王 沖

(清華大學(xué) 法學(xué)院，北京 100084)

1 個人信息保護合規(guī)審計的內(nèi)涵

個人信息保護合規(guī)審計是指基于審計材料對個人信息處理者遵守法律、行政法規(guī)等規(guī)范的情況進行評估審查的活動。

1.1 風(fēng)險內(nèi)涵

《個人信息保護法》中“風(fēng)險”一詞出現(xiàn)了多次，但并未明確其概念屬于個人信息保護風(fēng)險還是合規(guī)風(fēng)險。個人信息保護風(fēng)險是指個人信息處理可能具有的屬性(如處理范圍、處理性質(zhì)、處理類型等)對數(shù)據(jù)主體造成損害的可能性。這一風(fēng)險概念在美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)2017年提出的隱私管理框架(Privacy Engineering and Risk Management，NIST 8062)中也有所體現(xiàn)，該框架規(guī)定其目標(biāo)是以“能夠設(shè)置適當(dāng)?shù)目刂拼胧┮詼p輕潛在問題”，即關(guān)注數(shù)據(jù)處理對數(shù)據(jù)主體造成的損害[1]。相比于個人信息保護風(fēng)險，合規(guī)風(fēng)險則指個人信息處理者遵守個人信息保護相關(guān)的法律法規(guī)可能存在的風(fēng)險。

本文認(rèn)為，在應(yīng)用風(fēng)險評估方式開展個人信息保護審計活動時，既需要考慮合規(guī)風(fēng)險，也需要考慮個人信息保護風(fēng)險。例如在確定審計要求事項時，應(yīng)采用以合規(guī)風(fēng)險為內(nèi)容的風(fēng)險評估方式，即判斷風(fēng)險因素是否遵守《個人信息保護法》或其他法律法規(guī)、標(biāo)準(zhǔn)規(guī)范等對于個人信息保護相關(guān)的規(guī)定；在確定審計重點時，應(yīng)采用以個人信息保護風(fēng)險為內(nèi)容的風(fēng)險評估方式，即綜合考慮業(yè)務(wù)場景、信息類型、處理環(huán)節(jié)、信息主體等審計對象在個人信息處理活動中存在的風(fēng)險以確定審計重點。此外，《個人信息保護法》中審計的對象雖然指向“個人信息處理活動”，但并不是指僅對收集、使用、加工、傳輸、提供、公開、刪除等處理活動的審計，從風(fēng)險評估和審計目的出發(fā)，審計對象還應(yīng)包括個人信息處理者的數(shù)據(jù)合規(guī)管理制度、安全技術(shù)措施、員工培訓(xùn)等構(gòu)成個人信息保護的技術(shù)和管理制度及其有效性。

1.2 與個人信息保護影響評估的區(qū)分

明確個人信息保護合規(guī)審計的內(nèi)涵，還應(yīng)與個人信息保護影響評估進行區(qū)分。從適用情形來看，個人信息保護合規(guī)審計是個人信息處理者常態(tài)化的義務(wù)要求，要求定期開展。法定個人信息影響評估是針對特定情形開展的，如處理敏感信息、自動化決策、境外信息提供等。個人信息處理者自行定期開展的個人信息保護影響評估不具備法定情形，是個人信息處理者出于合規(guī)、審慎經(jīng)營的考慮開展的盡責(zé)性風(fēng)險評估。從側(cè)重目的來看，兩者的定義表明了各自側(cè)重點與實施目的的不同。個人信息保護合規(guī)審計重點審查個人信息處理者個人信息保護合規(guī)義務(wù)的履行及相應(yīng)技術(shù)保護、安全措施的落實情況。而個人信息保護影響評估旨在對特定個人信息處理活動進行風(fēng)險識別與監(jiān)控，以確保該處理活動不會侵害個人權(quán)益或?qū)ζ溆绊懺诳煽胤秶鷥?nèi)。從審計/評估的內(nèi)容來看，在進行個人信息保護審計時，應(yīng)對個人信息保護影響評估的情況進行審計，以確保影響評估的合規(guī)性和有效性；但在進行個人信息保護影響評估時，需要評估的法定內(nèi)容一般不涉及對審計活動的評估。

1.3 與算法審計的關(guān)系

算法決策的透明性、公平性構(gòu)成了個人信息保護審計制度與算法審計制度的交叉點。數(shù)據(jù)與算法是數(shù)字經(jīng)濟時代的重要生產(chǎn)要素。隨著算法不透明、算法歧視、算法共謀等問題日益嚴(yán)峻，針對算法的審計制度也相伴而生。2022年6月22日，中共中央全面深化改革委員會第26次會議通過的《中共中央 國務(wù)院關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》強調(diào)建立“算法審查制度”。算法審計包括對“前端”輸入數(shù)據(jù)的審計和“末端”算法影響評估[2]。無論是在制度內(nèi)涵、還是在審計重點、審計方法等方面，兩種審計制度均存在截然的區(qū)分，但是均強調(diào)對算法決策透明性、公平性的審計。在算法審計中，算法決策的透明性、公平性是審計的核心指標(biāo)[3]；在個人信息保護合規(guī)審計中，對算法決策要求主要體現(xiàn)在《個人信息保護法》第二十四條對自動化決策的規(guī)定中。

2 個人信息保護合規(guī)審計的規(guī)范基礎(chǔ)

2.1 法律層面依據(jù)

《個人信息保護法》第五十四條與第六十四條分別規(guī)定了個人信息處理者定期進行個人信息合規(guī)審計(簡稱“自主審計”)與特定情形下根據(jù)監(jiān)管部門要求委托第三方專業(yè)機構(gòu)進行個人信息合規(guī)審計(簡稱“強制審計”)的內(nèi)容。就自主審計而言，自主審計是個人信息處理者履行保護個人信息權(quán)益的常態(tài)化義務(wù)，應(yīng)依據(jù)法律、行政法規(guī)進行審計。但是自主審計采用內(nèi)部審計還是外部審計、定期審計頻次如何等內(nèi)容，《個人信息保護法》未明確規(guī)定，《個人信息保護合規(guī)審計管理辦法(征求意見稿)》(以下簡稱“《審計辦法》”)明確了個人信息處理者“可根據(jù)實際情況”自行決定，實際情況可能涉及企業(yè)內(nèi)容審計能力、待審計業(yè)務(wù)的特點、風(fēng)險大小等因素。就強制審計而言，個人信息處理者經(jīng)監(jiān)管機構(gòu)監(jiān)管，存在較大風(fēng)險或者發(fā)生個人信息安全事件的，應(yīng)委托專業(yè)機構(gòu)進行審計?！秾徲嬣k法》則對強制審計的配合義務(wù)、時間要求、報送要求等進行了具體規(guī)定。

2.2 標(biāo)準(zhǔn)層面依據(jù)

標(biāo)準(zhǔn)層面，《信息安全技術(shù) 個人信息安全規(guī)范》(GB/T 35273—2020)、金融行業(yè)《個人金融信息保護技術(shù)規(guī)范》(JR/T 0171—2020)等均要求對個人信息進行審計，不過兩標(biāo)準(zhǔn)中審計的內(nèi)涵與《個人信息保護法》的規(guī)定存在差異。GB/T 35273—2020要求的審計重點為“個人信息保護政策、相關(guān)規(guī)程和安全措施的有效性”，即審計依據(jù)為個人信息處理者內(nèi)部的管理規(guī)范；JR/T 0171—2020對個人金融信息的審計突出安全性，規(guī)定將個人金融信息保護納入金融機構(gòu)內(nèi)部安全審計工作，定期開展安全審計。另外，中國科學(xué)技術(shù)法學(xué)會、中國法學(xué)交流基金會2021年4月28日發(fā)布了《個人信息處理法律合規(guī)性評估指引》團體標(biāo)準(zhǔn)，其中個人信息處理法律合規(guī)性評估與個人信息保護合規(guī)審計的內(nèi)涵具有一致性。該標(biāo)準(zhǔn)圍繞數(shù)據(jù)處理全流程給出了細(xì)致的審計方案，但由于標(biāo)準(zhǔn)在《個人信息保護法》發(fā)布前就已經(jīng)生效，其中一些術(shù)語、審計依據(jù)、合規(guī)要求等與現(xiàn)行法律規(guī)定存在出入，可借鑒性有限。

2.3 立法趨勢：差異化審計義務(wù)

目前，一些立法文件中對不同的個人信息處理者規(guī)定了不同的審計義務(wù)?！毒W(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》根據(jù)日活用戶數(shù)量區(qū)分了互聯(lián)網(wǎng)平臺運營者和大型互聯(lián)網(wǎng)平臺運營者，其中第五十三條對后者進行審計的方式、內(nèi)容、頻率以及審計結(jié)果披露義務(wù)作出了明確的要求?！痘ヂ?lián)網(wǎng)平臺落實主體責(zé)任指南(征求意見稿)》對超大型平臺經(jīng)營者的審計報告出具方式、內(nèi)容進行了細(xì)化，不過審計范圍限于“對本指南所規(guī)定的主體責(zé)任遵守情況”，而非個人信息合規(guī)審計。類似地，《審計辦法》也規(guī)定對于處理超過100萬人個人信息的個人信息處理者，應(yīng)至少每年開展一次個人信息保護合規(guī)審計；其他個人信息處理者則至少每兩年開展一次。差異化審計義務(wù)符合比例原則的要求，即提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者負(fù)有守門人義務(wù)[4]，三個征求意見稿對大型互聯(lián)網(wǎng)平臺運營者或超大型平臺經(jīng)營者審計制度的細(xì)化要求正是對《個人信息保護法》第58條第1項和第4項的落實。

法律雖然明確規(guī)定了個人信息處理者負(fù)有個人信息合規(guī)審計的義務(wù)，但對于個人信息合規(guī)審計的具體流程與內(nèi)容付之闕如。因此，有必要對當(dāng)前國內(nèi)外個人信息合規(guī)審計實踐進行研究，為個人信息處理者履行該義務(wù)提供更完整的指引。

3 個人信息保護合規(guī)審計的治理效能

3.1 協(xié)同企業(yè)自律與政府規(guī)制

基于命令和控制的傳統(tǒng)監(jiān)管模式更專注于制定具體的規(guī)定并由監(jiān)管機構(gòu)事后介入，但隨著監(jiān)管領(lǐng)域的不斷擴張，無論是監(jiān)管規(guī)定的顆粒度、還是監(jiān)管資源供給等方面均存在一定缺陷。在個人信息保護領(lǐng)域，處理活動的規(guī)?；?、復(fù)雜化更加凸顯了這些監(jiān)管難題。在此背景下，一些領(lǐng)域的監(jiān)管模式開始逐漸轉(zhuǎn)向元監(jiān)管模式(Meta Regulation)。元監(jiān)管是指基于原則的監(jiān)管，監(jiān)管機關(guān)不再制定復(fù)雜的管理規(guī)定，而是制定監(jiān)管目標(biāo)，個人信息處理者實施監(jiān)管行為(制定自身管理規(guī)定和實施相應(yīng)保障措施)服務(wù)于監(jiān)管目標(biāo)的實現(xiàn)，監(jiān)管機關(guān)對此進行審查[5]。這種監(jiān)管模式將監(jiān)管介入時點前置，為監(jiān)管機構(gòu)提供了更大的自由裁量權(quán)，同時也強化了個人信息處理者在監(jiān)管活動中的主體作用，更加強調(diào)監(jiān)管者與被監(jiān)管者之間的協(xié)作性。

與算法審計制度類似，個人信息保護合規(guī)審計兼容自主審計和強制審計兩種模式。其中，自主審計正是作為一種能夠化解個人信息處理大規(guī)模、復(fù)雜化特征與傳統(tǒng)監(jiān)管模式滯后之間矛盾的一種制度。從實踐角度來看，企業(yè)作為個人信息處理活動的實施者，能夠自主構(gòu)建個性化、針對性的自我規(guī)制手段，在自主審計時可以獲取更為全面的決策信息、采用更適合其自身的審計手段，同時將監(jiān)管介入時點間接前置，降低政府監(jiān)管成本[6]。但這種審計方式并非是一勞永逸的，缺乏外部強制約束可能使企業(yè)難以落實個人信息保護合規(guī)審計活動，也可能使自主審計異化成為逃避監(jiān)管、避免承擔(dān)法律責(zé)任的工具[7]。因此，自主審計并不排除或限制監(jiān)管機關(guān)的監(jiān)管范圍，監(jiān)管機關(guān)仍可依職權(quán)通過強制審計或其他方式對個人信息處理者進行監(jiān)管。綜上，個人信息保護審計是協(xié)調(diào)企業(yè)自律與政府規(guī)制的重要工具，能夠在二者并舉的條件下實現(xiàn)個人信息保護的目標(biāo)。

3.2 平衡個人與個人信息處理者之間非對稱的權(quán)利結(jié)構(gòu)

平衡個人信息的保護和數(shù)據(jù)利用是數(shù)字經(jīng)濟時代的共識[8]。一方面，個人對其個人信息保護的能力有限，個人信息保護合規(guī)審計制度可以在規(guī)范、限制處理者的維度增強對個人信息的保護。以告知同意為例，基于該制度在實踐中的模糊性和存在的質(zhì)疑，《個人信息處理中告知和同意的實施指南》從告知同意的原則、適用情形、實施方式等方面規(guī)定了清晰的操作指引，并在附錄中列出13種常見場景的告知同意實施建議。同時，該標(biāo)準(zhǔn)也將作為個人信息保護合規(guī)審計的重要依據(jù)，這意味著告知同意將不僅僅作為個人信息權(quán)利而出現(xiàn)，在審計制度下還能夠合理限制個人信息處理者處理個人信息的自由。另一方面，個人信息保護合規(guī)審計制度又能夠在避免個人信息權(quán)益過度擴張、促進數(shù)據(jù)利用維度穩(wěn)定企業(yè)對個人信息處理合規(guī)性的行為預(yù)期[9]?！靶畔⒉皇菫榱吮Ｗo而存于世間的，相反恰恰是為了利用。”[10]個人信息保護合規(guī)工作既是法律規(guī)定所要求，同時也能夠進一步明確個人信息權(quán)益保護與企業(yè)利用數(shù)據(jù)自由的行為界限，從而促進數(shù)據(jù)更好地利用。

4 個人信息保護合規(guī)審計的實踐現(xiàn)狀

4.1 合規(guī)審計清單須提高科學(xué)性

實踐中，合規(guī)審計清單是開展個人信息保護合規(guī)審計的重要工作文件，其形式上的科學(xué)性與內(nèi)容上的合理性是保障審計有效的重要因素之一。目前，從公開渠道搜索到針對《個人信息保護法》的合規(guī)審計清單較少，且形式上一般表現(xiàn)為“審計項+選項(是/否)”，缺乏科學(xué)性。以下從一般性的合規(guī)審計清單和針對特殊處理活動的專項合規(guī)審計清單兩個方面對域外一些合規(guī)審計清單的特點進行分析。

4.1.1 一般性的合規(guī)審計清單

一般性的合規(guī)審計清單的基本內(nèi)容包括審計項(審計問題)、審計項的法律依據(jù)、審計結(jié)果分類/分級等。本文考察了域外多種個人信息合規(guī)審計清單(如表1所示)，以期為我國個人信息處理者或相關(guān)專業(yè)機構(gòu)構(gòu)建審計內(nèi)容體系提供參考框架。

表1 合規(guī)審計清單特點總結(jié)

4.1.2 專項合規(guī)審計清單

個人信息類型、數(shù)據(jù)處理環(huán)節(jié)、應(yīng)用場景等不同可能導(dǎo)致合規(guī)風(fēng)險呈現(xiàn)差異化特征，因此在進行合規(guī)審計時需要對不同的審計對象確定合適的審計內(nèi)容、審計頻率，避免不必要的資源浪費。例如，在進行強制審計時，可以優(yōu)先或突出對存在較大風(fēng)險或與安全事件相關(guān)的處理活動的審計，以及時采取風(fēng)控措施避免風(fēng)險擴大。基于AI處理數(shù)據(jù)的缺乏可解釋性、存在歧視等問題，2021年1月，西班牙數(shù)據(jù)保護局(AEPD)發(fā)布了《涉及AI的個人數(shù)據(jù)處理活動審計要求》(以下稱“《要求》”)[15]，該要求提出對于涉及AI的個人數(shù)據(jù)處理活動，審計方法應(yīng)考慮AI模型的特性，形成具有系統(tǒng)性、獨立性、客觀性、符合法律規(guī)定的審計過程，以進一步實現(xiàn)安全可控的評估，提高AI模型的透明度和公平性?！兑蟆分刑岢鲆幌盗嗅槍I相關(guān)的個人數(shù)據(jù)處理活動(如自動化決策、生成用戶畫像等)的控制措施/審計辦法，并對這些措施如何實現(xiàn)GDPR規(guī)定進行分析。同時，《要求》與我國算法審計制度存在較大的耦合，也間接體現(xiàn)了個人信息保護審計制度與算法審計制度存在的交叉關(guān)系。

4.2 審計活動指引有待落地實施

個人信息合規(guī)審計清單可視為審計活動的核心，但圍繞這一核心如何確定合規(guī)審計的審計項、如何進行審計工作、如何分析審計材料并應(yīng)用審計結(jié)論等問題的解決方案是高效開展審計活動、實現(xiàn)審計目標(biāo)的必然要求。

在域外方面，英國、法國等國家已根據(jù)立法進程和實踐需要發(fā)布了合規(guī)審計活動指引。以英國為例，為遵守《數(shù)據(jù)保護法案》(Data Protection Act 1998，DPA 1998)，ICO在2001年就發(fā)布了《數(shù)據(jù)保護審計手冊》(簡稱《手冊》)[16]。該《手冊》將審計分為兩個階段，第一階段為充分性審計，即對個人信息保護政策、指南、程序等遵守《數(shù)據(jù)保護法》的要求進行審計；第二階段為合規(guī)審計，即個人信息處理者是否按照制定的個人信息保護政策、指南、程序等進行運營。2015年，ICO發(fā)布了《ICO數(shù)據(jù)保護審計指南》(Auditing data protection：a guide to ICO data protection audits)，后為適應(yīng)《數(shù)據(jù)保護法案》(Data Protection Act 2018，DPA 2018)的修訂，ICO于2021年在此前審計指南的基礎(chǔ)上又發(fā)布了新的《ICO審計指南》(A guide to ICO audit)。這兩部審計指南均強調(diào)其主要適用于協(xié)商一致的審計活動(Consensual audits)。DPA 2018第129條規(guī)定了協(xié)商一致的審計方式，即ICO與個人信息處理者協(xié)商并取得同意后對其進行審計，將審計視為一種參與式、建設(shè)性的監(jiān)管方法。ICO發(fā)布的審計指南已在實踐中充分應(yīng)用，截至2023年8月29日，ICO已經(jīng)公開披露了35份數(shù)據(jù)保護審計報告[17]。這種審計模式為政府監(jiān)管與企業(yè)合規(guī)開辟了新的路徑，能夠在緩和監(jiān)管對立關(guān)系的基礎(chǔ)上促進企業(yè)的個人信息保護工作。

2021年12月，中國信通院個人信息保護合規(guī)審計推進小組發(fā)布了《關(guān)于推進個人信息保護合規(guī)審計的若干建議》(簡稱“《建議》”)，這是我國目前較為完善的審計工作指引文件?！督ㄗh》梳理了個人信息處理者義務(wù)合規(guī)審計、個人權(quán)利實現(xiàn)方式合規(guī)審計、個人信息處理活動合規(guī)審計、個人信息跨境提供合規(guī)審計四個審計領(lǐng)域、六十余項風(fēng)險點，同時從審計計劃、準(zhǔn)備、實施、報告以及后續(xù)追蹤等多個階段為企業(yè)進行合規(guī)審計提供指導(dǎo)。客觀上，由于《建議》不具有法律效力，也不構(gòu)成標(biāo)準(zhǔn)，在實踐應(yīng)用時缺乏影響力。

4.3 多主體處理情形下缺乏審計實踐

數(shù)據(jù)互聯(lián)互通是充分發(fā)揮數(shù)據(jù)價值，促進數(shù)據(jù)經(jīng)濟的基礎(chǔ)。數(shù)據(jù)共享、委托處理、數(shù)據(jù)交易等數(shù)據(jù)流通利用情形下往往涉及多個個人信息處理者，對此類處理情形如何分配風(fēng)險、構(gòu)建審計制度有待進一步探索。有學(xué)者認(rèn)為應(yīng)構(gòu)建協(xié)議風(fēng)控體系，在明確不同處理者之間權(quán)限的基礎(chǔ)上分配合規(guī)風(fēng)險，進而確定各自審計內(nèi)容[9]。其法理基礎(chǔ)在于《個人信息保護法》規(guī)定在共同處理、委托處理等情形下，個人信息處理者之間應(yīng)當(dāng)約定各自的權(quán)利和義務(wù)，將數(shù)據(jù)處理風(fēng)險通過合同約定進行分配，進而使不同處理者能夠進行風(fēng)險評估并考慮是否進行審計。

4.4 特殊主體的個人信息合規(guī)審計亟待規(guī)范

《個人信息保護法》并未限制義務(wù)主體的范圍，第三章第三節(jié)還特別規(guī)定了國家機關(guān)處理個人信息條款。相比于企業(yè)，政府機構(gòu)在基于行政權(quán)力獲取公民個人信息往往具有強制性，因此對其個人信息保護能力應(yīng)有更高的要求。政府機構(gòu)數(shù)據(jù)泄露事件在全球范圍內(nèi)已是屢見不鮮，我國近些年也存在政府機構(gòu)數(shù)據(jù)泄露事件。浙江某縣級市政府部門委托開發(fā)運維信息管理系統(tǒng)造成數(shù)據(jù)泄露，公安機關(guān)根據(jù)《數(shù)據(jù)安全法》第四十五條的規(guī)定，對委托開發(fā)的公司及項目主管人員、直接責(zé)任人員分別作出罰款100萬元、8萬元、6萬元的行政處罰。在此案件中，當(dāng)?shù)卣块T委托第三方提供技術(shù)服務(wù)，應(yīng)對第三方的數(shù)據(jù)保護能力進行審查，在委托過程中也應(yīng)做好監(jiān)督工作。換言之，案涉政府部門亦應(yīng)采用審計制度規(guī)范、加強自身對個人信息的保護。

5 個人信息保護合規(guī)審計的制度構(gòu)建

5.1 審計模式

個人信息保護合規(guī)審計主體與審計的啟動方式存在聯(lián)系，如表2所示。在自主審計下，個人信息處理者可以自行開展內(nèi)部審計，也可以委托第三方開展外部審計。在強制審計下，監(jiān)管機構(gòu)可要求個人信息處理者委托第三方專業(yè)機構(gòu)開展外部審計。

表2 審計啟動方式與審計主體的關(guān)系

5.1.1 內(nèi)部審計

個人信息保護內(nèi)部合規(guī)審計是個人信息處理者定期、主動開展的、審查與個人信息保護相關(guān)的管理措施、技術(shù)措施是否符合法律、行政法規(guī)的活動。當(dāng)前個人信息處理活動復(fù)雜性特征愈加突出，外部審計可能難以深入了解內(nèi)部信息(尤其在涉及商業(yè)秘密時)且需要較大溝通成本，難以全面評估個人信息處理活動中存在的風(fēng)險。內(nèi)部審計團隊可由個人信息處理各流程的相關(guān)人員組成，也可以依審計需求僅由特定處理活動相關(guān)人員組成；審計時點可以在功能設(shè)計部署前，將個人信息保護審計要求嵌入產(chǎn)品與服務(wù)設(shè)計，也可針對既有的處理活動進行審計，具有較高的靈活性。目前，多家機構(gòu)、企業(yè)致力于研發(fā)個人信息保護內(nèi)部審計的制度框架和技術(shù)工具。例如，中國信通院主導(dǎo)開發(fā)并向企業(yè)提供的數(shù)據(jù)資產(chǎn)分類分級、API接口安全審計等技術(shù)工具，個人信息處理者可申請使用這些工具輔助審計活動、提高個人信息保護能力。用九智匯平臺基于法條要旨梳理難、內(nèi)控管理缺抓手、處理活動摸不清、合規(guī)自證清白難等合規(guī)痛點，提供了一系列個人信息保護工具，如數(shù)據(jù)合規(guī)評估、數(shù)據(jù)合規(guī)知識庫、合規(guī)義務(wù)清單、應(yīng)急響應(yīng)管理等隱私合規(guī)套件，可實現(xiàn)設(shè)計隱私、數(shù)據(jù)可視化、在線管理隱私政策、智能推送法律法規(guī)清單等多種功能。整體而言，個人信息保護內(nèi)部審計已存在一些可投入商用的審計輔助工具，能夠滿足較為個性化的審計需求。但當(dāng)前仍缺乏共識性的內(nèi)部審計標(biāo)準(zhǔn)，審計工作的實施情況與個人信息處理者自身的個人信息保護能力、保護意愿密切聯(lián)系，審計活動的實質(zhì)效果可能并不盡如人意甚至可能淪為應(yīng)付監(jiān)管的形式工具。

5.1.2 外部審計

與內(nèi)部審計相比，外部審計既可以由個人信息處理者主動委托第三方專業(yè)機構(gòu)進行，也可能因監(jiān)管機構(gòu)要求處理者委托第三方機構(gòu)進行。對于第一種主動委托審計的情形，個人信息處理者可以基于自身需求委托第三方專業(yè)機構(gòu)進行審計，并針對審計發(fā)現(xiàn)采取具有針對性的整改措施。對于第二種被動委托審計的情形(即強制審計)，審計重點與監(jiān)管機構(gòu)發(fā)現(xiàn)較大風(fēng)險的個人信息處理活動或者個人信息安全事件存在密切聯(lián)系，具有事后、臨時、個案審計的特點，此時第三方專業(yè)機構(gòu)具有輔助監(jiān)管機關(guān)審計的作用。

為規(guī)范第三方專業(yè)機構(gòu)的工作，《審計辦法》提出網(wǎng)信部門將會同公安機關(guān)等國務(wù)院有關(guān)部門建立個人信息保護合規(guī)審計專業(yè)機構(gòu)推薦目錄，目錄內(nèi)容可能根據(jù)年度評估評價結(jié)果動態(tài)調(diào)整。就目前實踐而言，推薦目錄的評估對象應(yīng)至少包括依法設(shè)立的律師事務(wù)所、認(rèn)證機構(gòu)、審計機構(gòu)等機構(gòu)。另外，推薦目錄雖然并不具有強制性，但作為監(jiān)管機關(guān)發(fā)布的官方文件，涉及的專業(yè)機構(gòu)在個人信息保護審計市場中的認(rèn)可度和競爭性將進一步增強。為了避免第三方專業(yè)機構(gòu)畸形發(fā)展，防止權(quán)力尋租，需要進一步完善評估機制和監(jiān)管制度。在評估機制方面，《審計辦法》目前尚未明確評估的原則或具體要求。結(jié)合工信部、商務(wù)部等部門此前在企業(yè)、科技成果等領(lǐng)域的推薦目錄評估工作，推薦目錄的產(chǎn)生一般需要研究制定評價指標(biāo)，通過試點或主動申報開展評審、監(jiān)測和確認(rèn)等工作，這將會新增額外的制度成本，因此推行推薦目錄需要事先探索便捷高效的評估機制。在監(jiān)管方面，《審計辦法》目前已經(jīng)就禁止專業(yè)機構(gòu)轉(zhuǎn)包委托、個人信息保護職責(zé)、數(shù)據(jù)安全義務(wù)、不得惡意干擾個人信息處理者的正常經(jīng)營活動等作出了明確要求。

5.2 審計原則

個人信息保護審計聚焦于個人信息處理活動全生命周期，既遵循審計活動的一般性原則，也需要滿足一些特定原則。首先，個人信息保護合規(guī)審計活動應(yīng)具有獨立性，既包括審計人員、審計機構(gòu)的身份獨立性，也包括審計工作開展的獨立性。獨立性是審計本身固有、基本的原則，是保障審計結(jié)論可靠性的基礎(chǔ)[18]。其次，個人信息保護合規(guī)審計應(yīng)具有保密性，嚴(yán)格遵循商業(yè)秘密的規(guī)定。審計工作中可能接觸到用戶個人信息、算法模型、訓(xùn)練數(shù)據(jù)集等多種重要信息，審計人員應(yīng)與被審計的個人信息處理者簽署保密協(xié)議，履行相關(guān)保密義務(wù)。最后，個人信息保護合規(guī)審計還應(yīng)兼顧審計充分與審計效率。一方面，審計人員應(yīng)充分獲取審計證據(jù)、充分分析并得出審計結(jié)論；另一方面，為避免審計發(fā)現(xiàn)滯后無效，審計工作周期不宜過長，同時也應(yīng)避免干擾個人信息處理者的正常經(jīng)營活動。

此外，個人信息處理具有場景化、動態(tài)化的特質(zhì)，個人信息保護合規(guī)審計還應(yīng)遵循一些特殊的審計原則。一方面，審計活動應(yīng)遵循定期審計、按需審計的動態(tài)審計原則；另一方面，個人信息保護合規(guī)審計還應(yīng)遵循分類分級原則。審計工作分類分級的合理性與可操作性主要來源于個人信息處理的場景化、個人信息處理環(huán)節(jié)的區(qū)分、個人信息分類分級等內(nèi)容。

5.3 審計依據(jù)

審計依據(jù)與個人信息保護合規(guī)審計的法律基礎(chǔ)或合法性依據(jù)不同，主要指用于確定審計內(nèi)容、判斷合規(guī)現(xiàn)狀的法律法規(guī)、技術(shù)標(biāo)準(zhǔn)等規(guī)范。雖然《個人信息保護法》第五十四條規(guī)定的審計依據(jù)限于“法律、行政法規(guī)”，但基于個人信息處理活動的復(fù)雜性、動態(tài)性、場景化等特征，依據(jù)法律、行政法規(guī)可能難以對合規(guī)審計工作提供較為具體的指引，因此在實踐中有必要將技術(shù)標(biāo)準(zhǔn)、監(jiān)管部門發(fā)布的規(guī)范性文件等作為合規(guī)審計的間接依據(jù)。《審計辦法》的附件“個人信息保護合規(guī)審計參考要點”即體現(xiàn)了這一擴張性需求，明確將“國家標(biāo)準(zhǔn)的強制性要求”納入審計要點。

但是，《審計辦法》附件中的參考要點仍具有一定的抽象性，個人信息處理者在具體適用時仍需要根據(jù)所在領(lǐng)域相關(guān)規(guī)范進一步細(xì)化審計要點。以近些年重點規(guī)制的汽車行業(yè)為例，除了一般性的法律法規(guī)，其審計依據(jù)還應(yīng)包括《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》《汽車采集數(shù)據(jù)處理安全指南》《信息安全技術(shù) 汽車數(shù)據(jù)處理安全要求》《網(wǎng)信汽車檢查清單》《工業(yè)和信息化部關(guān)于加強智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理的意見》等專門規(guī)定。

5.4 審計框架

科學(xué)合理的審計框架能夠提高審計效率，降低企業(yè)合規(guī)成本，同時避免使合規(guī)陷入形式主義的困局。綜合考察分析，本文認(rèn)為構(gòu)建審計框架一般可分為四個步驟。

5.4.1 確定審計對象與審計重點

不同行業(yè)的個人信息處理者、同一個人信息處理者的不同業(yè)務(wù)模塊下，個人信息處理活動存在較大差異，因此需要首先明確審計對象與審計重點。確定審計重點時應(yīng)以風(fēng)險評估、風(fēng)險控制為導(dǎo)向。在處理活動方面，敏感個人信息的處理、個人信息共享、自動化決策、告知同意等從不同維度體現(xiàn)了風(fēng)險內(nèi)涵，因此在進行風(fēng)險評估時需要考慮信息類型、處理環(huán)節(jié)、處理方式、用戶權(quán)利實現(xiàn)等多種風(fēng)險來源，同時結(jié)合業(yè)務(wù)實際確定審計重點。在業(yè)務(wù)領(lǐng)域方面，互聯(lián)網(wǎng)公司、金融、汽車、醫(yī)療健康等數(shù)據(jù)處理密集型行業(yè)之間的審計重點存在差異，但在各自領(lǐng)域內(nèi)的審計重點又存在共性，因此在實踐中應(yīng)構(gòu)建各行業(yè)領(lǐng)域內(nèi)通用型審計問題清單、注重個人信息保護合規(guī)審計示范機構(gòu)的作用，積極探索適合不同行業(yè)實際情況的審計要求，提高個人信息保護合規(guī)審計的效能和精準(zhǔn)度。在企業(yè)個人信息保護制度構(gòu)建與落實方面，個人信息保護合規(guī)審計內(nèi)容的確定應(yīng)兼顧管理控制和技術(shù)措施兩個維度，前者如個人信息處理者的數(shù)據(jù)處理規(guī)范、員工培訓(xùn)情況、數(shù)據(jù)訪問控制要求等，后者則面向法律法規(guī)、標(biāo)準(zhǔn)、企業(yè)內(nèi)部管理規(guī)范的具體落實情況。

個人信息處理者內(nèi)部員工的個人信息處理情況是否應(yīng)納入審計范圍存在爭議。從形式角度出發(fā)，個人信息保護合規(guī)審計是對個人信息處理活動遵守法律法規(guī)等情況的審查，理應(yīng)包含對內(nèi)部員工個人信息處理情況的審計。從實質(zhì)角度分析，個人信息保護合規(guī)審計的最終目的在于保護個人信息，發(fā)現(xiàn)并降低風(fēng)險至可控范圍內(nèi)。企業(yè)通常會在員工入職以及工作過程中收集大量個人信息，雙方簽訂的保密協(xié)議一般也為格式條款且實質(zhì)傾向于對企業(yè)利益的維護。實踐方面，美國伊利諾伊州《生物信息隱私法》(Biometric Information Privacy Act，BIPA)近些年司法案例中超過一半的案例都與企業(yè)非法收集、使用員工生物識別信息相關(guān)。因此，在個人信息保護合規(guī)審計中納入對內(nèi)部員工個人信息保護的審計具有必要性。

5.4.2 建立體系化的審計清單

個人信息處理者或?qū)I(yè)機構(gòu)應(yīng)根據(jù)審計重點、審計依據(jù)建立體系化的審計清單。審計清單的設(shè)計應(yīng)科學(xué)合理，預(yù)審問卷、審計項的分類、審計問題的設(shè)問方式、審計項依據(jù)的具體規(guī)定內(nèi)容及法律/標(biāo)準(zhǔn)效力層級、審計項涉及的審計人員及被審計方工作人員、審計結(jié)果分類分級、整改措施建議、備注信息等均為建立審計清單時應(yīng)考量的因素。以法律/標(biāo)準(zhǔn)效力層級為例，不同效力層級的規(guī)范在內(nèi)容上呈現(xiàn)出從一般到具體、在效力上呈現(xiàn)出從強制性到任意性的特點，進而對于審計項的設(shè)計、確定合規(guī)風(fēng)險的存在與風(fēng)險的大小、采取整改措施的優(yōu)先級等均具有重要指引作用。

5.4.3 確定審計方式并開展審計工作

根據(jù)審計清單明確審計項、被審計人員等內(nèi)容后，需要進一步確定合適的審計方式。常見的審計方式有訪談、文件檢查、現(xiàn)場檢查、日志分析、穿行測試等。

首先，審計方式的實施效果受審計人員與個人信息處理者內(nèi)部成員之間配合情況的影響。對于審計人員，應(yīng)遵從獨立性、保密性等審計原則。審計原則需要通過細(xì)化的審計要求具體落實到審計活動中，如《手冊》建議審計人員在提問時應(yīng)避免封閉式提問、假設(shè)性問題、誘導(dǎo)性問題，并要求審計結(jié)果具有可重復(fù)性。同時，與主要以個人信息處理活動風(fēng)險確定的審計對象、審計重點不同，在實際審計過程中審計人員面向的是不同的業(yè)務(wù)部門，這些業(yè)務(wù)部門的劃分并不與處理活動一一對應(yīng)，因此在進行審計時需要厘清不同的審計項應(yīng)采取的審計方法、面向的業(yè)務(wù)部門，以兼顧審計充分與審計效率的原則。對于個人信息處理者內(nèi)部成員，可通過內(nèi)部培訓(xùn)、會議宣傳等方式提高員工對審計活動的認(rèn)可度，促進審計工作的開展，提高審計結(jié)果的可靠性。

其次，應(yīng)關(guān)注自動化審計工具在審計工作中的使用，如中國信通院提供的數(shù)據(jù)資產(chǎn)分類分級工具、API接口安全審計工具、用九智匯提供的隱私合規(guī)套件等。自動化審計工具的使用不僅僅是為了提高審計效率，同時還能發(fā)現(xiàn)人工審計難以發(fā)現(xiàn)的問題。例如，某銀行內(nèi)審部門通過對平臺用戶行為的合理性進行自動化分析，發(fā)現(xiàn)某幾家信用卡管理平臺通過非法獲取的客戶身份驗證信息登錄客戶手機銀行并抓取其個人金融信息[19]。

5.5 審計結(jié)論分析與應(yīng)用

在采用合理的審計方式對審計清單中的審計項一一審計之后，需要對審計結(jié)果進行分析并提出整改措施。整改措施可能涉及個人信息保護的各個方面，如優(yōu)化個人信息處理的操作、訪問、審批等內(nèi)部流程，完善內(nèi)部管理制度，修訂合同協(xié)議等各個方面。

ICO要求被審計主體將審計結(jié)果對外披露并接受社會監(jiān)督，以發(fā)揮警示與教育作用[20]。不過，我國目前尚未規(guī)定個人信息保護合規(guī)審計報告披露相關(guān)的要求，在《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》中規(guī)定了大型互聯(lián)網(wǎng)平臺運營者對審計結(jié)果的披露義務(wù)。

6 個人信息保護合規(guī)審計的法律效力

在明確如何進行個人信息保護合規(guī)審計的基礎(chǔ)上，還需要回應(yīng)自主審計的效力、實施審計活動是否可以免責(zé)等問題。這些問題與個人信息保護合規(guī)審計法律效力相關(guān)，亦是促進個人信息處理者開展審計工作、提升個人信息保護能力的重點因素。

6.1 強制審計情形下重復(fù)審計的必要性

在強制審計的情形下，個人信息處理者若在監(jiān)管機構(gòu)要求前已經(jīng)內(nèi)部自主審計或委托第三方專業(yè)機構(gòu)審計是否可以免除強制審計的義務(wù)？本文認(rèn)為需要根據(jù)審計主體、監(jiān)管機構(gòu)所發(fā)現(xiàn)的風(fēng)險或安全事件的始點等因素綜合判斷是否需要再次審計。若在風(fēng)險或安全事件發(fā)生后個人信息處理者已經(jīng)委托第三方機構(gòu)進行合規(guī)審計，則沒有必要重復(fù)審計，根據(jù)審計結(jié)果及時完成整改措施即可，避免審計資源浪費和整改延遲。若審計活動是在風(fēng)險或安全事件發(fā)生前或企業(yè)內(nèi)部自主審計，則需要再次審計，以確保審計結(jié)論的真實可靠性。若網(wǎng)信辦等監(jiān)管部門后續(xù)發(fā)布了個人信息保護合規(guī)審計專業(yè)機構(gòu)推薦目錄，則委托的專業(yè)機構(gòu)是否在推薦目錄內(nèi)亦是企業(yè)是否需要再次審計的考慮因素。

6.2 個人信息保護合規(guī)審計的免責(zé)效力

個人信息保護合規(guī)審計是完善企業(yè)自身個人信息保護的重要工具，同時也是實現(xiàn)監(jiān)管機構(gòu)對個人信息保護問責(zé)的重要依據(jù)。實施個人信息合規(guī)審計是否可以免責(zé)亦是個人信息處理者重點關(guān)注的問題，對激勵個人信息處理者合規(guī)具有重要意義。在監(jiān)管政策方面，《法治中國建設(shè)規(guī)劃(2020—2025)》將包容審慎監(jiān)管作為新型監(jiān)管方式之一，落地體現(xiàn)為各地監(jiān)管部門發(fā)布的包容免罰、首違不罰等清單。在此背景下，《生成式人工智能服務(wù)管理暫行辦法》亦將“包容審慎”作為監(jiān)管原則之一，為包容免罰在該領(lǐng)域的落地實施提供了法律依據(jù)。

根據(jù)合規(guī)免責(zé)目的，合規(guī)免責(zé)可分為救濟型免責(zé)和預(yù)防型免責(zé)[21]。救濟型免責(zé)是指在企業(yè)發(fā)生違規(guī)事件后，監(jiān)管機構(gòu)以企業(yè)承諾在約定期限內(nèi)采取符合要求的合規(guī)管理措施為條件，減輕或免除企業(yè)全部或部分違規(guī)責(zé)任。2021年發(fā)布的《關(guān)于建立涉案企業(yè)合規(guī)第三方監(jiān)督評估機制的指導(dǎo)意見(試行)》可視為救濟型免責(zé)在我國的立法雛形。該指導(dǎo)意見對于認(rèn)罪認(rèn)罰、能夠正常生產(chǎn)經(jīng)營、承諾建立或者完善企業(yè)合規(guī)制度、適用第三方審計的企業(yè)采取不起訴等激勵措施。不過由于救濟型免責(zé)的正當(dāng)性問題，其適用范圍十分有限，發(fā)生違規(guī)事件后將審計和整改措施作為免責(zé)事由可能較為困難[9]。與救濟型免責(zé)相對應(yīng)的，是預(yù)防型免責(zé)，指企業(yè)為預(yù)防合規(guī)風(fēng)險的發(fā)生而事先建立的一套合規(guī)管理體系，在出現(xiàn)違規(guī)事件后，監(jiān)管機構(gòu)根據(jù)是否符合合規(guī)免責(zé)條件，在司法執(zhí)法活動中適當(dāng)免除或減輕處罰。我國目前雖然沒有明確規(guī)定合規(guī)免責(zé)的法律法規(guī)，但是在執(zhí)法活動、司法實踐中通常會也會考慮企業(yè)開展合規(guī)管理情況。雀巢員工侵犯公民信息案被稱為“中國合規(guī)無罪抗辯第一案”，本案中法院認(rèn)為合規(guī)文件充分證明雀巢公司已盡到合規(guī)管理的義務(wù)，具有規(guī)避、防范合規(guī)風(fēng)險的意識，并進行了合規(guī)培訓(xùn)，本案被告人違反雀巢公司的合規(guī)管理規(guī)定，應(yīng)屬個人行為，沒有認(rèn)定雀巢公司的單位犯罪((2016)甘0102刑初605號判決書)。綜上，個人信息處理者進行個人信息合規(guī)審計既是法定義務(wù)，也是完善企業(yè)個人信息保護、合理規(guī)避法律風(fēng)險的重要工作。

7 總結(jié)

作為《個人信息保護法》的重要制度之一，個人信息保護合規(guī)審計制度以個人信息保護風(fēng)險、合規(guī)風(fēng)險為導(dǎo)向，在監(jiān)管模式轉(zhuǎn)型的背景下，能夠推動政府與企業(yè)協(xié)同監(jiān)管、平衡個人與個人信息處理者之間非對稱的權(quán)利結(jié)構(gòu)。《個人信息保護法》規(guī)定了“自主審計+強制審計”雙層審計模式，并有望在其他法律法規(guī)中進一步細(xì)化完善。基于對個人信息保護合規(guī)審計理論邏輯的梳理與國內(nèi)外現(xiàn)有合規(guī)審計方案的研究，本文從審計制度的構(gòu)建、審計原則的落實、確保審計活動的有效性等多個角度出發(fā)試圖構(gòu)建體系化、科學(xué)性的審計框架，其合理性和可用性仍有待實踐進一步檢驗并完善。