【摘要】個人信息保護合規(guī)審計是保護社會公眾個人信息權益， 防范個人信息安全問題發(fā)生的重要舉措。本文以《個人信息保護法》實施為背景， 對我國個人信息保護合規(guī)審計的研究現(xiàn)狀進行分析發(fā)現(xiàn)， 個人信息保護合規(guī)審計無論是理論探索， 還是實務推進， 均與《個人信息保護法》對個人信息保護合規(guī)審計的要求存在較大差距。在《個人信息保護法》實施的背景下， 個人信息保護合規(guī)審計的審計重點內容和審計程序， 在考慮合規(guī)審計一般要求的同時， 要突出個人信息保護的特殊性。針對當前個人信息保護合規(guī)審計面臨的困境， 提出加強個人信息保護合規(guī)審計實踐、 建立個人信息保護合規(guī)審計的協(xié)同聯(lián)動機制、 加強數(shù)字化審計輔助工具的開發(fā)和應用、 培養(yǎng)個人信息保護合規(guī)審計人才、 保障促進審計建議落地的資源、 合理制定適格審計主體的認定標準等對策建議。

【關鍵詞】個人信息保護；合規(guī)審計；數(shù)字化審計；審計程序；協(xié)同機制

【中圖分類號】F239 " " "【文獻標識碼】A " " "【文章編號】1004-0994（2024）02-0078-8

2022年我國數(shù)字經(jīng)濟規(guī)模為50.2萬億元， 占GDP的比重達到41.5%①。數(shù)字經(jīng)濟在創(chuàng)造巨大經(jīng)濟價值的同時， 也帶來了日益嚴峻的數(shù)據(jù)安全問題， 引發(fā)了全社會的廣泛關注。為保護個人信息權益， 促進個人信息的合法合規(guī)使用， 我國于2021年8月20日審議通過了《個人信息保護法》， 自2021年11月1日起實施?！秱€人信息保護法》第54條和第64條均明確提出對個人信息處理者②開展個人信息保護合規(guī)審計的要求， 以評價和監(jiān)督個人信息處理活動， 降低個人信息保護合規(guī)風險。本文以《個人信息保護法》實施為背景， 對我國個人信息保護合規(guī)審計的研究現(xiàn)狀進行梳理， 分析個人信息保護合規(guī)審計的重點內容和程序。同時針對個人信息保護合規(guī)審計在實務開展中面臨的困境， 提出相應的建議。

一、 文獻回顧

個人信息保護屬于跨學科研究問題， 學者主要從法學和計算機科學等視角對其展開廣泛探討， 但對個人信息保護合規(guī)審計的研究還比較少。本文擬從個人信息保護和個人信息保護合規(guī)審計兩個方面進行文獻回顧。

（一） 個人信息保護研究

本文在CNKI 中國學術期刊網(wǎng)絡出版總庫（CAJD）中以“個人信息保護”為關鍵詞， 對1997 ～ 2022年收錄于北大核心、 CSSCI和CSCD的期刊進行檢索， 共獲得文獻資料1574篇。對個人信息保護的研究總體分為三個階段。

第一個階段為探索期（1997 ～ 2002年）。這一階段表現(xiàn)出兩個趨勢。一是不斷加強對國外個人隱私保護政策的介紹。例如： 貝內特（1997）在對加拿大《魁北克68號法案》和《電子通訊法案》進行介紹的基礎上， 對加拿大個人隱私保護政策的要點進行了總結； 周建（2001）對美國《隱私權法（1974）》中政府機構采集、 使用、 公開個人記錄的規(guī)定進行了詳細介紹， 認為《隱私權法（1974）》更多的是以限制政府公開個人記錄的方式來保護個人信息。二是開始對個人信息隱私保護技術進行探索。例如， 孔令飛和王義剛（2000）對用于個人信息保護的密鑰算法進行探索， 形成了一種便于記憶、 具有容錯性的個人信息保護方案。第二個階段為發(fā)展期（2003 ～ 2020年）。隨著網(wǎng)上購物帶來的消費者個人隱私泄露事件的頻繁發(fā)生， 學者開始關注消費者隱私泄露的法律保護問題。以鄭成思（2003）為代表的法學學者基于21世紀初我國信息網(wǎng)絡發(fā)展趨勢及電子商務中面臨的隱私保護問題， 呼吁對個人信息保護進行立法。此后學者對個人信息保護的立法模式（楊佶，2012；侯富強，2015）、 立法路徑（姬蕾蕾，2017；李美艷，2018）等問題進行了深入研究。經(jīng)過多年的立法探索， 我國于2020年發(fā)布《個人信息保護法（草案）》， 并向社會公開征求意見。但在個人信息保護的立法實踐上歐美走在前列。美國于2015年發(fā)布《消費者隱私權利法案（草案）》， 歐盟于2016年頒布《通用數(shù)據(jù)保護條例》。第三個階段為繁榮期（2021年至今）。隨著2021年《個人信息保護法》在我國正式實施， 學者對《個人信息保護法》的解讀（彭桂兵和丁奕雯，2021；王利明和丁曉東，2021）及其在實踐應用中的具體法律問題（周光權，2021；朱榮榮，2022）展開廣泛探討， 這助推我國的個人信息保護研究進入繁榮階段。

（二） 個人信息保護合規(guī)審計研究

現(xiàn)有文獻較少對個人信息保護合規(guī)審計進行專門研究， 相關研究大多集中在與個人信息保護相關的數(shù)據(jù)合規(guī)審計領域。在立法層面， 目前國內外均對數(shù)據(jù)合規(guī)審計做出相關要求。歐盟于2016年正式頒布《通用數(shù)據(jù)保護條例》， 英國信息專員辦公室于2021年發(fā)布《數(shù)據(jù)審計指南》， 法國數(shù)據(jù)保護局于2020年發(fā)布《審計程序指南》， 均對數(shù)據(jù)合規(guī)審計提出具體要求。我國除2021年正式實施的《個人信息保護法》外， 國家網(wǎng)信辦于2023年8月發(fā)布《個人信息保護合規(guī)審計管理辦法（征求意見稿）》， 以指導個人信息保護合規(guī)審計的有效開展。

從審計需求來看， 陳智敏（2022）認為推進個人信息保護合規(guī)審計不僅是保障個人信息安全的需要， 也是維護社會安全穩(wěn)定和推進數(shù)字中國建設的需要。從審計主體來看， 傳統(tǒng)領域的合規(guī)審計主體更多的是政府審計和內部審計（鄭石橋等，2019）， 而與個人信息保護相關的數(shù)據(jù)合規(guī)審計， 由于直接涉及社會公眾的個人信息權益， 除政府審計和內部審計發(fā)揮作用外， 還需要市場化程度更高的社會審計參與其中， 以發(fā)揮其第三方獨立評價職能（閆夏秋，2023）。從審計內容來看， 敬力嘉（2022）認為個人信息保護合規(guī)審計不僅要審查個人信息保護合規(guī)體系的完整性， 也要關注企業(yè)是否具備應對違法違規(guī)處理個人信息行為的能力， 同時不能忽略對員工行為合規(guī)性的審查。從審計程序來看， 賈丹等（2022）認為個人信息保護合規(guī)審計除包括傳統(tǒng)審計程序外， 還應增加審計跟蹤階段， 以形成有效的閉環(huán)管理。

（三） 研究述評

綜上所述， 為有效保障個人信息權益， 學者從多學科視角對個人信息保護進行了有益的探索， 推動我國《個人信息保護法》實現(xiàn)立法， 促進我國個人信息保護進入新的階段。但鮮有文獻對個人信息保護合規(guī)審計進行系統(tǒng)研究， 這與《個人信息保護法》對個人信息保護合規(guī)審計的要求存在較大差距。因此， 本文擬結合《個人信息保護法》的具體規(guī)定系統(tǒng)分析個人信息保護合規(guī)審計的重點內容， 在參考合規(guī)審計一般要求和個人信息保護特殊性的基礎上分析個人信息保護合規(guī)審計的程序， 并在深入分析個人信息保護合規(guī)審計困境的基礎上提出應對策略。

二、 個人信息保護合規(guī)審計的內容

（一） 個人信息保護合規(guī)審計的概念界定

2022年8月國務院國資委發(fā)布《中央企業(yè)合規(guī)管理辦法》， 對“合規(guī)”提出三個層面的要求： 一是在企業(yè)規(guī)章層面， 要求企業(yè)經(jīng)營管理行為及員工履職行為要符合企業(yè)章程和規(guī)章制度的要求； 二是在行業(yè)監(jiān)管層面， 要求企業(yè)經(jīng)營管理行為及員工履職行為要符合法律法規(guī)、 監(jiān)管規(guī)定和行業(yè)準則的要求； 三是在國際公約層面， 要求企業(yè)經(jīng)營管理行為及員工履職行為要符合國際條約和國際規(guī)則的要求。個人信息保護的合規(guī)管理同樣要遵循上述三個層面的合規(guī)要求。

為有效防范個人信息保護合規(guī)風險， 將審計嵌入個人信息保護合規(guī)管理的評價和監(jiān)督中， 就形成了個人信息保護合規(guī)審計。個人信息保護合規(guī)審計是指審計機構和審計人員以個人信息保護的相關法律、 規(guī)則及準則為依據(jù)， 對被審計單位及其員工的個人信息保護行為是否合規(guī)所實施的一種監(jiān)督活動。由于個人信息兼具私有屬性和公共屬性的特征， 個人信息保護合規(guī)審計要實現(xiàn)雙重目標： 從個人信息的私有屬性出發(fā)， 個人信息保護合規(guī)審計要實現(xiàn)監(jiān)管型目標， 規(guī)范個人信息處理活動， 防范侵害個人信息權益事件的發(fā)生； 從個人信息的公共屬性出發(fā)， 個人信息保護合規(guī)審計要實現(xiàn)服務型目標， 促進個人信息社會價值和使用價值的發(fā)揮。

（二） 個人信息保護合規(guī)審計的重點內容

《個人信息保護法》重點對個人信息處理者的義務、 個人信息主體的權利實現(xiàn)方式、 個人信息處理活動和個人信息跨境提供活動提出了合規(guī)要求。因此在開展個人信息保護合規(guī)審計時， 應重點審計以下四個方面的內容。

1. 對個人信息處理者義務的合規(guī)審計。個人信息處理者的義務是指為確保個人信息處理活動符合法律法規(guī)的要求， 同時防止個人信息泄露、 篡改、 丟失以及未經(jīng)授權訪問， 個人信息處理者應履行的安全保障義務。審計的重點內容包括： 一是重點審計個人信息保護合規(guī)制度的建設情況， 重點關注個人信息處理者是否按照法律法規(guī)的要求建立個人信息保護的內部管理制度和操作流程。二是重點審計個人信息保護合規(guī)制度的遵守情況， 重點關注個人信息處理者是否按照法規(guī)要求并結合自身業(yè)務特點進行個人信息的分類管理， 是否采取網(wǎng)絡安全等基礎安全控制措施和加密等安全技術措施， 是否定期對員工開展個人信息保護安全培訓， 是否制定個人信息安全事件應急預案并定期進行應急演練。三是如果對提供重要互聯(lián)網(wǎng)平臺服務、 用戶數(shù)量巨大、 業(yè)務類型復雜的個人信息處理者進行個人信息保護合規(guī)審計， 還應關注其是否成立主要由外部成員組成的獨立機構對個人信息保護情況進行監(jiān)督， 是否按照公開、 公平、 公正的原則明確平臺的個人信息保護規(guī)范和義務， 是否定期發(fā)布個人信息保護社會責任報告等。

2. 對個人信息主體權利實現(xiàn)方式的合規(guī)審計。個人信息主體的權利是指個人信息主體在個人信息處理活動中所享有的知情權、 決定權、 查閱權、 復制權、 轉移權、 更正權、 補充權、 刪除權、 要求解釋權和代行使權。在進行個人信息主體權利實現(xiàn)方式的合規(guī)審計時， 審計的重點內容是個人信息處理者是否有效響應個人信息主體的各項權利， 以及是否為個人信息主體行使各項權利提供對應的申請受理和處理機制等。

3. 對個人信息處理活動的合規(guī)審計。個人信息處理活動包括個人信息的收集、 存儲、 使用、 加工、 傳輸、 提供、 公開和刪除等活動。審計的重點內容包括： 一是在個人信息收集活動的合規(guī)審計中， 重點關注個人信息收集是否獲得授權同意， 收集方式是否具有合法正當性， 收集目的是否明確且合理， 收集范圍是否存在超范圍收集情況， 收集頻率是否為所必需的最低頻率， 收集數(shù)量是否為所必需的最小數(shù)量。二是在個人信息存儲活動的合規(guī)審計中， 重點關注存儲期限是否為所必要的最短時間， 存儲地點是否存在境內存儲的要求， 存儲技術是否采用加密和去標識化等安全措施， 存儲設置是否具有備份和恢復策略。三是在個人信息使用和加工活動的合規(guī)審計中， 重點關注是否超范圍使用個人信息， 是否對個人敏感信息進行脫敏展示， 是否對個人信息查詢進行授權管理， 是否對個人信息加工處理過程進行防泄露管控。四是在個人信息傳輸活動的合規(guī)審計中， 重點關注是否對個人信息傳輸進行分級管控， 是否進行傳輸前的授權批準， 是否對個人信息進行校驗， 是否采用入侵檢測等安全技術進行傳輸安全保障。五是在個人信息提供活動的合規(guī)審計中， 重點關注個人信息提供活動是否向信息主體盡到告知義務， 提供范圍是否超出個人同意范疇， 是否和信息接收方簽署責任協(xié)議并約束接收方行為。六是在個人信息公開活動的合規(guī)審計中， 重點關注公開披露是否得到信息主體的單獨同意、 是否存在適當?shù)男畔⒈Ｗo措施、 是否存在披露規(guī)則并進行準確記錄。七是在個人信息刪除活動的合規(guī)審計中， 重點關注是否具有受理個人信息刪除訴求的途徑， 是否按照法規(guī)要求主動刪除個人信息或按照信息主體要求刪除個人信息等。

4. 對個人信息跨境提供活動的合規(guī)審計。個人信息跨境提供活動是指個人信息處理者將在中國境內運營中收集和產生的個人信息向中國境外提供的行為。在進行個人信息跨境提供活動的合規(guī)審計時， 應重點關注跨境提供個人信息是否滿足安全評估、 個人信息保護認證、 標準合同簽約等基本條件， 是否在跨境提供前進行個人信息保護影響評估， 是否在跨境提供前向信息主體盡到告知義務并獲取同意， 是否經(jīng)過中國主管機構批準后向境外司法和執(zhí)法機構提供， 是否存在向列入限制或者禁止清單的境外組織和個人提供個人信息的情形， 是否對跨境提供的數(shù)據(jù)提供安全保障措施等。

三、 個人信息保護合規(guī)審計程序

個人信息保護合規(guī)審計既可以由個人信息處理者的治理層發(fā)起③， 也可以由履行個人信息保護職責的政府監(jiān)管部門發(fā)起④。不同發(fā)起主體下個人信息保護合規(guī)審計的程序存在差異。由個人信息處理者治理層發(fā)起的個人信息保護合規(guī)審計屬于個人信息處理者內部組織開展的審計， 審計程序要遵循內部審計準則的相關要求。由履行個人信息保護職責的政府監(jiān)管部門發(fā)起的個人信息保護合規(guī)審計要遵循政府部門發(fā)布的關于個人信息保護合規(guī)審計相關的管理規(guī)范。

（一） 個人信息處理者治理層發(fā)起的個人信息保護合規(guī)審計程序

由個人信息處理者治理層發(fā)起的個人信息保護合規(guī)審計既可以委托內部審計部門實施， 也可以委托社會審計中的第三方獨立審計機構實施， 在審計程序上要遵循內部審計準則的要求。按照中國內部審計協(xié)會發(fā)布的《第1101號——內部審計基本準則》的規(guī)定， 完整的審計程序包括審計計劃、 審計準備、 審計實施、 審計報告和審計整改。具體如圖1所示。此外， 在個人信息處理者治理層委托第三方獨立審計機構實施個人信息保護合規(guī)審計時， 還應遵循《第2309號內部審計具體準則——內部審計業(yè)務外包管理》的相關規(guī)定。內部審計部門或第三方獨立審計機構在實施個人信息保護合規(guī)審計過程中， 要對個人信息處理者的治理層負責， 將審計報告及整改結果向個人信息處理者治理層報告。

1. 審計計劃階段。在審計計劃階段， 個人信息保護合規(guī)審計既要制定中長期的審計規(guī)劃， 也要編制年度審計計劃和項目審計方案。首先， 將個人信息保護合規(guī)審計納入總體審計規(guī)劃。結合外部法律法規(guī)和監(jiān)管政策的要求， 參考同行業(yè)侵害個人信息權益的違法違規(guī)事件， 考慮內部管理對個人信息保護機制的建設需求， 合理制定個人信息保護合規(guī)審計的中長期審計規(guī)劃。其次， 基于審計規(guī)劃的結果， 編制個人信息保護合規(guī)審計的年度計劃。在個人信息保護合規(guī)風險評估基礎上， 結合審計資源配置情況， 確定個人信息保護合規(guī)審計的年度目標、 擬實施的審計項目、 實施時間， 并確定是否需要委托第三方獨立審計機構以及委托實施的具體審計項目。最后， 編制具體項目的個人信息保護合規(guī)審計方案。根據(jù)個人信息保護合規(guī)審計年度計劃確定的審計項目， 制定具體項目的審計方案。審計方案內容包括審計項目的基礎信息、 審計目標與重點、 審計程序與方法、 審計資源的分配、 對外部信息技術專家及法律專家的利用等。在委托第三方獨立審計機構時， 個人信息處理者治理層等相關方還需與第三方獨立審計機構溝通個人信息保護合規(guī)審計方案， 確保其符合個人信息保護監(jiān)管政策要求。

2. 審計準備階段。在審計準備階段， 要為個人信息保護合規(guī)審計項目的具體實施提供所需的條件。一是開展審前調查。通過現(xiàn)場查看、 面談交流、 資料分析、 書面描述、 實施分析性程序等方法總體把握個人信息保護合規(guī)審計項目的基本情況。二是明確審計內容和范圍。在審前調查基礎上， 結合個人信息使用場景、 個人信息處理活動和保護措施現(xiàn)狀等， 確定具體項目的審計內容和審計范圍。三是確定合規(guī)審計的開展方式。結合審計資源的投入情況、 審計工具的使用情況和審計專業(yè)能力情況， 靈活選擇專項審計方式、 持續(xù)審計方式或在其他審計項目中協(xié)同開展個人信息保護合規(guī)審計的方式。四是確認內外部資源支持情況。對開展個人信息保護合規(guī)審計所需的人力資源、 財務資源、 技術資源、 信息情報資源以及外部專家資源等的準備情況進行確認， 以確保審計工作的順利開展。此外， 在委托第三方獨立審計機構時， 個人信息處理者應為第三方獨立審計機構開展個人信息保護合規(guī)審計提供所必需的工作條件和權限， 確保第三方獨立審計機構能夠順利開展審計工作。

3. 審計實施階段。在審計實施階段， 為確保審計目標的實現(xiàn)， 可綜合使用多種審計方法。一是訪談法?？赏ㄟ^線上或線下方式對授權訪問個人信息的人員進行訪談， 了解個人信息處理活動的基本狀況。二是文件檢查法。對個人信息安全管理制度、 隱私政策、 合同協(xié)議、 運行文檔、 留存日志等資料進行查閱檢查。三是實地檢查法。對個人信息的處理場景、 個人信息處理活動的相關設備運行情況進行實地檢查。四是穿行測試。通過追蹤個人信息在信息系統(tǒng)中的全部處理過程， 以了解個人信息處理活動的全部業(yè)務流程。五是滲透測試。必要時， 在計算機系統(tǒng)中對處理個人信息的信息系統(tǒng)平臺進行授權模擬攻擊， 以測試信息系統(tǒng)平臺的安全性。六是控制測試。評價是否存在與個人信息處理活動相關的控制， 以及這些控制是否得到有效執(zhí)行， 以確認個人信息保護措施是否有效， 是否達到個人信息保護的目的。七是實質性程序。在控制測試基礎上， 對發(fā)現(xiàn)的與個人信息處理有關的問題進行進一步核對和確認， 收集合規(guī)審計證據(jù)。在委托第三方獨立審計機構時， 個人信息處理者治理層等相關方應定期或不定期聽取第三方獨立審計機構的匯報， 了解項目實施的進度， 協(xié)助解決審計過程中遇到的問題， 確保審計項目的順利實施。

4. 審計報告階段。在審計報告階段， 審計機構應在與被審計單位進行問題溝通、 意見反饋的基礎上， 出具正式審計報告。鑒于個人信息保護合規(guī)審計的特殊性， 除與專業(yè)部門溝通外， 還需與法務部門、 合規(guī)部門、 大數(shù)據(jù)部門、 輿情部門、 信息技術部門等進行溝通， 確認是否符合實際情況。正式審計報告的內容通常包括： 審計概況、 審計依據(jù)、 審計結論、 審計發(fā)現(xiàn)、 審計意見和審計建議。個人信息保護合規(guī)審計報告既要注重對合規(guī)問題的事實、 定性、 原因、 影響的說明， 給出恰當?shù)膶徲嫿Y論和審計處理意見， 以滿足監(jiān)管型審計目標的要求； 同時， 也要注重對合規(guī)問題原因的剖析， 并給出有價值的建議， 促進個人信息的合理利用， 實現(xiàn)服務型審計的目標。在委托第三方獨立審計機構時， 個人信息處理者治理層等相關方應對第三方獨立審計機構提交的審計報告初稿進行復核并提出意見， 確保個人信息保護合規(guī)審計報告的質量符合監(jiān)管政策要求。

5. 審計整改階段。審計整改階段是審計閉環(huán)管理的最后環(huán)節(jié)， 對跟蹤審計發(fā)現(xiàn)問題和落實審計意見執(zhí)行具有監(jiān)督作用。一是確認個人信息保護合規(guī)審計問題的整改情況。重點關注是否對個人信息處理的業(yè)務、 運營、 管理等活動存在的控制缺陷進行整改， 是否優(yōu)化業(yè)務處理流程和操作， 是否完善個人信息保護管理制度， 是否修訂個人信息保護的隱私政策等， 以確認審計整改是否達到預期效果。二是發(fā)現(xiàn)審計意見執(zhí)行過程中出現(xiàn)的問題。重點關注是否存在審計意見不符合當前實際情況的情形， 是否出現(xiàn)個人信息保護法規(guī)政策變化等新情況， 進行復查后， 重新做出審計決定。在委托第三方獨立審計機構時， 個人信息處理者治理層等相關方可就審計整改結果與第三方獨立審計機構進行溝通， 征求第三方獨立審計機構的意見。

（二） 政府監(jiān)管部門發(fā)起的個人信息保護合規(guī)審計程序

由履行個人信息保護職責的國家網(wǎng)信辦等政府監(jiān)管部門發(fā)起的個人信息保護合規(guī)審計， 針對的通常是在個人信息保護領域存在較大風險或發(fā)生風險事件的個人信息處理者， 其程序如圖2所示。個人信息處理者應按照履行個人信息保護職責的政府監(jiān)管部門的要求， 委托第三方獨立審計機構開展個人信息保護合規(guī)審計。在審計程序上要遵循國家網(wǎng)信辦等政府監(jiān)管部門發(fā)布的相關規(guī)定。國家網(wǎng)信辦于2023年8月發(fā)布《個人信息保護合規(guī)審計管理辦法（征求意見稿）》， 對第三方獨立審計機構實施個人信息保護合規(guī)審計有專門要求。在第三方獨立審計機構的選擇上， 政府監(jiān)管部門在開展定期動態(tài)評價的基礎上， 向個人信息處理者發(fā)布個人信息保護合規(guī)審計專業(yè)機構推薦目錄， 并鼓勵個人信息處理者優(yōu)先選擇。由于存在已經(jīng)評估評價并優(yōu)先推薦的個人信息保護合規(guī)審計專業(yè)機構， 因此， 在審計程序上， 監(jiān)管政策更注重對審計實施、 審計報告和審計整改環(huán)節(jié)的要求， 而在審計計劃和審計準備環(huán)節(jié)以專業(yè)機構的自我管理為主。以下就審計程序各階段的特殊內容進行闡述。

1. 審計計劃階段。在審計計劃階段， 個人信息保護合規(guī)審計專業(yè)機構要與個人信息處理者簽訂審計業(yè)務約定書， 明確雙方的權利與義務， 確認雙方對業(yè)務約定條款不存在誤解。同時， 個人信息保護合規(guī)審計專業(yè)機構應做好審計方案的編制， 并與個人信息處理者溝通方案內容， 確保其符合監(jiān)管政策要求。

2. 審計準備階段。 "在審計準備階段， 個人信息保護合規(guī)審計專業(yè)機構除做好通常情形下的審計準備工作外， 要重點確認個人信息處理者是否為其開展審計工作提供必要的工作權限。必要的工作權限包括： 能夠訪談與個人信息處理活動相關的人員， 能夠觀察場所內發(fā)生的個人信息處理活動， 能夠檢查個人信息處理活動相關設備設施， 能夠調查個人信息處理活動及所依賴的信息系統(tǒng)， 能夠查閱個人信息處理活動的數(shù)據(jù)和信息等。

3. 審計實施階段。在審計實施階段， 個人信息保護合規(guī)審計專業(yè)機構面臨審計實施時間和實施質量的雙重要求。從審計實施時間來看， 現(xiàn)有的監(jiān)管政策要求個人信息保護合規(guī)審計專業(yè)機構必須在限定時間內完成審計工作， 這既是有效利用審計資源以提升審計工作效率的要求， 也是防范風險暴露過長時間導致個人信息保護風險事件向社會外溢的需要。從審計實施質量來看， 個人信息保護合規(guī)審計專業(yè)機構應以科學有效的審計方法和充分可靠的審計證據(jù)來保障審計質量， 不能因刻意追求審計質量而惡意干擾個人信息處理者的正常經(jīng)營活動。

4. 審計報告階段。在審計報告階段， 個人信息保護合規(guī)審計專業(yè)機構應在保障審計報告質量的同時， 及時出具審計報告。在審計報告質量保障方面， 個人信息保護合規(guī)審計專業(yè)機構在實施必要的合規(guī)審計程序的基礎上， 如實出具審計報告。若存在虛假出具或不實出具報告情形， 除面臨剔除出個人信息保護合規(guī)審計專業(yè)機構推薦目錄的風險外， 還面臨因違反《個人信息保護法》而被追究法律責任的嚴重后果。在審計報告報送時間方面， 個人信息保護合規(guī)審計專業(yè)機構應及時出具審計報告， 并由個人信息處理者在規(guī)定時間內報送履行個人信息保護職責的政府監(jiān)管部門。

5. 審計整改階段。在審計整改階段， 個人信息處理者不僅要履行整改義務， 還要履行整改情況的報送義務。首先， 個人信息處理者應按照專業(yè)機構給出的整改建議進行整改， 彌補個人信息保護合規(guī)風險漏洞。其次， 在整改完成后， 個人信息處理者應將經(jīng)專業(yè)機構復核后的整改情況報送履行個人信息保護職責的政府監(jiān)管部門。政府監(jiān)管部門將其作為監(jiān)管并評價個人信息處理者的重要依據(jù)。

四、 個人信息保護合規(guī)審計面臨的困境

（一） 個人信息保護合規(guī)審計的實踐不足

我國個人信息保護合規(guī)審計實踐不足， 主要表現(xiàn)在兩個方面。一是在標準制定層面， 尚未形成可供參考的個人信息保護合規(guī)審計規(guī)范。目前無論是《國家審計準則》《中國注冊會計師審計準則》還是《中國內部審計準則》， 都未將個人信息保護合規(guī)審計納入其中。二是在實務工作層面， 個人信息保護合規(guī)審計的審計方式尚在摸索中。在面對海量多維數(shù)據(jù)的審計場景時， 個人信息保護合規(guī)審計在審計范圍確定、 審計要點設計和審計測試深度等問題上面臨諸多挑戰(zhàn)。

我國個人信息保護合規(guī)審計實踐不足的原因主要包括兩個方面。從外部要求來看， 我國個人信息保護法于2021年立法， 立法時間較晚， 導致個人信息保護合規(guī)審計在較長時間內處于法定合規(guī)審計范圍之外。從內在動因來看， 一方面實施個人信息保護合規(guī)審計需要個人信息處理者投入大量的人、 財、 物等審計資源， 增加了個人信息處理者的財務負擔。另一方面， 實施個人信息保護合規(guī)審計限制了個人信息處理者通過違規(guī)收集、 使用、 加工、 傳輸個人信息獲取經(jīng)濟利益的機會。因此， 個人信息處理者缺少內在動力實施個人信息保護合規(guī)審計。

（二） 個人信息保護合規(guī)審計的協(xié)同機制缺失

個人信息保護合規(guī)審計既涉及個人信息處理者的內部審計部門， 又涉及第三方獨立審計機構， 還涉及承擔個人信息保護職責的政府部門。因此， 開展個人信息保護合規(guī)審計需要多主體的協(xié)同。但是， 從審計主體來看， 在國家審計中， 審計機關尚未將個人信息保護政策跟蹤審計作為審計重點， 對承擔個人信息保護職責的政府部門的政策跟蹤審計參與度較低。在社會審計中， 會計師事務所的業(yè)務范圍較少拓展至個人信息保護合規(guī)審計領域， 對個人信息保護合規(guī)行為的第三方獨立評價和監(jiān)督作用發(fā)揮不足。在內部審計中， 內部審計部門還局限于傳統(tǒng)的審計領域， 對個人信息保護合規(guī)管理的評價和服務職能發(fā)揮有限?？傮w來看， 我國個人信息保護合規(guī)審計的協(xié)同聯(lián)動機制尚未建立起來， 未發(fā)揮出最大效力。

（三） 數(shù)字化審計輔助工具應用不足

個人信息保護合規(guī)審計涉及的審計場景通常包括APP、 微信小程序、 微信公眾號、 云平臺以及企業(yè)信息系統(tǒng)等。這些審計場景產生的數(shù)據(jù)具有數(shù)據(jù)量級大、 模態(tài)多的特點。傳統(tǒng)的人工檢查方式在響應時間、 靈活性和處理業(yè)務量上存在局限性， 導致查閱、 復核、 測試等程序帶來繁重的工作量和高昂的審計成本， 還會因為審計抽樣方法的局限性導致抽樣風險的發(fā)生。因此， 在面對存在海量數(shù)據(jù)的個人信息保護合規(guī)審計場景時， 有必要引進數(shù)字化審計輔助工具。但是數(shù)字化審計輔助工具開發(fā)的專業(yè)性和復雜性， 以及不同審計場景的特殊性， 導致數(shù)字化審計輔助工具在個人信息保護合規(guī)審計中應用較少。

（四） 個人信息保護合規(guī)審計專業(yè)人才缺乏

個人信息保護合規(guī)審計對審計人才的要求具有特殊性， 不僅要求審計人員必須具備專業(yè)的審計知識和審計技能， 熟悉數(shù)據(jù)安全與隱私保護相關的法律、 行政法規(guī)和行業(yè)監(jiān)管政策， 還要具備數(shù)據(jù)業(yè)務流程、 數(shù)據(jù)治理和信息系統(tǒng)等專業(yè)知識， 以對被審計單位的個人信息處理活動及相關的內部控制、 風險管理的合規(guī)性、 適當性和有效性進行專業(yè)判斷。但現(xiàn)階段， 無論是國家審計、 社會審計， 還是內部審計， 審計人才均以財務會計專業(yè)為主， 個人信息保護合規(guī)審計人才缺口較大。

（五） 保障審計建議落地的資源不足

個人信息保護合規(guī)審計建議的執(zhí)行， 對管理資源、 財務資源和技術資源等存在較強依賴性。首先， 企業(yè)內部數(shù)據(jù)分布于不同的職能部門， 其權責歸屬復雜， 對審計建議的落實， 不僅涉及數(shù)據(jù)業(yè)務流程的優(yōu)化， 還涉及組織結構的調整， 需要投入較多的管理資源。其次， 對涉及個人信息處理的相關軟件系統(tǒng)進行改造， 不僅周期長， 而且需要投入大量的財務資源。最后， 涉及個人信息處理的相關軟件系統(tǒng)通常只適合特定業(yè)務場景， 具有專用性， 需要企業(yè)投入特定的技術資源進行改造。而企業(yè)的總體資源是有限的， 在管理資源、 財務資源和技術資源需求量較大的情況下， 很難保障資源投入的充足性。

（六） 適格審計主體的認定標準缺失

個人信息保護合規(guī)審計對第三方獨立審計機構存在更高要求。首先，個人信息保護合規(guī)審計涉及公眾利益， 要求審計機構以維護社會公眾的個人信息權益為目標， 對審計機構的職業(yè)能力和職業(yè)道德有更高要求； 其次， 個人信息保護合規(guī)審計涉及海量的個人數(shù)據(jù)， 要求審計機構具備數(shù)字化審計能力。但對于審計機構具備什么樣的條件， 才能夠從事個人信息保護合規(guī)審計， 卻沒有統(tǒng)一的認定標準。這一方面導致個人信息保護合規(guī)審計的執(zhí)業(yè)質量參差不齊， 另一方面也削弱了第三方獨立審計機構從事個人信息保護合規(guī)審計業(yè)務的意愿。

五、 有效實施個人信息保護合規(guī)審計的對策建議

（一） 加強個人信息保護合規(guī)審計實踐

加強個人信息保護合規(guī)審計實踐的著力點主要在兩個方面。一是大力發(fā)展研究型審計， 加強個人信息保護合規(guī)審計規(guī)范的研究?，F(xiàn)有的審計準則尚未形成可供參考的個人信息保護合規(guī)審計規(guī)范， 因此， 可將個人信息保護合規(guī)審計納入內部審計具體準則的制定范疇， 通過審計專家和實務工作者的共同參與， 制定《內部審計具體準則——個人信息保護合規(guī)審計》， 并向社會頒布， 指導審計實踐的開展。二是強化典型個人信息保護合規(guī)審計案例的研究和推廣。由于個人信息保護合規(guī)審計實踐尚處于初期探索中， 可通過對已有典型案例的研究， 總結個人信息保護合規(guī)審計實務中好的經(jīng)驗做法， 并向社會推廣， 為個人信息保護合規(guī)審計實踐提供借鑒。

（二） 建立個人信息保護合規(guī)審計的協(xié)同聯(lián)動機制

個人信息保護合規(guī)審計的協(xié)同聯(lián)動需要多主體的參與， 既需要個人信息處理者內部的治理層、 管理層和內部審計部門的參與， 又需要個人信息處理者外部的履行個人信息保護職責的政府監(jiān)管部門、 國家審計部門和第三方獨立審計機構的參與。具體的協(xié)同聯(lián)動方式見圖3。

首先， 在個人信息處理者內部， 實現(xiàn)管理層實施的個人信息保護合規(guī)管理與內部審計部門開展的自主合規(guī)審計（自愿性）的協(xié)同聯(lián)動。為實現(xiàn)組織的合規(guī)管理目標， 個人信息處理者有必要引進“三線模型”。其中， 管理層履行第一線和第二線的職能。第一線和第二線的職能并行運行， 第一線負責管理個人信息保護合規(guī)風險， 第二線負責為合規(guī)風險相關事務提供補充性的專業(yè)知識， 發(fā)揮支持和監(jiān)督作用， 兩條線相互協(xié)同， 以實現(xiàn)組織的個人信息保護合規(guī)管理目標。第三線為獨立于管理層的內部審計部門， 職能是為所有與實現(xiàn)個人信息保護合規(guī)管理目標相關的事務提供獨立客觀的確認和建議。內部審計部門在日?；顒又刑峁﹤€人信息保護合規(guī)審計時， 要充分發(fā)揮服務型內部審計的職能， 在發(fā)現(xiàn)和糾偏個人信息保護合規(guī)管理中存在問題的同時， 要與管理層做好溝通協(xié)調， 為個人信息保護合規(guī)管理的改進和優(yōu)化提供咨詢與建議， 實現(xiàn)管理層的個人信息保護合規(guī)管理與內部審計部門的自主合規(guī)審計的協(xié)同聯(lián)動。

其次， 在個人信息處理者內部， 實現(xiàn)第三方獨立審計機構定期開展的自主合規(guī)審計（強制性）與內部審計部門在日?；顒又虚_展的自主合規(guī)審計（自愿性）的協(xié)同聯(lián)動。在個人信息處理者內部， 自主合規(guī)審計包括兩個層次。一是由治理層委托第三方獨立審計機構定期開展的自主合規(guī)審計， 主要為滿足《個人信息保護法》第54條中定期開展合規(guī)審計的法定要求， 這種法定要求雖是強制性義務， 但更強調個人信息處理者通過合規(guī)審計方式進行定期自查。二是由治理層委托內部審計部門在日?；顒又虚_展的自主合規(guī)審計， 主要為滿足內部管理需要， 對組織內部個人信息保護合規(guī)管理情況進行獨立客觀的確認和提出建議。為有效降低個人信息保護合規(guī)風險， 第三方獨立審計機構定期開展的自主合規(guī)審計與內部審計部門在日?；顒又虚_展的自主合規(guī)審計可在多方面實現(xiàn)協(xié)同。一是實現(xiàn)審計計劃的協(xié)同共商， 例如通過共同協(xié)商審計范圍， 在確保審計監(jiān)督涵蓋個人信息處理全部活動的同時， 又能突出敏感個人信息等重要風險領域， 最大化利用審計資源， 提升審計效率。二是實現(xiàn)信息資源的協(xié)同共用， 雖然不同審計方式獲取信息的來源不同， 但可以通過召開溝通會等形式實現(xiàn)信息資源的共享共用， 以減少個人信息保護合規(guī)風險的監(jiān)管盲區(qū)。三是實現(xiàn)合規(guī)問題的協(xié)同整改， 將第三方獨立審計的權威性和嚴肅性與內部審計的積極性和靈活性結合起來， 兩者形成合力， 推進審計問題的有效整改。

再次， 在個人信息處理者外部， 實現(xiàn)政策跟蹤審計和監(jiān)管檢查合規(guī)審計的協(xié)同聯(lián)動。承擔個人信息保護職責的政府監(jiān)管部門， 肩負著個人信息保護的法定職責。因此， 通過對承擔個人信息保護職責的政府監(jiān)管部門實施個人信息保護政策跟蹤審計， 有利于壓實國家網(wǎng)信辦等政府監(jiān)管部門個人信息保護的責任。國家網(wǎng)信辦等政府監(jiān)管部門通過有效履行職責， 對在個人信息保護領域存在較大風險或發(fā)生風險事件的個人信息處理者， 要求其委托第三方獨立審計機構實施監(jiān)管檢查合規(guī)審計， 并對發(fā)現(xiàn)的個人信息保護安全問題進行整改。通過自上而下、 層層監(jiān)督的方式， 實現(xiàn)個人信息保護政策跟蹤審計和監(jiān)管檢查合規(guī)審計的協(xié)同聯(lián)動。

最后， 科學處理自主合規(guī)審計和監(jiān)管檢查合規(guī)審計的關系。內部的自主合規(guī)審計由個人信息處理者治理層委托發(fā)起， 個人信息處理者可以自主決策， 具有主動性和增值性的特點。外部的監(jiān)管檢查合規(guī)審計由履行個人信息保護職責的政府監(jiān)管部門發(fā)起， 個人信息處理者只能被動接受， 具有被動性和問責性的特點。內部的自主合規(guī)審計與外部的監(jiān)管檢查合規(guī)審計之間具有相互轉換、 此消彼長的關系。如果個人信息處理者消極對待自主合規(guī)審計， 則會導致組織面臨較大的個人信息保護合規(guī)風險， 甚至發(fā)生個人信息保護安全事件， 從而帶來外部監(jiān)管檢查合規(guī)審計更嚴厲的檢查， 并承擔相應的法律責任和民事賠償。反之亦然。因此， 科學處理兩者關系的關鍵在于， 個人信息處理者要積極主動開展自主合規(guī)審計， 在防范合規(guī)風險和滿足監(jiān)管要求的基礎上， 發(fā)揮個人信息的社會價值和使用價值， 避免外部監(jiān)管檢查合規(guī)審計帶來的責任賠償和信譽損失。

（三）加強數(shù)字化審計輔助工具的開發(fā)和應用

數(shù)字化審計輔助工具是有效開展個人信息保護合規(guī)審計的利器。數(shù)字化審計輔助工具的開發(fā)和利用可以采用“現(xiàn)場+遠程+云端”相結合的工作方式?，F(xiàn)場審計重在總結數(shù)據(jù)業(yè)務流程的規(guī)律， 選擇合適的審計信息技術（例如非結構化數(shù)據(jù)轉換技術、 代碼分析技術等）， 編寫相應的審計腳本工具， 為開發(fā)數(shù)字化審計輔助工具奠定基礎。遠程審計重在固化審計模型， 將現(xiàn)場審計總結出的審計規(guī)律及開發(fā)的腳本工具固化為特定業(yè)務場景下的審計模型， 并嵌入數(shù)字化審計輔助工具中， 即使遠離審計現(xiàn)場， 只要能獲取相關數(shù)據(jù)， 就能通過開發(fā)的審計模型實現(xiàn)遠程審計。云端審計重在對存儲在云端的海量數(shù)據(jù)通過固化在數(shù)字化審計輔助工具中的審計模型進行高效處理， 以發(fā)現(xiàn)可疑的個人信息操縱行為。在數(shù)字化審計輔助工具的開發(fā)和應用中， 遵循邊審計、 邊開發(fā)、 邊利用、 邊改進的研究型模式， 以實現(xiàn)個人信息保護合規(guī)審計和業(yè)務場景的緊密融合。

（四）培養(yǎng)個人信息保護合規(guī)審計人才

隨著國家、 企業(yè)以及社會公眾對個人信息保護重視程度的不斷提升， 培養(yǎng)個人信息保護合規(guī)審計人才勢在必行。個人信息保護合規(guī)審計人才的培養(yǎng)要充分實現(xiàn)審計技能、 個人信息保護合規(guī)知識體系和信息技術的融合。首先， 加強在崗的個人信息保護合規(guī)審計人才的繼續(xù)教育， 將研究型審計思維運用于個人信息保護合規(guī)審計工作中。在審計前， 注重對個人信息保護合規(guī)監(jiān)管政策的學習， 強化基于信息技術的審計方法研究。在審計中， 注重審計技術、 審計方法與特定個人信息保護場景的融合， 構建并固化審計模型， 以實現(xiàn)自動化審計。在審計后， 注重個人信息保護合規(guī)審計實務案例的總結， 建立個人信息保護合規(guī)審計案例庫， 提升審計工作效率。其次， 加強高校個人信息保護合規(guī)審計人才培養(yǎng)體系建設。建議相關高校在審計人才培養(yǎng)過程中， 在夯實審計知識的基礎上， 增設合規(guī)管理、 數(shù)據(jù)分析、 信息技術等選修課程， 以加強對復合型審計人才的培養(yǎng)。

（五）保障促進審計建議落地的資源

個人信息保護合規(guī)審計建議的落地對管理資源、 財務資源和技術資源等具有較高的依賴度。在管理資源保障上， 個人信息處理者在治理結構層面， 強化董事會對個人信息保護合規(guī)管理的職責， 成立跨部門的個人信息保護合規(guī)管理團隊， 對涉及個人信息保護的跨部門業(yè)務流程優(yōu)化和組織結構調整問題進行協(xié)調和處理。在財務資源保障上， 個人信息處理者可以根據(jù)個人信息保護風險的評估情況， 合理計提個人信息保護專項儲備基金， 在保障審計建議落地的同時， 也可為發(fā)生的個人信息保護法律賠償提供資金支持。在技術資源保障上， 個人信息處理者可以綜合運用全職聘用和兼職聘用， 引進具有專業(yè)技術背景的人才， 以防范專業(yè)技術能力不足的問題。

（六）合理制定適格審計主體的認定標準

適格審計主體認定標準的制定應由承擔個人信息保護職責的政府監(jiān)管部門（如國家網(wǎng)信辦等）牽頭， 這樣可以將個人信息保護的相關監(jiān)管要求融入標準制定中。在標準制定過程中， 除了要考慮審計機構的組織形式、 成立年限、凈資產、 從業(yè)人員數(shù)量等一般標準， 還要充分考慮個人信息保護合規(guī)審計的特殊要求。例如： 要考慮審計機構的歷史執(zhí)業(yè)質量情況， 是否存在行政、 刑事處罰事項，是否存在違反職業(yè)道德的事項； 要考慮審計機構從業(yè)人員的數(shù)字化審計能力， 從業(yè)人員是否具備數(shù)字化審計的教育經(jīng)歷或數(shù)字化審計的職業(yè)資格（如CISA認證）等。

【 注 釋 】

① 2023年4月27日，國家網(wǎng)信辦發(fā)布《數(shù)字中國發(fā)展報告（2022年）》。

② 《個人信息保護法》第73條第1款規(guī)定：個人信息處理者，是指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人。

③ 《個人信息保護法》第54條規(guī)定：個人信息處理者應當定期對其處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計。

④ 《個人信息保護法》第64條規(guī)定：履行個人信息保護職責的部門在履行職責中，發(fā)現(xiàn)個人信息處理活動存在較大風險或者發(fā)生個人信息安全事件的，可以按照規(guī)定的權限和程序對該個人信息處理者的法定代表人或者主要負責人進行約談，或者要求個人信息處理者委托專業(yè)機構對其個人信息處理活動進行合規(guī)審計。個人信息處理者應當按照要求采取措施，進行整改，消除隱患。

【 主 要 參 考 文 獻 】

C.貝內特．加拿大信息高速公路上的個人隱私保護［ J］．國外社會科學，1997（3）：86 ～ 87．

陳智敏．個人信息保護合規(guī)審計系統(tǒng)構建研究［ J］．審計觀察，2022（12）：18 ～ 22．

侯富強．我國個人信息保護立法模式研究［ J］．深圳大學學報（人文社會科學版），2015（3）：144 ～ 148．

姬蕾蕾．個人信息保護立法路徑比較研究［ J］．圖書館建設，2017（9）：19 ～ 25．

賈丹，張譽馨，王姍．我國個人信息保護合規(guī)審計制度的路徑探討［ J］．工業(yè)信息安全，2022（4）：17 ～ 22．

敬力嘉．個人信息保護合規(guī)的體系構建［ J］．法學研究，2022（4）：152 ～ 167．

李美燕．個人信息保護立法路徑的思考［ J］．人民論壇，2018（25）：92 ～ 93．

彭桂兵，丁奕雯．網(wǎng)絡空間個人信息的強化保護與規(guī)范流通——《個人信息保護法》解讀［ J］．青年記者，2021（19）：83 ～ 85．

王利明，丁曉東．論《個人信息保護法》的亮點、特色與適用［ J］．法學家，2021（6）：1 ～ 16+191．

閆夏秋．企業(yè)合規(guī)視角下的內部審計：現(xiàn)實挑戰(zhàn)與應對［ J］．財會月刊，2023（18）：97 ～ 102．

楊佶．域外個人信息保護立法模式比較研究——以美、德為例［ J］．圖書館理論與實踐，2012（6）：79 ～ 81．

鄭成思．個人信息保護立法——市場信息安全與信用制度的前提［ J］．中國社會科學院研究生院學報，2003（2）：14 ～ 21+109．

周光權．委托處理個人信息與侵犯公民個人信息罪——結合《個人信息保護法》第21條的分析［ J］．環(huán)球法律評論，2021（6）：23 ～ 39．

周?。绹峨[私權法》與公民個人信息保護［ J］．情報科學，2001（6）：608 ～ 611．

朱榮榮．個人信息保護“目的限制原則”的反思與重構——以《個人信息保護法》第6條為中心［ J］．財經(jīng)法學，2022（1）：18 ～ 31．