個人信息保護合規審計的理論邏輯與制度構建*

王 沖

(清華大學 法學院，北京 100084)

1 個人信息保護合規審計的內涵

個人信息保護合規審計是指基于審計材料對個人信息處理者遵守法律、行政法規等規范的情況進行評估審查的活動。

1.1 風險內涵

《個人信息保護法》中“風險”一詞出現了多次，但并未明確其概念屬于個人信息保護風險還是合規風險。個人信息保護風險是指個人信息處理可能具有的屬性(如處理范圍、處理性質、處理類型等)對數據主體造成損害的可能性。這一風險概念在美國國家標準與技術研究院(NIST)2017年提出的隱私管理框架(Privacy Engineering and Risk Management，NIST 8062)中也有所體現，該框架規定其目標是以“能夠設置適當的控制措施以減輕潛在問題”，即關注數據處理對數據主體造成的損害[1]。相比于個人信息保護風險，合規風險則指個人信息處理者遵守個人信息保護相關的法律法規可能存在的風險。

本文認為，在應用風險評估方式開展個人信息保護審計活動時，既需要考慮合規風險，也需要考慮個人信息保護風險。例如在確定審計要求事項時，應采用以合規風險為內容的風險評估方式，即判斷風險因素是否遵守《個人信息保護法》或其他法律法規、標準規范等對于個人信息保護相關的規定；在確定審計重點時，應采用以個人信息保護風險為內容的風險評估方式，即綜合考慮業務場景、信息類型、處理環節、信息主體等審計對象在個人信息處理活動中存在的風險以確定審計重點。此外，《個人信息保護法》中審計的對象雖然指向“個人信息處理活動”，但并不是指僅對收集、使用、加工、傳輸、提供、公開、刪除等處理活動的審計，從風險評估和審計目的出發，審計對象還應包括個人信息處理者的數據合規管理制度、安全技術措施、員工培訓等構成個人信息保護的技術和管理制度及其有效性。

1.2 與個人信息保護影響評估的區分

明確個人信息保護合規審計的內涵，還應與個人信息保護影響評估進行區分。從適用情形來看，個人信息保護合規審計是個人信息處理者常態化的義務要求，要求定期開展。法定個人信息影響評估是針對特定情形開展的，如處理敏感信息、自動化決策、境外信息提供等。個人信息處理者自行定期開展的個人信息保護影響評估不具備法定情形，是個人信息處理者出于合規、審慎經營的考慮開展的盡責性風險評估。從側重目的來看，兩者的定義表明了各自側重點與實施目的的不同。個人信息保護合規審計重點審查個人信息處理者個人信息保護合規義務的履行及相應技術保護、安全措施的落實情況。而個人信息保護影響評估旨在對特定個人信息處理活動進行風險識別與監控，以確保該處理活動不會侵害個人權益或對其影響在可控范圍內。從審計/評估的內容來看，在進行個人信息保護審計時，應對個人信息保護影響評估的情況進行審計，以確保影響評估的合規性和有效性；但在進行個人信息保護影響評估時，需要評估的法定內容一般不涉及對審計活動的評估。

1.3 與算法審計的關系

算法決策的透明性、公平性構成了個人信息保護審計制度與算法審計制度的交叉點。數據與算法是數字經濟時代的重要生產要素。隨著算法不透明、算法歧視、算法共謀等問題日益嚴峻，針對算法的審計制度也相伴而生。2022年6月22日，中共中央全面深化改革委員會第26次會議通過的《中共中央 國務院關于構建數據基礎制度更好發揮數據要素作用的意見》強調建立“算法審查制度”。算法審計包括對“前端”輸入數據的審計和“末端”算法影響評估[2]。無論是在制度內涵、還是在審計重點、審計方法等方面，兩種審計制度均存在截然的區分，但是均強調對算法決策透明性、公平性的審計。在算法審計中，算法決策的透明性、公平性是審計的核心指標[3]；在個人信息保護合規審計中，對算法決策要求主要體現在《個人信息保護法》第二十四條對自動化決策的規定中。

2 個人信息保護合規審計的規范基礎

2.1 法律層面依據

《個人信息保護法》第五十四條與第六十四條分別規定了個人信息處理者定期進行個人信息合規審計(簡稱“自主審計”)與特定情形下根據監管部門要求委托第三方專業機構進行個人信息合規審計(簡稱“強制審計”)的內容。就自主審計而言，自主審計是個人信息處理者履行保護個人信息權益的常態化義務，應依據法律、行政法規進行審計。但是自主審計采用內部審計還是外部審計、定期審計頻次如何等內容，《個人信息保護法》未明確規定，《個人信息保護合規審計管理辦法(征求意見稿)》(以下簡稱“《審計辦法》”)明確了個人信息處理者“可根據實際情況”自行決定，實際情況可能涉及企業內容審計能力、待審計業務的特點、風險大小等因素。就強制審計而言，個人信息處理者經監管機構監管，存在較大風險或者發生個人信息安全事件的，應委托專業機構進行審計。《審計辦法》則對強制審計的配合義務、時間要求、報送要求等進行了具體規定。

2.2 標準層面依據

標準層面，《信息安全技術 個人信息安全規范》(GB/T 35273—2020)、金融行業《個人金融信息保護技術規范》(JR/T 0171—2020)等均要求對個人信息進行審計，不過兩標準中審計的內涵與《個人信息保護法》的規定存在差異。GB/T 35273—2020要求的審計重點為“個人信息保護政策、相關規程和安全措施的有效性”，即審計依據為個人信息處理者內部的管理規范；JR/T 0171—2020對個人金融信息的審計突出安全性，規定將個人金融信息保護納入金融機構內部安全審計工作，定期開展安全審計。另外，中國科學技術法學會、中國法學交流基金會2021年4月28日發布了《個人信息處理法律合規性評估指引》團體標準，其中個人信息處理法律合規性評估與個人信息保護合規審計的內涵具有一致性。該標準圍繞數據處理全流程給出了細致的審計方案，但由于標準在《個人信息保護法》發布前就已經生效，其中一些術語、審計依據、合規要求等與現行法律規定存在出入，可借鑒性有限。

2.3 立法趨勢：差異化審計義務

目前，一些立法文件中對不同的個人信息處理者規定了不同的審計義務。《網絡數據安全管理條例(征求意見稿)》根據日活用戶數量區分了互聯網平臺運營者和大型互聯網平臺運營者，其中第五十三條對后者進行審計的方式、內容、頻率以及審計結果披露義務作出了明確的要求。《互聯網平臺落實主體責任指南(征求意見稿)》對超大型平臺經營者的審計報告出具方式、內容進行了細化，不過審計范圍限于“對本指南所規定的主體責任遵守情況”，而非個人信息合規審計。類似地，《審計辦法》也規定對于處理超過100萬人個人信息的個人信息處理者，應至少每年開展一次個人信息保護合規審計；其他個人信息處理者則至少每兩年開展一次。差異化審計義務符合比例原則的要求，即提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者負有守門人義務[4]，三個征求意見稿對大型互聯網平臺運營者或超大型平臺經營者審計制度的細化要求正是對《個人信息保護法》第58條第1項和第4項的落實。

法律雖然明確規定了個人信息處理者負有個人信息合規審計的義務，但對于個人信息合規審計的具體流程與內容付之闕如。因此，有必要對當前國內外個人信息合規審計實踐進行研究，為個人信息處理者履行該義務提供更完整的指引。

3 個人信息保護合規審計的治理效能

3.1 協同企業自律與政府規制

基于命令和控制的傳統監管模式更專注于制定具體的規定并由監管機構事后介入，但隨著監管領域的不斷擴張，無論是監管規定的顆粒度、還是監管資源供給等方面均存在一定缺陷。在個人信息保護領域，處理活動的規模化、復雜化更加凸顯了這些監管難題。在此背景下，一些領域的監管模式開始逐漸轉向元監管模式(Meta Regulation)。元監管是指基于原則的監管，監管機關不再制定復雜的管理規定，而是制定監管目標，個人信息處理者實施監管行為(制定自身管理規定和實施相應保障措施)服務于監管目標的實現，監管機關對此進行審查[5]。這種監管模式將監管介入時點前置，為監管機構提供了更大的自由裁量權，同時也強化了個人信息處理者在監管活動中的主體作用，更加強調監管者與被監管者之間的協作性。

與算法審計制度類似，個人信息保護合規審計兼容自主審計和強制審計兩種模式。其中，自主審計正是作為一種能夠化解個人信息處理大規模、復雜化特征與傳統監管模式滯后之間矛盾的一種制度。從實踐角度來看，企業作為個人信息處理活動的實施者，能夠自主構建個性化、針對性的自我規制手段，在自主審計時可以獲取更為全面的決策信息、采用更適合其自身的審計手段，同時將監管介入時點間接前置，降低政府監管成本[6]。但這種審計方式并非是一勞永逸的，缺乏外部強制約束可能使企業難以落實個人信息保護合規審計活動，也可能使自主審計異化成為逃避監管、避免承擔法律責任的工具[7]。因此，自主審計并不排除或限制監管機關的監管范圍，監管機關仍可依職權通過強制審計或其他方式對個人信息處理者進行監管。綜上，個人信息保護審計是協調企業自律與政府規制的重要工具，能夠在二者并舉的條件下實現個人信息保護的目標。

3.2 平衡個人與個人信息處理者之間非對稱的權利結構

平衡個人信息的保護和數據利用是數字經濟時代的共識[8]。一方面，個人對其個人信息保護的能力有限，個人信息保護合規審計制度可以在規范、限制處理者的維度增強對個人信息的保護。以告知同意為例，基于該制度在實踐中的模糊性和存在的質疑，《個人信息處理中告知和同意的實施指南》從告知同意的原則、適用情形、實施方式等方面規定了清晰的操作指引，并在附錄中列出13種常見場景的告知同意實施建議。同時，該標準也將作為個人信息保護合規審計的重要依據，這意味著告知同意將不僅僅作為個人信息權利而出現，在審計制度下還能夠合理限制個人信息處理者處理個人信息的自由。另一方面，個人信息保護合規審計制度又能夠在避免個人信息權益過度擴張、促進數據利用維度穩定企業對個人信息處理合規性的行為預期[9]。“信息不是為了保護而存于世間的，相反恰恰是為了利用。”[10]個人信息保護合規工作既是法律規定所要求，同時也能夠進一步明確個人信息權益保護與企業利用數據自由的行為界限，從而促進數據更好地利用。

4 個人信息保護合規審計的實踐現狀

4.1 合規審計清單須提高科學性

實踐中，合規審計清單是開展個人信息保護合規審計的重要工作文件，其形式上的科學性與內容上的合理性是保障審計有效的重要因素之一。目前，從公開渠道搜索到針對《個人信息保護法》的合規審計清單較少，且形式上一般表現為“審計項+選項(是/否)”，缺乏科學性。以下從一般性的合規審計清單和針對特殊處理活動的專項合規審計清單兩個方面對域外一些合規審計清單的特點進行分析。

4.1.1 一般性的合規審計清單

一般性的合規審計清單的基本內容包括審計項(審計問題)、審計項的法律依據、審計結果分類/分級等。本文考察了域外多種個人信息合規審計清單(如表1所示)，以期為我國個人信息處理者或相關專業機構構建審計內容體系提供參考框架。

表1 合規審計清單特點總結

4.1.2 專項合規審計清單

個人信息類型、數據處理環節、應用場景等不同可能導致合規風險呈現差異化特征，因此在進行合規審計時需要對不同的審計對象確定合適的審計內容、審計頻率，避免不必要的資源浪費。例如，在進行強制審計時，可以優先或突出對存在較大風險或與安全事件相關的處理活動的審計，以及時采取風控措施避免風險擴大。基于AI處理數據的缺乏可解釋性、存在歧視等問題，2021年1月，西班牙數據保護局(AEPD)發布了《涉及AI的個人數據處理活動審計要求》(以下稱“《要求》”)[15]，該要求提出對于涉及AI的個人數據處理活動，審計方法應考慮AI模型的特性，形成具有系統性、獨立性、客觀性、符合法律規定的審計過程，以進一步實現安全可控的評估，提高AI模型的透明度和公平性。《要求》中提出一系列針對AI相關的個人數據處理活動(如自動化決策、生成用戶畫像等)的控制措施/審計辦法，并對這些措施如何實現GDPR規定進行分析。同時，《要求》與我國算法審計制度存在較大的耦合，也間接體現了個人信息保護審計制度與算法審計制度存在的交叉關系。

4.2 審計活動指引有待落地實施

個人信息合規審計清單可視為審計活動的核心，但圍繞這一核心如何確定合規審計的審計項、如何進行審計工作、如何分析審計材料并應用審計結論等問題的解決方案是高效開展審計活動、實現審計目標的必然要求。

在域外方面，英國、法國等國家已根據立法進程和實踐需要發布了合規審計活動指引。以英國為例，為遵守《數據保護法案》(Data Protection Act 1998，DPA 1998)，ICO在2001年就發布了《數據保護審計手冊》(簡稱《手冊》)[16]。該《手冊》將審計分為兩個階段，第一階段為充分性審計，即對個人信息保護政策、指南、程序等遵守《數據保護法》的要求進行審計；第二階段為合規審計，即個人信息處理者是否按照制定的個人信息保護政策、指南、程序等進行運營。2015年，ICO發布了《ICO數據保護審計指南》(Auditing data protection：a guide to ICO data protection audits)，后為適應《數據保護法案》(Data Protection Act 2018，DPA 2018)的修訂，ICO于2021年在此前審計指南的基礎上又發布了新的《ICO審計指南》(A guide to ICO audit)。這兩部審計指南均強調其主要適用于協商一致的審計活動(Consensual audits)。DPA 2018第129條規定了協商一致的審計方式，即ICO與個人信息處理者協商并取得同意后對其進行審計，將審計視為一種參與式、建設性的監管方法。ICO發布的審計指南已在實踐中充分應用，截至2023年8月29日，ICO已經公開披露了35份數據保護審計報告[17]。這種審計模式為政府監管與企業合規開辟了新的路徑，能夠在緩和監管對立關系的基礎上促進企業的個人信息保護工作。

2021年12月，中國信通院個人信息保護合規審計推進小組發布了《關于推進個人信息保護合規審計的若干建議》(簡稱“《建議》”)，這是我國目前較為完善的審計工作指引文件。《建議》梳理了個人信息處理者義務合規審計、個人權利實現方式合規審計、個人信息處理活動合規審計、個人信息跨境提供合規審計四個審計領域、六十余項風險點，同時從審計計劃、準備、實施、報告以及后續追蹤等多個階段為企業進行合規審計提供指導。客觀上，由于《建議》不具有法律效力，也不構成標準，在實踐應用時缺乏影響力。

4.3 多主體處理情形下缺乏審計實踐

數據互聯互通是充分發揮數據價值，促進數據經濟的基礎。數據共享、委托處理、數據交易等數據流通利用情形下往往涉及多個個人信息處理者，對此類處理情形如何分配風險、構建審計制度有待進一步探索。有學者認為應構建協議風控體系，在明確不同處理者之間權限的基礎上分配合規風險，進而確定各自審計內容[9]。其法理基礎在于《個人信息保護法》規定在共同處理、委托處理等情形下，個人信息處理者之間應當約定各自的權利和義務，將數據處理風險通過合同約定進行分配，進而使不同處理者能夠進行風險評估并考慮是否進行審計。

4.4 特殊主體的個人信息合規審計亟待規范

《個人信息保護法》并未限制義務主體的范圍，第三章第三節還特別規定了國家機關處理個人信息條款。相比于企業，政府機構在基于行政權力獲取公民個人信息往往具有強制性，因此對其個人信息保護能力應有更高的要求。政府機構數據泄露事件在全球范圍內已是屢見不鮮，我國近些年也存在政府機構數據泄露事件。浙江某縣級市政府部門委托開發運維信息管理系統造成數據泄露，公安機關根據《數據安全法》第四十五條的規定，對委托開發的公司及項目主管人員、直接責任人員分別作出罰款100萬元、8萬元、6萬元的行政處罰。在此案件中，當地政府部門委托第三方提供技術服務，應對第三方的數據保護能力進行審查，在委托過程中也應做好監督工作。換言之，案涉政府部門亦應采用審計制度規范、加強自身對個人信息的保護。

5 個人信息保護合規審計的制度構建

5.1 審計模式

個人信息保護合規審計主體與審計的啟動方式存在聯系，如表2所示。在自主審計下，個人信息處理者可以自行開展內部審計，也可以委托第三方開展外部審計。在強制審計下，監管機構可要求個人信息處理者委托第三方專業機構開展外部審計。

表2 審計啟動方式與審計主體的關系

5.1.1 內部審計

個人信息保護內部合規審計是個人信息處理者定期、主動開展的、審查與個人信息保護相關的管理措施、技術措施是否符合法律、行政法規的活動。當前個人信息處理活動復雜性特征愈加突出，外部審計可能難以深入了解內部信息(尤其在涉及商業秘密時)且需要較大溝通成本，難以全面評估個人信息處理活動中存在的風險。內部審計團隊可由個人信息處理各流程的相關人員組成，也可以依審計需求僅由特定處理活動相關人員組成；審計時點可以在功能設計部署前，將個人信息保護審計要求嵌入產品與服務設計，也可針對既有的處理活動進行審計，具有較高的靈活性。目前，多家機構、企業致力于研發個人信息保護內部審計的制度框架和技術工具。例如，中國信通院主導開發并向企業提供的數據資產分類分級、API接口安全審計等技術工具，個人信息處理者可申請使用這些工具輔助審計活動、提高個人信息保護能力。用九智匯平臺基于法條要旨梳理難、內控管理缺抓手、處理活動摸不清、合規自證清白難等合規痛點，提供了一系列個人信息保護工具，如數據合規評估、數據合規知識庫、合規義務清單、應急響應管理等隱私合規套件，可實現設計隱私、數據可視化、在線管理隱私政策、智能推送法律法規清單等多種功能。整體而言，個人信息保護內部審計已存在一些可投入商用的審計輔助工具，能夠滿足較為個性化的審計需求。但當前仍缺乏共識性的內部審計標準，審計工作的實施情況與個人信息處理者自身的個人信息保護能力、保護意愿密切聯系，審計活動的實質效果可能并不盡如人意甚至可能淪為應付監管的形式工具。

5.1.2 外部審計

與內部審計相比，外部審計既可以由個人信息處理者主動委托第三方專業機構進行，也可能因監管機構要求處理者委托第三方機構進行。對于第一種主動委托審計的情形，個人信息處理者可以基于自身需求委托第三方專業機構進行審計，并針對審計發現采取具有針對性的整改措施。對于第二種被動委托審計的情形(即強制審計)，審計重點與監管機構發現較大風險的個人信息處理活動或者個人信息安全事件存在密切聯系，具有事后、臨時、個案審計的特點，此時第三方專業機構具有輔助監管機關審計的作用。

為規范第三方專業機構的工作，《審計辦法》提出網信部門將會同公安機關等國務院有關部門建立個人信息保護合規審計專業機構推薦目錄，目錄內容可能根據年度評估評價結果動態調整。就目前實踐而言，推薦目錄的評估對象應至少包括依法設立的律師事務所、認證機構、審計機構等機構。另外，推薦目錄雖然并不具有強制性，但作為監管機關發布的官方文件，涉及的專業機構在個人信息保護審計市場中的認可度和競爭性將進一步增強。為了避免第三方專業機構畸形發展，防止權力尋租，需要進一步完善評估機制和監管制度。在評估機制方面，《審計辦法》目前尚未明確評估的原則或具體要求。結合工信部、商務部等部門此前在企業、科技成果等領域的推薦目錄評估工作，推薦目錄的產生一般需要研究制定評價指標，通過試點或主動申報開展評審、監測和確認等工作，這將會新增額外的制度成本，因此推行推薦目錄需要事先探索便捷高效的評估機制。在監管方面，《審計辦法》目前已經就禁止專業機構轉包委托、個人信息保護職責、數據安全義務、不得惡意干擾個人信息處理者的正常經營活動等作出了明確要求。

5.2 審計原則

個人信息保護審計聚焦于個人信息處理活動全生命周期，既遵循審計活動的一般性原則，也需要滿足一些特定原則。首先，個人信息保護合規審計活動應具有獨立性，既包括審計人員、審計機構的身份獨立性，也包括審計工作開展的獨立性。獨立性是審計本身固有、基本的原則，是保障審計結論可靠性的基礎[18]。其次，個人信息保護合規審計應具有保密性，嚴格遵循商業秘密的規定。審計工作中可能接觸到用戶個人信息、算法模型、訓練數據集等多種重要信息，審計人員應與被審計的個人信息處理者簽署保密協議，履行相關保密義務。最后，個人信息保護合規審計還應兼顧審計充分與審計效率。一方面，審計人員應充分獲取審計證據、充分分析并得出審計結論；另一方面，為避免審計發現滯后無效，審計工作周期不宜過長，同時也應避免干擾個人信息處理者的正常經營活動。

此外，個人信息處理具有場景化、動態化的特質，個人信息保護合規審計還應遵循一些特殊的審計原則。一方面，審計活動應遵循定期審計、按需審計的動態審計原則；另一方面，個人信息保護合規審計還應遵循分類分級原則。審計工作分類分級的合理性與可操作性主要來源于個人信息處理的場景化、個人信息處理環節的區分、個人信息分類分級等內容。

5.3 審計依據

審計依據與個人信息保護合規審計的法律基礎或合法性依據不同，主要指用于確定審計內容、判斷合規現狀的法律法規、技術標準等規范。雖然《個人信息保護法》第五十四條規定的審計依據限于“法律、行政法規”，但基于個人信息處理活動的復雜性、動態性、場景化等特征，依據法律、行政法規可能難以對合規審計工作提供較為具體的指引，因此在實踐中有必要將技術標準、監管部門發布的規范性文件等作為合規審計的間接依據。《審計辦法》的附件“個人信息保護合規審計參考要點”即體現了這一擴張性需求，明確將“國家標準的強制性要求”納入審計要點。

但是，《審計辦法》附件中的參考要點仍具有一定的抽象性，個人信息處理者在具體適用時仍需要根據所在領域相關規范進一步細化審計要點。以近些年重點規制的汽車行業為例，除了一般性的法律法規，其審計依據還應包括《汽車數據安全管理若干規定(試行)》《汽車采集數據處理安全指南》《信息安全技術 汽車數據處理安全要求》《網信汽車檢查清單》《工業和信息化部關于加強智能網聯汽車生產企業及產品準入管理的意見》等專門規定。

5.4 審計框架

科學合理的審計框架能夠提高審計效率，降低企業合規成本，同時避免使合規陷入形式主義的困局。綜合考察分析，本文認為構建審計框架一般可分為四個步驟。

5.4.1 確定審計對象與審計重點

不同行業的個人信息處理者、同一個人信息處理者的不同業務模塊下，個人信息處理活動存在較大差異，因此需要首先明確審計對象與審計重點。確定審計重點時應以風險評估、風險控制為導向。在處理活動方面，敏感個人信息的處理、個人信息共享、自動化決策、告知同意等從不同維度體現了風險內涵，因此在進行風險評估時需要考慮信息類型、處理環節、處理方式、用戶權利實現等多種風險來源，同時結合業務實際確定審計重點。在業務領域方面，互聯網公司、金融、汽車、醫療健康等數據處理密集型行業之間的審計重點存在差異，但在各自領域內的審計重點又存在共性，因此在實踐中應構建各行業領域內通用型審計問題清單、注重個人信息保護合規審計示范機構的作用，積極探索適合不同行業實際情況的審計要求，提高個人信息保護合規審計的效能和精準度。在企業個人信息保護制度構建與落實方面，個人信息保護合規審計內容的確定應兼顧管理控制和技術措施兩個維度，前者如個人信息處理者的數據處理規范、員工培訓情況、數據訪問控制要求等，后者則面向法律法規、標準、企業內部管理規范的具體落實情況。

個人信息處理者內部員工的個人信息處理情況是否應納入審計范圍存在爭議。從形式角度出發，個人信息保護合規審計是對個人信息處理活動遵守法律法規等情況的審查，理應包含對內部員工個人信息處理情況的審計。從實質角度分析，個人信息保護合規審計的最終目的在于保護個人信息，發現并降低風險至可控范圍內。企業通常會在員工入職以及工作過程中收集大量個人信息，雙方簽訂的保密協議一般也為格式條款且實質傾向于對企業利益的維護。實踐方面，美國伊利諾伊州《生物信息隱私法》(Biometric Information Privacy Act，BIPA)近些年司法案例中超過一半的案例都與企業非法收集、使用員工生物識別信息相關。因此，在個人信息保護合規審計中納入對內部員工個人信息保護的審計具有必要性。

5.4.2 建立體系化的審計清單

個人信息處理者或專業機構應根據審計重點、審計依據建立體系化的審計清單。審計清單的設計應科學合理，預審問卷、審計項的分類、審計問題的設問方式、審計項依據的具體規定內容及法律/標準效力層級、審計項涉及的審計人員及被審計方工作人員、審計結果分類分級、整改措施建議、備注信息等均為建立審計清單時應考量的因素。以法律/標準效力層級為例，不同效力層級的規范在內容上呈現出從一般到具體、在效力上呈現出從強制性到任意性的特點，進而對于審計項的設計、確定合規風險的存在與風險的大小、采取整改措施的優先級等均具有重要指引作用。

5.4.3 確定審計方式并開展審計工作

根據審計清單明確審計項、被審計人員等內容后，需要進一步確定合適的審計方式。常見的審計方式有訪談、文件檢查、現場檢查、日志分析、穿行測試等。

首先，審計方式的實施效果受審計人員與個人信息處理者內部成員之間配合情況的影響。對于審計人員，應遵從獨立性、保密性等審計原則。審計原則需要通過細化的審計要求具體落實到審計活動中，如《手冊》建議審計人員在提問時應避免封閉式提問、假設性問題、誘導性問題，并要求審計結果具有可重復性。同時，與主要以個人信息處理活動風險確定的審計對象、審計重點不同，在實際審計過程中審計人員面向的是不同的業務部門，這些業務部門的劃分并不與處理活動一一對應，因此在進行審計時需要厘清不同的審計項應采取的審計方法、面向的業務部門，以兼顧審計充分與審計效率的原則。對于個人信息處理者內部成員，可通過內部培訓、會議宣傳等方式提高員工對審計活動的認可度，促進審計工作的開展，提高審計結果的可靠性。

其次，應關注自動化審計工具在審計工作中的使用，如中國信通院提供的數據資產分類分級工具、API接口安全審計工具、用九智匯提供的隱私合規套件等。自動化審計工具的使用不僅僅是為了提高審計效率，同時還能發現人工審計難以發現的問題。例如，某銀行內審部門通過對平臺用戶行為的合理性進行自動化分析，發現某幾家信用卡管理平臺通過非法獲取的客戶身份驗證信息登錄客戶手機銀行并抓取其個人金融信息[19]。

5.5 審計結論分析與應用

在采用合理的審計方式對審計清單中的審計項一一審計之后，需要對審計結果進行分析并提出整改措施。整改措施可能涉及個人信息保護的各個方面，如優化個人信息處理的操作、訪問、審批等內部流程，完善內部管理制度，修訂合同協議等各個方面。

ICO要求被審計主體將審計結果對外披露并接受社會監督，以發揮警示與教育作用[20]。不過，我國目前尚未規定個人信息保護合規審計報告披露相關的要求，在《網絡數據安全管理條例(征求意見稿)》中規定了大型互聯網平臺運營者對審計結果的披露義務。

6 個人信息保護合規審計的法律效力

在明確如何進行個人信息保護合規審計的基礎上，還需要回應自主審計的效力、實施審計活動是否可以免責等問題。這些問題與個人信息保護合規審計法律效力相關，亦是促進個人信息處理者開展審計工作、提升個人信息保護能力的重點因素。

6.1 強制審計情形下重復審計的必要性

在強制審計的情形下，個人信息處理者若在監管機構要求前已經內部自主審計或委托第三方專業機構審計是否可以免除強制審計的義務？本文認為需要根據審計主體、監管機構所發現的風險或安全事件的始點等因素綜合判斷是否需要再次審計。若在風險或安全事件發生后個人信息處理者已經委托第三方機構進行合規審計，則沒有必要重復審計，根據審計結果及時完成整改措施即可，避免審計資源浪費和整改延遲。若審計活動是在風險或安全事件發生前或企業內部自主審計，則需要再次審計，以確保審計結論的真實可靠性。若網信辦等監管部門后續發布了個人信息保護合規審計專業機構推薦目錄，則委托的專業機構是否在推薦目錄內亦是企業是否需要再次審計的考慮因素。

6.2 個人信息保護合規審計的免責效力

個人信息保護合規審計是完善企業自身個人信息保護的重要工具，同時也是實現監管機構對個人信息保護問責的重要依據。實施個人信息合規審計是否可以免責亦是個人信息處理者重點關注的問題，對激勵個人信息處理者合規具有重要意義。在監管政策方面，《法治中國建設規劃(2020—2025)》將包容審慎監管作為新型監管方式之一，落地體現為各地監管部門發布的包容免罰、首違不罰等清單。在此背景下，《生成式人工智能服務管理暫行辦法》亦將“包容審慎”作為監管原則之一，為包容免罰在該領域的落地實施提供了法律依據。

根據合規免責目的，合規免責可分為救濟型免責和預防型免責[21]。救濟型免責是指在企業發生違規事件后，監管機構以企業承諾在約定期限內采取符合要求的合規管理措施為條件，減輕或免除企業全部或部分違規責任。2021年發布的《關于建立涉案企業合規第三方監督評估機制的指導意見(試行)》可視為救濟型免責在我國的立法雛形。該指導意見對于認罪認罰、能夠正常生產經營、承諾建立或者完善企業合規制度、適用第三方審計的企業采取不起訴等激勵措施。不過由于救濟型免責的正當性問題，其適用范圍十分有限，發生違規事件后將審計和整改措施作為免責事由可能較為困難[9]。與救濟型免責相對應的，是預防型免責，指企業為預防合規風險的發生而事先建立的一套合規管理體系，在出現違規事件后，監管機構根據是否符合合規免責條件，在司法執法活動中適當免除或減輕處罰。我國目前雖然沒有明確規定合規免責的法律法規，但是在執法活動、司法實踐中通常會也會考慮企業開展合規管理情況。雀巢員工侵犯公民信息案被稱為“中國合規無罪抗辯第一案”，本案中法院認為合規文件充分證明雀巢公司已盡到合規管理的義務，具有規避、防范合規風險的意識，并進行了合規培訓，本案被告人違反雀巢公司的合規管理規定，應屬個人行為，沒有認定雀巢公司的單位犯罪((2016)甘0102刑初605號判決書)。綜上，個人信息處理者進行個人信息合規審計既是法定義務，也是完善企業個人信息保護、合理規避法律風險的重要工作。

7 總結

作為《個人信息保護法》的重要制度之一，個人信息保護合規審計制度以個人信息保護風險、合規風險為導向，在監管模式轉型的背景下，能夠推動政府與企業協同監管、平衡個人與個人信息處理者之間非對稱的權利結構。《個人信息保護法》規定了“自主審計+強制審計”雙層審計模式，并有望在其他法律法規中進一步細化完善。基于對個人信息保護合規審計理論邏輯的梳理與國內外現有合規審計方案的研究，本文從審計制度的構建、審計原則的落實、確保審計活動的有效性等多個角度出發試圖構建體系化、科學性的審計框架，其合理性和可用性仍有待實踐進一步檢驗并完善。