個(gè)人信息保護(hù)合規(guī)審計(jì)探究

趙翰雋，殷 楠（副教授）

2021 年8 月我國(guó)出臺(tái)的《個(gè)人信息保護(hù)法》首次在法律層面提出了個(gè)人信息保護(hù)合規(guī)審計(jì)的要求，包括信息處理者定期自行安排合規(guī)審計(jì)，按照監(jiān)管部門(mén)要求委托專(zhuān)業(yè)機(jī)構(gòu)進(jìn)行合規(guī)審計(jì)。2023 年8 月，國(guó)家互聯(lián)網(wǎng)信息辦公室進(jìn)一步發(fā)布了《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法（征求意見(jiàn)稿）》及配套的《個(gè)人信息保護(hù)合規(guī)審計(jì)參考要點(diǎn)》。但是，個(gè)人信息保護(hù)合規(guī)審計(jì)制度尚處于初步建立階段，相關(guān)工作尚處于探索實(shí)踐中。為此，需要進(jìn)一步分析個(gè)人信息保護(hù)合規(guī)審計(jì)制度建構(gòu)運(yùn)作的底層法理邏輯以及應(yīng)遵循的重要原則，進(jìn)一步明確、完善合規(guī)審計(jì)的規(guī)則體系和技術(shù)方法等。

一、個(gè)人信息保護(hù)合規(guī)審計(jì)制度的形成及底層法理邏輯

（一）個(gè)人信息保護(hù)合規(guī)審計(jì)制度的形成

個(gè)人信息保護(hù)合規(guī)審計(jì)制度是數(shù)字時(shí)代的產(chǎn)物，是在數(shù)字社會(huì)及數(shù)字經(jīng)濟(jì)的發(fā)展中逐步形成的。1996 年，國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA）發(fā)布《信息及相關(guān)技術(shù)控制目標(biāo)標(biāo)準(zhǔn)》（COBIT標(biāo)準(zhǔn)，2019年）。該標(biāo)準(zhǔn)圍繞著信息系統(tǒng)的開(kāi)發(fā)運(yùn)用制定了四十多項(xiàng)規(guī)制目標(biāo)，并提出相應(yīng)的審計(jì)要求與方法。目前，該標(biāo)準(zhǔn)已成為關(guān)于信息系統(tǒng)審計(jì)的通用標(biāo)準(zhǔn)。其中，“系統(tǒng)安全”與“數(shù)據(jù)管理”控制目標(biāo)及審計(jì)要求涉及信息保護(hù)問(wèn)題。2002年，美國(guó)國(guó)家審計(jì)署發(fā)布了《聯(lián)邦信息系統(tǒng)控制審計(jì)手冊(cè)》（2009年修訂），該手冊(cè)主要適用于聯(lián)邦和其他政府實(shí)體的信息系統(tǒng)審計(jì)。2018 年5 月25 日，歐盟《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，GDPR）正式生效。在該條例的約束要求下，英、法、德等歐盟國(guó)家開(kāi)始制定和實(shí)施本國(guó)的數(shù)據(jù)保護(hù)審計(jì)制度。英國(guó)的數(shù)據(jù)保護(hù)審計(jì)以自愿審計(jì)為主、強(qiáng)制審計(jì)為輔。其中，信息專(zhuān)員辦公室開(kāi)展的審計(jì)是一種基于監(jiān)管層面的強(qiáng)制審計(jì)。2020 年9月，法國(guó)數(shù)據(jù)保護(hù)局（CNIL）發(fā)布《CNIL審計(jì)程序指南》，闡述了數(shù)據(jù)保護(hù)合規(guī)審計(jì)的權(quán)利與義務(wù)及各種具體問(wèn)題（賈丹等，2022）。這些新的審計(jì)制度有著各自特定的宗旨目標(biāo)和關(guān)注重點(diǎn)，如信息系統(tǒng)審計(jì)、數(shù)據(jù)保護(hù)審計(jì)主要關(guān)注解決的是安全性、可靠性及風(fēng)險(xiǎn)防控問(wèn)題，并非個(gè)人信息保護(hù)問(wèn)題。但是，這些新的審計(jì)制度顯然與個(gè)人信息保護(hù)問(wèn)題緊密相關(guān)，個(gè)人信息保護(hù)上的諸多要求也包含在這些新的審計(jì)制度所關(guān)注的問(wèn)題中，這就為個(gè)人信息保護(hù)合規(guī)審計(jì)制度的形成發(fā)展奠定了基礎(chǔ)和關(guān)聯(lián)支撐。

從全球算法治理的實(shí)踐來(lái)看，其為個(gè)人信息保護(hù)合規(guī)審計(jì)制度的形成發(fā)展提供了重要的技術(shù)內(nèi)核與經(jīng)驗(yàn)支持。目前，一些大型互聯(lián)網(wǎng)企業(yè)正在進(jìn)一步研發(fā)關(guān)于算法內(nèi)部審計(jì)的制度框架和技術(shù)工具。例如，Google 專(zhuān)門(mén)研發(fā)設(shè)計(jì)了“SMACTR”的算法內(nèi)部審計(jì)框架，將內(nèi)部審計(jì)工作劃分為五個(gè)相互銜接的階段性框架。Meta、IBM、Google 分別開(kāi)發(fā)了Fairness Flow、AI 360 Toolkit、Model Card Toolkit 等技術(shù)工具，用以檢測(cè)、報(bào)告、減輕算法設(shè)計(jì)運(yùn)用中可能存在的歧視等問(wèn)題。在算法內(nèi)部審計(jì)之外，監(jiān)管機(jī)構(gòu)也正在逐步推進(jìn)開(kāi)展對(duì)算法的監(jiān)管審計(jì)。一種是關(guān)于算法合規(guī)問(wèn)題的個(gè)案審計(jì)。例如：英國(guó)信息專(zhuān)員辦公室對(duì)Clearview AI 違法處理個(gè)人數(shù)據(jù)尤其是生物特征數(shù)據(jù)的行為開(kāi)展監(jiān)管審計(jì)；針對(duì)Everalbum公司擅自使用用戶(hù)照片及面部信息訓(xùn)練算法的行為，美國(guó)聯(lián)邦貿(mào)易委員會(huì)開(kāi)展專(zhuān)項(xiàng)審計(jì)調(diào)查。另一種是圍繞算法的公平性、透明度、安全性等一般性問(wèn)題進(jìn)行風(fēng)險(xiǎn)評(píng)估審計(jì)（張欣和宋雨鑫，2022）。顯然，個(gè)人信息保護(hù)上的許多問(wèn)題往往來(lái)自于信息處理者所設(shè)計(jì)和運(yùn)用的算法，算法審計(jì)的制度與實(shí)踐將為個(gè)人信息保護(hù)合規(guī)審計(jì)制度的建構(gòu)運(yùn)作提供關(guān)鍵的技術(shù)內(nèi)核與經(jīng)驗(yàn)支持。

在信息系統(tǒng)審計(jì)、數(shù)據(jù)保護(hù)審計(jì)、算法審計(jì)等高度相關(guān)的審計(jì)制度被各國(guó)陸續(xù)建立和廣泛實(shí)踐的背景環(huán)境下，隨著個(gè)人信息權(quán)益保護(hù)的法律觀念與規(guī)則不斷強(qiáng)化，個(gè)人信息保護(hù)合規(guī)審計(jì)制度的形成發(fā)展也就成為一種必然。2020 年國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)制定發(fā)布的《信息安全技術(shù) 個(gè)人信息安全規(guī)范》中，第11.7 條對(duì)個(gè)人信息控制者提出了開(kāi)展個(gè)人信息安全審計(jì)的要求。雖然該國(guó)家標(biāo)準(zhǔn)并沒(méi)有直接提出個(gè)人信息保護(hù)的合規(guī)審計(jì)要求，但在安全審計(jì)的要求下，已經(jīng)涉及個(gè)人信息保護(hù)合規(guī)審計(jì)的實(shí)質(zhì)要素。2021年8月通過(guò)的《個(gè)人信息保護(hù)法》首次在法律層面提出了個(gè)人信息保護(hù)合規(guī)審計(jì)的要求。該法第五十四條規(guī)定，個(gè)人信息處理者承擔(dān)定期進(jìn)行合規(guī)審計(jì)的法定義務(wù)；第六十四條規(guī)定，監(jiān)管部門(mén)根據(jù)發(fā)現(xiàn)的問(wèn)題，可強(qiáng)制要求信息處理者委托專(zhuān)業(yè)機(jī)構(gòu)對(duì)其進(jìn)行合規(guī)審計(jì)。2021年11月，國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布了《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見(jiàn)稿）》，該征求意見(jiàn)稿第五十三條規(guī)定，大型互聯(lián)網(wǎng)平臺(tái)應(yīng)當(dāng)委托外部機(jī)構(gòu)對(duì)平臺(tái)數(shù)據(jù)安全、個(gè)人信息保護(hù)等情況進(jìn)行合規(guī)審計(jì)；第五十八條規(guī)定，國(guó)家應(yīng)建立數(shù)據(jù)安全審計(jì)制度。可見(jiàn)，數(shù)據(jù)處理者應(yīng)承擔(dān)委托數(shù)據(jù)安全審計(jì)專(zhuān)業(yè)機(jī)構(gòu)進(jìn)行定期合規(guī)審計(jì)的義務(wù)，主管、監(jiān)管部門(mén)應(yīng)組織開(kāi)展監(jiān)管審計(jì)工作。顯然，這是從數(shù)據(jù)安全的角度對(duì)個(gè)人信息保護(hù)提出的合規(guī)審計(jì)要求。2021年12月，國(guó)家互聯(lián)網(wǎng)信息辦公室等四個(gè)部門(mén)聯(lián)合發(fā)布了《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定》，專(zhuān)門(mén)就算法推薦服務(wù)提出了合規(guī)要求。這就從算法推薦服務(wù)層面對(duì)個(gè)人信息保護(hù)進(jìn)一步提出了特定的合規(guī)要求。2023 年8 月，國(guó)家互聯(lián)網(wǎng)信息辦公室進(jìn)一步發(fā)布了《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法（征求意見(jiàn)稿）》及配套的《個(gè)人信息保護(hù)合規(guī)審計(jì)參考要點(diǎn)》。根據(jù)該征求意見(jiàn)稿的規(guī)定，處理超過(guò)100萬(wàn)個(gè)人信息的信息處理者，每年至少應(yīng)實(shí)施一次合規(guī)審計(jì)；其他情形下每?jī)赡曛辽賾?yīng)實(shí)施一次合規(guī)審計(jì)。這兩份文件全面細(xì)化了個(gè)人信息保護(hù)合規(guī)審計(jì)制度。總體而言，目前，以《個(gè)人信息保護(hù)法》所設(shè)定的合規(guī)審計(jì)這一法定要求為中心，以各種相關(guān)的規(guī)章和規(guī)范性文件為關(guān)聯(lián)支撐并細(xì)化展開(kāi)，正在逐步形成關(guān)于個(gè)人信息保護(hù)合規(guī)審計(jì)的綜合全面、立體多維的規(guī)則體系。

（二）建構(gòu)個(gè)人信息保護(hù)合規(guī)審計(jì)制度的多重底層法理邏輯

1.審計(jì)制度及其功能作用適應(yīng)時(shí)代延伸擴(kuò)展的發(fā)展邏輯。實(shí)際上，個(gè)人信息權(quán)益保護(hù)問(wèn)題并不是一個(gè)傳統(tǒng)意義上的審計(jì)問(wèn)題。根據(jù)美國(guó)會(huì)計(jì)師學(xué)會(huì)審計(jì)基本概念委員會(huì)在1972 年發(fā)布的《基本審計(jì)概念說(shuō)明》，審計(jì)是客觀收集、評(píng)價(jià)有關(guān)經(jīng)濟(jì)活動(dòng)和事項(xiàng)的證據(jù)，并確定其與已有標(biāo)準(zhǔn)的相符性的系統(tǒng)過(guò)程。在國(guó)內(nèi)理論和立法上，審計(jì)一般是指對(duì)被審計(jì)單位的財(cái)政、財(cái)務(wù)收支及有關(guān)經(jīng)濟(jì)活動(dòng)的真實(shí)、合法、效益進(jìn)行審查監(jiān)督。有研究將國(guó)家審計(jì)定義為，對(duì)受托管理和使用公共資源的責(zé)任履行情況進(jìn)行的獨(dú)立監(jiān)督活動(dòng)（劉力云等，2021）。“審計(jì)”這一特殊的概念術(shù)語(yǔ)表明，審計(jì)制度的核心領(lǐng)域與對(duì)象內(nèi)容是宏觀和微觀的各種經(jīng)濟(jì)運(yùn)行及其審查監(jiān)督問(wèn)題，其實(shí)質(zhì)是監(jiān)督、鑒證、評(píng)價(jià)公共受托責(zé)任的履行情況。顯然，個(gè)人信息保護(hù)合規(guī)問(wèn)題的核心是，分析判斷個(gè)人信息權(quán)益保護(hù)的狀況與效果，它應(yīng)當(dāng)主要屬于行政執(zhí)法監(jiān)管和司法層面上的調(diào)查及裁量判定問(wèn)題，而不屬于傳統(tǒng)審計(jì)的問(wèn)題領(lǐng)域與對(duì)象范圍。

但是，作為一種重要而獨(dú)特的監(jiān)督治理手段①，審計(jì)制度的領(lǐng)域范圍不是僵化不變的，而是會(huì)隨著時(shí)代的發(fā)展要求而不斷變化拓展。例如，2018年8月，審計(jì)署發(fā)布《關(guān)于進(jìn)一步加強(qiáng)減稅降費(fèi)政策措施落實(shí)情況審計(jì)監(jiān)督的意見(jiàn)》，要求對(duì)稅收經(jīng)濟(jì)政策的遵從合規(guī)情況進(jìn)行審計(jì)監(jiān)督。2018 年12 月，審計(jì)署發(fā)布《關(guān)于加強(qiáng)信息系統(tǒng)審計(jì)工作指導(dǎo)意見(jiàn)》，要求對(duì)信息系統(tǒng)的安全性、可靠性和經(jīng)濟(jì)性進(jìn)行監(jiān)督檢查，推動(dòng)完善相關(guān)制度，促進(jìn)提高資金使用績(jī)效，保障信息系統(tǒng)安全、可靠和高效運(yùn)行。2019 年《關(guān)于實(shí)行審計(jì)全覆蓋的實(shí)施意見(jiàn)》等政策出臺(tái)后，自然資源的開(kāi)發(fā)利用與環(huán)境保護(hù)進(jìn)一步成為審計(jì)制度的新領(lǐng)域。2023 年5 月23 日，習(xí)近平總書(shū)記在二十屆中央審計(jì)委員會(huì)第一次會(huì)議上發(fā)表講話(huà)時(shí)指出，要加大關(guān)于穩(wěn)經(jīng)濟(jì)、金融支持實(shí)體經(jīng)濟(jì)等宏觀政策的落實(shí)情況的審計(jì)力度。上述變化表明，在對(duì)經(jīng)濟(jì)活動(dòng)本身進(jìn)行審計(jì)監(jiān)督外，審計(jì)制度進(jìn)一步拓展到與經(jīng)濟(jì)活動(dòng)及公共受托責(zé)任相關(guān)的各種問(wèn)題領(lǐng)域，如經(jīng)濟(jì)政策的遵從落實(shí)問(wèn)題。在數(shù)字及人工智能化時(shí)代，審計(jì)制度進(jìn)一步延伸拓展到個(gè)人信息保護(hù)合規(guī)領(lǐng)域是時(shí)代發(fā)展的需要，個(gè)人信息保護(hù)合規(guī)審計(jì)旨在鑒證個(gè)人信息處理行為是否符合既定標(biāo)準(zhǔn)，是合規(guī)審計(jì)覆蓋范圍與功能作用的進(jìn)一步延伸和擴(kuò)張（陳智敏，2022）。個(gè)人信息保護(hù)合規(guī)審計(jì)能夠有效彌補(bǔ)監(jiān)管部門(mén)的資源緊張，是信息保護(hù)合規(guī)監(jiān)管的有效補(bǔ)充（王俊等，2023）。本文認(rèn)為，合規(guī)審計(jì)不僅為個(gè)人信息保護(hù)的合規(guī)監(jiān)管與治理提供了有效抓手與支撐，而且其本身也構(gòu)成了信息保護(hù)合規(guī)監(jiān)管與治理的重要內(nèi)容與功能模塊。目前，個(gè)人信息保護(hù)合規(guī)審計(jì)已經(jīng)成為國(guó)際通行的做法，在數(shù)字中國(guó)建設(shè)的大背景下，開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)具有重要的實(shí)踐意義（高歌，2023）。為此，應(yīng)充分遵循和運(yùn)用合規(guī)審計(jì)制度特有的分析審查視角、功能邏輯、運(yùn)作路徑、技術(shù)方法，著眼于個(gè)人信息保護(hù)的風(fēng)險(xiǎn)識(shí)別與合規(guī)治理體系建設(shè)和能力提升等綜合目標(biāo)，逐步創(chuàng)新建構(gòu)和運(yùn)作個(gè)人信息保護(hù)合規(guī)審計(jì)的各種制度和相關(guān)方法。

2.確保數(shù)據(jù)資源合理利用及數(shù)字經(jīng)濟(jì)健康發(fā)展的底層邏輯。在繼勞動(dòng)力、土地、資本、技術(shù)等基本的生產(chǎn)要素之后，數(shù)據(jù)資源已成為數(shù)字經(jīng)濟(jì)時(shí)代最重要的新的生產(chǎn)要素，也是中國(guó)經(jīng)濟(jì)在新時(shí)代高質(zhì)量發(fā)展的重要驅(qū)動(dòng)要素。2022年12月，中共中央、國(guó)務(wù)院發(fā)布《關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見(jiàn)》（簡(jiǎn)稱(chēng)《意見(jiàn)》）。在建立數(shù)據(jù)要素的流通、交易及治理制度方面，《意見(jiàn)》要求培育合規(guī)認(rèn)證、安全審計(jì)、數(shù)據(jù)公證等第三方專(zhuān)業(yè)服務(wù)機(jī)構(gòu)；建立數(shù)據(jù)要素生產(chǎn)流通使用全過(guò)程的合規(guī)公證、安全審查、算法審查、監(jiān)測(cè)預(yù)警等制度，指導(dǎo)各方履行數(shù)據(jù)要素流通安全責(zé)任和義務(wù)。顯然，為充分保障和發(fā)揮數(shù)據(jù)要素資源的作用，《意見(jiàn)》要求建立安全審查、合規(guī)監(jiān)管等重要基礎(chǔ)制度。由于個(gè)人信息是數(shù)據(jù)資源的重要來(lái)源和形成基礎(chǔ)，因此，如何充分保護(hù)個(gè)人信息權(quán)益，確保公平合理、合法有序地搜集處理、開(kāi)發(fā)利用個(gè)人信息數(shù)據(jù)關(guān)系到數(shù)據(jù)資源可持續(xù)的合理開(kāi)發(fā)利用，進(jìn)而關(guān)系到數(shù)字經(jīng)濟(jì)的可持續(xù)發(fā)展。對(duì)個(gè)人信息的適度收集和合理利用是數(shù)字經(jīng)濟(jì)發(fā)展的邏輯前提。在我國(guó)，個(gè)人信息保護(hù)有助于保障我國(guó)數(shù)據(jù)要素市場(chǎng)的規(guī)范基礎(chǔ)及其健康發(fā)展。從全球經(jīng)濟(jì)的競(jìng)爭(zhēng)發(fā)展來(lái)看，涉及個(gè)人信息的數(shù)據(jù)開(kāi)發(fā)利用日益成為全球數(shù)字經(jīng)濟(jì)競(jìng)爭(zhēng)發(fā)展的原動(dòng)力，個(gè)人信息保護(hù)將為我國(guó)參與全球數(shù)字經(jīng)濟(jì)競(jìng)爭(zhēng)發(fā)展提供有效保障（黃哲瑞和徐來(lái)鳳，2023）。因此，一方面，從宏觀經(jīng)濟(jì)層面看，個(gè)人信息保護(hù)不再僅僅只是私人權(quán)益保護(hù)的問(wèn)題，而是事關(guān)社會(huì)經(jīng)濟(jì)健康運(yùn)行、和諧發(fā)展的重要問(wèn)題之一；另一方面，從微觀經(jīng)濟(jì)層面看，個(gè)人信息保護(hù)是數(shù)字經(jīng)濟(jì)時(shí)代企業(yè)參與市場(chǎng)經(jīng)濟(jì)活動(dòng)，在經(jīng)營(yíng)發(fā)展上“行穩(wěn)致遠(yuǎn)”的重要要求和保障。作為評(píng)價(jià)、監(jiān)督經(jīng)濟(jì)生活運(yùn)行與微觀經(jīng)濟(jì)活動(dòng)的專(zhuān)門(mén)機(jī)制和工具方法，審計(jì)自然可以也應(yīng)當(dāng)介入個(gè)人信息保護(hù)領(lǐng)域，并通過(guò)其功能的拓展與創(chuàng)新充分發(fā)揮其在新領(lǐng)域的評(píng)價(jià)和監(jiān)督作用。

二、合規(guī)審計(jì)的“裁量判斷”強(qiáng)屬性及應(yīng)遵循原則

（一）信息保護(hù)規(guī)則的抽象性及合規(guī)解釋裁量的強(qiáng)屬性

對(duì)個(gè)人信息保護(hù)進(jìn)行合規(guī)審計(jì)需要以明確、具體的信息保護(hù)義務(wù)、行為標(biāo)準(zhǔn)等為基礎(chǔ)依據(jù)和參照，但是，面對(duì)不斷更新變化的算法技術(shù)和數(shù)據(jù)信息開(kāi)發(fā)利用的復(fù)雜多樣的市場(chǎng)需求與活動(dòng)，個(gè)人信息保護(hù)的各種義務(wù)規(guī)則往往只能是一種高度概括性的抽象規(guī)定，即便在某些方面也可能形成較為具體的行為義務(wù)規(guī)則或標(biāo)準(zhǔn)，但仍然可能不足以適應(yīng)各種具體情況。這就需要審計(jì)人員根據(jù)具體的個(gè)案情況，對(duì)概括抽象的個(gè)人信息保護(hù)規(guī)則做出精準(zhǔn)、恰當(dāng)?shù)木唧w解釋。這就意味著，與關(guān)于財(cái)務(wù)收支、經(jīng)濟(jì)績(jī)效等問(wèn)題的審計(jì)監(jiān)督不同，個(gè)人信息保護(hù)的合規(guī)審計(jì)具有強(qiáng)烈的規(guī)則解釋適用上的“裁量判斷”屬性。鑒于規(guī)則解釋適用上所固有的復(fù)雜性、靈活性、多元性、開(kāi)放性等，合規(guī)審計(jì)上的“裁量判斷”將面臨明顯的障礙與困難。為此，筆者結(jié)合個(gè)人信息保護(hù)的相關(guān)規(guī)則做適當(dāng)舉例分析。

1.對(duì)各種情形下的“必需”條件的衡量判斷。根據(jù)《個(gè)人信息保護(hù)法》第十三條，屬于該條第一款第（二）項(xiàng)至第（七）項(xiàng)所規(guī)定情形的，處理、利用個(gè)人信息不需取得個(gè)人同意。如第一款第（二）項(xiàng)所規(guī)定的“為訂立、履行合同所必需”；第一款第（三）項(xiàng)所規(guī)定的“為履行法定職責(zé)、義務(wù)所必需”；第一款第（四）項(xiàng)所規(guī)定的“為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件等所必需”等。但是，如何判斷上述各種情形下的“必需”，法律并未明確規(guī)定，在合規(guī)審計(jì)時(shí)如何做出準(zhǔn)確、恰當(dāng)?shù)牟昧颗袛嗑捅厝幻媾R著困難與不確定性。

2.對(duì)“有效的告知”的衡量判斷。《個(gè)人信息保護(hù)法》確立了以“告知—同意”為核心的個(gè)人信息保護(hù)的合規(guī)原則，《個(gè)人信息保護(hù)法》第十七條規(guī)定對(duì)“有效的告知”提出了具體要求。2023 年發(fā)布的《個(gè)人信息保護(hù)合規(guī)審計(jì)參考要點(diǎn)》對(duì)“有效的告知”提出的進(jìn)一步要求是，告知文本的大小、字體和顏色應(yīng)便于個(gè)人閱讀認(rèn)知等。即便如此，這些似乎較為具體的各種要求仍然需要進(jìn)一步的解釋明確，如是否達(dá)到“顯著、真實(shí)、準(zhǔn)確、完整”這些要求，是否已經(jīng)構(gòu)成“有效的告知”，仍然需要合規(guī)審計(jì)人員在個(gè)案中做出具體的裁量判斷。

3.對(duì)“敏感個(gè)人信息”的衡量判斷。《個(gè)人信息保護(hù)法》通過(guò)設(shè)置第二節(jié)共五個(gè)條款，對(duì)“敏感個(gè)人信息”的處理提出了特殊規(guī)制要求。其中，第二十八條第一款采用“概括+列舉”模式界定了何謂“敏感個(gè)人信息”，該類(lèi)信息首先被抽象概括地界定為“一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息”，然后，具體列舉了七類(lèi)典型的敏感個(gè)人信息。但是，王苑（2022）指出，這樣的界定可能帶來(lái)如下的不確定性：（1）法律評(píng)價(jià)標(biāo)準(zhǔn)具有模糊性；（2）未來(lái)會(huì)出現(xiàn)的新的敏感個(gè)人信息不在具體列舉的范圍；（3）判斷標(biāo)準(zhǔn)的多維性導(dǎo)致分析確定的困難。對(duì)此，應(yīng)通過(guò)綜合考量五個(gè)方面的要素，動(dòng)態(tài)界定敏感個(gè)人信息。因此，如何區(qū)分“敏感個(gè)人信息”與“非敏感個(gè)人信息”，需要合規(guī)審計(jì)人員根據(jù)具體的個(gè)案情況做出動(dòng)態(tài)的解釋裁量判斷。

4.對(duì)“特定的互聯(lián)網(wǎng)平臺(tái)”的衡量判斷。《個(gè)人信息保護(hù)法》第五十八條提出了“守門(mén)人”條款，對(duì)符合特定條件的互聯(lián)網(wǎng)平臺(tái)施加了特別的信息保護(hù)義務(wù)。但是，有學(xué)者分析指出，“守門(mén)人”條款的規(guī)定過(guò)于簡(jiǎn)略，該條款究竟如何理解與適用，存在不少問(wèn)題和爭(zhēng)論，需要進(jìn)一步解釋明確。例如，對(duì)于某個(gè)互聯(lián)網(wǎng)平臺(tái)是否屬于“守門(mén)人”，第五十八條提出了“提供重要服務(wù)、用戶(hù)數(shù)量巨大、業(yè)務(wù)類(lèi)型復(fù)雜”這三個(gè)疊加條件。這意味著，確立了“先分類(lèi)、再分級(jí)”的識(shí)別判斷標(biāo)準(zhǔn)。“提供重要服務(wù)”意味著要先對(duì)平臺(tái)服務(wù)進(jìn)行分類(lèi)，“用戶(hù)數(shù)量巨大、業(yè)務(wù)類(lèi)型復(fù)雜”意味著在分類(lèi)的基礎(chǔ)上再根據(jù)這兩個(gè)標(biāo)準(zhǔn)對(duì)平臺(tái)企業(yè)進(jìn)行分級(jí)，最終識(shí)別確定某互聯(lián)網(wǎng)平臺(tái)是否屬于“守門(mén)人”（周漢華，2022）。然而，對(duì)于這些識(shí)別判斷的環(huán)節(jié)和要求，缺乏明確細(xì)化的解釋、指導(dǎo)。對(duì)此，合規(guī)審計(jì)人員需要根據(jù)用戶(hù)規(guī)模、業(yè)務(wù)類(lèi)型、經(jīng)濟(jì)規(guī)模、信息數(shù)據(jù)的利用程度等在個(gè)案中做出具體的裁量判斷。

（二）合規(guī)裁量判斷應(yīng)遵循的指導(dǎo)原則

為應(yīng)對(duì)解決合規(guī)審計(jì)中“規(guī)則解釋適用”上的障礙與困難，精準(zhǔn)、恰當(dāng)?shù)夭昧颗袛鄠€(gè)人信息保護(hù)合規(guī)狀況及風(fēng)險(xiǎn)問(wèn)題，應(yīng)當(dāng)確立和運(yùn)用各種指導(dǎo)原則。這些原則主要包括：合規(guī)審計(jì)裁量權(quán)的審慎運(yùn)用原則；利益衡量上的比例原則；合規(guī)審計(jì)的裁量基準(zhǔn)原則；體系解釋原則；審計(jì)獨(dú)立下的溝通及共識(shí)解釋原則。本文僅就其中的兩個(gè)原則做進(jìn)一步的分析闡述。

1.利益衡量上的比例原則。在個(gè)人信息的收集處理及加工利用活動(dòng)中，個(gè)人的信息權(quán)益保護(hù)實(shí)際上是一個(gè)各方利益協(xié)調(diào)平衡的問(wèn)題。就信息處理者而言，它們包括立法機(jī)關(guān)、司法機(jī)關(guān)、政府部門(mén)、企業(yè)以及其他社會(huì)組織等。國(guó)家機(jī)關(guān)、政府部門(mén)在收集處理及加工利用個(gè)人信息時(shí)，行使的是公權(quán)力，代表和體現(xiàn)了國(guó)家利益、社會(huì)利益；而企業(yè)和其他社會(huì)組織在收集處理及加工利用個(gè)人信息時(shí)，代表和體現(xiàn)的是企業(yè)和其他社會(huì)組織自身的經(jīng)濟(jì)利益或其他利益。就作為信息來(lái)源的個(gè)人而言，他們對(duì)自身的信息享有充分的身份權(quán)益和經(jīng)濟(jì)權(quán)益。顯然，信息處理者與作為信息來(lái)源的個(gè)人有著各自獨(dú)立的利益歸屬與訴求，雙方的利益有時(shí)是協(xié)調(diào)一致的，有時(shí)則是相互矛盾沖突的。梁燈（2022）分析指出，特別是在企業(yè)作為個(gè)人信息處理者時(shí)，將面臨著個(gè)人信息的價(jià)值挖掘和個(gè)人信息權(quán)益保護(hù)之間的沖突和平衡問(wèn)題，當(dāng)個(gè)人數(shù)據(jù)信息在企業(yè)間流轉(zhuǎn)時(shí)該問(wèn)題最為凸顯。因此，在個(gè)人信息保護(hù)合規(guī)審計(jì)中，對(duì)相關(guān)規(guī)則的解釋適用往往所涉及的是相關(guān)主體的利益得失問(wèn)題，所謂的合規(guī)判斷也就是根據(jù)抽象規(guī)則對(duì)相互矛盾沖突的利益進(jìn)行衡量平衡處理。顯然，如何對(duì)各方利益進(jìn)行合規(guī)裁量上的協(xié)調(diào)平衡，需要形成和運(yùn)用相應(yīng)的指導(dǎo)原則。對(duì)此，本文認(rèn)為，可以參考借鑒行政法上的比例原則，在個(gè)人信息保護(hù)合規(guī)審計(jì)制度中，塑造形成關(guān)于規(guī)則解釋適用的利益衡量比例原則。

比例原則是行政法上的一個(gè)重要原則，它被用于約束規(guī)制行政權(quán)的自由裁量行使，謀求在行政目的、需要與相對(duì)人的利益保護(hù)之間實(shí)現(xiàn)協(xié)調(diào)平衡。其基本要求是，行政主體實(shí)施行政行為應(yīng)兼顧行政目標(biāo)的實(shí)現(xiàn)和保護(hù)相對(duì)人的權(quán)益，如果行政目標(biāo)的實(shí)現(xiàn)可能對(duì)相對(duì)人的權(quán)益造成不利影響，則這種不利影響應(yīng)被限制在盡可能小的范圍和限度之內(nèi)。行政法中的比例原則包含適當(dāng)性、必要性和相稱(chēng)性（均衡性）的多維度內(nèi)涵。適當(dāng)性又稱(chēng)為妥當(dāng)性、妥適性、適合性，是指所采取的措施應(yīng)當(dāng)能夠或至少有助于實(shí)現(xiàn)行政目的。必要性又稱(chēng)為最少侵害性、不可替代性。即在能實(shí)現(xiàn)行政目的的多個(gè)方式中，應(yīng)選擇對(duì)權(quán)利影響或侵害最小的方式。相稱(chēng)性也稱(chēng)為均衡性，即行政措施與其所達(dá)到的目的之間必須成比例或相稱(chēng)。相稱(chēng)性（均衡性）側(cè)重要求的是，無(wú)論是否存在多個(gè)可選擇的措施、方法，行政措施不能過(guò)分地或不適當(dāng)?shù)赜绊憽p害相對(duì)人的合法權(quán)益。筆者認(rèn)為，在個(gè)人信息保護(hù)方面，信息處理者與作為信息來(lái)源的個(gè)人在相互地位關(guān)系及利益結(jié)構(gòu)上非常類(lèi)似于行政機(jī)構(gòu)與相對(duì)人之間的關(guān)系，尤其是信息處理者為國(guó)家立法、司法機(jī)關(guān)、政府部門(mén)時(shí)更是如此。因此，應(yīng)當(dāng)參照行政法上的比例原則，按照對(duì)個(gè)人造成最少最小影響的原則來(lái)解釋適用個(gè)人信息保護(hù)的相關(guān)規(guī)則，以矯正個(gè)人在信息的收集處理及加工利用中的弱勢(shì)地位，充分保護(hù)個(gè)人對(duì)自身的信息所應(yīng)享有的身份權(quán)益和經(jīng)濟(jì)權(quán)益。實(shí)際上，在個(gè)人信息權(quán)益保護(hù)上，利益衡量上的比例原則在立法上已經(jīng)有所體現(xiàn)。例如，《個(gè)人信息保護(hù)法》第六條規(guī)定，處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對(duì)個(gè)人權(quán)益影響最小的方式。收集個(gè)人信息時(shí)應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍，不得過(guò)度收集個(gè)人信息。顯然，該條所提出的要求已經(jīng)基本上體現(xiàn)了比例原則所包含的適當(dāng)性、必要性和相稱(chēng)性（均衡性）要求。

需要指出的是，一般而言，根據(jù)合規(guī)裁量上的比例原則，應(yīng)采取對(duì)個(gè)人造成最少、最小影響的方式來(lái)解釋適用個(gè)人信息保護(hù)的相關(guān)規(guī)則，但是這不是絕對(duì)的。當(dāng)信息處理者投入大量的資金等成本對(duì)個(gè)人信息進(jìn)行深入加工并已經(jīng)形成穩(wěn)定的、明確的商業(yè)利益時(shí)，信息處理者將獲得一種獨(dú)立于個(gè)人權(quán)益的“既得權(quán)益”。2023年12月財(cái)政部制定發(fā)布的《關(guān)于加強(qiáng)數(shù)據(jù)資產(chǎn)管理的指導(dǎo)意見(jiàn)》明確規(guī)定了數(shù)據(jù)開(kāi)發(fā)利用者基于其投入付出及再創(chuàng)造應(yīng)享有的獨(dú)立的受益權(quán)②。此時(shí)，就不能簡(jiǎn)單按照對(duì)個(gè)人造成最少、最小影響的方式來(lái)解釋適用合規(guī)裁量上的比例原則，而應(yīng)當(dāng)以兼顧平衡的方式來(lái)運(yùn)用比例原則。例如，《個(gè)人信息保護(hù)法》第十五條規(guī)定，基于個(gè)人同意處理個(gè)人信息的，個(gè)人有權(quán)撤回其同意。個(gè)人信息處理者應(yīng)當(dāng)提供便捷的撤回同意的方式。個(gè)人撤回同意，不影響撤回前基于個(gè)人同意已進(jìn)行的個(gè)人信息處理活動(dòng)的效力。顯然，如果信息處理者已經(jīng)投入成本加工處理個(gè)人信息的，或者進(jìn)一步將其予以商業(yè)共享或轉(zhuǎn)讓的，無(wú)條件地允許個(gè)人撤回同意則可能損害信息處理者的商業(yè)利益。對(duì)此，僅僅確認(rèn)“撤回前基于個(gè)人同意已進(jìn)行的個(gè)人信息處理活動(dòng)的效力”是不夠的，應(yīng)當(dāng)根據(jù)比例原則中的“兼顧既得商業(yè)權(quán)益”的要求，充分考量撤回同意的必要性，以利益平衡的方式分析評(píng)估撤回同意的合規(guī)性問(wèn)題。

2.審計(jì)獨(dú)立下的溝通及共識(shí)解釋原則。鑒于個(gè)人信息保護(hù)規(guī)則具有高度概括抽象性，審計(jì)機(jī)構(gòu)和人員需要對(duì)相關(guān)規(guī)則進(jìn)行解釋?zhuān)@就會(huì)造成各方對(duì)同一規(guī)則的不同理解和判斷。對(duì)此，審計(jì)機(jī)構(gòu)和人員可以與被審計(jì)企業(yè)及監(jiān)管部門(mén)等進(jìn)行溝通形成共識(shí)理解。但是，有研究認(rèn)為這可能會(huì)導(dǎo)致審計(jì)獨(dú)立性及權(quán)威受損。例如，由被審計(jì)單位委托進(jìn)行合規(guī)審計(jì)時(shí)，受托審計(jì)機(jī)構(gòu)在溝通交流中容易受委托方的影響，從而對(duì)信息保護(hù)規(guī)則做出有利于委托方商業(yè)模式的解釋和定性判斷。在監(jiān)管部門(mén)所要求啟動(dòng)的審計(jì)中，外部審計(jì)機(jī)構(gòu)往往需要與監(jiān)管機(jī)構(gòu)進(jìn)行溝通交流，從而會(huì)受到監(jiān)管機(jī)構(gòu)立場(chǎng)的影響，做出不利于被審計(jì)方的分析評(píng)價(jià)（梁燈，2022）。

筆者認(rèn)為，鑒于個(gè)人信息保護(hù)規(guī)則的高度概括抽象性以及個(gè)人信息開(kāi)發(fā)利用的復(fù)雜多樣性，在合規(guī)審計(jì)中尋求溝通并形成共識(shí)解釋將是一種常態(tài)現(xiàn)象，尋求溝通形成深入、準(zhǔn)確的了解判斷也是審計(jì)工作中的常規(guī)做法。現(xiàn)有的一些審計(jì)準(zhǔn)則也有進(jìn)行溝通形成共識(shí)的要求，如2013 年中國(guó)內(nèi)部審計(jì)協(xié)會(huì)制定發(fā)布的《第2105 號(hào)內(nèi)部審計(jì)具體準(zhǔn)則——結(jié)果溝通》。同時(shí)，尋求溝通并形成共識(shí)解釋并不必然損害合規(guī)審計(jì)的獨(dú)立性和權(quán)威性，或者說(shuō)，尋求溝通并形成共識(shí)解釋并不是合規(guī)審計(jì)的獨(dú)立性和權(quán)威性受影響的真正原因。在尋求溝通并形成共識(shí)解釋中，合規(guī)審計(jì)不能維持其獨(dú)立性和權(quán)威性的重要原因在于，審計(jì)人員缺乏對(duì)相關(guān)規(guī)則的深入理解把握，沒(méi)有形成堅(jiān)實(shí)的合規(guī)審計(jì)上的衡量判斷能力。在個(gè)人信息保護(hù)的合規(guī)審計(jì)中，面對(duì)相關(guān)規(guī)則的概括抽象性及解釋適用，尋求溝通并形成共識(shí)解釋將有助于審計(jì)人員更加全面深入地理解規(guī)則的內(nèi)涵及被審計(jì)的具體情況，并形成高質(zhì)量的合規(guī)審計(jì)結(jié)論。因此，在不斷提升審計(jì)人員的規(guī)則解釋及衡量判斷能力的基礎(chǔ)上，將能夠也應(yīng)該確立審計(jì)獨(dú)立下的溝通及共識(shí)解釋原則。

三、個(gè)人信息保護(hù)合規(guī)審計(jì)的框架及方法的建構(gòu)運(yùn)作

個(gè)人信息保護(hù)的合規(guī)審計(jì)應(yīng)當(dāng)立足于“調(diào)查分析”“監(jiān)督問(wèn)責(zé)”“風(fēng)險(xiǎn)防控”“督促整改”等專(zhuān)門(mén)視角與特有功能，逐步建立完善相關(guān)的審計(jì)框架、功能模塊、指標(biāo)體系、技術(shù)方法等，以形成一個(gè)綜合全面、立體多維、契合緊密、功能卓越的合規(guī)審計(jì)制度與機(jī)制。本文就其中的若干方面進(jìn)行適當(dāng)?shù)奶剿鞣治觥?/p>

（一）確立定性與定量分析相結(jié)合的框架方法

個(gè)人信息保護(hù)合規(guī)審計(jì)的定性分析是一種符合性評(píng)價(jià)，即對(duì)處理個(gè)人信息的行為和活動(dòng)是否符合法律規(guī)定做出肯定性或否定性的審計(jì)評(píng)價(jià)。這是個(gè)人信息保護(hù)合規(guī)審計(jì)的基本內(nèi)容和結(jié)論要求。在此基礎(chǔ)上，個(gè)人信息保護(hù)合規(guī)審計(jì)還應(yīng)進(jìn)行定量分析，即對(duì)個(gè)人信息處理的行為和活動(dòng)偏離法律規(guī)則的程度進(jìn)行量化界定，并建立和運(yùn)用量化評(píng)估的賦值指標(biāo)體系。對(duì)行為的偏差度的量化分析具有重要的價(jià)值和作用。“合規(guī)偏差度”的量化分析評(píng)價(jià)可以精確、具體地揭示個(gè)人信息處理及利用的合規(guī)狀況，進(jìn)一步確定各種偏差所造成的不同危害及應(yīng)采取的糾正措施，進(jìn)一步分析判斷不同的偏差樣態(tài)造成的危害風(fēng)險(xiǎn)并進(jìn)行預(yù)警。進(jìn)而言之，“合規(guī)偏差度”的量化分析評(píng)價(jià)有助于開(kāi)展“審計(jì)容錯(cuò)糾錯(cuò)”的實(shí)踐。對(duì)于個(gè)人信息保護(hù)合規(guī)審計(jì)而言，“合規(guī)偏差度”下的“審計(jì)容錯(cuò)糾錯(cuò)”將解決兩個(gè)維度的問(wèn)題。一是關(guān)于個(gè)人信息保護(hù)的規(guī)則尤其是較低層級(jí)的具體規(guī)則存在著錯(cuò)誤、不當(dāng)、不合理之處，或者過(guò)于僵化、教條，對(duì)此，需要運(yùn)用“合規(guī)偏差度”的量化分析評(píng)價(jià)，通過(guò)“審計(jì)容錯(cuò)糾錯(cuò)”的方式予以解決。二是關(guān)于個(gè)人信息保護(hù)的規(guī)則存在著滯后性，不能充分適應(yīng)信息開(kāi)發(fā)利用和信息保護(hù)中的各種新情況與新問(wèn)題，對(duì)此，需要運(yùn)用“合規(guī)偏差度”的量化分析評(píng)價(jià)，通過(guò)“審計(jì)容錯(cuò)糾錯(cuò)”的方式予以解決。當(dāng)然，在審計(jì)容錯(cuò)糾錯(cuò)中，對(duì)于觸及法律法規(guī)底線的問(wèn)題，絕不能以容錯(cuò)糾錯(cuò)之名予以放縱（項(xiàng)健，2021）。

（二）建立模塊化的審計(jì)框架與指標(biāo)體系

模塊化的審計(jì)框架是指根據(jù)多樣化的審計(jì)目標(biāo)設(shè)置不同的審計(jì)模塊單元。在模塊單元下，可以進(jìn)一步細(xì)化具體的審計(jì)事項(xiàng)與指標(biāo)等。例如，就算法審計(jì)這個(gè)特定目標(biāo)而言，可將審計(jì)框架劃分為“總體風(fēng)險(xiǎn)控制與治理”與“過(guò)程風(fēng)險(xiǎn)控制與治理”兩個(gè)模塊。總體風(fēng)險(xiǎn)控制與治理模塊所針對(duì)的是算法設(shè)計(jì)及風(fēng)險(xiǎn)治理的制度框架，例如是否成立算法風(fēng)險(xiǎn)治理領(lǐng)導(dǎo)小組、是否存在算法設(shè)計(jì)和運(yùn)行的合規(guī)審查制度等；過(guò)程風(fēng)險(xiǎn)控制與治理模塊所針對(duì)的是算法系統(tǒng)在運(yùn)作過(guò)程中的問(wèn)題與風(fēng)險(xiǎn)（張欣和宋雨鑫，2022）。本文認(rèn)為，模塊化的審計(jì)框架意味著，個(gè)人信息保護(hù)的合規(guī)審計(jì)并不僅僅只是對(duì)信息處理和利用的行為或活動(dòng)本身的合規(guī)性進(jìn)行審計(jì)分析評(píng)價(jià)，而是將個(gè)人信息保護(hù)看作是一項(xiàng)全方位的系統(tǒng)工程，是從宏觀框架到微觀環(huán)節(jié)進(jìn)行多維的綜合審計(jì)分析評(píng)價(jià)。因此，對(duì)于個(gè)人信息保護(hù)的合規(guī)審計(jì)，應(yīng)當(dāng)根據(jù)個(gè)案所要求的不同的審查視角與目標(biāo)設(shè)置模塊化的審計(jì)框架，既包括個(gè)人信息保護(hù)在總體架構(gòu)層面的合規(guī)審查模塊，也包括在個(gè)人信息處理過(guò)程中各個(gè)環(huán)節(jié)及問(wèn)題的合規(guī)審查模塊，從而形成綜合全面、立體多維的合規(guī)審計(jì)分析評(píng)價(jià)。

（三）建立信息處理系統(tǒng)功能設(shè)計(jì)的合規(guī)審計(jì)制度

在關(guān)于個(gè)人信息的隱私保護(hù)方面，一些國(guó)家已經(jīng)形成“通過(guò)設(shè)計(jì)的隱私保護(hù)”（Privacy by Design）和“隱私工程”（Privacy Engineering）這兩個(gè)不同的保護(hù)環(huán)節(jié)。這就意味著，個(gè)人信息隱私保護(hù)包含著兩個(gè)不同的階段，即系統(tǒng)功能（算法）設(shè)計(jì)階段與個(gè)人信息處理階段的個(gè)人信息隱私保護(hù)（William Stallings，2019）。本文認(rèn)為，個(gè)人信息權(quán)益保護(hù)的內(nèi)容范圍顯然要大于個(gè)人信息的隱私保護(hù)，但同樣也存在著系統(tǒng)功能（算法）設(shè)計(jì)階段的保護(hù)與個(gè)人信息處理階段的保護(hù)這兩個(gè)不同階段的個(gè)人信息保護(hù)。一般而言，通過(guò)對(duì)個(gè)人信息處理階段的合規(guī)審計(jì)，也可以間接發(fā)現(xiàn)系統(tǒng)功能（算法）設(shè)計(jì)上的保護(hù)缺陷，但是這種暴露往往是不充分和滯后的。因此，為充分揭示和有效預(yù)防控制個(gè)人信息保護(hù)上的缺陷及風(fēng)險(xiǎn)，應(yīng)當(dāng)建立專(zhuān)門(mén)針對(duì)信息處理系統(tǒng)的功能（算法）設(shè)計(jì)的合規(guī)審計(jì)。在這方面，已經(jīng)形成了一些重要準(zhǔn)則和指南，如中國(guó)內(nèi)部審計(jì)協(xié)會(huì)于2014 年制定發(fā)布的《內(nèi)部審計(jì)具體準(zhǔn)則——信息系統(tǒng)審計(jì)》，于2021年制定發(fā)布的《內(nèi)部審計(jì)實(shí)務(wù)指南——信息系統(tǒng)審計(jì)》，以及2018年12月審計(jì)署發(fā)布的《關(guān)于加強(qiáng)信息系統(tǒng)審計(jì)工作指導(dǎo)意見(jiàn)》。

（四）建立信息處理過(guò)程的合規(guī)風(fēng)險(xiǎn)持續(xù)控制制度

由于個(gè)人信息的收集處理與開(kāi)發(fā)利用具有技術(shù)復(fù)雜性、隱匿性及數(shù)量龐大性等特點(diǎn)，所以，運(yùn)用傳統(tǒng)審計(jì)思路與方式進(jìn)行合規(guī)審計(jì)往往難以產(chǎn)生良好的預(yù)期效果，因此，有研究認(rèn)為，應(yīng)建立和運(yùn)用CRCA模型（持續(xù)性風(fēng)險(xiǎn)評(píng)估與控制保證模型）來(lái)開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)（陳智敏，2022）。顯然，合規(guī)風(fēng)險(xiǎn)持續(xù)控制分析側(cè)重關(guān)注的是個(gè)人信息保護(hù)風(fēng)險(xiǎn)的及時(shí)、準(zhǔn)確識(shí)別，以及將持續(xù)處理過(guò)程中的風(fēng)險(xiǎn)動(dòng)態(tài)變化置于監(jiān)控之下，這有助于在信息處理持續(xù)過(guò)程中實(shí)現(xiàn)對(duì)個(gè)人信息權(quán)益的動(dòng)態(tài)及時(shí)保護(hù)。但是，《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法（征求意見(jiàn)稿）》只是提出了一定年限內(nèi)的單次合規(guī)審計(jì)要求，并沒(méi)有提出關(guān)于“合規(guī)風(fēng)險(xiǎn)持續(xù)控制分析”的要求。例如，對(duì)于處理超過(guò)100萬(wàn)個(gè)人信息的信息處理者，僅要求每年至少應(yīng)實(shí)施一次合規(guī)審計(jì)，其他情形下則要求每?jī)赡曛辽賾?yīng)實(shí)施一次合規(guī)審計(jì)。因此，需要在該征求意見(jiàn)稿中補(bǔ)充納入“合規(guī)風(fēng)險(xiǎn)持續(xù)控制分析”的要求。

四、結(jié)語(yǔ)

個(gè)人信息保護(hù)合規(guī)審計(jì)是合規(guī)審計(jì)制度在數(shù)字及人工智能時(shí)代的新拓展，是個(gè)人信息保護(hù)的合規(guī)監(jiān)管與治理的有效抓手與重要內(nèi)容。但是，個(gè)人信息保護(hù)合規(guī)審計(jì)制度尚處于初步建立階段，相關(guān)的理論問(wèn)題與操作實(shí)施尚處于探索中。筆者就個(gè)人信息保護(hù)合規(guī)審計(jì)制度的底層法理邏輯、特征屬性、功能需求、指導(dǎo)原則等理論問(wèn)題進(jìn)行了初步探討，更多的和更深層次的理論問(wèn)題需要進(jìn)一步分析研究，如個(gè)人信息保護(hù)合規(guī)審計(jì)的性質(zhì)類(lèi)型及其與國(guó)家審計(jì)的銜接協(xié)調(diào)，合規(guī)審計(jì)中關(guān)于“合規(guī)”要求的淵源依據(jù)等。同時(shí)，需要深入、全面地分析研究個(gè)人信息保護(hù)中的各種案例和實(shí)際問(wèn)題，針對(duì)個(gè)人信息保護(hù)合規(guī)審計(jì)制度，進(jìn)一步分析建立和調(diào)整完善該領(lǐng)域特有的工具方法、程序規(guī)范、功能機(jī)制等。

【注 釋】

①黨的十九大報(bào)告將審計(jì)放在“健全黨和國(guó)家監(jiān)督體系”部分予以闡述。黨的十九屆四中全會(huì)明確提出審計(jì)監(jiān)督是黨和國(guó)家監(jiān)督體系的重要組成部分。

②《關(guān)于加強(qiáng)數(shù)據(jù)資產(chǎn)管理的指導(dǎo)意見(jiàn)》將“暢通數(shù)據(jù)資產(chǎn)收益分配機(jī)制”作為數(shù)據(jù)資產(chǎn)管理的一項(xiàng)主要任務(wù)。針對(duì)完善數(shù)據(jù)資產(chǎn)收益分配與再分配機(jī)制，該指導(dǎo)意見(jiàn)要求按照“誰(shuí)投入、誰(shuí)貢獻(xiàn)、誰(shuí)受益”的原則，依法依規(guī)維護(hù)各相關(guān)主體數(shù)據(jù)資產(chǎn)權(quán)益。支持合法合規(guī)對(duì)數(shù)據(jù)資產(chǎn)價(jià)值進(jìn)行再次開(kāi)發(fā)挖掘，尊重?cái)?shù)據(jù)資產(chǎn)價(jià)值再創(chuàng)造、再分配，支持?jǐn)?shù)據(jù)資產(chǎn)使用權(quán)利各個(gè)環(huán)節(jié)的投入有相應(yīng)回報(bào)。

【 主要參考文獻(xiàn)】

陳智敏.個(gè)人信息保護(hù)合規(guī)審計(jì)系統(tǒng)構(gòu)建研究［J］.審計(jì)觀察，2022（12）：18～22.

高歌.個(gè)人信息保護(hù)合規(guī)審計(jì)蓄勢(shì)待發(fā)［N］.中國(guó)會(huì)計(jì)報(bào)，2023-09-01.

黃哲瑞，徐來(lái)鳳.個(gè)人信息保護(hù)法對(duì)我國(guó)數(shù)字經(jīng)濟(jì)發(fā)展的重要價(jià)值［N］.科學(xué)導(dǎo)報(bào)，2023-10-17.

賈丹，張譽(yù)馨，王姍.我國(guó)個(gè)人信息保護(hù)合規(guī)審計(jì)制度的路徑探討［J］.工業(yè)信息安全，2022（4）：17 ～22.

梁燈.個(gè)人信息保護(hù)合規(guī)審計(jì)的悖論及其解決——以個(gè)人信息流轉(zhuǎn)合法性基礎(chǔ)為例［J］.上海法學(xué)研究（集刊），2022（20）：84 ～93.

劉力云，崔孟修，王慧，沈玲.對(duì)國(guó)家審計(jì)基本概念仍需深入研究——基于一項(xiàng)有關(guān)國(guó)家審計(jì)基本概念和定義認(rèn)知訪談結(jié)果的分析［J］.會(huì)計(jì)之友，2021（8）：15 ～21.

王苑.敏感個(gè)人信息的概念界定與要素判斷——以《個(gè)人信息保護(hù)法》第28條為中心［J］.環(huán)球法律評(píng)論，2022（2）：85 ～99.

王俊，馮戀閣，鐘雨欣，鄭雪.網(wǎng)信辦擬細(xì)化個(gè)人信息保護(hù)合規(guī)審計(jì)，企業(yè)需定期做“體檢”［N］.21世紀(jì)經(jīng)濟(jì)報(bào)道，2023-08-04.

項(xiàng)健.審計(jì)容錯(cuò)糾錯(cuò)思維方式探討［J］.審計(jì)月刊，2021（10）：23 ～24.

周漢華.《個(gè)人信息保護(hù)法》“守門(mén)人條款”解析［J］.法律科學(xué)，2022（5）：36～49.

張欣，宋雨鑫.算法審計(jì)的制度邏輯和本土化構(gòu)建［J］.鄭州大學(xué)學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版），2022（6）：33 ～42.

William Stallings.Information Privacy Engineering and Privacy by Design：Understanding Privacy Threats，Technology，and Regulations Based on Standards and Best Practices［M］.New York：Addison Wesley，2019.