個人信息保護合規審計的規范依據與實踐應對

摘 要：出于保護個人信息權利、規范個人信息處理行為的目的，現行法律規定了個人信息保護的合規審計。但囿于既有規范的技術性和特殊性，個人信息保護合規審計實施中面臨著個人信息權利保護與企業經營利益、審計模式與程序啟動、審計方法與工具應用等不同層面的現實難題。按照既有的合規審計規范要求，實踐中應當持續關注法律和政策、重點行業規范依據的變化，根據實際情況恰當運用審計工具和方法，并做好合規審計后的建議落實轉化工作，以審計監督實現個人信息保護的閉環管理，最終提高全社會的個人信息保護水平。

關鍵詞：個人信息保護；合規審計；規范依據；實踐應對

進入數字經濟時代，個人信息保護方面的法律規范日趨完善，監管要求愈發嚴格精細。2021年8月20日，十三屆全國人大常委會第三十次會議表決通過的《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）對有關個人信息保護的規范內容進行了整合，將個人信息權利上升為公民的一項基本權利。鑒于個人信息保護合規的現實要求，2023年8月3日國家互聯網信息辦公室（簡稱網信辦）公布了《個人信息保護合規審計管理辦法（征求意見稿）》（簡稱《管理辦法》）及其配套的《個人信息保護合規審計參考要點》（簡稱《參考要點》），進一步細化了《個人信息保護法》中有關自我合規評估和強制合規評估的要求。但由于個人信息保護合規審計與傳統審計之間存在著差異，在充分闡釋既有規范依據的基礎上，還需要對其實踐性難題展開探研以明晰實操應對之策。

一、個人信息保護合規審計的現實基礎和規范依據

“審計（auditing）是由勝任的獨立人員為確定和報告特定信息與既定標準間的符合程度而收集和評價有關這些信息的證據的過程?！盵1]審計活動本身即蘊含著合規性和效益性目的。根據《管理辦法》的規定，個人信息保護合規審計是指對個人信息處理者的個人信息處理活動是否遵守法律、行政法規的情況進行審查和評價的監督活動。其法理依據在于對公民個人、企業與國家公權力機關個人信息處理自由的合理限制，以實現個人信息處理潛在風險的按比例分配[2]，同時也有著確定的現實基礎和規范依據。

（一）個人信息保護合規審計的現實依據

一方面，是個人信息權利保護的現實需要。有關數據顯示，截至2023年6月，我國網民規模達10.79億人，較2022年12月增長1109萬人，互聯網普及率達76.4%[3]。社會公眾已無可避免地陷入各種數字化和信息化的場景，加上網絡實名制的施行，互聯網平臺企業對公眾的姓名、身份證號碼、電話號碼、工作單位、家庭住址以及個人生物識別信息等個人信息的收集、分析、處理行為使得公眾隨時面臨著人格尊嚴、隱私、財產等權益被侵害的潛在風險。我國《民法典》已將個人信息權利歸入人格權體系，意味著其不能作為財產權客體，在保護方法上也與財產權有著本質區別，對個人信息處理的合規性也有新的期待。

另一方面，則是個人信息保護監管盲區的客觀存在。就客觀現實而言，在公法領域，公共管理和服務部門對于個人信息處理和利用受到行政管理性規范的約束，個人信息保護規則也因散落在不同部門法中而未能形成嚴密的體系。作為外部合規的行政監管機制天然地具有滯后性，對于規模日漸擴大、類型愈發細分的個人信息處理行為難以進行有效的事前預判和事中應對。而且監管部門作為外部監督機構，本就遠離個人信息處理業務中心，導致監管盲區的存在。雖然客觀上為企業提供了合規管理的自治領地，但也容易使得政府因未能在關鍵領域實現應管的效果而遭受“懶政”的批評。

（二）個人信息保護合規審計的規范依據

《個人信息保護法》作為基礎性的規范依據，既規定了內部控制和管理的要求，又可成為外部法律責任判定的標尺。但是，個人信息保護合規審計之中的“規”，應做廣義理解，泛指有關的政策、程序、法律、規章和合同等。由于個人信息處理貫穿于收集、存儲、使用、加工、傳輸、提供、公開、刪除等諸多環節，加上信息技術手段的廣泛應用，對《信息安全技術個人信息安全規范》《個人信息出境標準合同辦法》《個人信息處理中告知和統一的實施指南》等技術性標準或者實操性規范也有相應的適用要求。

在合規義務方面，《個人信息保護法》第五章從內部控制和外部監管兩個維度對“個人信息處理者的義務”進行了設定。如：第五十四條從內部控制角度為個人信息處理者設定了強制定期審計的義務，第六十四條規定了特殊情形下的選擇性審計。同時，從外部監管角度對監管部門的責權和行使條件、方式以及合規審計的啟動做出規定，強調個人信息處理者應按照監管要求加以整改的義務。這種合規審計在啟動主體上的內外之分、內容上的強制性和選擇性審查的區別，意味著個人信息保護的合規端口更加前移，事中和事前監管的要求空前強化。

在合規審計實施層面，《管理辦法》作為監管部門專門制定的行政規章，必將發揮常態化監管和內部合規的具體指引作用。一是明確合規審計的對象和實施主體?！豆芾磙k法》規定了個人信息處理者和監管部門要求委托專業機構實施個人信息處理的合規審計，并對合規審計活動進行監督管理。二是明確不同模式合規審計啟動方式。既包括企業自行開展的內部審計，又包括按照監管部門要求開展的外部審計，前者屬于內部控制，后者屬于外部監督。三是明確以個人信息處理100萬人為適用不同審計周期的依據?！豆芾磙k法》第四條規定按照個人信息處理是否達到100萬人信息的標準，分別設定了一年和兩年的合規審計周期。實際上，對于個人信息處理大戶的平臺企業來說，以注冊用戶人數為判斷標準固然合理，但并非所有場景和行業都適宜注冊用戶人數作為唯一標準。

二、個人信息保護合規審計實施中的現實難題

鑒于個人信息保護合規審計所要遵循的規范依據所具有的技術性和特殊性，其具體實施過程中必然會面臨著諸多現實難題。

（一）個人信息保護面臨的價值和規范沖突

對互聯網企業來說，信息和數據就是重要的生產資料，對海量注冊用戶信息的占有是衡量其市場估值的重要指標，而如何平衡個人信息處理者經營利益與個人信息權利之間的沖突就成為關鍵。此類沖突源于個人信息保護的異質性要求，表現為合規審計中的多重悖論。第一，如何協調個人信息保護、企業經營與合規成本之間的矛盾。個人信息利用具有合理性，但如何劃分其與個人信息保護之間的界限是其中的難點。實踐中，一些中小型科技企業很容易達到100萬人信息的門檻條件，如果監管部門一刀切地以此為基準，可能會極度壓縮中小企業的生存空間。而且個人信息處理者的合規義務貫穿于個人的全生命周期，合規風險不僅存在于處理者的處理活動中，更存在于其經營和存續期間。第二，數據和信息概念的混淆使用也給合規審計帶來了困惑。我國《審計法》和內部審計準則中存在著數據安全合規與信息系統審計概念混淆使用的情況，這與數據和信息概念界定不清有關。數據是具有物理屬性的載體，而個人信息則是蘊含在數據載體中且與特定人的人格權緊密相連的內容。第三，知情同意規則的適用存在著局限性。雖然《參考要點》明確了個人信息所有者的知情同意是首要的合規條件，但實踐中這種合規義務履行多停留在形式層面，適用時較為敷衍，難以達到前置性和兜底性的保護效果。而且個人信息侵害損失通常也難以量化，違法制裁的門檻條件高，受害者對權益受損狀況易產生誤判，加上與平臺企業之間力量不對等，過高的維權成本和舉證難度容易迫使受害者成為“沉默的大多數”。

（二）審計模式選擇和程序啟動的選擇困惑

不同主體啟動的合規審計意味著對企業合規性存在不同的利益關切。其一，從實施主體來看。按照《管理辦法》，個人信息保護合規審計作為內控措施，可視為是組織內部的一次“體檢”，既可選擇自行組織實施，也可委托外部專業機構進場實施。但是，對于監管部門要求的合規審計，須委托具有相應專業資質的外部審計機構進行。其二，從審計方式來看。既有的相關標準并未與審計制度進行有效銜接，難以直接適用于個人信息保護合規審計實踐，而且不同國家和行業標準中關于個人信息保護的標準和合規審計的規范口徑也不盡統一，影響合規審計實施的效果。如：國家標準《信息安全技術個人信息安全規范》則要求個人信息控制者“對個人信息保護政策、相關規程和安全措施的有效性進行審計”，金融行業標準《個人金融信息保護技術規范》則要求“將個人金融信息保護納入金融業機構內部安全審計工作，定期開展安全審計”，但未對審計事項、審計流程與審計方法等作出具體規定。其三，從啟動方式來看，根據合規審計啟動的主體不同可以分為內部審計、第三方利益主體審計以及監管部門履職審計三種類型。嚴格來講，前兩類都屬于自行啟動，與監管部門啟動的合規審計應有所區別，前者維護的是當事人的私益，后者主要是出于維護個人信息保護和數據使用中面臨的社會公共利益或者國家安全的目的。

（三）既有審計方法和工具應用存在著局限

傳統合規審計方法應用于數字經濟時代的個人信息保護合規審計，容易出現方法和工具應用無法深度融合的問題。第一，傳統合規審計方法很難滿足大數據時代個人信息保護的合規要求。各類網絡平臺、移動終端、App應用軟件無時無刻不在采集公民的姓名、性別、手機號碼、證件號碼等傳統個人信息，生物科技發展還將采集范圍拓展到指紋、虹膜、面容、DNA編碼等個人生物特征信息。信息采集渠道廣、方法隱蔽，如果固守傳統審計方法而應用于個人信息合規審計，則會舉步維艱。第二，信息化技術的發展及其應用，使得傳統財務報表審計、經營審計和合規性審計日趨一體化。個人信息保護法律規范和政策內化為內部經營管理性規章，對相關規章的遵循情況本身就是財務報表審計的重要組成部分，而從財務報表審計中就能直接檢視出合規水平。第三，信息技術的應用增加了審計工作內容和復雜性，更是增大了審計工作的難度[4]。而傳統審計方法多屬于事后收集證據，個人信息保護外部規范更多強調的是事前和事中的風險防范，若單純依賴事后收集證據，規范和指引的實際效果必然不佳。加上信息技術的應用，個人信息處理違規行為的痕跡在網絡系統中很容易被刷新、淹沒甚至刪除，原始載體極易丟失、毀壞，事后取證就更為困難，對合規證據的收集和保全要求更高。此外，信息系統審計方法長期應用于傳統財務審計中，但主要側重于信息系統整體的安全性、可靠性與經濟性的監督檢查，其應有的技術效應也未能充分發揮。

三、個人信息保護合規審計功能實現的應對措施

合規審計目標在于個人信息保護，客觀上起到了為企業保駕護航的作用：一是對個人信息處理行為的合規性進行監督和鑒證，可作為事后界定個人信息合規與否的判定依據；二是在審計結果的應用上，警示可能存在的合規風險，填補制度漏洞，提升合規水平。個人信息保護合規審計本就承載著外部規范與內在價值的追求，既不能單靠企業的合規自律，也不能僅靠外部監管，而應當雙管齊下。

（一）持續關注重點行業和地域的合規要求

就監管側而言，可以在合規審計中將不依賴大規模數據處理的傳統企業排除，或者將處理個人信息量較多但數據類型較少且不敏感的企業排除，同時考慮為符合條件的企業設計簡易的審計程序，鼓勵中小企業委托第三方機構自行開展審計，或者僅對關鍵和重點事項展開合規審計。從監管角度建立個人信息保護合規的白名單制度，對連續多年無違規企業的實行合規審計周期延長甚至豁免的優惠政策。而從行業角度看，監管重點應在于電商、電信運營、醫療、智能家居、互聯網金融、自動駕駛汽車等個人信息處理業務比重較大的行業和企業。

當然，監管要求落地的同時，也要考慮到中小企業對個人信息處理行為的特點，適當降低標準、增加豁免的例外適用情形。如法律所保護的個人信息應是具有識別性的個人信息，而如果個人信息處理者對個人信息采取技術性的“匿名化”或者“去標識化”的技術處理，該信息就不再具有識別性，從而豁免違法責任。而從義務承載的時間維度看，是否負有履行個人信息保護的法定義務，主要是根據個人信息占有和控制的時間節點來判斷，在個人的全生命周期是否存在不履行法定義務的情形，并據以判斷其是否承擔法律責任。而合規審計的目的和內容也不應過分聚焦于違法責任的規避，還要為數據利用和開發提供更大的動能。對于個人信息處理大戶的平臺企業來說，應當將個人信息保護合規審計融入其主營業務之中，將業務活動貫穿的個人信息處理事務的審查、服務與評價納入合規審計的范疇。此外，還要堅持國際視野，及時應對國內和國際關于個人信息保護法律政策的變化，及時調整并吸納為合規審計的依據。

（二）根據實際恰當地運用審計工具和方法

合規審計應力求達到治已病、防未病的效果。盡管個人信息處理行為合規與否，技術問題是其判斷的關鍵要素，但不同審計方法有其特定的適用條件，更是直接影響最終的審計效果。第一，應在企業明確個人信息保護合規的主體責任?！秴⒖家c》明確了個人信息處理者對個人信息保護承擔主體責任的主要審查要點，包括：個人信息保護制度制定、組織架構、管理程序與處理個人信息的性質、規模、復雜程度、風險程度的適應性；個人信息保護職責分工是否合理、職責是否明確、報告關系是否清晰；個人信息處理者為個人信息保護提供的人、財、物保障與企業業務規模、運營計劃、個人信息合規風險管理的匹配性等。實踐中，也可將此種合規要求嵌入企業監事會、股東大會等內部監督和運行機制中。第二，應確保外部審計機構的專業性。個人信息保護合規審計將成為專業審計機構、會計師事務所的主營業務。而根據《管理辦法》設定的準入條件，包括具有個人信息保護、信息安全管理經驗，并取得個人信息保護認證等方面的考量。第三，審計事項應涵蓋被審計主體的整體組織與管理情況。尤其是從組織內部的制度政策、操作規程、人員配置和員工意識、規劃實施、應急預案等方面予以細化落實。明確審計個人信息收集、存儲、自動化決策、共同處理、委托處理、提供轉移等個人信息處理活動的具體合規要求。第四，應綜合業務效益與審計成本采取統一的審計方法?？刹扇‖F場檢查、邀請面談、在線檢查及問卷調查等多種方式，節約審計成本，提高工作效率。而大數據、云計算等新型數據審計技術應用也使得合規審計的數據化、智能化、及時性和可預見性也成為該類業務發展的方向[5]。特別是對平臺企業利用自動化決策處理海量個人信息的，還要考察事前是否對算法模型進行安全評估、是否對算法模型進行科技倫理審查等。當然，在擁抱新的審計技術和方法的同時，不能忽略大數據手段獲取資料的時效性，應注重審查資料來源的權威性、存儲介質的原始性以及信息溯源的準確性。

（三）做好合規審計后合規建議的落地轉化

合規審計報告的功能發揮不僅在于個人信息保護合規水平的評價方面，更重要的是對存在的合規風險、漏洞進行整改的建議。如：2022年螞蟻集團旗下安全科技ZOLOZ的e-KYC產品通過SOC2 Type2審計，說明該產品在數據合規方面達到了較高水平。可見，合規審計報告首先應滿足三項基本要求：第一，內容要素應當齊備。審計報告不僅應當滿足形式規范、內容完備、結構合理的基本要求，還要配合審計報告的保管時限要求確保工作底稿的原始性和長期性，以便關鍵時刻能夠有效佐證審計報告的真實性和規范性。第二，明確審計報告的披露義務。合規審計的目的不僅在于實現企業的合規經營，主動接受社會監督，還要對同類行業和企業提供類似問題整改的合規指引和參考，提供風險警示和預防鏡鑒。對于監管部門啟動的外部合規審計來說，這種審計報告事項的披露意義更為突出。第三，問題整改建議應具有針對性和可操作性。個人信息保護合規審計報告最終應當落實在合規整改上，以增強全社會個人信息保護水平提升的正外部性。審計報告的建議部分，應深入剖析合規問題背后的體制障礙、內部控制缺陷，提出有針對性和可操作的合規對策。同時，加強整改建議的落實和監督反饋，方便內部決策和外部監管及時掌握審計后的合規動態，真正實現合規審計發軔于審、落實于改，形成合規監督閉環。

四、結語

個人信息保護不僅是企業合規經營的內在要求，更是其積極承擔社會責任的外部表現。《管理辦法》雖然僅對個人信息處理行為合規審計做了規定，是否還有必要為個人信息處理所涉其他行為設定合規要求，則有待監管規則的持續完善。即便在細則性的實操規范欠缺的情況下，企業決策者和經營者也應自覺主動地將個人信息保護理念內化為合規經營的具體行動。同時，保持對外部法律政策環境的高度敏感性，以更嚴格的內部控制管理作為外部合規的內在驅動并進行動態調整，制定高于和嚴于國家標準的內部審計標準，必將大大降低其合規風險。

參考文獻：

[1] 阿倫斯等著.審計學——一種整合方法：第14版[M].謝盛紋，譯.北京：中國人民大學出版社，2012：5.

[2] 敬力嘉.個人信息保護合規的體系構建[J].法學研究，2022，44（4）：152-167.

[3] 中國互聯網絡信息中心（CNNIC）.中國互聯網絡發展狀況統計報告[EB/OL].[2023-08-28].https：//www.cnnic.net.cn/n4/2023/0828/c88-10829.html.

[4] 蔡玉，李毅.大數據信息技術對審計質量影響[J].湖北經濟學院學報（人文社會科學版），2023，20（9）：67-70.

[5] 李春節，徐榮華，葛紹豐.合規型內部審計：精準發現違規行為，實時化解合規風險[M].北京：人民郵電出版社，2022：107.