中嵌入算法備案制度的必要性，完善現(xiàn)有的合規(guī)審計(jì)義務(wù)。

1.合規(guī)審計(jì)義務(wù)與算法備案的相同之處

第一，針對主體相同。《算法推薦規(guī)定》第8條規(guī)定算法服務(wù)提供者要定期進(jìn)行審核、評估以保證算法模型的安全性,《個人信息保護(hù)法》要求個人信息處理者定期進(jìn)行合規(guī)審計(jì)，算法備案的主體是算法服務(wù)推薦者而不包括算法設(shè)計(jì)者、算法研發(fā)者，合規(guī)審計(jì)的主體包括算法設(shè)計(jì)、使用、研發(fā)等多個主體，范圍上合規(guī)審計(jì)的主體要更廣泛，但個人信息處理者尤其是巨型網(wǎng)絡(luò)平臺往往也是算法服務(wù)的提供者，也就是說二者所針對的主體幾乎相同，這在一定程度上為二者制度上的銜接奠定了基礎(chǔ)。第二，設(shè)立目的相同。并且從設(shè)立兩種制度的目的來看，都是為了進(jìn)一步厘清平臺責(zé)任，因此,從設(shè)立的目的上來講也具有一致性。

2.算法備案制度與合規(guī)審計(jì)義務(wù)的銜接

合規(guī)審計(jì)義務(wù)之所以要銜接算法備案制度是因?yàn)閱渭兊膬?nèi)部義務(wù)很難起到監(jiān)管的作用，如“國家網(wǎng)信辦進(jìn)駐豆瓣開展網(wǎng)絡(luò)治理”案件，網(wǎng)信辦在進(jìn)駐之前已對豆瓣進(jìn)行了多次的約談和處罰，但是仍然沒有成效。[10]僅僅依靠平臺自己進(jìn)行內(nèi)部的合規(guī)審計(jì)顯然已經(jīng)無法滿足數(shù)字時(shí)代的要求，需要一種手段能刺破平臺外部直接穿入至算法的運(yùn)行，算法備案制度則符合這一要求。當(dāng)平臺履行了定期合規(guī)審計(jì)的義務(wù)之后，將審計(jì)的內(nèi)容通過備案的方式移交監(jiān)管機(jī)構(gòu)，監(jiān)管機(jī)構(gòu)既可以在日常的監(jiān)管過程中對審計(jì)內(nèi)容進(jìn)行審查，實(shí)現(xiàn)在不影響平臺運(yùn)行的情況下對平臺算法層面的監(jiān)管，同時(shí)當(dāng)發(fā)生個人信息事故之后，審計(jì)的內(nèi)容還能夠作為對平臺主觀過錯的認(rèn)定依據(jù)，完善對平臺責(zé)任的事中認(rèn)定機(jī)制。將二者進(jìn)行銜接，補(bǔ)全了合規(guī)審計(jì)義務(wù)外部監(jiān)管的缺陷，有利于合規(guī)審計(jì)義務(wù)的現(xiàn)實(shí)應(yīng)用，并且算法備案無需平臺承擔(dān)過重的行政成本，對于平臺來說也處于可以接受的范圍。