胡耘通（博士生導師）

伴隨著數字經濟的迅猛發(fā)展、數字社會的積極建立，數據逐漸成為一種新型生產要素，數據安全也越發(fā)重要，而個人信息的數據保護已然成為整個數據安全體系的核心和基礎。在持續(xù)推進數字中國建設的戰(zhàn)略背景之下，《個人信息保護法》首次以法律形式明確了個人信息保護合規(guī)審計，具有非常重大的現實意義（陳智敏，2022）。但奇安信行業(yè)安全研究中心等單位聯合發(fā)布的《中國政企機構數據安全風險分析報告》顯示，個人信息數據被泄露的案件最多，2022 年3 ～9 月，全國約有868.8億條個人信息數據被泄露，相當于平均每人有62 條個人信息數據被以各種方式盜取、泄露，個人信息的數據安全保障情況堪憂。為回應現實的緊迫情勢，我國近年來陸續(xù)頒布《數據安全法》《個人信息保護法》等專門法律法規(guī)，為數據安全以及合規(guī)管理工作的依法開展提供了法定依據。與此同時，合規(guī)審計也成為一種新型的數據（信息）安全治理手段。《個人信息保護法》第54、64 條分別明確了個人信息處理的自主審計及監(jiān)管要求審計①；《網絡數據安全管理條例（征求意見稿）》第53、58條分別明確了年度審計及國家建立數據安全審計制度②?？梢?，在全面依法治國背景下，數據（信息）安全合規(guī)審計制度的建立完善是良法善治的必然要求。未來，個人信息保護合規(guī)審計將是一項常態(tài)化、持續(xù)性的制度工作。2023 年8 月，《個人信息保護合規(guī)審計管理辦法（征求意見稿）》（簡稱《征求意見稿》）具體落實了《個人信息保護法》第54、64條關于個人信息保護合規(guī)審計的條款，為合規(guī)審計工作制定了具體的執(zhí)行規(guī)則，將填補自《個人信息保護法》規(guī)定合規(guī)審計機制以來相關下位規(guī)范的空白。

一、《征求意見稿》的積極意義

《個人信息保護法》自2021年11月施行以來，針對個人信息保護的監(jiān)管力度不斷加大，公民個人的信息保護意識也顯著提升，濫用個人信息、侵犯個人信息權益等問題得到較大改善?！墩髑笠庖姼濉窂牧⒎康?、審計定義、審計對象、審計機構、審計啟動、審計時限、獨立性要求等方面進行了全面的規(guī)范，并發(fā)布了《合規(guī)審計參考要點》，為實際工作提供了操作指南。而加強個人信息保護，除強化法治宣傳以厘清個人在信息處理活動中的權利、明確個人信息處理者的義務外，合規(guī)審計不失為一件防范和控制個人信息處理風險的“利器”?！墩髑笠庖姼濉钒l(fā)布的目的就在于通過合規(guī)審計“提高個人信息處理活動合規(guī)水平，保護個人信息權益”。美國會計學家梅格斯曾言，我們正生活在一個履行受托責任的偉大時期。受托責任不僅是一種普遍的經濟關系，更是一種非靜止的社會活動關系?；谑芡胸熑侮P系，個人信息處理者處理個人信息，但源于信息非對稱等矛盾，個人為避免或減少由此帶來的損害，會對個人信息處理活動產生監(jiān)督需求，合規(guī)審計恰是對個人信息處理活動監(jiān)督需求的回應方式之一。個人信息保護合規(guī)審計通過審查、評價個人信息處理活動與法律法規(guī)、國家規(guī)定等相關標準的一致程度，揭示個人信息處理者的不合規(guī)或者違規(guī)情形，并按照相關規(guī)定予以披露、問責。由此不僅能提高個人信息處理活動的質量和保障水平，而且有助于減輕個人信息權益上的損害（陳炎，2022）。目前，個人信息保護合規(guī)審計僅處于探索階段，個人信息處理者對合規(guī)性、審計流程的理解判斷不一。總體而言，合規(guī)審計不僅是個人信息處理者實施自我治理、自我監(jiān)督的必要工具，也是監(jiān)管部門監(jiān)督個人信息處理者行為的重要方式。本質上，個人信息保護合規(guī)審計被視為對個人信息處理者針對個人信息處理、保護情形的功能性“體檢”，對個人信息處理者開展合規(guī)審計、建立多層次的個人信息保護體系、提升個人信息保護能力具有顯著效果。

二、擴充合規(guī)審計的評價依據

評價依據是合規(guī)審計工作的前提，要想通過合規(guī)審計工作得出適當的結論意見，就必須遵循科學、合理的評價依據。《征求意見稿》第3 條指出，“本辦法所稱個人信息保護合規(guī)審計，是指對個人信息處理者的個人信息處理活動是否遵守法律、行政法規(guī)的情況進行審查和評價的監(jiān)督活動”。該條規(guī)定除明確合規(guī)審計定義外，還提出了審查和評價的依據——“法律、行政法規(guī)”?！秱€人信息保護法》第51 條要求“個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等，采取下列措施確保個人信息處理活動符合法律、行政法規(guī)的規(guī)定……”；第54 條指出，“個人信息處理者應當定期對其處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計”?？梢姟秱€人信息保護法》僅明確了個人信息處理活動遵守、符合“法律、行政法規(guī)”的要求，但《征求意見稿》的審計評價依據是否限于“法律、行政法規(guī)”，評價標準的范圍是否較窄？值得進一步考量。

與此近似，《審計法》第3條規(guī)定“審計機關依據有關財政收支、財務收支的法律、法規(guī)和國家其他有關規(guī)定進行審計評價”；《中國注冊會計師審計準則第150號——對財務報表形成審計意見和出具審計報告》第11 條明確指出“注冊會計師應當就財務報表是否在所有重大方面按照適用的財務報告編制基礎的規(guī)定編制并實現公允反映形成審計意見”，此處的“財務報告編制基礎”就是評價依據?！胺伞⑿姓ㄒ?guī)”是否能夠涵蓋所有個人信息處理活動的全部標準？換句話說，其他法規(guī)或者國家規(guī)定是否會對個人信息處理活動進行規(guī)定？例如，《兒童個人信息網絡保護規(guī)定》屬于部門規(guī)章，當涉及兒童個人信息處理活動時，審計評價是否需要遵循？另外，《信息安全技術個人信息安全規(guī)范》（GB/T 35273-2020）、《信息安全技術個人信息安全影響評估指南》（GB/T 39335-2020）等國家標準，是否屬于合規(guī)審計的評價依據？實際上，隨著數據信息保護的縱深發(fā)展，醫(yī)療、金融、汽車等不同行業(yè)的監(jiān)管部門亦會制定相關準則，合規(guī)審計也應當遵從行業(yè)準則中設置的關于個人信息保護義務、責任方面的標準規(guī)定。按照循序漸進的原理，地方性法規(guī)、地方規(guī)章及其他國家規(guī)定應當成為審計評價依據。因此，建議將《審計法》第3 條修改為“本辦法所稱個人信息保護合規(guī)審計，是指對個人信息處理者的個人信息處理活動是否遵守法律、法規(guī)和國家其他有關規(guī)定的情況進行審查和評價的監(jiān)督活動”。當然，國家其他規(guī)定還應當涵蓋行業(yè)標準、地方標準等，具體適用于某個行業(yè)、某個區(qū)域的個人信息保護合規(guī)審計工作。

三、增加法律責任條款設置

法律責任是保障法律規(guī)范有效落實的重要環(huán)節(jié)。《征求意見稿》僅在第15 條明確規(guī)定，“違反本辦法規(guī)定的，依據《個人信息保護法》等法律法規(guī)處理；構成犯罪的，依法追究刑事責任”。但《個人信息保護法》也缺乏相關主體的法律責任條款，包括專業(yè)機構以及個人信息處理者的某些違法行為，均沒有設置法律責任條款。以專業(yè)機構為例，《征求意見稿》第14條明確了其從事合規(guī)審計活動中應當履行的義務，但未規(guī)定對應的法律責任條款，如果專業(yè)機構不能“誠信正直、公正客觀地作出合規(guī)審計職業(yè)判斷”，應如何承擔法律責任？如果專業(yè)機構“有出具虛假、失實報告等違規(guī)行為的”，僅是“永久禁止列入個人信息保護合規(guī)審計專業(yè)機構推薦目錄”，則法律責任與違法行為并不匹配。此外，《征求意見稿》第8條明確規(guī)定個人信息處理者“應當保證專業(yè)機構能夠正常行使下列權限……”，如果個人信息處理者違反該規(guī)定、出現不提供或者協助查閱相關文件或資料的情況，應如何追究相應的法律責任，也缺乏規(guī)定。再如，《征求意見稿》第7 條指出，“個人信息處理者按照履行個人信息保護職責的部門要求開展個人信息保護合規(guī)審計的，應當在收到通知后盡快按照要求選定專業(yè)機構進行個人信息保護合規(guī)審計”。這里的“盡快”含義并不明確，且對于沒有“盡快”進行合規(guī)審計的行為，也缺乏針對個人信息處理者的違法責任條款。

“沒有無權利的義務，也沒有無義務的權利”?；跈嗬x務相一致的基本理念，針對專業(yè)機構以及個人信息處理者的違法行為，筆者建議增補相應的法律責任條款。例如，如果個人信息處理者違反《征求意見稿》第7、8 條規(guī)定，不能盡快進行合規(guī)審計的、不能保證專業(yè)機構正常行使權限的，履行個人信息保護職責的部門（簡稱“監(jiān)管部門”）應當“責令改正，給予警告；拒不改正的，并處一百萬元以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款”。如果專業(yè)機構違反《征求意見稿》第14 條規(guī)定，出現不能“誠信正直、公正客觀地作出合規(guī)審計職業(yè)判斷”“轉包委托第三方開展個人信息保護合規(guī)審計”等情形，監(jiān)管部門應當“責令改正，給予警告；拒不改正的，并處一百萬元以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款”。當然，如果專業(yè)機構有出具虛假、失實報告等行為并構成犯罪的，則追究相應的刑事法律責任。

四、消除民事法律關系行政傾向

無論是自主實施審計，還是監(jiān)管要求審計，個人信息處理者與專業(yè)機構之間均是基于合同而建立的民事法律關系，應當首先符合民事法律關系的基本特征——平等性、自主性等，但現有規(guī)定帶有行政傾向。例如，《征求意見稿》第9 條規(guī)定，“個人信息處理者按照履行個人信息保護職責部門要求委托專業(yè)機構開展個人信息保護合規(guī)審計的，應當在90個工作日內完成個人信息保護合規(guī)審計；情況復雜的，報經履行個人信息保護職責的部門批準后可適當延長”。針對“情況復雜的”，延長合規(guī)審計期限，需要經過監(jiān)管部門批準。換句話說，基于個人信息處理者與專業(yè)機構之間被審計與審計的民事法律關系，延長審計期限需要監(jiān)管部門的“批準”，原本應當由民事法律關系的雙方當事人自主變更的“審計期限”，改為“批準”變更，即行政權力介入民事法律關系的運行，使民事法律關系的平等性、自主性受到影響。再如，《征求意見稿》第11條規(guī)定，“個人信息處理者按照履行個人信息保護職責的部門要求委托專業(yè)機構開展個人信息保護合規(guī)審計的，應當按照專業(yè)機構給出的整改建議進行整改，經專業(yè)機構復核后將整改情況報送履行個人信息保護職責的部門”。該條款“整改”帶有強制性，即“應當按照……整改建議”整改，并將整改情況報監(jiān)管部門。專業(yè)機構的審計意見、整改建議原本屬于民事法律關系的內容，一般也屬于雙方自愿協商的結果，只屬于約定條款，并非法定的權利義務內容，不具備強制性，顯然“應當……整改”的要求，帶有強制性的行政色彩，突破了當事人之間的民事法律關系屬性。

專業(yè)機構的合規(guī)審計與審計機關的國家審計并不相同，后者帶有行政執(zhí)法的屬性，審計機關的審計結果包括整改建議均具有具體行政行為的典型特點——強制性，且會追究不整改的法律責任③。歸根結底，專業(yè)機構的合規(guī)審計本質上仍屬于民事法律行為，不應具備法律上的強制性。因此，建議將《征求意見稿》第9條修改為“個人信息處理者按照履行個人信息保護職責部門要求委托專業(yè)機構開展個人信息保護合規(guī)審計的，應當在90 個工作日內完成個人信息保護合規(guī)審計；情況復雜的，經個人信息處理者、專業(yè)機構協商延長不超過30個工作日”；將第11條修改為“個人信息處理者按照履行個人信息保護職責的部門要求委托專業(yè)機構開展個人信息保護合規(guī)審計的，履行個人信息保護職責的部門審核專業(yè)機構的審計報告，要求個人信息處理者進行整改。專業(yè)機構復核整改情況，報送履行個人信息保護職責的部門。拒不整改或者整改不到位的，由履行個人信息保護職責的部門追究相應的法律責任”?？梢?，監(jiān)管部門在履行審核專業(yè)機構審計報告的職責之后，再依照相應的職權向個人信息處理者下達整改建議，由單純的民事法律關系變更為監(jiān)管部門與個人信息處理者之間的行政法律關系，不僅增強了整改建議的權威性，而且能確保民事法律關系與行政法律關系相互獨立，剝離了民事法律關系的行政傾向。

五、明確審計結果的具體意見形式

《征求意見稿》第10 條指出，“個人信息處理者按照履行個人信息保護職責部門要求委托專業(yè)機構開展個人信息保護合規(guī)審計的，應當按照本辦法要求組織實施個人信息保護合規(guī)審計，在實施必要合規(guī)審計程序后，及時將專業(yè)機構出具的個人信息保護合規(guī)審計報告報送履行個人信息保護職責的部門。個人信息保護合規(guī)審計報告應當由合規(guī)審計負責人、專業(yè)機構負責人簽字并加蓋專業(yè)機構公章”。該條款明確了審計報告生效的形式要求，即“簽字”+“公章”。但關于審計結果的實質規(guī)定顯然是匱乏和薄弱的，就本質而言，個人信息保護合規(guī)審計屬于一項審查、評價的監(jiān)督活動，既然涉及審查、評價，就需要出具相應的審計結果報告，個人信息處理是合規(guī)還是不合規(guī)，抑或是部分合規(guī)、部分不合規(guī)等。雖然審計不是一項完全的保證，但至少能夠給予相應的意見和建議，否則相應“整改”規(guī)定也無從談起。

與國家審計的行政執(zhí)法性質不同，專業(yè)機構作為民事法律主體，其審計行為更應當符合民事法律活動的特征。因此，專業(yè)機構應當參照《中國注冊會計師審計準則第1501號——對財務報表形成審計意見和出具審計報告》相關規(guī)定④出具審計結果，專業(yè)機構應當就個人信息處理活動是否遵守法律法規(guī)、國家相關規(guī)定的情況形成審計結果，具體包括：無保留意見——能夠遵守法律法規(guī)、國家相關規(guī)定；非無保留意見——視遵守或者違反法律法規(guī)、國家相關規(guī)定的情況或者無法獲得審計證據的情況以及嚴重程度，分別發(fā)表保留意見、否定意見或無法表示意見。

六、強化審計結果的公布與運用

在要求委托專業(yè)機構開展的個人信息保護合規(guī)審計中，監(jiān)管部門只要求“在實施必要合規(guī)審計程序后，及時將專業(yè)機構出具的個人信息保護合規(guī)審計報告報送”（《征求意見稿》第10 條）。該項規(guī)定中，一方面并未明確是否要公布該審計結果，另一方面也沒有明確“報送”之后如何運用該審計結果。實際上，《個人信息保護法》第61條要求履行個人信息保護職責的部門“組織對應用程序等個人信息保護情況進行測評，并公布測評結果”。可見，公布審計結果不僅屬于監(jiān)管部門履行職責的一種方式，而且有利于增強社會公眾監(jiān)督。此外，《征求意見稿》第11條規(guī)定，“個人信息處理者按照履行個人信息保護職責的部門要求委托專業(yè)機構開展個人信息保護合規(guī)審計的，應當按照專業(yè)機構給出的整改建議進行整改，經專業(yè)機構復核后將整改情況報送履行個人信息保護職責的部門”。此處“整改”被過度賦予了行政屬性，其原本屬于民事主體之間的自主行為。事實上，“整改”應當由監(jiān)管部門做出明確規(guī)定，而非專業(yè)機構的權力職責范圍。另外，對相關人員進行追責屬于合規(guī)審計結果的運用問題，也需要進一步明確和細化。

基于此，建議將《征求意見稿》第10 條修改為“個人信息處理者按照履行個人信息保護職責部門要求委托專業(yè)機構開展個人信息保護合規(guī)審計的，個人信息處理者應當及時將審計報告報送履行個人信息保護職責的部門。履行個人信息保護職責的部門在符合相關保密規(guī)定的情形下，向社會公開審計結果”。這一方面可將審計結果對外公開，以有效接受社會監(jiān)督，另一方面也能夠發(fā)揮警示與教育作用（賈丹等，2022）。并且，監(jiān)管部門應當依據審計結果對個人信息處理者及相關人員給予相應的處理處罰措施，包括納入誠信建設體系等，以提高個人信息保護的社會認可度和接受度，同時提高個人信息處理者及相關人員的違法成本。

七、其他需要完善的內容

《征求意見稿》作為一項創(chuàng)新型立法，還有部分條文值得商榷完善。例如，第7 條指出，“個人信息處理者按照履行個人信息保護職責的部門要求開展個人信息保護合規(guī)審計的，應當在收到通知后盡快按照要求選定專業(yè)機構進行個人信息保護合規(guī)審計”。此處應當明確“盡快”的涵義，建議修改為“10 個工作日”。再如，第14條指出，“專業(yè)機構在履行個人信息保護合規(guī)審計職責時不得惡意干擾個人信息處理者的正常經營活動”。此處“惡意”作為主觀意愿，在實踐中難以判斷，建議刪除“惡意”二字。

總體來說，《征求意見稿》具有極顯著的開拓意識和時代特色，回應了全面依法治國以及數據信息保護的基本訴求。如果期望發(fā)揮應有的作用，應當進一步堅持開門立法、科學立法的基本原則，多方吸納各種有益意見和建議，進而完善《征求意見稿》的基本內容，從而發(fā)揮其在個人信息保護領域的應有功能。

【注 釋】

①《個人信息保護法》第54條規(guī)定，“個人信息處理者應當定期對其處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計”。第64條規(guī)定，“履行個人信息保護職責的部門在履行職責中，發(fā)現個人信息處理活動存在較大風險或者發(fā)生個人信息安全事件的，可以按照規(guī)定的權限和程序對該個人信息處理者的法定代表人或者主要負責人進行約談，或者要求個人信息處理者委托專業(yè)機構對其個人信息處理活動進行合規(guī)審計。個人信息處理者應當按照要求采取措施，進行整改，消除隱患”。

②《網絡數據安全管理條例（征求意見稿）》第53 條規(guī)定“大型互聯網平臺運營者應當通過委托第三方審計方式，每年對平臺數據安全情況等進行年度審計，并披露審計結果”。第58條規(guī)定，“國家建立數據安全審計制度。數據處理者應當委托數據安全審計專業(yè)機構定期對其處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計”。

③《審計法》第52條指出，“審計結果以及整改情況應當作為考核、任免、獎懲領導干部和制定政策、完善制度的重要參考；拒不整改或者整改時弄虛作假的，依法追究法律責任”。

④《中國注冊會計師審計準則第1501 號——對財務報表形成審計意見和出具審計報告》第11條規(guī)定，“注冊會計師應當就財務報表是否在所有重大方面按照適用的財務報告編制基礎的規(guī)定編制并實現公允反映形成審計意見”；第17條規(guī)定，“如果認為財務報表在所有重大方面按照適用的財務報告編制基礎的規(guī)定編制并實現公允反映，注冊會計師應當發(fā)表無保留意見”。

【 主要參考文獻】

陳炎.個人信息處理合規(guī)審計制度的意義、目標與功能［J］.審計觀察，2022（12）：12 ～17.

陳智敏.個人信息保護合規(guī)審計系統(tǒng)構建研究［J］.審計觀察，2022（12）：18～22.

賈丹，張譽馨，王姍.我國個人信息保護合規(guī)審計制度的路徑探討［J］.工業(yè)信息安全，2022（4）：17 ～22