任昊源，王穎（副教授）

2022 年我國(guó)數(shù)字經(jīng)濟(jì)規(guī)模為50.2 萬(wàn)億元，占GDP 的比重達(dá)到41.5%①。數(shù)字經(jīng)濟(jì)在創(chuàng)造巨大經(jīng)濟(jì)價(jià)值的同時(shí)，也帶來(lái)了日益嚴(yán)峻的數(shù)據(jù)安全問(wèn)題，引發(fā)了全社會(huì)的廣泛關(guān)注。為保護(hù)個(gè)人信息權(quán)益，促進(jìn)個(gè)人信息的合法合規(guī)使用，我國(guó)于2021年8月20日審議通過(guò)了《個(gè)人信息保護(hù)法》，自2021 年11 月1 日起實(shí)施?！秱€(gè)人信息保護(hù)法》第54 條和第64 條均明確提出對(duì)個(gè)人信息處理者②開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)的要求，以評(píng)價(jià)和監(jiān)督個(gè)人信息處理活動(dòng)，降低個(gè)人信息保護(hù)合規(guī)風(fēng)險(xiǎn)。本文以《個(gè)人信息保護(hù)法》實(shí)施為背景，對(duì)我國(guó)個(gè)人信息保護(hù)合規(guī)審計(jì)的研究現(xiàn)狀進(jìn)行梳理，分析個(gè)人信息保護(hù)合規(guī)審計(jì)的重點(diǎn)內(nèi)容和程序。同時(shí)針對(duì)個(gè)人信息保護(hù)合規(guī)審計(jì)在實(shí)務(wù)開(kāi)展中面臨的困境，提出相應(yīng)的建議。

一、文獻(xiàn)回顧

個(gè)人信息保護(hù)屬于跨學(xué)科研究問(wèn)題，學(xué)者主要從法學(xué)和計(jì)算機(jī)科學(xué)等視角對(duì)其展開(kāi)廣泛探討，但對(duì)個(gè)人信息保護(hù)合規(guī)審計(jì)的研究還比較少。本文擬從個(gè)人信息保護(hù)和個(gè)人信息保護(hù)合規(guī)審計(jì)兩個(gè)方面進(jìn)行文獻(xiàn)回顧。

（一）個(gè)人信息保護(hù)研究

本文在CNKI 中國(guó)學(xué)術(shù)期刊網(wǎng)絡(luò)出版總庫(kù)（CAJD）中以“個(gè)人信息保護(hù)”為關(guān)鍵詞，對(duì)1997～2022 年收錄于北大核心、CSSCI和CSCD 的期刊進(jìn)行檢索，共獲得文獻(xiàn)資料1574篇。對(duì)個(gè)人信息保護(hù)的研究總體分為三個(gè)階段。

第一個(gè)階段為探索期（1997～2002 年）。這一階段表現(xiàn)出兩個(gè)趨勢(shì)。一是不斷加強(qiáng)對(duì)國(guó)外個(gè)人隱私保護(hù)政策的介紹。例如：貝內(nèi)特（1997）在對(duì)加拿大《魁北克68號(hào)法案》和《電子通訊法案》進(jìn)行介紹的基礎(chǔ)上，對(duì)加拿大個(gè)人隱私保護(hù)政策的要點(diǎn)進(jìn)行了總結(jié)；周建（2001）對(duì)美國(guó)《隱私權(quán)法（1974）》中政府機(jī)構(gòu)采集、使用、公開(kāi)個(gè)人記錄的規(guī)定進(jìn)行了詳細(xì)介紹，認(rèn)為《隱私權(quán)法（1974）》更多的是以限制政府公開(kāi)個(gè)人記錄的方式來(lái)保護(hù)個(gè)人信息。二是開(kāi)始對(duì)個(gè)人信息隱私保護(hù)技術(shù)進(jìn)行探索。例如，孔令飛和王義剛（2000）對(duì)用于個(gè)人信息保護(hù)的密鑰算法進(jìn)行探索，形成了一種便于記憶、具有容錯(cuò)性的個(gè)人信息保護(hù)方案。第二個(gè)階段為發(fā)展期（2003～2020 年）。隨著網(wǎng)上購(gòu)物帶來(lái)的消費(fèi)者個(gè)人隱私泄露事件的頻繁發(fā)生，學(xué)者開(kāi)始關(guān)注消費(fèi)者隱私泄露的法律保護(hù)問(wèn)題。以鄭成思（2003）為代表的法學(xué)學(xué)者基于21 世紀(jì)初我國(guó)信息網(wǎng)絡(luò)發(fā)展趨勢(shì)及電子商務(wù)中面臨的隱私保護(hù)問(wèn)題，呼吁對(duì)個(gè)人信息保護(hù)進(jìn)行立法。此后學(xué)者對(duì)個(gè)人信息保護(hù)的立法模式（楊佶，2012；侯富強(qiáng)，2015）、立法路徑（姬蕾蕾，2017；李美艷，2018）等問(wèn)題進(jìn)行了深入研究。經(jīng)過(guò)多年的立法探索，我國(guó)于2020 年發(fā)布《個(gè)人信息保護(hù)法（草案）》，并向社會(huì)公開(kāi)征求意見(jiàn)。但在個(gè)人信息保護(hù)的立法實(shí)踐上歐美走在前列。美國(guó)于2015 年發(fā)布《消費(fèi)者隱私權(quán)利法案（草案）》，歐盟于2016年頒布《通用數(shù)據(jù)保護(hù)條例》。第三個(gè)階段為繁榮期（2021年至今）。隨著2021年《個(gè)人信息保護(hù)法》在我國(guó)正式實(shí)施，學(xué)者對(duì)《個(gè)人信息保護(hù)法》的解讀（彭桂兵和丁奕雯，2021；王利明和丁曉東，2021）及其在實(shí)踐應(yīng)用中的具體法律問(wèn)題（周光權(quán)，2021；朱榮榮，2022）展開(kāi)廣泛探討，這助推我國(guó)的個(gè)人信息保護(hù)研究進(jìn)入繁榮階段。

（二）個(gè)人信息保護(hù)合規(guī)審計(jì)研究

現(xiàn)有文獻(xiàn)較少對(duì)個(gè)人信息保護(hù)合規(guī)審計(jì)進(jìn)行專門研究，相關(guān)研究大多集中在與個(gè)人信息保護(hù)相關(guān)的數(shù)據(jù)合規(guī)審計(jì)領(lǐng)域。在立法層面，目前國(guó)內(nèi)外均對(duì)數(shù)據(jù)合規(guī)審計(jì)做出相關(guān)要求。歐盟于2016 年正式頒布《通用數(shù)據(jù)保護(hù)條例》，英國(guó)信息專員辦公室于2021 年發(fā)布《數(shù)據(jù)審計(jì)指南》，法國(guó)數(shù)據(jù)保護(hù)局于2020 年發(fā)布《審計(jì)程序指南》，均對(duì)數(shù)據(jù)合規(guī)審計(jì)提出具體要求。我國(guó)除2021 年正式實(shí)施的《個(gè)人信息保護(hù)法》外，國(guó)家網(wǎng)信辦于2023 年8 月發(fā)布《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法（征求意見(jiàn)稿）》，以指導(dǎo)個(gè)人信息保護(hù)合規(guī)審計(jì)的有效開(kāi)展。

從審計(jì)需求來(lái)看，陳智敏（2022）認(rèn)為推進(jìn)個(gè)人信息保護(hù)合規(guī)審計(jì)不僅是保障個(gè)人信息安全的需要，也是維護(hù)社會(huì)安全穩(wěn)定和推進(jìn)數(shù)字中國(guó)建設(shè)的需要。從審計(jì)主體來(lái)看，傳統(tǒng)領(lǐng)域的合規(guī)審計(jì)主體更多的是政府審計(jì)和內(nèi)部審計(jì)（鄭石橋等，2019），而與個(gè)人信息保護(hù)相關(guān)的數(shù)據(jù)合規(guī)審計(jì)，由于直接涉及社會(huì)公眾的個(gè)人信息權(quán)益，除政府審計(jì)和內(nèi)部審計(jì)發(fā)揮作用外，還需要市場(chǎng)化程度更高的社會(huì)審計(jì)參與其中，以發(fā)揮其第三方獨(dú)立評(píng)價(jià)職能（閆夏秋，2023）。從審計(jì)內(nèi)容來(lái)看，敬力嘉（2022）認(rèn)為個(gè)人信息保護(hù)合規(guī)審計(jì)不僅要審查個(gè)人信息保護(hù)合規(guī)體系的完整性，也要關(guān)注企業(yè)是否具備應(yīng)對(duì)違法違規(guī)處理個(gè)人信息行為的能力，同時(shí)不能忽略對(duì)員工行為合規(guī)性的審查。從審計(jì)程序來(lái)看，賈丹等（2022）認(rèn)為個(gè)人信息保護(hù)合規(guī)審計(jì)除包括傳統(tǒng)審計(jì)程序外，還應(yīng)增加審計(jì)跟蹤階段，以形成有效的閉環(huán)管理。

（三）研究述評(píng)

綜上所述，為有效保障個(gè)人信息權(quán)益，學(xué)者從多學(xué)科視角對(duì)個(gè)人信息保護(hù)進(jìn)行了有益的探索，推動(dòng)我國(guó)《個(gè)人信息保護(hù)法》實(shí)現(xiàn)立法，促進(jìn)我國(guó)個(gè)人信息保護(hù)進(jìn)入新的階段。但鮮有文獻(xiàn)對(duì)個(gè)人信息保護(hù)合規(guī)審計(jì)進(jìn)行系統(tǒng)研究，這與《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息保護(hù)合規(guī)審計(jì)的要求存在較大差距。因此，本文擬結(jié)合《個(gè)人信息保護(hù)法》的具體規(guī)定系統(tǒng)分析個(gè)人信息保護(hù)合規(guī)審計(jì)的重點(diǎn)內(nèi)容，在參考合規(guī)審計(jì)一般要求和個(gè)人信息保護(hù)特殊性的基礎(chǔ)上分析個(gè)人信息保護(hù)合規(guī)審計(jì)的程序，并在深入分析個(gè)人信息保護(hù)合規(guī)審計(jì)困境的基礎(chǔ)上提出應(yīng)對(duì)策略。

二、個(gè)人信息保護(hù)合規(guī)審計(jì)的內(nèi)容

（一）個(gè)人信息保護(hù)合規(guī)審計(jì)的概念界定

2022 年8月國(guó)務(wù)院國(guó)資委發(fā)布《中央企業(yè)合規(guī)管理辦法》，對(duì)“合規(guī)”提出三個(gè)層面的要求：一是在企業(yè)規(guī)章層面，要求企業(yè)經(jīng)營(yíng)管理行為及員工履職行為要符合企業(yè)章程和規(guī)章制度的要求；二是在行業(yè)監(jiān)管層面，要求企業(yè)經(jīng)營(yíng)管理行為及員工履職行為要符合法律法規(guī)、監(jiān)管規(guī)定和行業(yè)準(zhǔn)則的要求；三是在國(guó)際公約層面，要求企業(yè)經(jīng)營(yíng)管理行為及員工履職行為要符合國(guó)際條約和國(guó)際規(guī)則的要求。個(gè)人信息保護(hù)的合規(guī)管理同樣要遵循上述三個(gè)層面的合規(guī)要求。

為有效防范個(gè)人信息保護(hù)合規(guī)風(fēng)險(xiǎn)，將審計(jì)嵌入個(gè)人信息保護(hù)合規(guī)管理的評(píng)價(jià)和監(jiān)督中，就形成了個(gè)人信息保護(hù)合規(guī)審計(jì)。個(gè)人信息保護(hù)合規(guī)審計(jì)是指審計(jì)機(jī)構(gòu)和審計(jì)人員以個(gè)人信息保護(hù)的相關(guān)法律、規(guī)則及準(zhǔn)則為依據(jù)，對(duì)被審計(jì)單位及其員工的個(gè)人信息保護(hù)行為是否合規(guī)所實(shí)施的一種監(jiān)督活動(dòng)。由于個(gè)人信息兼具私有屬性和公共屬性的特征，個(gè)人信息保護(hù)合規(guī)審計(jì)要實(shí)現(xiàn)雙重目標(biāo)：從個(gè)人信息的私有屬性出發(fā)，個(gè)人信息保護(hù)合規(guī)審計(jì)要實(shí)現(xiàn)監(jiān)管型目標(biāo)，規(guī)范個(gè)人信息處理活動(dòng)，防范侵害個(gè)人信息權(quán)益事件的發(fā)生；從個(gè)人信息的公共屬性出發(fā)，個(gè)人信息保護(hù)合規(guī)審計(jì)要實(shí)現(xiàn)服務(wù)型目標(biāo)，促進(jìn)個(gè)人信息社會(huì)價(jià)值和使用價(jià)值的發(fā)揮。

（二）個(gè)人信息保護(hù)合規(guī)審計(jì)的重點(diǎn)內(nèi)容

《個(gè)人信息保護(hù)法》重點(diǎn)對(duì)個(gè)人信息處理者的義務(wù)、個(gè)人信息主體的權(quán)利實(shí)現(xiàn)方式、個(gè)人信息處理活動(dòng)和個(gè)人信息跨境提供活動(dòng)提出了合規(guī)要求。因此在開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)時(shí)，應(yīng)重點(diǎn)審計(jì)以下四個(gè)方面的內(nèi)容。

1.對(duì)個(gè)人信息處理者義務(wù)的合規(guī)審計(jì)。個(gè)人信息處理者的義務(wù)是指為確保個(gè)人信息處理活動(dòng)符合法律法規(guī)的要求，同時(shí)防止個(gè)人信息泄露、篡改、丟失以及未經(jīng)授權(quán)訪問(wèn)，個(gè)人信息處理者應(yīng)履行的安全保障義務(wù)。審計(jì)的重點(diǎn)內(nèi)容包括：一是重點(diǎn)審計(jì)個(gè)人信息保護(hù)合規(guī)制度的建設(shè)情況，重點(diǎn)關(guān)注個(gè)人信息處理者是否按照法律法規(guī)的要求建立個(gè)人信息保護(hù)的內(nèi)部管理制度和操作流程。二是重點(diǎn)審計(jì)個(gè)人信息保護(hù)合規(guī)制度的遵守情況，重點(diǎn)關(guān)注個(gè)人信息處理者是否按照法規(guī)要求并結(jié)合自身業(yè)務(wù)特點(diǎn)進(jìn)行個(gè)人信息的分類管理，是否采取網(wǎng)絡(luò)安全等基礎(chǔ)安全控制措施和加密等安全技術(shù)措施，是否定期對(duì)員工開(kāi)展個(gè)人信息保護(hù)安全培訓(xùn)，是否制定個(gè)人信息安全事件應(yīng)急預(yù)案并定期進(jìn)行應(yīng)急演練。三是如果對(duì)提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者進(jìn)行個(gè)人信息保護(hù)合規(guī)審計(jì)，還應(yīng)關(guān)注其是否成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督，是否按照公開(kāi)、公平、公正的原則明確平臺(tái)的個(gè)人信息保護(hù)規(guī)范和義務(wù)，是否定期發(fā)布個(gè)人信息保護(hù)社會(huì)責(zé)任報(bào)告等。

2.對(duì)個(gè)人信息主體權(quán)利實(shí)現(xiàn)方式的合規(guī)審計(jì)。個(gè)人信息主體的權(quán)利是指?jìng)€(gè)人信息主體在個(gè)人信息處理活動(dòng)中所享有的知情權(quán)、決定權(quán)、查閱權(quán)、復(fù)制權(quán)、轉(zhuǎn)移權(quán)、更正權(quán)、補(bǔ)充權(quán)、刪除權(quán)、要求解釋權(quán)和代行使權(quán)。在進(jìn)行個(gè)人信息主體權(quán)利實(shí)現(xiàn)方式的合規(guī)審計(jì)時(shí)，審計(jì)的重點(diǎn)內(nèi)容是個(gè)人信息處理者是否有效響應(yīng)個(gè)人信息主體的各項(xiàng)權(quán)利，以及是否為個(gè)人信息主體行使各項(xiàng)權(quán)利提供對(duì)應(yīng)的申請(qǐng)受理和處理機(jī)制等。

3.對(duì)個(gè)人信息處理活動(dòng)的合規(guī)審計(jì)。個(gè)人信息處理活動(dòng)包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)和刪除等活動(dòng)。審計(jì)的重點(diǎn)內(nèi)容包括：一是在個(gè)人信息收集活動(dòng)的合規(guī)審計(jì)中，重點(diǎn)關(guān)注個(gè)人信息收集是否獲得授權(quán)同意，收集方式是否具有合法正當(dāng)性，收集目的是否明確且合理，收集范圍是否存在超范圍收集情況，收集頻率是否為所必需的最低頻率，收集數(shù)量是否為所必需的最小數(shù)量。二是在個(gè)人信息存儲(chǔ)活動(dòng)的合規(guī)審計(jì)中，重點(diǎn)關(guān)注存儲(chǔ)期限是否為所必要的最短時(shí)間，存儲(chǔ)地點(diǎn)是否存在境內(nèi)存儲(chǔ)的要求，存儲(chǔ)技術(shù)是否采用加密和去標(biāo)識(shí)化等安全措施，存儲(chǔ)設(shè)置是否具有備份和恢復(fù)策略。三是在個(gè)人信息使用和加工活動(dòng)的合規(guī)審計(jì)中，重點(diǎn)關(guān)注是否超范圍使用個(gè)人信息，是否對(duì)個(gè)人敏感信息進(jìn)行脫敏展示，是否對(duì)個(gè)人信息查詢進(jìn)行授權(quán)管理，是否對(duì)個(gè)人信息加工處理過(guò)程進(jìn)行防泄露管控。四是在個(gè)人信息傳輸活動(dòng)的合規(guī)審計(jì)中，重點(diǎn)關(guān)注是否對(duì)個(gè)人信息傳輸進(jìn)行分級(jí)管控，是否進(jìn)行傳輸前的授權(quán)批準(zhǔn)，是否對(duì)個(gè)人信息進(jìn)行校驗(yàn)，是否采用入侵檢測(cè)等安全技術(shù)進(jìn)行傳輸安全保障。五是在個(gè)人信息提供活動(dòng)的合規(guī)審計(jì)中，重點(diǎn)關(guān)注個(gè)人信息提供活動(dòng)是否向信息主體盡到告知義務(wù)，提供范圍是否超出個(gè)人同意范疇，是否和信息接收方簽署責(zé)任協(xié)議并約束接收方行為。六是在個(gè)人信息公開(kāi)活動(dòng)的合規(guī)審計(jì)中，重點(diǎn)關(guān)注公開(kāi)披露是否得到信息主體的單獨(dú)同意、是否存在適當(dāng)?shù)男畔⒈Ｗo(hù)措施、是否存在披露規(guī)則并進(jìn)行準(zhǔn)確記錄。七是在個(gè)人信息刪除活動(dòng)的合規(guī)審計(jì)中，重點(diǎn)關(guān)注是否具有受理個(gè)人信息刪除訴求的途徑，是否按照法規(guī)要求主動(dòng)刪除個(gè)人信息或按照信息主體要求刪除個(gè)人信息等。

4.對(duì)個(gè)人信息跨境提供活動(dòng)的合規(guī)審計(jì)。個(gè)人信息跨境提供活動(dòng)是指?jìng)€(gè)人信息處理者將在中國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息向中國(guó)境外提供的行為。在進(jìn)行個(gè)人信息跨境提供活動(dòng)的合規(guī)審計(jì)時(shí)，應(yīng)重點(diǎn)關(guān)注跨境提供個(gè)人信息是否滿足安全評(píng)估、個(gè)人信息保護(hù)認(rèn)證、標(biāo)準(zhǔn)合同簽約等基本條件，是否在跨境提供前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估，是否在跨境提供前向信息主體盡到告知義務(wù)并獲取同意，是否經(jīng)過(guò)中國(guó)主管機(jī)構(gòu)批準(zhǔn)后向境外司法和執(zhí)法機(jī)構(gòu)提供，是否存在向列入限制或者禁止清單的境外組織和個(gè)人提供個(gè)人信息的情形，是否對(duì)跨境提供的數(shù)據(jù)提供安全保障措施等。

三、個(gè)人信息保護(hù)合規(guī)審計(jì)程序

個(gè)人信息保護(hù)合規(guī)審計(jì)既可以由個(gè)人信息處理者的治理層發(fā)起③，也可以由履行個(gè)人信息保護(hù)職責(zé)的政府監(jiān)管部門發(fā)起④。不同發(fā)起主體下個(gè)人信息保護(hù)合規(guī)審計(jì)的程序存在差異。由個(gè)人信息處理者治理層發(fā)起的個(gè)人信息保護(hù)合規(guī)審計(jì)屬于個(gè)人信息處理者內(nèi)部組織開(kāi)展的審計(jì)，審計(jì)程序要遵循內(nèi)部審計(jì)準(zhǔn)則的相關(guān)要求。由履行個(gè)人信息保護(hù)職責(zé)的政府監(jiān)管部門發(fā)起的個(gè)人信息保護(hù)合規(guī)審計(jì)要遵循政府部門發(fā)布的關(guān)于個(gè)人信息保護(hù)合規(guī)審計(jì)相關(guān)的管理規(guī)范。

（一）個(gè)人信息處理者治理層發(fā)起的個(gè)人信息保護(hù)合規(guī)審計(jì)程序

由個(gè)人信息處理者治理層發(fā)起的個(gè)人信息保護(hù)合規(guī)審計(jì)既可以委托內(nèi)部審計(jì)部門實(shí)施，也可以委托社會(huì)審計(jì)中的第三方獨(dú)立審計(jì)機(jī)構(gòu)實(shí)施，在審計(jì)程序上要遵循內(nèi)部審計(jì)準(zhǔn)則的要求。按照中國(guó)內(nèi)部審計(jì)協(xié)會(huì)發(fā)布的《第1101號(hào)——內(nèi)部審計(jì)基本準(zhǔn)則》的規(guī)定，完整的審計(jì)程序包括審計(jì)計(jì)劃、審計(jì)準(zhǔn)備、審計(jì)實(shí)施、審計(jì)報(bào)告和審計(jì)整改。具體如圖1所示。此外，在個(gè)人信息處理者治理層委托第三方獨(dú)立審計(jì)機(jī)構(gòu)實(shí)施個(gè)人信息保護(hù)合規(guī)審計(jì)時(shí)，還應(yīng)遵循《第2309 號(hào)內(nèi)部審計(jì)具體準(zhǔn)則——內(nèi)部審計(jì)業(yè)務(wù)外包管理》的相關(guān)規(guī)定。內(nèi)部審計(jì)部門或第三方獨(dú)立審計(jì)機(jī)構(gòu)在實(shí)施個(gè)人信息保護(hù)合規(guī)審計(jì)過(guò)程中，要對(duì)個(gè)人信息處理者的治理層負(fù)責(zé)，將審計(jì)報(bào)告及整改結(jié)果向個(gè)人信息處理者治理層報(bào)告。

圖1 個(gè)人信息處理者治理層發(fā)起的個(gè)人信息保護(hù)合規(guī)審計(jì)程序

1.審計(jì)計(jì)劃階段。在審計(jì)計(jì)劃階段，個(gè)人信息保護(hù)合規(guī)審計(jì)既要制定中長(zhǎng)期的審計(jì)規(guī)劃，也要編制年度審計(jì)計(jì)劃和項(xiàng)目審計(jì)方案。首先，將個(gè)人信息保護(hù)合規(guī)審計(jì)納入總體審計(jì)規(guī)劃。結(jié)合外部法律法規(guī)和監(jiān)管政策的要求，參考同行業(yè)侵害個(gè)人信息權(quán)益的違法違規(guī)事件，考慮內(nèi)部管理對(duì)個(gè)人信息保護(hù)機(jī)制的建設(shè)需求，合理制定個(gè)人信息保護(hù)合規(guī)審計(jì)的中長(zhǎng)期審計(jì)規(guī)劃。其次，基于審計(jì)規(guī)劃的結(jié)果，編制個(gè)人信息保護(hù)合規(guī)審計(jì)的年度計(jì)劃。在個(gè)人信息保護(hù)合規(guī)風(fēng)險(xiǎn)評(píng)估基礎(chǔ)上，結(jié)合審計(jì)資源配置情況，確定個(gè)人信息保護(hù)合規(guī)審計(jì)的年度目標(biāo)、擬實(shí)施的審計(jì)項(xiàng)目、實(shí)施時(shí)間，并確定是否需要委托第三方獨(dú)立審計(jì)機(jī)構(gòu)以及委托實(shí)施的具體審計(jì)項(xiàng)目。最后，編制具體項(xiàng)目的個(gè)人信息保護(hù)合規(guī)審計(jì)方案。根據(jù)個(gè)人信息保護(hù)合規(guī)審計(jì)年度計(jì)劃確定的審計(jì)項(xiàng)目，制定具體項(xiàng)目的審計(jì)方案。審計(jì)方案內(nèi)容包括審計(jì)項(xiàng)目的基礎(chǔ)信息、審計(jì)目標(biāo)與重點(diǎn)、審計(jì)程序與方法、審計(jì)資源的分配、對(duì)外部信息技術(shù)專家及法律專家的利用等。在委托第三方獨(dú)立審計(jì)機(jī)構(gòu)時(shí)，個(gè)人信息處理者治理層等相關(guān)方還需與第三方獨(dú)立審計(jì)機(jī)構(gòu)溝通個(gè)人信息保護(hù)合規(guī)審計(jì)方案，確保其符合個(gè)人信息保護(hù)監(jiān)管政策要求。

2.審計(jì)準(zhǔn)備階段。在審計(jì)準(zhǔn)備階段，要為個(gè)人信息保護(hù)合規(guī)審計(jì)項(xiàng)目的具體實(shí)施提供所需的條件。一是開(kāi)展審前調(diào)查。通過(guò)現(xiàn)場(chǎng)查看、面談交流、資料分析、書(shū)面描述、實(shí)施分析性程序等方法總體把握個(gè)人信息保護(hù)合規(guī)審計(jì)項(xiàng)目的基本情況。二是明確審計(jì)內(nèi)容和范圍。在審前調(diào)查基礎(chǔ)上，結(jié)合個(gè)人信息使用場(chǎng)景、個(gè)人信息處理活動(dòng)和保護(hù)措施現(xiàn)狀等，確定具體項(xiàng)目的審計(jì)內(nèi)容和審計(jì)范圍。三是確定合規(guī)審計(jì)的開(kāi)展方式。結(jié)合審計(jì)資源的投入情況、審計(jì)工具的使用情況和審計(jì)專業(yè)能力情況，靈活選擇專項(xiàng)審計(jì)方式、持續(xù)審計(jì)方式或在其他審計(jì)項(xiàng)目中協(xié)同開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)的方式。四是確認(rèn)內(nèi)外部資源支持情況。對(duì)開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)所需的人力資源、財(cái)務(wù)資源、技術(shù)資源、信息情報(bào)資源以及外部專家資源等的準(zhǔn)備情況進(jìn)行確認(rèn)，以確保審計(jì)工作的順利開(kāi)展。此外，在委托第三方獨(dú)立審計(jì)機(jī)構(gòu)時(shí)，個(gè)人信息處理者應(yīng)為第三方獨(dú)立審計(jì)機(jī)構(gòu)開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)提供所必需的工作條件和權(quán)限，確保第三方獨(dú)立審計(jì)機(jī)構(gòu)能夠順利開(kāi)展審計(jì)工作。

3.審計(jì)實(shí)施階段。在審計(jì)實(shí)施階段，為確保審計(jì)目標(biāo)的實(shí)現(xiàn)，可綜合使用多種審計(jì)方法。一是訪談法?？赏ㄟ^(guò)線上或線下方式對(duì)授權(quán)訪問(wèn)個(gè)人信息的人員進(jìn)行訪談，了解個(gè)人信息處理活動(dòng)的基本狀況。二是文件檢查法。對(duì)個(gè)人信息安全管理制度、隱私政策、合同協(xié)議、運(yùn)行文檔、留存日志等資料進(jìn)行查閱檢查。三是實(shí)地檢查法。對(duì)個(gè)人信息的處理場(chǎng)景、個(gè)人信息處理活動(dòng)的相關(guān)設(shè)備運(yùn)行情況進(jìn)行實(shí)地檢查。四是穿行測(cè)試。通過(guò)追蹤個(gè)人信息在信息系統(tǒng)中的全部處理過(guò)程，以了解個(gè)人信息處理活動(dòng)的全部業(yè)務(wù)流程。五是滲透測(cè)試。必要時(shí)，在計(jì)算機(jī)系統(tǒng)中對(duì)處理個(gè)人信息的信息系統(tǒng)平臺(tái)進(jìn)行授權(quán)模擬攻擊，以測(cè)試信息系統(tǒng)平臺(tái)的安全性。六是控制測(cè)試。評(píng)價(jià)是否存在與個(gè)人信息處理活動(dòng)相關(guān)的控制，以及這些控制是否得到有效執(zhí)行，以確認(rèn)個(gè)人信息保護(hù)措施是否有效，是否達(dá)到個(gè)人信息保護(hù)的目的。七是實(shí)質(zhì)性程序。在控制測(cè)試基礎(chǔ)上，對(duì)發(fā)現(xiàn)的與個(gè)人信息處理有關(guān)的問(wèn)題進(jìn)行進(jìn)一步核對(duì)和確認(rèn)，收集合規(guī)審計(jì)證據(jù)。在委托第三方獨(dú)立審計(jì)機(jī)構(gòu)時(shí)，個(gè)人信息處理者治理層等相關(guān)方應(yīng)定期或不定期聽(tīng)取第三方獨(dú)立審計(jì)機(jī)構(gòu)的匯報(bào)，了解項(xiàng)目實(shí)施的進(jìn)度，協(xié)助解決審計(jì)過(guò)程中遇到的問(wèn)題，確保審計(jì)項(xiàng)目的順利實(shí)施。

4.審計(jì)報(bào)告階段。在審計(jì)報(bào)告階段，審計(jì)機(jī)構(gòu)應(yīng)在與被審計(jì)單位進(jìn)行問(wèn)題溝通、意見(jiàn)反饋的基礎(chǔ)上，出具正式審計(jì)報(bào)告。鑒于個(gè)人信息保護(hù)合規(guī)審計(jì)的特殊性，除與專業(yè)部門溝通外，還需與法務(wù)部門、合規(guī)部門、大數(shù)據(jù)部門、輿情部門、信息技術(shù)部門等進(jìn)行溝通，確認(rèn)是否符合實(shí)際情況。正式審計(jì)報(bào)告的內(nèi)容通常包括：審計(jì)概況、審計(jì)依據(jù)、審計(jì)結(jié)論、審計(jì)發(fā)現(xiàn)、審計(jì)意見(jiàn)和審計(jì)建議。個(gè)人信息保護(hù)合規(guī)審計(jì)報(bào)告既要注重對(duì)合規(guī)問(wèn)題的事實(shí)、定性、原因、影響的說(shuō)明，給出恰當(dāng)?shù)膶徲?jì)結(jié)論和審計(jì)處理意見(jiàn)，以滿足監(jiān)管型審計(jì)目標(biāo)的要求；同時(shí)，也要注重對(duì)合規(guī)問(wèn)題原因的剖析，并給出有價(jià)值的建議，促進(jìn)個(gè)人信息的合理利用，實(shí)現(xiàn)服務(wù)型審計(jì)的目標(biāo)。在委托第三方獨(dú)立審計(jì)機(jī)構(gòu)時(shí)，個(gè)人信息處理者治理層等相關(guān)方應(yīng)對(duì)第三方獨(dú)立審計(jì)機(jī)構(gòu)提交的審計(jì)報(bào)告初稿進(jìn)行復(fù)核并提出意見(jiàn)，確保個(gè)人信息保護(hù)合規(guī)審計(jì)報(bào)告的質(zhì)量符合監(jiān)管政策要求。

5.審計(jì)整改階段。審計(jì)整改階段是審計(jì)閉環(huán)管理的最后環(huán)節(jié)，對(duì)跟蹤審計(jì)發(fā)現(xiàn)問(wèn)題和落實(shí)審計(jì)意見(jiàn)執(zhí)行具有監(jiān)督作用。一是確認(rèn)個(gè)人信息保護(hù)合規(guī)審計(jì)問(wèn)題的整改情況。重點(diǎn)關(guān)注是否對(duì)個(gè)人信息處理的業(yè)務(wù)、運(yùn)營(yíng)、管理等活動(dòng)存在的控制缺陷進(jìn)行整改，是否優(yōu)化業(yè)務(wù)處理流程和操作，是否完善個(gè)人信息保護(hù)管理制度，是否修訂個(gè)人信息保護(hù)的隱私政策等，以確認(rèn)審計(jì)整改是否達(dá)到預(yù)期效果。二是發(fā)現(xiàn)審計(jì)意見(jiàn)執(zhí)行過(guò)程中出現(xiàn)的問(wèn)題。重點(diǎn)關(guān)注是否存在審計(jì)意見(jiàn)不符合當(dāng)前實(shí)際情況的情形，是否出現(xiàn)個(gè)人信息保護(hù)法規(guī)政策變化等新情況，進(jìn)行復(fù)查后，重新做出審計(jì)決定。在委托第三方獨(dú)立審計(jì)機(jī)構(gòu)時(shí)，個(gè)人信息處理者治理層等相關(guān)方可就審計(jì)整改結(jié)果與第三方獨(dú)立審計(jì)機(jī)構(gòu)進(jìn)行溝通，征求第三方獨(dú)立審計(jì)機(jī)構(gòu)的意見(jiàn)。

（二）政府監(jiān)管部門發(fā)起的個(gè)人信息保護(hù)合規(guī)審計(jì)程序

由履行個(gè)人信息保護(hù)職責(zé)的國(guó)家網(wǎng)信辦等政府監(jiān)管部門發(fā)起的個(gè)人信息保護(hù)合規(guī)審計(jì)，針對(duì)的通常是在個(gè)人信息保護(hù)領(lǐng)域存在較大風(fēng)險(xiǎn)或發(fā)生風(fēng)險(xiǎn)事件的個(gè)人信息處理者，其程序如圖2所示。個(gè)人信息處理者應(yīng)按照履行個(gè)人信息保護(hù)職責(zé)的政府監(jiān)管部門的要求，委托第三方獨(dú)立審計(jì)機(jī)構(gòu)開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)。在審計(jì)程序上要遵循國(guó)家網(wǎng)信辦等政府監(jiān)管部門發(fā)布的相關(guān)規(guī)定。國(guó)家網(wǎng)信辦于2023 年8 月發(fā)布《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法（征求意見(jiàn)稿）》，對(duì)第三方獨(dú)立審計(jì)機(jī)構(gòu)實(shí)施個(gè)人信息保護(hù)合規(guī)審計(jì)有專門要求。在第三方獨(dú)立審計(jì)機(jī)構(gòu)的選擇上，政府監(jiān)管部門在開(kāi)展定期動(dòng)態(tài)評(píng)價(jià)的基礎(chǔ)上，向個(gè)人信息處理者發(fā)布個(gè)人信息保護(hù)合規(guī)審計(jì)專業(yè)機(jī)構(gòu)推薦目錄，并鼓勵(lì)個(gè)人信息處理者優(yōu)先選擇。由于存在已經(jīng)評(píng)估評(píng)價(jià)并優(yōu)先推薦的個(gè)人信息保護(hù)合規(guī)審計(jì)專業(yè)機(jī)構(gòu)，因此，在審計(jì)程序上，監(jiān)管政策更注重對(duì)審計(jì)實(shí)施、審計(jì)報(bào)告和審計(jì)整改環(huán)節(jié)的要求，而在審計(jì)計(jì)劃和審計(jì)準(zhǔn)備環(huán)節(jié)以專業(yè)機(jī)構(gòu)的自我管理為主。以下就審計(jì)程序各階段的特殊內(nèi)容進(jìn)行闡述。

圖2 政府監(jiān)管部門發(fā)起的個(gè)人信息保護(hù)合規(guī)審計(jì)程序

1.審計(jì)計(jì)劃階段。在審計(jì)計(jì)劃階段，個(gè)人信息保護(hù)合規(guī)審計(jì)專業(yè)機(jī)構(gòu)要與個(gè)人信息處理者簽訂審計(jì)業(yè)務(wù)約定書(shū)，明確雙方的權(quán)利與義務(wù)，確認(rèn)雙方對(duì)業(yè)務(wù)約定條款不存在誤解。同時(shí)，個(gè)人信息保護(hù)合規(guī)審計(jì)專業(yè)機(jī)構(gòu)應(yīng)做好審計(jì)方案的編制，并與個(gè)人信息處理者溝通方案內(nèi)容，確保其符合監(jiān)管政策要求。

2.審計(jì)準(zhǔn)備階段。 在審計(jì)準(zhǔn)備階段，個(gè)人信息保護(hù)合規(guī)審計(jì)專業(yè)機(jī)構(gòu)除做好通常情形下的審計(jì)準(zhǔn)備工作外，要重點(diǎn)確認(rèn)個(gè)人信息處理者是否為其開(kāi)展審計(jì)工作提供必要的工作權(quán)限。必要的工作權(quán)限包括：能夠訪談與個(gè)人信息處理活動(dòng)相關(guān)的人員，能夠觀察場(chǎng)所內(nèi)發(fā)生的個(gè)人信息處理活動(dòng)，能夠檢查個(gè)人信息處理活動(dòng)相關(guān)設(shè)備設(shè)施，能夠調(diào)查個(gè)人信息處理活動(dòng)及所依賴的信息系統(tǒng)，能夠查閱個(gè)人信息處理活動(dòng)的數(shù)據(jù)和信息等。

3.審計(jì)實(shí)施階段。在審計(jì)實(shí)施階段，個(gè)人信息保護(hù)合規(guī)審計(jì)專業(yè)機(jī)構(gòu)面臨審計(jì)實(shí)施時(shí)間和實(shí)施質(zhì)量的雙重要求。從審計(jì)實(shí)施時(shí)間來(lái)看，現(xiàn)有的監(jiān)管政策要求個(gè)人信息保護(hù)合規(guī)審計(jì)專業(yè)機(jī)構(gòu)必須在限定時(shí)間內(nèi)完成審計(jì)工作，這既是有效利用審計(jì)資源以提升審計(jì)工作效率的要求，也是防范風(fēng)險(xiǎn)暴露過(guò)長(zhǎng)時(shí)間導(dǎo)致個(gè)人信息保護(hù)風(fēng)險(xiǎn)事件向社會(huì)外溢的需要。從審計(jì)實(shí)施質(zhì)量來(lái)看，個(gè)人信息保護(hù)合規(guī)審計(jì)專業(yè)機(jī)構(gòu)應(yīng)以科學(xué)有效的審計(jì)方法和充分可靠的審計(jì)證據(jù)來(lái)保障審計(jì)質(zhì)量，不能因刻意追求審計(jì)質(zhì)量而惡意干擾個(gè)人信息處理者的正常經(jīng)營(yíng)活動(dòng)。

4.審計(jì)報(bào)告階段。在審計(jì)報(bào)告階段，個(gè)人信息保護(hù)合規(guī)審計(jì)專業(yè)機(jī)構(gòu)應(yīng)在保障審計(jì)報(bào)告質(zhì)量的同時(shí)，及時(shí)出具審計(jì)報(bào)告。在審計(jì)報(bào)告質(zhì)量保障方面，個(gè)人信息保護(hù)合規(guī)審計(jì)專業(yè)機(jī)構(gòu)在實(shí)施必要的合規(guī)審計(jì)程序的基礎(chǔ)上，如實(shí)出具審計(jì)報(bào)告。若存在虛假出具或不實(shí)出具報(bào)告情形，除面臨剔除出個(gè)人信息保護(hù)合規(guī)審計(jì)專業(yè)機(jī)構(gòu)推薦目錄的風(fēng)險(xiǎn)外，還面臨因違反《個(gè)人信息保護(hù)法》而被追究法律責(zé)任的嚴(yán)重后果。在審計(jì)報(bào)告報(bào)送時(shí)間方面，個(gè)人信息保護(hù)合規(guī)審計(jì)專業(yè)機(jī)構(gòu)應(yīng)及時(shí)出具審計(jì)報(bào)告，并由個(gè)人信息處理者在規(guī)定時(shí)間內(nèi)報(bào)送履行個(gè)人信息保護(hù)職責(zé)的政府監(jiān)管部門。

5.審計(jì)整改階段。在審計(jì)整改階段，個(gè)人信息處理者不僅要履行整改義務(wù)，還要履行整改情況的報(bào)送義務(wù)。首先，個(gè)人信息處理者應(yīng)按照專業(yè)機(jī)構(gòu)給出的整改建議進(jìn)行整改，彌補(bǔ)個(gè)人信息保護(hù)合規(guī)風(fēng)險(xiǎn)漏洞。其次，在整改完成后，個(gè)人信息處理者應(yīng)將經(jīng)專業(yè)機(jī)構(gòu)復(fù)核后的整改情況報(bào)送履行個(gè)人信息保護(hù)職責(zé)的政府監(jiān)管部門。政府監(jiān)管部門將其作為監(jiān)管并評(píng)價(jià)個(gè)人信息處理者的重要依據(jù)。

四、個(gè)人信息保護(hù)合規(guī)審計(jì)面臨的困境

（一）個(gè)人信息保護(hù)合規(guī)審計(jì)的實(shí)踐不足

我國(guó)個(gè)人信息保護(hù)合規(guī)審計(jì)實(shí)踐不足，主要表現(xiàn)在兩個(gè)方面。一是在標(biāo)準(zhǔn)制定層面，尚未形成可供參考的個(gè)人信息保護(hù)合規(guī)審計(jì)規(guī)范。目前無(wú)論是《國(guó)家審計(jì)準(zhǔn)則》《中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則》還是《中國(guó)內(nèi)部審計(jì)準(zhǔn)則》，都未將個(gè)人信息保護(hù)合規(guī)審計(jì)納入其中。二是在實(shí)務(wù)工作層面，個(gè)人信息保護(hù)合規(guī)審計(jì)的審計(jì)方式尚在摸索中。在面對(duì)海量多維數(shù)據(jù)的審計(jì)場(chǎng)景時(shí)，個(gè)人信息保護(hù)合規(guī)審計(jì)在審計(jì)范圍確定、審計(jì)要點(diǎn)設(shè)計(jì)和審計(jì)測(cè)試深度等問(wèn)題上面臨諸多挑戰(zhàn)。

我國(guó)個(gè)人信息保護(hù)合規(guī)審計(jì)實(shí)踐不足的原因主要包括兩個(gè)方面。從外部要求來(lái)看，我國(guó)個(gè)人信息保護(hù)法于2021 年立法，立法時(shí)間較晚，導(dǎo)致個(gè)人信息保護(hù)合規(guī)審計(jì)在較長(zhǎng)時(shí)間內(nèi)處于法定合規(guī)審計(jì)范圍之外。從內(nèi)在動(dòng)因來(lái)看，一方面實(shí)施個(gè)人信息保護(hù)合規(guī)審計(jì)需要個(gè)人信息處理者投入大量的人、財(cái)、物等審計(jì)資源，增加了個(gè)人信息處理者的財(cái)務(wù)負(fù)擔(dān)。另一方面，實(shí)施個(gè)人信息保護(hù)合規(guī)審計(jì)限制了個(gè)人信息處理者通過(guò)違規(guī)收集、使用、加工、傳輸個(gè)人信息獲取經(jīng)濟(jì)利益的機(jī)會(huì)。因此，個(gè)人信息處理者缺少內(nèi)在動(dòng)力實(shí)施個(gè)人信息保護(hù)合規(guī)審計(jì)。

（二）個(gè)人信息保護(hù)合規(guī)審計(jì)的協(xié)同機(jī)制缺失

個(gè)人信息保護(hù)合規(guī)審計(jì)既涉及個(gè)人信息處理者的內(nèi)部審計(jì)部門，又涉及第三方獨(dú)立審計(jì)機(jī)構(gòu)，還涉及承擔(dān)個(gè)人信息保護(hù)職責(zé)的政府部門。因此，開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)需要多主體的協(xié)同。但是，從審計(jì)主體來(lái)看，在國(guó)家審計(jì)中，審計(jì)機(jī)關(guān)尚未將個(gè)人信息保護(hù)政策跟蹤審計(jì)作為審計(jì)重點(diǎn)，對(duì)承擔(dān)個(gè)人信息保護(hù)職責(zé)的政府部門的政策跟蹤審計(jì)參與度較低。在社會(huì)審計(jì)中，會(huì)計(jì)師事務(wù)所的業(yè)務(wù)范圍較少拓展至個(gè)人信息保護(hù)合規(guī)審計(jì)領(lǐng)域，對(duì)個(gè)人信息保護(hù)合規(guī)行為的第三方獨(dú)立評(píng)價(jià)和監(jiān)督作用發(fā)揮不足。在內(nèi)部審計(jì)中，內(nèi)部審計(jì)部門還局限于傳統(tǒng)的審計(jì)領(lǐng)域，對(duì)個(gè)人信息保護(hù)合規(guī)管理的評(píng)價(jià)和服務(wù)職能發(fā)揮有限?？傮w來(lái)看，我國(guó)個(gè)人信息保護(hù)合規(guī)審計(jì)的協(xié)同聯(lián)動(dòng)機(jī)制尚未建立起來(lái)，未發(fā)揮出最大效力。

（三）數(shù)字化審計(jì)輔助工具應(yīng)用不足

個(gè)人信息保護(hù)合規(guī)審計(jì)涉及的審計(jì)場(chǎng)景通常包括APP、微信小程序、微信公眾號(hào)、云平臺(tái)以及企業(yè)信息系統(tǒng)等。這些審計(jì)場(chǎng)景產(chǎn)生的數(shù)據(jù)具有數(shù)據(jù)量級(jí)大、模態(tài)多的特點(diǎn)。傳統(tǒng)的人工檢查方式在響應(yīng)時(shí)間、靈活性和處理業(yè)務(wù)量上存在局限性，導(dǎo)致查閱、復(fù)核、測(cè)試等程序帶來(lái)繁重的工作量和高昂的審計(jì)成本，還會(huì)因?yàn)閷徲?jì)抽樣方法的局限性導(dǎo)致抽樣風(fēng)險(xiǎn)的發(fā)生。因此，在面對(duì)存在海量數(shù)據(jù)的個(gè)人信息保護(hù)合規(guī)審計(jì)場(chǎng)景時(shí)，有必要引進(jìn)數(shù)字化審計(jì)輔助工具。但是數(shù)字化審計(jì)輔助工具開(kāi)發(fā)的專業(yè)性和復(fù)雜性，以及不同審計(jì)場(chǎng)景的特殊性，導(dǎo)致數(shù)字化審計(jì)輔助工具在個(gè)人信息保護(hù)合規(guī)審計(jì)中應(yīng)用較少。

（四）個(gè)人信息保護(hù)合規(guī)審計(jì)專業(yè)人才缺乏

個(gè)人信息保護(hù)合規(guī)審計(jì)對(duì)審計(jì)人才的要求具有特殊性，不僅要求審計(jì)人員必須具備專業(yè)的審計(jì)知識(shí)和審計(jì)技能，熟悉數(shù)據(jù)安全與隱私保護(hù)相關(guān)的法律、行政法規(guī)和行業(yè)監(jiān)管政策，還要具備數(shù)據(jù)業(yè)務(wù)流程、數(shù)據(jù)治理和信息系統(tǒng)等專業(yè)知識(shí)，以對(duì)被審計(jì)單位的個(gè)人信息處理活動(dòng)及相關(guān)的內(nèi)部控制、風(fēng)險(xiǎn)管理的合規(guī)性、適當(dāng)性和有效性進(jìn)行專業(yè)判斷。但現(xiàn)階段，無(wú)論是國(guó)家審計(jì)、社會(huì)審計(jì)，還是內(nèi)部審計(jì)，審計(jì)人才均以財(cái)務(wù)會(huì)計(jì)專業(yè)為主，個(gè)人信息保護(hù)合規(guī)審計(jì)人才缺口較大。

（五）保障審計(jì)建議落地的資源不足

個(gè)人信息保護(hù)合規(guī)審計(jì)建議的執(zhí)行，對(duì)管理資源、財(cái)務(wù)資源和技術(shù)資源等存在較強(qiáng)依賴性。首先，企業(yè)內(nèi)部數(shù)據(jù)分布于不同的職能部門，其權(quán)責(zé)歸屬?gòu)?fù)雜，對(duì)審計(jì)建議的落實(shí)，不僅涉及數(shù)據(jù)業(yè)務(wù)流程的優(yōu)化，還涉及組織結(jié)構(gòu)的調(diào)整，需要投入較多的管理資源。其次，對(duì)涉及個(gè)人信息處理的相關(guān)軟件系統(tǒng)進(jìn)行改造，不僅周期長(zhǎng)，而且需要投入大量的財(cái)務(wù)資源。最后，涉及個(gè)人信息處理的相關(guān)軟件系統(tǒng)通常只適合特定業(yè)務(wù)場(chǎng)景，具有專用性，需要企業(yè)投入特定的技術(shù)資源進(jìn)行改造。而企業(yè)的總體資源是有限的，在管理資源、財(cái)務(wù)資源和技術(shù)資源需求量較大的情況下，很難保障資源投入的充足性。

（六）適格審計(jì)主體的認(rèn)定標(biāo)準(zhǔn)缺失

個(gè)人信息保護(hù)合規(guī)審計(jì)對(duì)第三方獨(dú)立審計(jì)機(jī)構(gòu)存在更高要求。首先，個(gè)人信息保護(hù)合規(guī)審計(jì)涉及公眾利益，要求審計(jì)機(jī)構(gòu)以維護(hù)社會(huì)公眾的個(gè)人信息權(quán)益為目標(biāo)，對(duì)審計(jì)機(jī)構(gòu)的職業(yè)能力和職業(yè)道德有更高要求；其次，個(gè)人信息保護(hù)合規(guī)審計(jì)涉及海量的個(gè)人數(shù)據(jù)，要求審計(jì)機(jī)構(gòu)具備數(shù)字化審計(jì)能力。但對(duì)于審計(jì)機(jī)構(gòu)具備什么樣的條件，才能夠從事個(gè)人信息保護(hù)合規(guī)審計(jì)，卻沒(méi)有統(tǒng)一的認(rèn)定標(biāo)準(zhǔn)。這一方面導(dǎo)致個(gè)人信息保護(hù)合規(guī)審計(jì)的執(zhí)業(yè)質(zhì)量參差不齊，另一方面也削弱了第三方獨(dú)立審計(jì)機(jī)構(gòu)從事個(gè)人信息保護(hù)合規(guī)審計(jì)業(yè)務(wù)的意愿。

五、有效實(shí)施個(gè)人信息保護(hù)合規(guī)審計(jì)的對(duì)策建議

（一）加強(qiáng)個(gè)人信息保護(hù)合規(guī)審計(jì)實(shí)踐

加強(qiáng)個(gè)人信息保護(hù)合規(guī)審計(jì)實(shí)踐的著力點(diǎn)主要在兩個(gè)方面。一是大力發(fā)展研究型審計(jì)，加強(qiáng)個(gè)人信息保護(hù)合規(guī)審計(jì)規(guī)范的研究?，F(xiàn)有的審計(jì)準(zhǔn)則尚未形成可供參考的個(gè)人信息保護(hù)合規(guī)審計(jì)規(guī)范，因此，可將個(gè)人信息保護(hù)合規(guī)審計(jì)納入內(nèi)部審計(jì)具體準(zhǔn)則的制定范疇，通過(guò)審計(jì)專家和實(shí)務(wù)工作者的共同參與，制定《內(nèi)部審計(jì)具體準(zhǔn)則——個(gè)人信息保護(hù)合規(guī)審計(jì)》，并向社會(huì)頒布，指導(dǎo)審計(jì)實(shí)踐的開(kāi)展。二是強(qiáng)化典型個(gè)人信息保護(hù)合規(guī)審計(jì)案例的研究和推廣。由于個(gè)人信息保護(hù)合規(guī)審計(jì)實(shí)踐尚處于初期探索中，可通過(guò)對(duì)已有典型案例的研究，總結(jié)個(gè)人信息保護(hù)合規(guī)審計(jì)實(shí)務(wù)中好的經(jīng)驗(yàn)做法，并向社會(huì)推廣，為個(gè)人信息保護(hù)合規(guī)審計(jì)實(shí)踐提供借鑒。

（二）建立個(gè)人信息保護(hù)合規(guī)審計(jì)的協(xié)同聯(lián)動(dòng)機(jī)制

個(gè)人信息保護(hù)合規(guī)審計(jì)的協(xié)同聯(lián)動(dòng)需要多主體的參與，既需要個(gè)人信息處理者內(nèi)部的治理層、管理層和內(nèi)部審計(jì)部門的參與，又需要個(gè)人信息處理者外部的履行個(gè)人信息保護(hù)職責(zé)的政府監(jiān)管部門、國(guó)家審計(jì)部門和第三方獨(dú)立審計(jì)機(jī)構(gòu)的參與。具體的協(xié)同聯(lián)動(dòng)方式見(jiàn)圖3。

首先，在個(gè)人信息處理者內(nèi)部，實(shí)現(xiàn)管理層實(shí)施的個(gè)人信息保護(hù)合規(guī)管理與內(nèi)部審計(jì)部門開(kāi)展的自主合規(guī)審計(jì)（自愿性）的協(xié)同聯(lián)動(dòng)。為實(shí)現(xiàn)組織的合規(guī)管理目標(biāo)，個(gè)人信息處理者有必要引進(jìn)“三線模型”。其中，管理層履行第一線和第二線的職能。第一線和第二線的職能并行運(yùn)行，第一線負(fù)責(zé)管理個(gè)人信息保護(hù)合規(guī)風(fēng)險(xiǎn)，第二線負(fù)責(zé)為合規(guī)風(fēng)險(xiǎn)相關(guān)事務(wù)提供補(bǔ)充性的專業(yè)知識(shí)，發(fā)揮支持和監(jiān)督作用，兩條線相互協(xié)同，以實(shí)現(xiàn)組織的個(gè)人信息保護(hù)合規(guī)管理目標(biāo)。第三線為獨(dú)立于管理層的內(nèi)部審計(jì)部門，職能是為所有與實(shí)現(xiàn)個(gè)人信息保護(hù)合規(guī)管理目標(biāo)相關(guān)的事務(wù)提供獨(dú)立客觀的確認(rèn)和建議。內(nèi)部審計(jì)部門在日?；顒?dòng)中提供個(gè)人信息保護(hù)合規(guī)審計(jì)時(shí)，要充分發(fā)揮服務(wù)型內(nèi)部審計(jì)的職能，在發(fā)現(xiàn)和糾偏個(gè)人信息保護(hù)合規(guī)管理中存在問(wèn)題的同時(shí)，要與管理層做好溝通協(xié)調(diào)，為個(gè)人信息保護(hù)合規(guī)管理的改進(jìn)和優(yōu)化提供咨詢與建議，實(shí)現(xiàn)管理層的個(gè)人信息保護(hù)合規(guī)管理與內(nèi)部審計(jì)部門的自主合規(guī)審計(jì)的協(xié)同聯(lián)動(dòng)。

其次，在個(gè)人信息處理者內(nèi)部，實(shí)現(xiàn)第三方獨(dú)立審計(jì)機(jī)構(gòu)定期開(kāi)展的自主合規(guī)審計(jì)（強(qiáng)制性）與內(nèi)部審計(jì)部門在日?；顒?dòng)中開(kāi)展的自主合規(guī)審計(jì)（自愿性）的協(xié)同聯(lián)動(dòng)。在個(gè)人信息處理者內(nèi)部，自主合規(guī)審計(jì)包括兩個(gè)層次。一是由治理層委托第三方獨(dú)立審計(jì)機(jī)構(gòu)定期開(kāi)展的自主合規(guī)審計(jì)，主要為滿足《個(gè)人信息保護(hù)法》第54 條中定期開(kāi)展合規(guī)審計(jì)的法定要求，這種法定要求雖是強(qiáng)制性義務(wù)，但更強(qiáng)調(diào)個(gè)人信息處理者通過(guò)合規(guī)審計(jì)方式進(jìn)行定期自查。二是由治理層委托內(nèi)部審計(jì)部門在日?；顒?dòng)中開(kāi)展的自主合規(guī)審計(jì)，主要為滿足內(nèi)部管理需要，對(duì)組織內(nèi)部個(gè)人信息保護(hù)合規(guī)管理情況進(jìn)行獨(dú)立客觀的確認(rèn)和提出建議。為有效降低個(gè)人信息保護(hù)合規(guī)風(fēng)險(xiǎn)，第三方獨(dú)立審計(jì)機(jī)構(gòu)定期開(kāi)展的自主合規(guī)審計(jì)與內(nèi)部審計(jì)部門在日?；顒?dòng)中開(kāi)展的自主合規(guī)審計(jì)可在多方面實(shí)現(xiàn)協(xié)同。一是實(shí)現(xiàn)審計(jì)計(jì)劃的協(xié)同共商，例如通過(guò)共同協(xié)商審計(jì)范圍，在確保審計(jì)監(jiān)督涵蓋個(gè)人信息處理全部活動(dòng)的同時(shí)，又能突出敏感個(gè)人信息等重要風(fēng)險(xiǎn)領(lǐng)域，最大化利用審計(jì)資源，提升審計(jì)效率。二是實(shí)現(xiàn)信息資源的協(xié)同共用，雖然不同審計(jì)方式獲取信息的來(lái)源不同，但可以通過(guò)召開(kāi)溝通會(huì)等形式實(shí)現(xiàn)信息資源的共享共用，以減少個(gè)人信息保護(hù)合規(guī)風(fēng)險(xiǎn)的監(jiān)管盲區(qū)。三是實(shí)現(xiàn)合規(guī)問(wèn)題的協(xié)同整改，將第三方獨(dú)立審計(jì)的權(quán)威性和嚴(yán)肅性與內(nèi)部審計(jì)的積極性和靈活性結(jié)合起來(lái)，兩者形成合力，推進(jìn)審計(jì)問(wèn)題的有效整改。

再次，在個(gè)人信息處理者外部，實(shí)現(xiàn)政策跟蹤審計(jì)和監(jiān)管檢查合規(guī)審計(jì)的協(xié)同聯(lián)動(dòng)。承擔(dān)個(gè)人信息保護(hù)職責(zé)的政府監(jiān)管部門，肩負(fù)著個(gè)人信息保護(hù)的法定職責(zé)。因此，通過(guò)對(duì)承擔(dān)個(gè)人信息保護(hù)職責(zé)的政府監(jiān)管部門實(shí)施個(gè)人信息保護(hù)政策跟蹤審計(jì)，有利于壓實(shí)國(guó)家網(wǎng)信辦等政府監(jiān)管部門個(gè)人信息保護(hù)的責(zé)任。國(guó)家網(wǎng)信辦等政府監(jiān)管部門通過(guò)有效履行職責(zé)，對(duì)在個(gè)人信息保護(hù)領(lǐng)域存在較大風(fēng)險(xiǎn)或發(fā)生風(fēng)險(xiǎn)事件的個(gè)人信息處理者，要求其委托第三方獨(dú)立審計(jì)機(jī)構(gòu)實(shí)施監(jiān)管檢查合規(guī)審計(jì)，并對(duì)發(fā)現(xiàn)的個(gè)人信息保護(hù)安全問(wèn)題進(jìn)行整改。通過(guò)自上而下、層層監(jiān)督的方式，實(shí)現(xiàn)個(gè)人信息保護(hù)政策跟蹤審計(jì)和監(jiān)管檢查合規(guī)審計(jì)的協(xié)同聯(lián)動(dòng)。

最后，科學(xué)處理自主合規(guī)審計(jì)和監(jiān)管檢查合規(guī)審計(jì)的關(guān)系。內(nèi)部的自主合規(guī)審計(jì)由個(gè)人信息處理者治理層委托發(fā)起，個(gè)人信息處理者可以自主決策，具有主動(dòng)性和增值性的特點(diǎn)。外部的監(jiān)管檢查合規(guī)審計(jì)由履行個(gè)人信息保護(hù)職責(zé)的政府監(jiān)管部門發(fā)起，個(gè)人信息處理者只能被動(dòng)接受，具有被動(dòng)性和問(wèn)責(zé)性的特點(diǎn)。內(nèi)部的自主合規(guī)審計(jì)與外部的監(jiān)管檢查合規(guī)審計(jì)之間具有相互轉(zhuǎn)換、此消彼長(zhǎng)的關(guān)系。如果個(gè)人信息處理者消極對(duì)待自主合規(guī)審計(jì)，則會(huì)導(dǎo)致組織面臨較大的個(gè)人信息保護(hù)合規(guī)風(fēng)險(xiǎn)，甚至發(fā)生個(gè)人信息保護(hù)安全事件，從而帶來(lái)外部監(jiān)管檢查合規(guī)審計(jì)更嚴(yán)厲的檢查，并承擔(dān)相應(yīng)的法律責(zé)任和民事賠償。反之亦然。因此，科學(xué)處理兩者關(guān)系的關(guān)鍵在于，個(gè)人信息處理者要積極主動(dòng)開(kāi)展自主合規(guī)審計(jì)，在防范合規(guī)風(fēng)險(xiǎn)和滿足監(jiān)管要求的基礎(chǔ)上，發(fā)揮個(gè)人信息的社會(huì)價(jià)值和使用價(jià)值，避免外部監(jiān)管檢查合規(guī)審計(jì)帶來(lái)的責(zé)任賠償和信譽(yù)損失。

（三）加強(qiáng)數(shù)字化審計(jì)輔助工具的開(kāi)發(fā)和應(yīng)用

數(shù)字化審計(jì)輔助工具是有效開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)的利器。數(shù)字化審計(jì)輔助工具的開(kāi)發(fā)和利用可以采用“現(xiàn)場(chǎng)+遠(yuǎn)程+云端”相結(jié)合的工作方式?，F(xiàn)場(chǎng)審計(jì)重在總結(jié)數(shù)據(jù)業(yè)務(wù)流程的規(guī)律，選擇合適的審計(jì)信息技術(shù)（例如非結(jié)構(gòu)化數(shù)據(jù)轉(zhuǎn)換技術(shù)、代碼分析技術(shù)等），編寫(xiě)相應(yīng)的審計(jì)腳本工具，為開(kāi)發(fā)數(shù)字化審計(jì)輔助工具奠定基礎(chǔ)。遠(yuǎn)程審計(jì)重在固化審計(jì)模型，將現(xiàn)場(chǎng)審計(jì)總結(jié)出的審計(jì)規(guī)律及開(kāi)發(fā)的腳本工具固化為特定業(yè)務(wù)場(chǎng)景下的審計(jì)模型，并嵌入數(shù)字化審計(jì)輔助工具中，即使遠(yuǎn)離審計(jì)現(xiàn)場(chǎng)，只要能獲取相關(guān)數(shù)據(jù)，就能通過(guò)開(kāi)發(fā)的審計(jì)模型實(shí)現(xiàn)遠(yuǎn)程審計(jì)。云端審計(jì)重在對(duì)存儲(chǔ)在云端的海量數(shù)據(jù)通過(guò)固化在數(shù)字化審計(jì)輔助工具中的審計(jì)模型進(jìn)行高效處理，以發(fā)現(xiàn)可疑的個(gè)人信息操縱行為。在數(shù)字化審計(jì)輔助工具的開(kāi)發(fā)和應(yīng)用中，遵循邊審計(jì)、邊開(kāi)發(fā)、邊利用、邊改進(jìn)的研究型模式，以實(shí)現(xiàn)個(gè)人信息保護(hù)合規(guī)審計(jì)和業(yè)務(wù)場(chǎng)景的緊密融合。

（四）培養(yǎng)個(gè)人信息保護(hù)合規(guī)審計(jì)人才

隨著國(guó)家、企業(yè)以及社會(huì)公眾對(duì)個(gè)人信息保護(hù)重視程度的不斷提升，培養(yǎng)個(gè)人信息保護(hù)合規(guī)審計(jì)人才勢(shì)在必行。個(gè)人信息保護(hù)合規(guī)審計(jì)人才的培養(yǎng)要充分實(shí)現(xiàn)審計(jì)技能、個(gè)人信息保護(hù)合規(guī)知識(shí)體系和信息技術(shù)的融合。首先，加強(qiáng)在崗的個(gè)人信息保護(hù)合規(guī)審計(jì)人才的繼續(xù)教育，將研究型審計(jì)思維運(yùn)用于個(gè)人信息保護(hù)合規(guī)審計(jì)工作中。在審計(jì)前，注重對(duì)個(gè)人信息保護(hù)合規(guī)監(jiān)管政策的學(xué)習(xí)，強(qiáng)化基于信息技術(shù)的審計(jì)方法研究。在審計(jì)中，注重審計(jì)技術(shù)、審計(jì)方法與特定個(gè)人信息保護(hù)場(chǎng)景的融合，構(gòu)建并固化審計(jì)模型，以實(shí)現(xiàn)自動(dòng)化審計(jì)。在審計(jì)后，注重個(gè)人信息保護(hù)合規(guī)審計(jì)實(shí)務(wù)案例的總結(jié)，建立個(gè)人信息保護(hù)合規(guī)審計(jì)案例庫(kù)，提升審計(jì)工作效率。其次，加強(qiáng)高校個(gè)人信息保護(hù)合規(guī)審計(jì)人才培養(yǎng)體系建設(shè)。建議相關(guān)高校在審計(jì)人才培養(yǎng)過(guò)程中，在夯實(shí)審計(jì)知識(shí)的基礎(chǔ)上，增設(shè)合規(guī)管理、數(shù)據(jù)分析、信息技術(shù)等選修課程，以加強(qiáng)對(duì)復(fù)合型審計(jì)人才的培養(yǎng)。

（五）保障促進(jìn)審計(jì)建議落地的資源

個(gè)人信息保護(hù)合規(guī)審計(jì)建議的落地對(duì)管理資源、財(cái)務(wù)資源和技術(shù)資源等具有較高的依賴度。在管理資源保障上，個(gè)人信息處理者在治理結(jié)構(gòu)層面，強(qiáng)化董事會(huì)對(duì)個(gè)人信息保護(hù)合規(guī)管理的職責(zé)，成立跨部門的個(gè)人信息保護(hù)合規(guī)管理團(tuán)隊(duì)，對(duì)涉及個(gè)人信息保護(hù)的跨部門業(yè)務(wù)流程優(yōu)化和組織結(jié)構(gòu)調(diào)整問(wèn)題進(jìn)行協(xié)調(diào)和處理。在財(cái)務(wù)資源保障上，個(gè)人信息處理者可以根據(jù)個(gè)人信息保護(hù)風(fēng)險(xiǎn)的評(píng)估情況，合理計(jì)提個(gè)人信息保護(hù)專項(xiàng)儲(chǔ)備基金，在保障審計(jì)建議落地的同時(shí)，也可為發(fā)生的個(gè)人信息保護(hù)法律賠償提供資金支持。在技術(shù)資源保障上，個(gè)人信息處理者可以綜合運(yùn)用全職聘用和兼職聘用，引進(jìn)具有專業(yè)技術(shù)背景的人才，以防范專業(yè)技術(shù)能力不足的問(wèn)題。

（六）合理制定適格審計(jì)主體的認(rèn)定標(biāo)準(zhǔn)

適格審計(jì)主體認(rèn)定標(biāo)準(zhǔn)的制定應(yīng)由承擔(dān)個(gè)人信息保護(hù)職責(zé)的政府監(jiān)管部門（如國(guó)家網(wǎng)信辦等）牽頭，這樣可以將個(gè)人信息保護(hù)的相關(guān)監(jiān)管要求融入標(biāo)準(zhǔn)制定中。在標(biāo)準(zhǔn)制定過(guò)程中，除了要考慮審計(jì)機(jī)構(gòu)的組織形式、成立年限、凈資產(chǎn)、從業(yè)人員數(shù)量等一般標(biāo)準(zhǔn)，還要充分考慮個(gè)人信息保護(hù)合規(guī)審計(jì)的特殊要求。例如：要考慮審計(jì)機(jī)構(gòu)的歷史執(zhí)業(yè)質(zhì)量情況，是否存在行政、刑事處罰事項(xiàng)，是否存在違反職業(yè)道德的事項(xiàng)；要考慮審計(jì)機(jī)構(gòu)從業(yè)人員的數(shù)字化審計(jì)能力，從業(yè)人員是否具備數(shù)字化審計(jì)的教育經(jīng)歷或數(shù)字化審計(jì)的職業(yè)資格（如CISA認(rèn)證）等。

【注 釋】

①2023年4月27日，國(guó)家網(wǎng)信辦發(fā)布《數(shù)字中國(guó)發(fā)展報(bào)告（2022年）》。

②《個(gè)人信息保護(hù)法》第73條第1款規(guī)定：個(gè)人信息處理者，是指在個(gè)人信息處理活動(dòng)中自主決定處理目的、處理方式的組織、個(gè)人。

③《個(gè)人信息保護(hù)法》第54 條規(guī)定：個(gè)人信息處理者應(yīng)當(dāng)定期對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)。

④《個(gè)人信息保護(hù)法》第64 條規(guī)定：履行個(gè)人信息保護(hù)職責(zé)的部門在履行職責(zé)中，發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件的，可以按照規(guī)定的權(quán)限和程序?qū)υ搨€(gè)人信息處理者的法定代表人或者主要負(fù)責(zé)人進(jìn)行約談，或者要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)。個(gè)人信息處理者應(yīng)當(dāng)按照要求采取措施，進(jìn)行整改，消除隱患。

【 主要參考文獻(xiàn)】

C.貝內(nèi)特.加拿大信息高速公路上的個(gè)人隱私保護(hù)［J］.國(guó)外社會(huì)科學(xué)，1997（3）：86～87.

陳智敏.個(gè)人信息保護(hù)合規(guī)審計(jì)系統(tǒng)構(gòu)建研究［J］.審計(jì)觀察，2022（12）：18～22.

侯富強(qiáng).我國(guó)個(gè)人信息保護(hù)立法模式研究［J］.深圳大學(xué)學(xué)報(bào)（人文社會(huì)科學(xué)版），2015（3）：144～148.

姬蕾蕾.個(gè)人信息保護(hù)立法路徑比較研究［J］.圖書(shū)館建設(shè)，2017（9）：19～25.

賈丹，張譽(yù)馨，王姍.我國(guó)個(gè)人信息保護(hù)合規(guī)審計(jì)制度的路徑探討［J］.工業(yè)信息安全，2022（4）：17～22.

敬力嘉.個(gè)人信息保護(hù)合規(guī)的體系構(gòu)建［J］.法學(xué)研究，2022（4）：152～167.

李美燕.個(gè)人信息保護(hù)立法路徑的思考［J］.人民論壇，2018（25）：92～93.

彭桂兵，丁奕雯.網(wǎng)絡(luò)空間個(gè)人信息的強(qiáng)化保護(hù)與規(guī)范流通——《個(gè)人信息保護(hù)法》解讀［J］.青年記者，2021（19）：83～85.

王利明，丁曉東.論《個(gè)人信息保護(hù)法》的亮點(diǎn)、特色與適用［J］.法學(xué)家，2021（6）：1～16+191.

閆夏秋.企業(yè)合規(guī)視角下的內(nèi)部審計(jì)：現(xiàn)實(shí)挑戰(zhàn)與應(yīng)對(duì)［J］.財(cái)會(huì)月刊，2023（18）：97～102.

楊佶.域外個(gè)人信息保護(hù)立法模式比較研究——以美、德為例［J］.圖書(shū)館理論與實(shí)踐，2012（6）：79～81.

鄭成思.個(gè)人信息保護(hù)立法——市場(chǎng)信息安全與信用制度的前提［J］.中國(guó)社會(huì)科學(xué)院研究生院學(xué)報(bào)，2003（2）：14～21+109.

周光權(quán).委托處理個(gè)人信息與侵犯公民個(gè)人信息罪——結(jié)合《個(gè)人信息保護(hù)法》第21條的分析［J］.環(huán)球法律評(píng)論，2021（6）：23～39.

周健.美國(guó)《隱私權(quán)法》與公民個(gè)人信息保護(hù)［J］.情報(bào)科學(xué)，2001（6）：608～611.

朱榮榮.個(gè)人信息保護(hù)“目的限制原則”的反思與重構(gòu)——以《個(gè)人信息保護(hù)法》第6條為中心［J］.財(cái)經(jīng)法學(xué)，2022（1）：18～31.