個人信息保護合規審計探究

任昊源，王穎（副教授）

2022 年我國數字經濟規模為50.2 萬億元，占GDP 的比重達到41.5%①。數字經濟在創造巨大經濟價值的同時，也帶來了日益嚴峻的數據安全問題，引發了全社會的廣泛關注。為保護個人信息權益，促進個人信息的合法合規使用，我國于2021年8月20日審議通過了《個人信息保護法》，自2021 年11 月1 日起實施。《個人信息保護法》第54 條和第64 條均明確提出對個人信息處理者②開展個人信息保護合規審計的要求，以評價和監督個人信息處理活動，降低個人信息保護合規風險。本文以《個人信息保護法》實施為背景，對我國個人信息保護合規審計的研究現狀進行梳理，分析個人信息保護合規審計的重點內容和程序。同時針對個人信息保護合規審計在實務開展中面臨的困境，提出相應的建議。

一、文獻回顧

個人信息保護屬于跨學科研究問題，學者主要從法學和計算機科學等視角對其展開廣泛探討，但對個人信息保護合規審計的研究還比較少。本文擬從個人信息保護和個人信息保護合規審計兩個方面進行文獻回顧。

（一）個人信息保護研究

本文在CNKI 中國學術期刊網絡出版總庫（CAJD）中以“個人信息保護”為關鍵詞，對1997～2022 年收錄于北大核心、CSSCI和CSCD 的期刊進行檢索，共獲得文獻資料1574篇。對個人信息保護的研究總體分為三個階段。

第一個階段為探索期（1997～2002 年）。這一階段表現出兩個趨勢。一是不斷加強對國外個人隱私保護政策的介紹。例如：貝內特（1997）在對加拿大《魁北克68號法案》和《電子通訊法案》進行介紹的基礎上，對加拿大個人隱私保護政策的要點進行了總結；周建（2001）對美國《隱私權法（1974）》中政府機構采集、使用、公開個人記錄的規定進行了詳細介紹，認為《隱私權法（1974）》更多的是以限制政府公開個人記錄的方式來保護個人信息。二是開始對個人信息隱私保護技術進行探索。例如，孔令飛和王義剛（2000）對用于個人信息保護的密鑰算法進行探索，形成了一種便于記憶、具有容錯性的個人信息保護方案。第二個階段為發展期（2003～2020 年）。隨著網上購物帶來的消費者個人隱私泄露事件的頻繁發生，學者開始關注消費者隱私泄露的法律保護問題。以鄭成思（2003）為代表的法學學者基于21 世紀初我國信息網絡發展趨勢及電子商務中面臨的隱私保護問題，呼吁對個人信息保護進行立法。此后學者對個人信息保護的立法模式（楊佶，2012；侯富強，2015）、立法路徑（姬蕾蕾，2017；李美艷，2018）等問題進行了深入研究。經過多年的立法探索，我國于2020 年發布《個人信息保護法（草案）》，并向社會公開征求意見。但在個人信息保護的立法實踐上歐美走在前列。美國于2015 年發布《消費者隱私權利法案（草案）》，歐盟于2016年頒布《通用數據保護條例》。第三個階段為繁榮期（2021年至今）。隨著2021年《個人信息保護法》在我國正式實施，學者對《個人信息保護法》的解讀（彭桂兵和丁奕雯，2021；王利明和丁曉東，2021）及其在實踐應用中的具體法律問題（周光權，2021；朱榮榮，2022）展開廣泛探討，這助推我國的個人信息保護研究進入繁榮階段。

（二）個人信息保護合規審計研究

現有文獻較少對個人信息保護合規審計進行專門研究，相關研究大多集中在與個人信息保護相關的數據合規審計領域。在立法層面，目前國內外均對數據合規審計做出相關要求。歐盟于2016 年正式頒布《通用數據保護條例》，英國信息專員辦公室于2021 年發布《數據審計指南》，法國數據保護局于2020 年發布《審計程序指南》，均對數據合規審計提出具體要求。我國除2021 年正式實施的《個人信息保護法》外，國家網信辦于2023 年8 月發布《個人信息保護合規審計管理辦法（征求意見稿）》，以指導個人信息保護合規審計的有效開展。

從審計需求來看，陳智敏（2022）認為推進個人信息保護合規審計不僅是保障個人信息安全的需要，也是維護社會安全穩定和推進數字中國建設的需要。從審計主體來看，傳統領域的合規審計主體更多的是政府審計和內部審計（鄭石橋等，2019），而與個人信息保護相關的數據合規審計，由于直接涉及社會公眾的個人信息權益，除政府審計和內部審計發揮作用外，還需要市場化程度更高的社會審計參與其中，以發揮其第三方獨立評價職能（閆夏秋，2023）。從審計內容來看，敬力嘉（2022）認為個人信息保護合規審計不僅要審查個人信息保護合規體系的完整性，也要關注企業是否具備應對違法違規處理個人信息行為的能力，同時不能忽略對員工行為合規性的審查。從審計程序來看，賈丹等（2022）認為個人信息保護合規審計除包括傳統審計程序外，還應增加審計跟蹤階段，以形成有效的閉環管理。

（三）研究述評

綜上所述，為有效保障個人信息權益，學者從多學科視角對個人信息保護進行了有益的探索，推動我國《個人信息保護法》實現立法，促進我國個人信息保護進入新的階段。但鮮有文獻對個人信息保護合規審計進行系統研究，這與《個人信息保護法》對個人信息保護合規審計的要求存在較大差距。因此，本文擬結合《個人信息保護法》的具體規定系統分析個人信息保護合規審計的重點內容，在參考合規審計一般要求和個人信息保護特殊性的基礎上分析個人信息保護合規審計的程序，并在深入分析個人信息保護合規審計困境的基礎上提出應對策略。

二、個人信息保護合規審計的內容

（一）個人信息保護合規審計的概念界定

2022 年8月國務院國資委發布《中央企業合規管理辦法》，對“合規”提出三個層面的要求：一是在企業規章層面，要求企業經營管理行為及員工履職行為要符合企業章程和規章制度的要求；二是在行業監管層面，要求企業經營管理行為及員工履職行為要符合法律法規、監管規定和行業準則的要求；三是在國際公約層面，要求企業經營管理行為及員工履職行為要符合國際條約和國際規則的要求。個人信息保護的合規管理同樣要遵循上述三個層面的合規要求。

為有效防范個人信息保護合規風險，將審計嵌入個人信息保護合規管理的評價和監督中，就形成了個人信息保護合規審計。個人信息保護合規審計是指審計機構和審計人員以個人信息保護的相關法律、規則及準則為依據，對被審計單位及其員工的個人信息保護行為是否合規所實施的一種監督活動。由于個人信息兼具私有屬性和公共屬性的特征，個人信息保護合規審計要實現雙重目標：從個人信息的私有屬性出發，個人信息保護合規審計要實現監管型目標，規范個人信息處理活動，防范侵害個人信息權益事件的發生；從個人信息的公共屬性出發，個人信息保護合規審計要實現服務型目標，促進個人信息社會價值和使用價值的發揮。

（二）個人信息保護合規審計的重點內容

《個人信息保護法》重點對個人信息處理者的義務、個人信息主體的權利實現方式、個人信息處理活動和個人信息跨境提供活動提出了合規要求。因此在開展個人信息保護合規審計時，應重點審計以下四個方面的內容。

1.對個人信息處理者義務的合規審計。個人信息處理者的義務是指為確保個人信息處理活動符合法律法規的要求，同時防止個人信息泄露、篡改、丟失以及未經授權訪問，個人信息處理者應履行的安全保障義務。審計的重點內容包括：一是重點審計個人信息保護合規制度的建設情況，重點關注個人信息處理者是否按照法律法規的要求建立個人信息保護的內部管理制度和操作流程。二是重點審計個人信息保護合規制度的遵守情況，重點關注個人信息處理者是否按照法規要求并結合自身業務特點進行個人信息的分類管理，是否采取網絡安全等基礎安全控制措施和加密等安全技術措施，是否定期對員工開展個人信息保護安全培訓，是否制定個人信息安全事件應急預案并定期進行應急演練。三是如果對提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者進行個人信息保護合規審計，還應關注其是否成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督，是否按照公開、公平、公正的原則明確平臺的個人信息保護規范和義務，是否定期發布個人信息保護社會責任報告等。

2.對個人信息主體權利實現方式的合規審計。個人信息主體的權利是指個人信息主體在個人信息處理活動中所享有的知情權、決定權、查閱權、復制權、轉移權、更正權、補充權、刪除權、要求解釋權和代行使權。在進行個人信息主體權利實現方式的合規審計時，審計的重點內容是個人信息處理者是否有效響應個人信息主體的各項權利，以及是否為個人信息主體行使各項權利提供對應的申請受理和處理機制等。

3.對個人信息處理活動的合規審計。個人信息處理活動包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開和刪除等活動。審計的重點內容包括：一是在個人信息收集活動的合規審計中，重點關注個人信息收集是否獲得授權同意，收集方式是否具有合法正當性，收集目的是否明確且合理，收集范圍是否存在超范圍收集情況，收集頻率是否為所必需的最低頻率，收集數量是否為所必需的最小數量。二是在個人信息存儲活動的合規審計中，重點關注存儲期限是否為所必要的最短時間，存儲地點是否存在境內存儲的要求，存儲技術是否采用加密和去標識化等安全措施，存儲設置是否具有備份和恢復策略。三是在個人信息使用和加工活動的合規審計中，重點關注是否超范圍使用個人信息，是否對個人敏感信息進行脫敏展示，是否對個人信息查詢進行授權管理，是否對個人信息加工處理過程進行防泄露管控。四是在個人信息傳輸活動的合規審計中，重點關注是否對個人信息傳輸進行分級管控，是否進行傳輸前的授權批準，是否對個人信息進行校驗，是否采用入侵檢測等安全技術進行傳輸安全保障。五是在個人信息提供活動的合規審計中，重點關注個人信息提供活動是否向信息主體盡到告知義務，提供范圍是否超出個人同意范疇，是否和信息接收方簽署責任協議并約束接收方行為。六是在個人信息公開活動的合規審計中，重點關注公開披露是否得到信息主體的單獨同意、是否存在適當的信息保護措施、是否存在披露規則并進行準確記錄。七是在個人信息刪除活動的合規審計中，重點關注是否具有受理個人信息刪除訴求的途徑，是否按照法規要求主動刪除個人信息或按照信息主體要求刪除個人信息等。

4.對個人信息跨境提供活動的合規審計。個人信息跨境提供活動是指個人信息處理者將在中國境內運營中收集和產生的個人信息向中國境外提供的行為。在進行個人信息跨境提供活動的合規審計時，應重點關注跨境提供個人信息是否滿足安全評估、個人信息保護認證、標準合同簽約等基本條件，是否在跨境提供前進行個人信息保護影響評估，是否在跨境提供前向信息主體盡到告知義務并獲取同意，是否經過中國主管機構批準后向境外司法和執法機構提供，是否存在向列入限制或者禁止清單的境外組織和個人提供個人信息的情形，是否對跨境提供的數據提供安全保障措施等。

三、個人信息保護合規審計程序

個人信息保護合規審計既可以由個人信息處理者的治理層發起③，也可以由履行個人信息保護職責的政府監管部門發起④。不同發起主體下個人信息保護合規審計的程序存在差異。由個人信息處理者治理層發起的個人信息保護合規審計屬于個人信息處理者內部組織開展的審計，審計程序要遵循內部審計準則的相關要求。由履行個人信息保護職責的政府監管部門發起的個人信息保護合規審計要遵循政府部門發布的關于個人信息保護合規審計相關的管理規范。

（一）個人信息處理者治理層發起的個人信息保護合規審計程序

由個人信息處理者治理層發起的個人信息保護合規審計既可以委托內部審計部門實施，也可以委托社會審計中的第三方獨立審計機構實施，在審計程序上要遵循內部審計準則的要求。按照中國內部審計協會發布的《第1101號——內部審計基本準則》的規定，完整的審計程序包括審計計劃、審計準備、審計實施、審計報告和審計整改。具體如圖1所示。此外，在個人信息處理者治理層委托第三方獨立審計機構實施個人信息保護合規審計時，還應遵循《第2309 號內部審計具體準則——內部審計業務外包管理》的相關規定。內部審計部門或第三方獨立審計機構在實施個人信息保護合規審計過程中，要對個人信息處理者的治理層負責，將審計報告及整改結果向個人信息處理者治理層報告。

圖1 個人信息處理者治理層發起的個人信息保護合規審計程序

1.審計計劃階段。在審計計劃階段，個人信息保護合規審計既要制定中長期的審計規劃，也要編制年度審計計劃和項目審計方案。首先，將個人信息保護合規審計納入總體審計規劃。結合外部法律法規和監管政策的要求，參考同行業侵害個人信息權益的違法違規事件，考慮內部管理對個人信息保護機制的建設需求，合理制定個人信息保護合規審計的中長期審計規劃。其次，基于審計規劃的結果，編制個人信息保護合規審計的年度計劃。在個人信息保護合規風險評估基礎上，結合審計資源配置情況，確定個人信息保護合規審計的年度目標、擬實施的審計項目、實施時間，并確定是否需要委托第三方獨立審計機構以及委托實施的具體審計項目。最后，編制具體項目的個人信息保護合規審計方案。根據個人信息保護合規審計年度計劃確定的審計項目，制定具體項目的審計方案。審計方案內容包括審計項目的基礎信息、審計目標與重點、審計程序與方法、審計資源的分配、對外部信息技術專家及法律專家的利用等。在委托第三方獨立審計機構時，個人信息處理者治理層等相關方還需與第三方獨立審計機構溝通個人信息保護合規審計方案，確保其符合個人信息保護監管政策要求。

2.審計準備階段。在審計準備階段，要為個人信息保護合規審計項目的具體實施提供所需的條件。一是開展審前調查。通過現場查看、面談交流、資料分析、書面描述、實施分析性程序等方法總體把握個人信息保護合規審計項目的基本情況。二是明確審計內容和范圍。在審前調查基礎上，結合個人信息使用場景、個人信息處理活動和保護措施現狀等，確定具體項目的審計內容和審計范圍。三是確定合規審計的開展方式。結合審計資源的投入情況、審計工具的使用情況和審計專業能力情況，靈活選擇專項審計方式、持續審計方式或在其他審計項目中協同開展個人信息保護合規審計的方式。四是確認內外部資源支持情況。對開展個人信息保護合規審計所需的人力資源、財務資源、技術資源、信息情報資源以及外部專家資源等的準備情況進行確認，以確保審計工作的順利開展。此外，在委托第三方獨立審計機構時，個人信息處理者應為第三方獨立審計機構開展個人信息保護合規審計提供所必需的工作條件和權限，確保第三方獨立審計機構能夠順利開展審計工作。

3.審計實施階段。在審計實施階段，為確保審計目標的實現，可綜合使用多種審計方法。一是訪談法。可通過線上或線下方式對授權訪問個人信息的人員進行訪談，了解個人信息處理活動的基本狀況。二是文件檢查法。對個人信息安全管理制度、隱私政策、合同協議、運行文檔、留存日志等資料進行查閱檢查。三是實地檢查法。對個人信息的處理場景、個人信息處理活動的相關設備運行情況進行實地檢查。四是穿行測試。通過追蹤個人信息在信息系統中的全部處理過程，以了解個人信息處理活動的全部業務流程。五是滲透測試。必要時，在計算機系統中對處理個人信息的信息系統平臺進行授權模擬攻擊，以測試信息系統平臺的安全性。六是控制測試。評價是否存在與個人信息處理活動相關的控制，以及這些控制是否得到有效執行，以確認個人信息保護措施是否有效，是否達到個人信息保護的目的。七是實質性程序。在控制測試基礎上，對發現的與個人信息處理有關的問題進行進一步核對和確認，收集合規審計證據。在委托第三方獨立審計機構時，個人信息處理者治理層等相關方應定期或不定期聽取第三方獨立審計機構的匯報，了解項目實施的進度，協助解決審計過程中遇到的問題，確保審計項目的順利實施。

4.審計報告階段。在審計報告階段，審計機構應在與被審計單位進行問題溝通、意見反饋的基礎上，出具正式審計報告。鑒于個人信息保護合規審計的特殊性，除與專業部門溝通外，還需與法務部門、合規部門、大數據部門、輿情部門、信息技術部門等進行溝通，確認是否符合實際情況。正式審計報告的內容通常包括：審計概況、審計依據、審計結論、審計發現、審計意見和審計建議。個人信息保護合規審計報告既要注重對合規問題的事實、定性、原因、影響的說明，給出恰當的審計結論和審計處理意見，以滿足監管型審計目標的要求；同時，也要注重對合規問題原因的剖析，并給出有價值的建議，促進個人信息的合理利用，實現服務型審計的目標。在委托第三方獨立審計機構時，個人信息處理者治理層等相關方應對第三方獨立審計機構提交的審計報告初稿進行復核并提出意見，確保個人信息保護合規審計報告的質量符合監管政策要求。

5.審計整改階段。審計整改階段是審計閉環管理的最后環節，對跟蹤審計發現問題和落實審計意見執行具有監督作用。一是確認個人信息保護合規審計問題的整改情況。重點關注是否對個人信息處理的業務、運營、管理等活動存在的控制缺陷進行整改，是否優化業務處理流程和操作，是否完善個人信息保護管理制度，是否修訂個人信息保護的隱私政策等，以確認審計整改是否達到預期效果。二是發現審計意見執行過程中出現的問題。重點關注是否存在審計意見不符合當前實際情況的情形，是否出現個人信息保護法規政策變化等新情況，進行復查后，重新做出審計決定。在委托第三方獨立審計機構時，個人信息處理者治理層等相關方可就審計整改結果與第三方獨立審計機構進行溝通，征求第三方獨立審計機構的意見。

（二）政府監管部門發起的個人信息保護合規審計程序

由履行個人信息保護職責的國家網信辦等政府監管部門發起的個人信息保護合規審計，針對的通常是在個人信息保護領域存在較大風險或發生風險事件的個人信息處理者，其程序如圖2所示。個人信息處理者應按照履行個人信息保護職責的政府監管部門的要求，委托第三方獨立審計機構開展個人信息保護合規審計。在審計程序上要遵循國家網信辦等政府監管部門發布的相關規定。國家網信辦于2023 年8 月發布《個人信息保護合規審計管理辦法（征求意見稿）》，對第三方獨立審計機構實施個人信息保護合規審計有專門要求。在第三方獨立審計機構的選擇上，政府監管部門在開展定期動態評價的基礎上，向個人信息處理者發布個人信息保護合規審計專業機構推薦目錄，并鼓勵個人信息處理者優先選擇。由于存在已經評估評價并優先推薦的個人信息保護合規審計專業機構，因此，在審計程序上，監管政策更注重對審計實施、審計報告和審計整改環節的要求，而在審計計劃和審計準備環節以專業機構的自我管理為主。以下就審計程序各階段的特殊內容進行闡述。

圖2 政府監管部門發起的個人信息保護合規審計程序

1.審計計劃階段。在審計計劃階段，個人信息保護合規審計專業機構要與個人信息處理者簽訂審計業務約定書，明確雙方的權利與義務，確認雙方對業務約定條款不存在誤解。同時，個人信息保護合規審計專業機構應做好審計方案的編制，并與個人信息處理者溝通方案內容，確保其符合監管政策要求。

2.審計準備階段。 在審計準備階段，個人信息保護合規審計專業機構除做好通常情形下的審計準備工作外，要重點確認個人信息處理者是否為其開展審計工作提供必要的工作權限。必要的工作權限包括：能夠訪談與個人信息處理活動相關的人員，能夠觀察場所內發生的個人信息處理活動，能夠檢查個人信息處理活動相關設備設施，能夠調查個人信息處理活動及所依賴的信息系統，能夠查閱個人信息處理活動的數據和信息等。

3.審計實施階段。在審計實施階段，個人信息保護合規審計專業機構面臨審計實施時間和實施質量的雙重要求。從審計實施時間來看，現有的監管政策要求個人信息保護合規審計專業機構必須在限定時間內完成審計工作，這既是有效利用審計資源以提升審計工作效率的要求，也是防范風險暴露過長時間導致個人信息保護風險事件向社會外溢的需要。從審計實施質量來看，個人信息保護合規審計專業機構應以科學有效的審計方法和充分可靠的審計證據來保障審計質量，不能因刻意追求審計質量而惡意干擾個人信息處理者的正常經營活動。

4.審計報告階段。在審計報告階段，個人信息保護合規審計專業機構應在保障審計報告質量的同時，及時出具審計報告。在審計報告質量保障方面，個人信息保護合規審計專業機構在實施必要的合規審計程序的基礎上，如實出具審計報告。若存在虛假出具或不實出具報告情形，除面臨剔除出個人信息保護合規審計專業機構推薦目錄的風險外，還面臨因違反《個人信息保護法》而被追究法律責任的嚴重后果。在審計報告報送時間方面，個人信息保護合規審計專業機構應及時出具審計報告，并由個人信息處理者在規定時間內報送履行個人信息保護職責的政府監管部門。

5.審計整改階段。在審計整改階段，個人信息處理者不僅要履行整改義務，還要履行整改情況的報送義務。首先，個人信息處理者應按照專業機構給出的整改建議進行整改，彌補個人信息保護合規風險漏洞。其次，在整改完成后，個人信息處理者應將經專業機構復核后的整改情況報送履行個人信息保護職責的政府監管部門。政府監管部門將其作為監管并評價個人信息處理者的重要依據。

四、個人信息保護合規審計面臨的困境

（一）個人信息保護合規審計的實踐不足

我國個人信息保護合規審計實踐不足，主要表現在兩個方面。一是在標準制定層面，尚未形成可供參考的個人信息保護合規審計規范。目前無論是《國家審計準則》《中國注冊會計師審計準則》還是《中國內部審計準則》，都未將個人信息保護合規審計納入其中。二是在實務工作層面，個人信息保護合規審計的審計方式尚在摸索中。在面對海量多維數據的審計場景時，個人信息保護合規審計在審計范圍確定、審計要點設計和審計測試深度等問題上面臨諸多挑戰。

我國個人信息保護合規審計實踐不足的原因主要包括兩個方面。從外部要求來看，我國個人信息保護法于2021 年立法，立法時間較晚，導致個人信息保護合規審計在較長時間內處于法定合規審計范圍之外。從內在動因來看，一方面實施個人信息保護合規審計需要個人信息處理者投入大量的人、財、物等審計資源，增加了個人信息處理者的財務負擔。另一方面，實施個人信息保護合規審計限制了個人信息處理者通過違規收集、使用、加工、傳輸個人信息獲取經濟利益的機會。因此，個人信息處理者缺少內在動力實施個人信息保護合規審計。

（二）個人信息保護合規審計的協同機制缺失

個人信息保護合規審計既涉及個人信息處理者的內部審計部門，又涉及第三方獨立審計機構，還涉及承擔個人信息保護職責的政府部門。因此，開展個人信息保護合規審計需要多主體的協同。但是，從審計主體來看，在國家審計中，審計機關尚未將個人信息保護政策跟蹤審計作為審計重點，對承擔個人信息保護職責的政府部門的政策跟蹤審計參與度較低。在社會審計中，會計師事務所的業務范圍較少拓展至個人信息保護合規審計領域，對個人信息保護合規行為的第三方獨立評價和監督作用發揮不足。在內部審計中，內部審計部門還局限于傳統的審計領域，對個人信息保護合規管理的評價和服務職能發揮有限。總體來看，我國個人信息保護合規審計的協同聯動機制尚未建立起來，未發揮出最大效力。

（三）數字化審計輔助工具應用不足

個人信息保護合規審計涉及的審計場景通常包括APP、微信小程序、微信公眾號、云平臺以及企業信息系統等。這些審計場景產生的數據具有數據量級大、模態多的特點。傳統的人工檢查方式在響應時間、靈活性和處理業務量上存在局限性，導致查閱、復核、測試等程序帶來繁重的工作量和高昂的審計成本，還會因為審計抽樣方法的局限性導致抽樣風險的發生。因此，在面對存在海量數據的個人信息保護合規審計場景時，有必要引進數字化審計輔助工具。但是數字化審計輔助工具開發的專業性和復雜性，以及不同審計場景的特殊性，導致數字化審計輔助工具在個人信息保護合規審計中應用較少。

（四）個人信息保護合規審計專業人才缺乏

個人信息保護合規審計對審計人才的要求具有特殊性，不僅要求審計人員必須具備專業的審計知識和審計技能，熟悉數據安全與隱私保護相關的法律、行政法規和行業監管政策，還要具備數據業務流程、數據治理和信息系統等專業知識，以對被審計單位的個人信息處理活動及相關的內部控制、風險管理的合規性、適當性和有效性進行專業判斷。但現階段，無論是國家審計、社會審計，還是內部審計，審計人才均以財務會計專業為主，個人信息保護合規審計人才缺口較大。

（五）保障審計建議落地的資源不足

個人信息保護合規審計建議的執行，對管理資源、財務資源和技術資源等存在較強依賴性。首先，企業內部數據分布于不同的職能部門，其權責歸屬復雜，對審計建議的落實，不僅涉及數據業務流程的優化，還涉及組織結構的調整，需要投入較多的管理資源。其次，對涉及個人信息處理的相關軟件系統進行改造，不僅周期長，而且需要投入大量的財務資源。最后，涉及個人信息處理的相關軟件系統通常只適合特定業務場景，具有專用性，需要企業投入特定的技術資源進行改造。而企業的總體資源是有限的，在管理資源、財務資源和技術資源需求量較大的情況下，很難保障資源投入的充足性。

（六）適格審計主體的認定標準缺失

個人信息保護合規審計對第三方獨立審計機構存在更高要求。首先，個人信息保護合規審計涉及公眾利益，要求審計機構以維護社會公眾的個人信息權益為目標，對審計機構的職業能力和職業道德有更高要求；其次，個人信息保護合規審計涉及海量的個人數據，要求審計機構具備數字化審計能力。但對于審計機構具備什么樣的條件，才能夠從事個人信息保護合規審計，卻沒有統一的認定標準。這一方面導致個人信息保護合規審計的執業質量參差不齊，另一方面也削弱了第三方獨立審計機構從事個人信息保護合規審計業務的意愿。

五、有效實施個人信息保護合規審計的對策建議

（一）加強個人信息保護合規審計實踐

加強個人信息保護合規審計實踐的著力點主要在兩個方面。一是大力發展研究型審計，加強個人信息保護合規審計規范的研究。現有的審計準則尚未形成可供參考的個人信息保護合規審計規范，因此，可將個人信息保護合規審計納入內部審計具體準則的制定范疇，通過審計專家和實務工作者的共同參與，制定《內部審計具體準則——個人信息保護合規審計》，并向社會頒布，指導審計實踐的開展。二是強化典型個人信息保護合規審計案例的研究和推廣。由于個人信息保護合規審計實踐尚處于初期探索中，可通過對已有典型案例的研究，總結個人信息保護合規審計實務中好的經驗做法，并向社會推廣，為個人信息保護合規審計實踐提供借鑒。

（二）建立個人信息保護合規審計的協同聯動機制

個人信息保護合規審計的協同聯動需要多主體的參與，既需要個人信息處理者內部的治理層、管理層和內部審計部門的參與，又需要個人信息處理者外部的履行個人信息保護職責的政府監管部門、國家審計部門和第三方獨立審計機構的參與。具體的協同聯動方式見圖3。

首先，在個人信息處理者內部，實現管理層實施的個人信息保護合規管理與內部審計部門開展的自主合規審計（自愿性）的協同聯動。為實現組織的合規管理目標，個人信息處理者有必要引進“三線模型”。其中，管理層履行第一線和第二線的職能。第一線和第二線的職能并行運行，第一線負責管理個人信息保護合規風險，第二線負責為合規風險相關事務提供補充性的專業知識，發揮支持和監督作用，兩條線相互協同，以實現組織的個人信息保護合規管理目標。第三線為獨立于管理層的內部審計部門，職能是為所有與實現個人信息保護合規管理目標相關的事務提供獨立客觀的確認和建議。內部審計部門在日常活動中提供個人信息保護合規審計時，要充分發揮服務型內部審計的職能，在發現和糾偏個人信息保護合規管理中存在問題的同時，要與管理層做好溝通協調，為個人信息保護合規管理的改進和優化提供咨詢與建議，實現管理層的個人信息保護合規管理與內部審計部門的自主合規審計的協同聯動。

其次，在個人信息處理者內部，實現第三方獨立審計機構定期開展的自主合規審計（強制性）與內部審計部門在日常活動中開展的自主合規審計（自愿性）的協同聯動。在個人信息處理者內部，自主合規審計包括兩個層次。一是由治理層委托第三方獨立審計機構定期開展的自主合規審計，主要為滿足《個人信息保護法》第54 條中定期開展合規審計的法定要求，這種法定要求雖是強制性義務，但更強調個人信息處理者通過合規審計方式進行定期自查。二是由治理層委托內部審計部門在日常活動中開展的自主合規審計，主要為滿足內部管理需要，對組織內部個人信息保護合規管理情況進行獨立客觀的確認和提出建議。為有效降低個人信息保護合規風險，第三方獨立審計機構定期開展的自主合規審計與內部審計部門在日常活動中開展的自主合規審計可在多方面實現協同。一是實現審計計劃的協同共商，例如通過共同協商審計范圍，在確保審計監督涵蓋個人信息處理全部活動的同時，又能突出敏感個人信息等重要風險領域，最大化利用審計資源，提升審計效率。二是實現信息資源的協同共用，雖然不同審計方式獲取信息的來源不同，但可以通過召開溝通會等形式實現信息資源的共享共用，以減少個人信息保護合規風險的監管盲區。三是實現合規問題的協同整改，將第三方獨立審計的權威性和嚴肅性與內部審計的積極性和靈活性結合起來，兩者形成合力，推進審計問題的有效整改。

再次，在個人信息處理者外部，實現政策跟蹤審計和監管檢查合規審計的協同聯動。承擔個人信息保護職責的政府監管部門，肩負著個人信息保護的法定職責。因此，通過對承擔個人信息保護職責的政府監管部門實施個人信息保護政策跟蹤審計，有利于壓實國家網信辦等政府監管部門個人信息保護的責任。國家網信辦等政府監管部門通過有效履行職責，對在個人信息保護領域存在較大風險或發生風險事件的個人信息處理者，要求其委托第三方獨立審計機構實施監管檢查合規審計，并對發現的個人信息保護安全問題進行整改。通過自上而下、層層監督的方式，實現個人信息保護政策跟蹤審計和監管檢查合規審計的協同聯動。

最后，科學處理自主合規審計和監管檢查合規審計的關系。內部的自主合規審計由個人信息處理者治理層委托發起，個人信息處理者可以自主決策，具有主動性和增值性的特點。外部的監管檢查合規審計由履行個人信息保護職責的政府監管部門發起，個人信息處理者只能被動接受，具有被動性和問責性的特點。內部的自主合規審計與外部的監管檢查合規審計之間具有相互轉換、此消彼長的關系。如果個人信息處理者消極對待自主合規審計，則會導致組織面臨較大的個人信息保護合規風險，甚至發生個人信息保護安全事件，從而帶來外部監管檢查合規審計更嚴厲的檢查，并承擔相應的法律責任和民事賠償。反之亦然。因此，科學處理兩者關系的關鍵在于，個人信息處理者要積極主動開展自主合規審計，在防范合規風險和滿足監管要求的基礎上，發揮個人信息的社會價值和使用價值，避免外部監管檢查合規審計帶來的責任賠償和信譽損失。

（三）加強數字化審計輔助工具的開發和應用

數字化審計輔助工具是有效開展個人信息保護合規審計的利器。數字化審計輔助工具的開發和利用可以采用“現場+遠程+云端”相結合的工作方式。現場審計重在總結數據業務流程的規律，選擇合適的審計信息技術（例如非結構化數據轉換技術、代碼分析技術等），編寫相應的審計腳本工具，為開發數字化審計輔助工具奠定基礎。遠程審計重在固化審計模型，將現場審計總結出的審計規律及開發的腳本工具固化為特定業務場景下的審計模型，并嵌入數字化審計輔助工具中，即使遠離審計現場，只要能獲取相關數據，就能通過開發的審計模型實現遠程審計。云端審計重在對存儲在云端的海量數據通過固化在數字化審計輔助工具中的審計模型進行高效處理，以發現可疑的個人信息操縱行為。在數字化審計輔助工具的開發和應用中，遵循邊審計、邊開發、邊利用、邊改進的研究型模式，以實現個人信息保護合規審計和業務場景的緊密融合。

（四）培養個人信息保護合規審計人才

隨著國家、企業以及社會公眾對個人信息保護重視程度的不斷提升，培養個人信息保護合規審計人才勢在必行。個人信息保護合規審計人才的培養要充分實現審計技能、個人信息保護合規知識體系和信息技術的融合。首先，加強在崗的個人信息保護合規審計人才的繼續教育，將研究型審計思維運用于個人信息保護合規審計工作中。在審計前，注重對個人信息保護合規監管政策的學習，強化基于信息技術的審計方法研究。在審計中，注重審計技術、審計方法與特定個人信息保護場景的融合，構建并固化審計模型，以實現自動化審計。在審計后，注重個人信息保護合規審計實務案例的總結，建立個人信息保護合規審計案例庫，提升審計工作效率。其次，加強高校個人信息保護合規審計人才培養體系建設。建議相關高校在審計人才培養過程中，在夯實審計知識的基礎上，增設合規管理、數據分析、信息技術等選修課程，以加強對復合型審計人才的培養。

（五）保障促進審計建議落地的資源

個人信息保護合規審計建議的落地對管理資源、財務資源和技術資源等具有較高的依賴度。在管理資源保障上，個人信息處理者在治理結構層面，強化董事會對個人信息保護合規管理的職責，成立跨部門的個人信息保護合規管理團隊，對涉及個人信息保護的跨部門業務流程優化和組織結構調整問題進行協調和處理。在財務資源保障上，個人信息處理者可以根據個人信息保護風險的評估情況，合理計提個人信息保護專項儲備基金，在保障審計建議落地的同時，也可為發生的個人信息保護法律賠償提供資金支持。在技術資源保障上，個人信息處理者可以綜合運用全職聘用和兼職聘用，引進具有專業技術背景的人才，以防范專業技術能力不足的問題。

（六）合理制定適格審計主體的認定標準

適格審計主體認定標準的制定應由承擔個人信息保護職責的政府監管部門（如國家網信辦等）牽頭，這樣可以將個人信息保護的相關監管要求融入標準制定中。在標準制定過程中，除了要考慮審計機構的組織形式、成立年限、凈資產、從業人員數量等一般標準，還要充分考慮個人信息保護合規審計的特殊要求。例如：要考慮審計機構的歷史執業質量情況，是否存在行政、刑事處罰事項，是否存在違反職業道德的事項；要考慮審計機構從業人員的數字化審計能力，從業人員是否具備數字化審計的教育經歷或數字化審計的職業資格（如CISA認證）等。

【注 釋】

①2023年4月27日，國家網信辦發布《數字中國發展報告（2022年）》。

②《個人信息保護法》第73條第1款規定：個人信息處理者，是指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人。

③《個人信息保護法》第54 條規定：個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。

④《個人信息保護法》第64 條規定：履行個人信息保護職責的部門在履行職責中，發現個人信息處理活動存在較大風險或者發生個人信息安全事件的，可以按照規定的權限和程序對該個人信息處理者的法定代表人或者主要負責人進行約談，或者要求個人信息處理者委托專業機構對其個人信息處理活動進行合規審計。個人信息處理者應當按照要求采取措施，進行整改，消除隱患。

【 主要參考文獻】

C.貝內特.加拿大信息高速公路上的個人隱私保護［J］.國外社會科學，1997（3）：86～87.

陳智敏.個人信息保護合規審計系統構建研究［J］.審計觀察，2022（12）：18～22.

侯富強.我國個人信息保護立法模式研究［J］.深圳大學學報（人文社會科學版），2015（3）：144～148.

姬蕾蕾.個人信息保護立法路徑比較研究［J］.圖書館建設，2017（9）：19～25.

賈丹，張譽馨，王姍.我國個人信息保護合規審計制度的路徑探討［J］.工業信息安全，2022（4）：17～22.

敬力嘉.個人信息保護合規的體系構建［J］.法學研究，2022（4）：152～167.

李美燕.個人信息保護立法路徑的思考［J］.人民論壇，2018（25）：92～93.

彭桂兵，丁奕雯.網絡空間個人信息的強化保護與規范流通——《個人信息保護法》解讀［J］.青年記者，2021（19）：83～85.

王利明，丁曉東.論《個人信息保護法》的亮點、特色與適用［J］.法學家，2021（6）：1～16+191.

閆夏秋.企業合規視角下的內部審計：現實挑戰與應對［J］.財會月刊，2023（18）：97～102.

楊佶.域外個人信息保護立法模式比較研究——以美、德為例［J］.圖書館理論與實踐，2012（6）：79～81.

鄭成思.個人信息保護立法——市場信息安全與信用制度的前提［J］.中國社會科學院研究生院學報，2003（2）：14～21+109.

周光權.委托處理個人信息與侵犯公民個人信息罪——結合《個人信息保護法》第21條的分析［J］.環球法律評論，2021（6）：23～39.

周健.美國《隱私權法》與公民個人信息保護［J］.情報科學，2001（6）：608～611.

朱榮榮.個人信息保護“目的限制原則”的反思與重構——以《個人信息保護法》第6條為中心［J］.財經法學，2022（1）：18～31.