個人信息保護合規審計探究

【摘要】個人信息保護合規審計是合規審計制度在數字及人工智能時代的延伸拓展。本文運用理論探究及規則分析等方法， 深入研究個人信息保護合規審計制度的底層法理邏輯、 特征屬性、 功能需求、 指導原則等理論問題， 以及合規審計的框架及方法。在提出闡釋個人信息保護合規審計制度具有多重底層法理邏輯的基礎上， 進一步分析論證合規審計具有強烈的規則解釋適用上的“裁量判斷”屬性， 為此， 建議確立和運用利益衡量上的比例原則、 審計獨立下的溝通及共識解釋原則等指導原則。為塑造形成一個綜合全面、 立體多維、 契合緊密、 功能卓越的個人信息保護合規審計制度與機制， 應逐步建立完善相關的審計框架、 功能模塊、 指標體系、 技術方法等。

【關鍵詞】個人信息保護；合規審計；裁量判斷；比例原則；數字經濟

【中圖分類號】F239" " " 【文獻標識碼】A" " " 【文章編號】1004-0994（2024）08-0080-6

2021年8月我國出臺的《個人信息保護法》首次在法律層面提出了個人信息保護合規審計的要求， 包括信息處理者定期自行安排合規審計， 按照監管部門要求委托專業機構進行合規審計。2023年8月， 國家互聯網信息辦公室進一步發布了《個人信息保護合規審計管理辦法（征求意見稿）》及配套的《個人信息保護合規審計參考要點》。但是， 個人信息保護合規審計制度尚處于初步建立階段， 相關工作尚處于探索實踐中。為此， 需要進一步分析個人信息保護合規審計制度建構運作的底層法理邏輯以及應遵循的重要原則， 進一步明確、 完善合規審計的規則體系和技術方法等。

一、 個人信息保護合規審計制度的形成及底層法理邏輯

（一） 個人信息保護合規審計制度的形成

個人信息保護合規審計制度是數字時代的產物， 是在數字社會及數字經濟的發展中逐步形成的。1996年， 國際信息系統審計與控制協會（ISACA）發布《信息及相關技術控制目標標準》（COBIT標準，2019年）。該標準圍繞著信息系統的開發運用制定了四十多項規制目標， 并提出相應的審計要求與方法。目前， 該標準已成為關于信息系統審計的通用標準。其中， “系統安全”與“數據管理”控制目標及審計要求涉及信息保護問題。2002年， 美國國家審計署發布了《聯邦信息系統控制審計手冊》（2009年修訂）， 該手冊主要適用于聯邦和其他政府實體的信息系統審計。2018年5月25日， 歐盟《通用數據保護條例》（General Data Protection Regulation，GDPR）正式生效。在該條例的約束要求下， 英、 法、 德等歐盟國家開始制定和實施本國的數據保護審計制度。英國的數據保護審計以自愿審計為主、 強制審計為輔。其中， 信息專員辦公室開展的審計是一種基于監管層面的強制審計。2020年9月， 法國數據保護局（CNIL）發布《CNIL審計程序指南》， 闡述了數據保護合規審計的權利與義務及各種具體問題（賈丹等，2022）。這些新的審計制度有著各自特定的宗旨目標和關注重點， 如信息系統審計、 數據保護審計主要關注解決的是安全性、 可靠性及風險防控問題， 并非個人信息保護問題。但是， 這些新的審計制度顯然與個人信息保護問題緊密相關， 個人信息保護上的諸多要求也包含在這些新的審計制度所關注的問題中， 這就為個人信息保護合規審計制度的形成發展奠定了基礎和關聯支撐。

從全球算法治理的實踐來看， 其為個人信息保護合規審計制度的形成發展提供了重要的技術內核與經驗支持。目前， 一些大型互聯網企業正在進一步研發關于算法內部審計的制度框架和技術工具。例如， Google專門研發設計了“SMACTR”的算法內部審計框架， 將內部審計工作劃分為五個相互銜接的階段性框架。Meta、 IBM、 Google分別開發了Fairness Flow、 AI 360 Toolkit、 Model Card Toolkit等技術工具， 用以檢測、 報告、 減輕算法設計運用中可能存在的歧視等問題。在算法內部審計之外， 監管機構也正在逐步推進開展對算法的監管審計。一種是關于算法合規問題的個案審計。例如： 英國信息專員辦公室對Clearview AI違法處理個人數據尤其是生物特征數據的行為開展監管審計； 針對Everalbum公司擅自使用用戶照片及面部信息訓練算法的行為， 美國聯邦貿易委員會開展專項審計調查。另一種是圍繞算法的公平性、 透明度、 安全性等一般性問題進行風險評估審計（張欣和宋雨鑫，2022）。顯然， 個人信息保護上的許多問題往往來自于信息處理者所設計和運用的算法， 算法審計的制度與實踐將為個人信息保護合規審計制度的建構運作提供關鍵的技術內核與經驗支持。

在信息系統審計、 數據保護審計、 算法審計等高度相關的審計制度被各國陸續建立和廣泛實踐的背景環境下， 隨著個人信息權益保護的法律觀念與規則不斷強化， 個人信息保護合規審計制度的形成發展也就成為一種必然。2020年國家市場監督管理總局、 國家標準化管理委員會制定發布的《信息安全技術" 個人信息安全規范》中， 第11.7條對個人信息控制者提出了開展個人信息安全審計的要求。雖然該國家標準并沒有直接提出個人信息保護的合規審計要求， 但在安全審計的要求下， 已經涉及個人信息保護合規審計的實質要素。2021年8月通過的《個人信息保護法》首次在法律層面提出了個人信息保護合規審計的要求。該法第五十四條規定， 個人信息處理者承擔定期進行合規審計的法定義務； 第六十四條規定， 監管部門根據發現的問題， 可強制要求信息處理者委托專業機構對其進行合規審計。2021年11月， 國家互聯網信息辦公室發布了《網絡數據安全管理條例（征求意見稿）》， 該征求意見稿第五十三條規定， 大型互聯網平臺應當委托外部機構對平臺數據安全、 個人信息保護等情況進行合規審計； 第五十八條規定， 國家應建立數據安全審計制度。可見， 數據處理者應承擔委托數據安全審計專業機構進行定期合規審計的義務， 主管、 監管部門應組織開展監管審計工作。顯然， 這是從數據安全的角度對個人信息保護提出的合規審計要求。2021年12月， 國家互聯網信息辦公室等四個部門聯合發布了《互聯網信息服務算法推薦管理規定》， 專門就算法推薦服務提出了合規要求。這就從算法推薦服務層面對個人信息保護進一步提出了特定的合規要求。2023年8月， 國家互聯網信息辦公室進一步發布了《個人信息保護合規審計管理辦法（征求意見稿）》及配套的《個人信息保護合規審計參考要點》。根據該征求意見稿的規定， 處理超過100萬個人信息的信息處理者， 每年至少應實施一次合規審計； 其他情形下每兩年至少應實施一次合規審計。這兩份文件全面細化了個人信息保護合規審計制度?？傮w而言， 目前， 以《個人信息保護法》所設定的合規審計這一法定要求為中心， 以各種相關的規章和規范性文件為關聯支撐并細化展開， 正在逐步形成關于個人信息保護合規審計的綜合全面、 立體多維的規則體系。

（二） 建構個人信息保護合規審計制度的多重底層法理邏輯

1. 審計制度及其功能作用適應時代延伸擴展的發展邏輯。實際上， 個人信息權益保護問題并不是一個傳統意義上的審計問題。根據美國會計師學會審計基本概念委員會在1972年發布的《基本審計概念說明》， 審計是客觀收集、 評價有關經濟活動和事項的證據， 并確定其與已有標準的相符性的系統過程。在國內理論和立法上， 審計一般是指對被審計單位的財政、 財務收支及有關經濟活動的真實、 合法、 效益進行審查監督。有研究將國家審計定義為， 對受托管理和使用公共資源的責任履行情況進行的獨立監督活動（劉力云等，2021）?！皩徲嫛边@一特殊的概念術語表明， 審計制度的核心領域與對象內容是宏觀和微觀的各種經濟運行及其審查監督問題， 其實質是監督、 鑒證、 評價公共受托責任的履行情況。顯然， 個人信息保護合規問題的核心是， 分析判斷個人信息權益保護的狀況與效果， 它應當主要屬于行政執法監管和司法層面上的調查及裁量判定問題， 而不屬于傳統審計的問題領域與對象范圍。

但是， 作為一種重要而獨特的監督治理手段①， 審計制度的領域范圍不是僵化不變的， 而是會隨著時代的發展要求而不斷變化拓展。例如，2018年8月， 審計署發布《關于進一步加強減稅降費政策措施落實情況審計監督的意見》， 要求對稅收經濟政策的遵從合規情況進行審計監督。2018年12月， 審計署發布《關于加強信息系統審計工作指導意見》， 要求對信息系統的安全性、 可靠性和經濟性進行監督檢查， 推動完善相關制度， 促進提高資金使用績效， 保障信息系統安全、 可靠和高效運行。2019年《關于實行審計全覆蓋的實施意見》等政策出臺后， 自然資源的開發利用與環境保護進一步成為審計制度的新領域。2023年5月23日， 習近平總書記在二十屆中央審計委員會第一次會議上發表講話時指出， 要加大關于穩經濟、 金融支持實體經濟等宏觀政策的落實情況的審計力度。上述變化表明， 在對經濟活動本身進行審計監督外， 審計制度進一步拓展到與經濟活動及公共受托責任相關的各種問題領域， 如經濟政策的遵從落實問題。在數字及人工智能化時代， 審計制度進一步延伸拓展到個人信息保護合規領域是時代發展的需要， 個人信息保護合規審計旨在鑒證個人信息處理行為是否符合既定標準， 是合規審計覆蓋范圍與功能作用的進一步延伸和擴張（陳智敏，2022）。個人信息保護合規審計能夠有效彌補監管部門的資源緊張， 是信息保護合規監管的有效補充（王俊等，2023）。本文認為， 合規審計不僅為個人信息保護的合規監管與治理提供了有效抓手與支撐， 而且其本身也構成了信息保護合規監管與治理的重要內容與功能模塊。目前， 個人信息保護合規審計已經成為國際通行的做法， 在數字中國建設的大背景下， 開展個人信息保護合規審計具有重要的實踐意義（高歌，2023）。為此， 應充分遵循和運用合規審計制度特有的分析審查視角、 功能邏輯、 運作路徑、 技術方法， 著眼于個人信息保護的風險識別與合規治理體系建設和能力提升等綜合目標， 逐步創新建構和運作個人信息保護合規審計的各種制度和相關方法。

2. 確保數據資源合理利用及數字經濟健康發展的底層邏輯。在繼勞動力、 土地、 資本、 技術等基本的生產要素之后， 數據資源已成為數字經濟時代最重要的新的生產要素， 也是中國經濟在新時代高質量發展的重要驅動要素。2022年12月， 中共中央、 國務院發布《關于構建數據基礎制度更好發揮數據要素作用的意見》（簡稱《意見》）。在建立數據要素的流通、 交易及治理制度方面， 《意見》要求培育合規認證、 安全審計、 數據公證等第三方專業服務機構； 建立數據要素生產流通使用全過程的合規公證、 安全審查、 算法審查、 監測預警等制度， 指導各方履行數據要素流通安全責任和義務。顯然， 為充分保障和發揮數據要素資源的作用， 《意見》要求建立安全審查、 合規監管等重要基礎制度。由于個人信息是數據資源的重要來源和形成基礎， 因此， 如何充分保護個人信息權益， 確保公平合理、 合法有序地搜集處理、 開發利用個人信息數據關系到數據資源可持續的合理開發利用， 進而關系到數字經濟的可持續發展。對個人信息的適度收集和合理利用是數字經濟發展的邏輯前提。在我國， 個人信息保護有助于保障我國數據要素市場的規范基礎及其健康發展。從全球經濟的競爭發展來看， 涉及個人信息的數據開發利用日益成為全球數字經濟競爭發展的原動力， 個人信息保護將為我國參與全球數字經濟競爭發展提供有效保障（黃哲瑞和徐來鳳，2023）。因此， 一方面， 從宏觀經濟層面看， 個人信息保護不再僅僅只是私人權益保護的問題， 而是事關社會經濟健康運行、 和諧發展的重要問題之一； 另一方面， 從微觀經濟層面看， 個人信息保護是數字經濟時代企業參與市場經濟活動， 在經營發展上“行穩致遠”的重要要求和保障。作為評價、 監督經濟生活運行與微觀經濟活動的專門機制和工具方法， 審計自然可以也應當介入個人信息保護領域， 并通過其功能的拓展與創新充分發揮其在新領域的評價和監督作用。

二、 合規審計的“裁量判斷”強屬性及應遵循原則

（一） 信息保護規則的抽象性及合規解釋裁量的強屬性

對個人信息保護進行合規審計需要以明確、 具體的信息保護義務、 行為標準等為基礎依據和參照， 但是， 面對不斷更新變化的算法技術和數據信息開發利用的復雜多樣的市場需求與活動， 個人信息保護的各種義務規則往往只能是一種高度概括性的抽象規定， 即便在某些方面也可能形成較為具體的行為義務規則或標準， 但仍然可能不足以適應各種具體情況。這就需要審計人員根據具體的個案情況， 對概括抽象的個人信息保護規則做出精準、 恰當的具體解釋。這就意味著， 與關于財務收支、 經濟績效等問題的審計監督不同， 個人信息保護的合規審計具有強烈的規則解釋適用上的“裁量判斷”屬性。鑒于規則解釋適用上所固有的復雜性、 靈活性、 多元性、 開放性等， 合規審計上的“裁量判斷”將面臨明顯的障礙與困難。為此， 筆者結合個人信息保護的相關規則做適當舉例分析。

1. 對各種情形下的“必需”條件的衡量判斷。根據《個人信息保護法》第十三條， 屬于該條第一款第（二）項至第（七）項所規定情形的， 處理、 利用個人信息不需取得個人同意。如第一款第（二）項所規定的“為訂立、 履行合同所必需”； 第一款第（三）項所規定的“為履行法定職責、 義務所必需”； 第一款第（四）項所規定的“為應對突發公共衛生事件等所必需”等。但是， 如何判斷上述各種情形下的“必需”， 法律并未明確規定， 在合規審計時如何做出準確、 恰當的裁量判斷就必然面臨著困難與不確定性。

2. 對“有效的告知”的衡量判斷?！秱€人信息保護法》確立了以“告知—同意”為核心的個人信息保護的合規原則， 《個人信息保護法》第十七條規定對“有效的告知”提出了具體要求。2023年發布的《個人信息保護合規審計參考要點》對“有效的告知”提出的進一步要求是， 告知文本的大小、 字體和顏色應便于個人閱讀認知等。即便如此， 這些似乎較為具體的各種要求仍然需要進一步的解釋明確， 如是否達到“顯著、 真實、 準確、 完整”這些要求， 是否已經構成“有效的告知”， 仍然需要合規審計人員在個案中做出具體的裁量判斷。

3. 對“敏感個人信息”的衡量判斷?！秱€人信息保護法》通過設置第二節共五個條款， 對“敏感個人信息”的處理提出了特殊規制要求。其中， 第二十八條第一款采用“概括+列舉”模式界定了何謂“敏感個人信息”， 該類信息首先被抽象概括地界定為“一旦泄露或者非法使用， 容易導致自然人的人格尊嚴受到侵害或者人身、 財產安全受到危害的個人信息”， 然后， 具體列舉了七類典型的敏感個人信息。但是， 王苑（2022）指出， 這樣的界定可能帶來如下的不確定性： （1）法律評價標準具有模糊性； （2）未來會出現的新的敏感個人信息不在具體列舉的范圍； （3）判斷標準的多維性導致分析確定的困難。對此， 應通過綜合考量五個方面的要素， 動態界定敏感個人信息。因此， 如何區分“敏感個人信息”與“非敏感個人信息”， 需要合規審計人員根據具體的個案情況做出動態的解釋裁量判斷。

4. 對“特定的互聯網平臺”的衡量判斷。《個人信息保護法》第五十八條提出了“守門人”條款， 對符合特定條件的互聯網平臺施加了特別的信息保護義務。但是， 有學者分析指出， “守門人”條款的規定過于簡略， 該條款究竟如何理解與適用， 存在不少問題和爭論， 需要進一步解釋明確。例如， 對于某個互聯網平臺是否屬于“守門人”， 第五十八條提出了“提供重要服務、 用戶數量巨大、 業務類型復雜”這三個疊加條件。這意味著， 確立了“先分類、 再分級”的識別判斷標準?！疤峁┲匾铡币馕吨葘ζ脚_服務進行分類， “用戶數量巨大、 業務類型復雜”意味著在分類的基礎上再根據這兩個標準對平臺企業進行分級， 最終識別確定某互聯網平臺是否屬于“守門人”（周漢華，2022）。然而， 對于這些識別判斷的環節和要求， 缺乏明確細化的解釋、 指導。對此， 合規審計人員需要根據用戶規模、 業務類型、 經濟規模、 信息數據的利用程度等在個案中做出具體的裁量判斷。

（二） 合規裁量判斷應遵循的指導原則

為應對解決合規審計中“規則解釋適用”上的障礙與困難， 精準、 恰當地裁量判斷個人信息保護合規狀況及風險問題， 應當確立和運用各種指導原則。這些原則主要包括： 合規審計裁量權的審慎運用原則； 利益衡量上的比例原則； 合規審計的裁量基準原則； 體系解釋原則； 審計獨立下的溝通及共識解釋原則。本文僅就其中的兩個原則做進一步的分析闡述。

1. 利益衡量上的比例原則。在個人信息的收集處理及加工利用活動中， 個人的信息權益保護實際上是一個各方利益協調平衡的問題。就信息處理者而言， 它們包括立法機關、 司法機關、 政府部門、 企業以及其他社會組織等。國家機關、 政府部門在收集處理及加工利用個人信息時， 行使的是公權力， 代表和體現了國家利益、 社會利益； 而企業和其他社會組織在收集處理及加工利用個人信息時， 代表和體現的是企業和其他社會組織自身的經濟利益或其他利益。就作為信息來源的個人而言， 他們對自身的信息享有充分的身份權益和經濟權益。顯然， 信息處理者與作為信息來源的個人有著各自獨立的利益歸屬與訴求， 雙方的利益有時是協調一致的， 有時則是相互矛盾沖突的。梁燈（2022）分析指出， 特別是在企業作為個人信息處理者時， 將面臨著個人信息的價值挖掘和個人信息權益保護之間的沖突和平衡問題， 當個人數據信息在企業間流轉時該問題最為凸顯。因此， 在個人信息保護合規審計中， 對相關規則的解釋適用往往所涉及的是相關主體的利益得失問題， 所謂的合規判斷也就是根據抽象規則對相互矛盾沖突的利益進行衡量平衡處理。顯然， 如何對各方利益進行合規裁量上的協調平衡， 需要形成和運用相應的指導原則。對此， 本文認為， 可以參考借鑒行政法上的比例原則， 在個人信息保護合規審計制度中， 塑造形成關于規則解釋適用的利益衡量比例原則。

比例原則是行政法上的一個重要原則， 它被用于約束規制行政權的自由裁量行使， 謀求在行政目的、 需要與相對人的利益保護之間實現協調平衡。其基本要求是， 行政主體實施行政行為應兼顧行政目標的實現和保護相對人的權益， 如果行政目標的實現可能對相對人的權益造成不利影響， 則這種不利影響應被限制在盡可能小的范圍和限度之內。行政法中的比例原則包含適當性、 必要性和相稱性（均衡性）的多維度內涵。適當性又稱為妥當性、 妥適性、 適合性， 是指所采取的措施應當能夠或至少有助于實現行政目的。必要性又稱為最少侵害性、 不可替代性。即在能實現行政目的的多個方式中， 應選擇對權利影響或侵害最小的方式。相稱性也稱為均衡性， 即行政措施與其所達到的目的之間必須成比例或相稱。相稱性（均衡性）側重要求的是， 無論是否存在多個可選擇的措施、 方法， 行政措施不能過分地或不適當地影響、 損害相對人的合法權益。筆者認為， 在個人信息保護方面， 信息處理者與作為信息來源的個人在相互地位關系及利益結構上非常類似于行政機構與相對人之間的關系， 尤其是信息處理者為國家立法、 司法機關、 政府部門時更是如此。因此， 應當參照行政法上的比例原則， 按照對個人造成最少最小影響的原則來解釋適用個人信息保護的相關規則， 以矯正個人在信息的收集處理及加工利用中的弱勢地位， 充分保護個人對自身的信息所應享有的身份權益和經濟權益。實際上， 在個人信息權益保護上， 利益衡量上的比例原則在立法上已經有所體現。例如， 《個人信息保護法》第六條規定， 處理個人信息應當具有明確、 合理的目的， 并應當與處理目的直接相關， 采取對個人權益影響最小的方式。收集個人信息時應當限于實現處理目的的最小范圍， 不得過度收集個人信息。顯然， 該條所提出的要求已經基本上體現了比例原則所包含的適當性、 必要性和相稱性（均衡性）要求。

需要指出的是， 一般而言， 根據合規裁量上的比例原則， 應采取對個人造成最少、 最小影響的方式來解釋適用個人信息保護的相關規則， 但是這不是絕對的。當信息處理者投入大量的資金等成本對個人信息進行深入加工并已經形成穩定的、 明確的商業利益時， 信息處理者將獲得一種獨立于個人權益的“既得權益”。2023年12月財政部制定發布的《關于加強數據資產管理的指導意見》明確規定了數據開發利用者基于其投入付出及再創造應享有的獨立的受益權②。此時， 就不能簡單按照對個人造成最少、 最小影響的方式來解釋適用合規裁量上的比例原則， 而應當以兼顧平衡的方式來運用比例原則。例如， 《個人信息保護法》第十五條規定， 基于個人同意處理個人信息的， 個人有權撤回其同意。個人信息處理者應當提供便捷的撤回同意的方式。個人撤回同意， 不影響撤回前基于個人同意已進行的個人信息處理活動的效力。顯然， 如果信息處理者已經投入成本加工處理個人信息的， 或者進一步將其予以商業共享或轉讓的， 無條件地允許個人撤回同意則可能損害信息處理者的商業利益。對此， 僅僅確認“撤回前基于個人同意已進行的個人信息處理活動的效力”是不夠的， 應當根據比例原則中的“兼顧既得商業權益”的要求， 充分考量撤回同意的必要性， 以利益平衡的方式分析評估撤回同意的合規性問題。

2. 審計獨立下的溝通及共識解釋原則。鑒于個人信息保護規則具有高度概括抽象性， 審計機構和人員需要對相關規則進行解釋， 這就會造成各方對同一規則的不同理解和判斷。對此， 審計機構和人員可以與被審計企業及監管部門等進行溝通形成共識理解。但是， 有研究認為這可能會導致審計獨立性及權威受損。例如， 由被審計單位委托進行合規審計時， 受托審計機構在溝通交流中容易受委托方的影響， 從而對信息保護規則做出有利于委托方商業模式的解釋和定性判斷。在監管部門所要求啟動的審計中， 外部審計機構往往需要與監管機構進行溝通交流， 從而會受到監管機構立場的影響， 做出不利于被審計方的分析評價（梁燈，2022）。

筆者認為， 鑒于個人信息保護規則的高度概括抽象性以及個人信息開發利用的復雜多樣性， 在合規審計中尋求溝通并形成共識解釋將是一種常態現象， 尋求溝通形成深入、 準確的了解判斷也是審計工作中的常規做法?，F有的一些審計準則也有進行溝通形成共識的要求， 如2013年中國內部審計協會制定發布的《第2105號內部審計具體準則——結果溝通》。同時， 尋求溝通并形成共識解釋并不必然損害合規審計的獨立性和權威性， 或者說， 尋求溝通并形成共識解釋并不是合規審計的獨立性和權威性受影響的真正原因。在尋求溝通并形成共識解釋中， 合規審計不能維持其獨立性和權威性的重要原因在于， 審計人員缺乏對相關規則的深入理解把握， 沒有形成堅實的合規審計上的衡量判斷能力。在個人信息保護的合規審計中， 面對相關規則的概括抽象性及解釋適用， 尋求溝通并形成共識解釋將有助于審計人員更加全面深入地理解規則的內涵及被審計的具體情況， 并形成高質量的合規審計結論。因此， 在不斷提升審計人員的規則解釋及衡量判斷能力的基礎上， 將能夠也應該確立審計獨立下的溝通及共識解釋原則。

三、 個人信息保護合規審計的框架及方法的建構運作

個人信息保護的合規審計應當立足于“調查分析”“監督問責”“風險防控”“督促整改”等專門視角與特有功能， 逐步建立完善相關的審計框架、 功能模塊、 指標體系、 技術方法等， 以形成一個綜合全面、 立體多維、 契合緊密、 功能卓越的合規審計制度與機制。本文就其中的若干方面進行適當的探索分析。

（一） 確立定性與定量分析相結合的框架方法

個人信息保護合規審計的定性分析是一種符合性評價， 即對處理個人信息的行為和活動是否符合法律規定做出肯定性或否定性的審計評價。這是個人信息保護合規審計的基本內容和結論要求。在此基礎上， 個人信息保護合規審計還應進行定量分析， 即對個人信息處理的行為和活動偏離法律規則的程度進行量化界定， 并建立和運用量化評估的賦值指標體系。對行為的偏差度的量化分析具有重要的價值和作用。“合規偏差度”的量化分析評價可以精確、 具體地揭示個人信息處理及利用的合規狀況， 進一步確定各種偏差所造成的不同危害及應采取的糾正措施， 進一步分析判斷不同的偏差樣態造成的危害風險并進行預警。進而言之， “合規偏差度”的量化分析評價有助于開展“審計容錯糾錯”的實踐。對于個人信息保護合規審計而言， “合規偏差度”下的“審計容錯糾錯”將解決兩個維度的問題。一是關于個人信息保護的規則尤其是較低層級的具體規則存在著錯誤、 不當、 不合理之處， 或者過于僵化、 教條， 對此， 需要運用“合規偏差度” 的量化分析評價， 通過“審計容錯糾錯”的方式予以解決。二是關于個人信息保護的規則存在著滯后性， 不能充分適應信息開發利用和信息保護中的各種新情況與新問題， 對此， 需要運用“合規偏差度” 的量化分析評價， 通過“審計容錯糾錯”的方式予以解決。當然， 在審計容錯糾錯中， 對于觸及法律法規底線的問題， 絕不能以容錯糾錯之名予以放縱（項健，2021）。

（二） 建立模塊化的審計框架與指標體系

模塊化的審計框架是指根據多樣化的審計目標設置不同的審計模塊單元。在模塊單元下， 可以進一步細化具體的審計事項與指標等。例如， 就算法審計這個特定目標而言， 可將審計框架劃分為“總體風險控制與治理”與“過程風險控制與治理”兩個模塊。總體風險控制與治理模塊所針對的是算法設計及風險治理的制度框架， 例如是否成立算法風險治理領導小組、 是否存在算法設計和運行的合規審查制度等； 過程風險控制與治理模塊所針對的是算法系統在運作過程中的問題與風險（張欣和宋雨鑫，2022）。本文認為， 模塊化的審計框架意味著， 個人信息保護的合規審計并不僅僅只是對信息處理和利用的行為或活動本身的合規性進行審計分析評價， 而是將個人信息保護看作是一項全方位的系統工程， 是從宏觀框架到微觀環節進行多維的綜合審計分析評價。因此， 對于個人信息保護的合規審計， 應當根據個案所要求的不同的審查視角與目標設置模塊化的審計框架， 既包括個人信息保護在總體架構層面的合規審查模塊， 也包括在個人信息處理過程中各個環節及問題的合規審查模塊， 從而形成綜合全面、 立體多維的合規審計分析評價。

（三） 建立信息處理系統功能設計的合規審計制度

在關于個人信息的隱私保護方面， 一些國家已經形成“通過設計的隱私保護”（Privacy by Design）和“隱私工程”（Privacy Engineering）這兩個不同的保護環節。這就意味著， 個人信息隱私保護包含著兩個不同的階段， 即系統功能（算法）設計階段與個人信息處理階段的個人信息隱私保護（William Stallings，2019）。本文認為， 個人信息權益保護的內容范圍顯然要大于個人信息的隱私保護， 但同樣也存在著系統功能（算法）設計階段的保護與個人信息處理階段的保護這兩個不同階段的個人信息保護。一般而言， 通過對個人信息處理階段的合規審計， 也可以間接發現系統功能（算法）設計上的保護缺陷， 但是這種暴露往往是不充分和滯后的。因此， 為充分揭示和有效預防控制個人信息保護上的缺陷及風險， 應當建立專門針對信息處理系統的功能（算法）設計的合規審計。在這方面， 已經形成了一些重要準則和指南， 如中國內部審計協會于2014年制定發布的《內部審計具體準則——信息系統審計》，" 于2021年制定發布的《內部審計實務指南——信息系統審計》， 以及2018年12月審計署發布的《關于加強信息系統審計工作指導意見》。

（四） 建立信息處理過程的合規風險持續控制制度

由于個人信息的收集處理與開發利用具有技術復雜性、 隱匿性及數量龐大性等特點， 所以， 運用傳統審計思路與方式進行合規審計往往難以產生良好的預期效果， 因此， 有研究認為， 應建立和運用CRCA模型（持續性風險評估與控制保證模型）來開展個人信息保護合規審計（陳智敏，2022）。顯然， 合規風險持續控制分析側重關注的是個人信息保護風險的及時、 準確識別， 以及將持續處理過程中的風險動態變化置于監控之下， 這有助于在信息處理持續過程中實現對個人信息權益的動態及時保護。但是， 《個人信息保護合規審計管理辦法（征求意見稿）》只是提出了一定年限內的單次合規審計要求， 并沒有提出關于“合規風險持續控制分析”的要求。例如， 對于處理超過100萬個人信息的信息處理者， 僅要求每年至少應實施一次合規審計， 其他情形下則要求每兩年至少應實施一次合規審計。因此， 需要在該征求意見稿中補充納入“合規風險持續控制分析”的要求。

四、 結語

個人信息保護合規審計是合規審計制度在數字及人工智能時代的新拓展， 是個人信息保護的合規監管與治理的有效抓手與重要內容。但是， 個人信息保護合規審計制度尚處于初步建立階段， 相關的理論問題與操作實施尚處于探索中。筆者就個人信息保護合規審計制度的底層法理邏輯、 特征屬性、 功能需求、 指導原則等理論問題進行了初步探討， 更多的和更深層次的理論問題需要進一步分析研究， 如個人信息保護合規審計的性質類型及其與國家審計的銜接協調， 合規審計中關于“合規”要求的淵源依據等。同時， 需要深入、 全面地分析研究個人信息保護中的各種案例和實際問題， 針對個人信息保護合規審計制度， 進一步分析建立和調整完善該領域特有的工具方法、 程序規范、 功能機制等。

【 注 釋 】

① 黨的十九大報告將審計放在“健全黨和國家監督體系”部分予以闡述。黨的十九屆四中全會明確提出審計監督是黨和國家監督體系的重要組成部分。

② 《關于加強數據資產管理的指導意見》將“暢通數據資產收益分配機制”作為數據資產管理的一項主要任務。針對完善數據資產收益分配與再分配機制，該指導意見要求按照“誰投入、誰貢獻、誰受益”的原則，依法依規維護各相關主體數據資產權益。支持合法合規對數據資產價值進行再次開發挖掘，尊重數據資產價值再創造、再分配，支持數據資產使用權利各個環節的投入有相應回報。

【 主 要 參 考 文 獻 】

陳智敏．個人信息保護合規審計系統構建研究［ J］．審計觀察，2022（12）：18 ～ 22．

高歌．個人信息保護合規審計蓄勢待發［N］．中國會計報，2023-09-01．

黃哲瑞，徐來鳳．個人信息保護法對我國數字經濟發展的重要價值［N］．科學導報，2023-10-17．

賈丹，張譽馨，王姍．我國個人信息保護合規審計制度的路徑探討［ J］．工業信息安全，2022（4）：17 ～ 22．

梁燈．個人信息保護合規審計的悖論及其解決——以個人信息流轉合法性基礎為例［ J］．上海法學研究（集刊），2022（20）：84 ～ 93．

劉力云，崔孟修，王慧，沈玲．對國家審計基本概念仍需深入研究——基于一項有關國家審計基本概念和定義認知訪談結果的分析［ J］．會計之友，2021（8）：15 ～ 21．

王苑．敏感個人信息的概念界定與要素判斷——以《個人信息保護法》第28條為中心［ J］．環球法律評論，2022（2）：85 ～ 99．

王俊，馮戀閣，鐘雨欣，鄭雪．網信辦擬細化個人信息保護合規審計，企業需定期做“體檢”［N］．21世紀經濟報道，2023-08-04．

項?。畬徲嬋蒎e糾錯思維方式探討［ J］．審計月刊，2021（10）：23 ～ 24．

周漢華．《個人信息保護法》“守門人條款”解析［ J］．法律科學，2022（5）：36 ～ 49．

張欣，宋雨鑫．算法審計的制度邏輯和本土化構建［ J］．鄭州大學學報（哲學社會科學版），2022（6）：33 ～ 42．

William Stallings. Information Privacy Engineering and Privacy by Design：Understanding Privacy Threats， Technology， and Regulations Based on Standards and Best Practices［M］． New York：Addison Wesley，2019．

（責任編輯·校對： 劉鈺瑩" 羅萍）

【作者單位】南京審計大學法學院， 南京 211815