趙翰雋，殷 楠（副教授）

2021 年8 月我國出臺的《個人信息保護(hù)法》首次在法律層面提出了個人信息保護(hù)合規(guī)審計的要求，包括信息處理者定期自行安排合規(guī)審計，按照監(jiān)管部門要求委托專業(yè)機構(gòu)進(jìn)行合規(guī)審計。2023 年8 月，國家互聯(lián)網(wǎng)信息辦公室進(jìn)一步發(fā)布了《個人信息保護(hù)合規(guī)審計管理辦法（征求意見稿）》及配套的《個人信息保護(hù)合規(guī)審計參考要點》。但是，個人信息保護(hù)合規(guī)審計制度尚處于初步建立階段，相關(guān)工作尚處于探索實踐中。為此，需要進(jìn)一步分析個人信息保護(hù)合規(guī)審計制度建構(gòu)運作的底層法理邏輯以及應(yīng)遵循的重要原則，進(jìn)一步明確、完善合規(guī)審計的規(guī)則體系和技術(shù)方法等。

一、個人信息保護(hù)合規(guī)審計制度的形成及底層法理邏輯

（一）個人信息保護(hù)合規(guī)審計制度的形成

個人信息保護(hù)合規(guī)審計制度是數(shù)字時代的產(chǎn)物，是在數(shù)字社會及數(shù)字經(jīng)濟的發(fā)展中逐步形成的。1996 年，國際信息系統(tǒng)審計與控制協(xié)會（ISACA）發(fā)布《信息及相關(guān)技術(shù)控制目標(biāo)標(biāo)準(zhǔn)》（COBIT標(biāo)準(zhǔn)，2019年）。該標(biāo)準(zhǔn)圍繞著信息系統(tǒng)的開發(fā)運用制定了四十多項規(guī)制目標(biāo)，并提出相應(yīng)的審計要求與方法。目前，該標(biāo)準(zhǔn)已成為關(guān)于信息系統(tǒng)審計的通用標(biāo)準(zhǔn)。其中，“系統(tǒng)安全”與“數(shù)據(jù)管理”控制目標(biāo)及審計要求涉及信息保護(hù)問題。2002年，美國國家審計署發(fā)布了《聯(lián)邦信息系統(tǒng)控制審計手冊》（2009年修訂），該手冊主要適用于聯(lián)邦和其他政府實體的信息系統(tǒng)審計。2018 年5 月25 日，歐盟《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，GDPR）正式生效。在該條例的約束要求下，英、法、德等歐盟國家開始制定和實施本國的數(shù)據(jù)保護(hù)審計制度。英國的數(shù)據(jù)保護(hù)審計以自愿審計為主、強制審計為輔。其中，信息專員辦公室開展的審計是一種基于監(jiān)管層面的強制審計。2020 年9月，法國數(shù)據(jù)保護(hù)局（CNIL）發(fā)布《CNIL審計程序指南》，闡述了數(shù)據(jù)保護(hù)合規(guī)審計的權(quán)利與義務(wù)及各種具體問題（賈丹等，2022）。這些新的審計制度有著各自特定的宗旨目標(biāo)和關(guān)注重點，如信息系統(tǒng)審計、數(shù)據(jù)保護(hù)審計主要關(guān)注解決的是安全性、可靠性及風(fēng)險防控問題，并非個人信息保護(hù)問題。但是，這些新的審計制度顯然與個人信息保護(hù)問題緊密相關(guān)，個人信息保護(hù)上的諸多要求也包含在這些新的審計制度所關(guān)注的問題中，這就為個人信息保護(hù)合規(guī)審計制度的形成發(fā)展奠定了基礎(chǔ)和關(guān)聯(lián)支撐。

從全球算法治理的實踐來看，其為個人信息保護(hù)合規(guī)審計制度的形成發(fā)展提供了重要的技術(shù)內(nèi)核與經(jīng)驗支持。目前，一些大型互聯(lián)網(wǎng)企業(yè)正在進(jìn)一步研發(fā)關(guān)于算法內(nèi)部審計的制度框架和技術(shù)工具。例如，Google 專門研發(fā)設(shè)計了“SMACTR”的算法內(nèi)部審計框架，將內(nèi)部審計工作劃分為五個相互銜接的階段性框架。Meta、IBM、Google 分別開發(fā)了Fairness Flow、AI 360 Toolkit、Model Card Toolkit 等技術(shù)工具，用以檢測、報告、減輕算法設(shè)計運用中可能存在的歧視等問題。在算法內(nèi)部審計之外，監(jiān)管機構(gòu)也正在逐步推進(jìn)開展對算法的監(jiān)管審計。一種是關(guān)于算法合規(guī)問題的個案審計。例如：英國信息專員辦公室對Clearview AI 違法處理個人數(shù)據(jù)尤其是生物特征數(shù)據(jù)的行為開展監(jiān)管審計；針對Everalbum公司擅自使用用戶照片及面部信息訓(xùn)練算法的行為，美國聯(lián)邦貿(mào)易委員會開展專項審計調(diào)查。另一種是圍繞算法的公平性、透明度、安全性等一般性問題進(jìn)行風(fēng)險評估審計（張欣和宋雨鑫，2022）。顯然，個人信息保護(hù)上的許多問題往往來自于信息處理者所設(shè)計和運用的算法，算法審計的制度與實踐將為個人信息保護(hù)合規(guī)審計制度的建構(gòu)運作提供關(guān)鍵的技術(shù)內(nèi)核與經(jīng)驗支持。

在信息系統(tǒng)審計、數(shù)據(jù)保護(hù)審計、算法審計等高度相關(guān)的審計制度被各國陸續(xù)建立和廣泛實踐的背景環(huán)境下，隨著個人信息權(quán)益保護(hù)的法律觀念與規(guī)則不斷強化，個人信息保護(hù)合規(guī)審計制度的形成發(fā)展也就成為一種必然。2020 年國家市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化管理委員會制定發(fā)布的《信息安全技術(shù) 個人信息安全規(guī)范》中，第11.7 條對個人信息控制者提出了開展個人信息安全審計的要求。雖然該國家標(biāo)準(zhǔn)并沒有直接提出個人信息保護(hù)的合規(guī)審計要求，但在安全審計的要求下，已經(jīng)涉及個人信息保護(hù)合規(guī)審計的實質(zhì)要素。2021年8月通過的《個人信息保護(hù)法》首次在法律層面提出了個人信息保護(hù)合規(guī)審計的要求。該法第五十四條規(guī)定，個人信息處理者承擔(dān)定期進(jìn)行合規(guī)審計的法定義務(wù)；第六十四條規(guī)定，監(jiān)管部門根據(jù)發(fā)現(xiàn)的問題，可強制要求信息處理者委托專業(yè)機構(gòu)對其進(jìn)行合規(guī)審計。2021年11月，國家互聯(lián)網(wǎng)信息辦公室發(fā)布了《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》，該征求意見稿第五十三條規(guī)定，大型互聯(lián)網(wǎng)平臺應(yīng)當(dāng)委托外部機構(gòu)對平臺數(shù)據(jù)安全、個人信息保護(hù)等情況進(jìn)行合規(guī)審計；第五十八條規(guī)定，國家應(yīng)建立數(shù)據(jù)安全審計制度。可見，數(shù)據(jù)處理者應(yīng)承擔(dān)委托數(shù)據(jù)安全審計專業(yè)機構(gòu)進(jìn)行定期合規(guī)審計的義務(wù)，主管、監(jiān)管部門應(yīng)組織開展監(jiān)管審計工作。顯然，這是從數(shù)據(jù)安全的角度對個人信息保護(hù)提出的合規(guī)審計要求。2021年12月，國家互聯(lián)網(wǎng)信息辦公室等四個部門聯(lián)合發(fā)布了《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定》，專門就算法推薦服務(wù)提出了合規(guī)要求。這就從算法推薦服務(wù)層面對個人信息保護(hù)進(jìn)一步提出了特定的合規(guī)要求。2023 年8 月，國家互聯(lián)網(wǎng)信息辦公室進(jìn)一步發(fā)布了《個人信息保護(hù)合規(guī)審計管理辦法（征求意見稿）》及配套的《個人信息保護(hù)合規(guī)審計參考要點》。根據(jù)該征求意見稿的規(guī)定，處理超過100萬個人信息的信息處理者，每年至少應(yīng)實施一次合規(guī)審計；其他情形下每兩年至少應(yīng)實施一次合規(guī)審計。這兩份文件全面細(xì)化了個人信息保護(hù)合規(guī)審計制度?？傮w而言，目前，以《個人信息保護(hù)法》所設(shè)定的合規(guī)審計這一法定要求為中心，以各種相關(guān)的規(guī)章和規(guī)范性文件為關(guān)聯(lián)支撐并細(xì)化展開，正在逐步形成關(guān)于個人信息保護(hù)合規(guī)審計的綜合全面、立體多維的規(guī)則體系。

（二）建構(gòu)個人信息保護(hù)合規(guī)審計制度的多重底層法理邏輯

1.審計制度及其功能作用適應(yīng)時代延伸擴展的發(fā)展邏輯。實際上，個人信息權(quán)益保護(hù)問題并不是一個傳統(tǒng)意義上的審計問題。根據(jù)美國會計師學(xué)會審計基本概念委員會在1972 年發(fā)布的《基本審計概念說明》，審計是客觀收集、評價有關(guān)經(jīng)濟活動和事項的證據(jù)，并確定其與已有標(biāo)準(zhǔn)的相符性的系統(tǒng)過程。在國內(nèi)理論和立法上，審計一般是指對被審計單位的財政、財務(wù)收支及有關(guān)經(jīng)濟活動的真實、合法、效益進(jìn)行審查監(jiān)督。有研究將國家審計定義為，對受托管理和使用公共資源的責(zé)任履行情況進(jìn)行的獨立監(jiān)督活動（劉力云等，2021）?！皩徲嫛边@一特殊的概念術(shù)語表明，審計制度的核心領(lǐng)域與對象內(nèi)容是宏觀和微觀的各種經(jīng)濟運行及其審查監(jiān)督問題，其實質(zhì)是監(jiān)督、鑒證、評價公共受托責(zé)任的履行情況。顯然，個人信息保護(hù)合規(guī)問題的核心是，分析判斷個人信息權(quán)益保護(hù)的狀況與效果，它應(yīng)當(dāng)主要屬于行政執(zhí)法監(jiān)管和司法層面上的調(diào)查及裁量判定問題，而不屬于傳統(tǒng)審計的問題領(lǐng)域與對象范圍。

但是，作為一種重要而獨特的監(jiān)督治理手段①，審計制度的領(lǐng)域范圍不是僵化不變的，而是會隨著時代的發(fā)展要求而不斷變化拓展。例如，2018年8月，審計署發(fā)布《關(guān)于進(jìn)一步加強減稅降費政策措施落實情況審計監(jiān)督的意見》，要求對稅收經(jīng)濟政策的遵從合規(guī)情況進(jìn)行審計監(jiān)督。2018 年12 月，審計署發(fā)布《關(guān)于加強信息系統(tǒng)審計工作指導(dǎo)意見》，要求對信息系統(tǒng)的安全性、可靠性和經(jīng)濟性進(jìn)行監(jiān)督檢查，推動完善相關(guān)制度，促進(jìn)提高資金使用績效，保障信息系統(tǒng)安全、可靠和高效運行。2019 年《關(guān)于實行審計全覆蓋的實施意見》等政策出臺后，自然資源的開發(fā)利用與環(huán)境保護(hù)進(jìn)一步成為審計制度的新領(lǐng)域。2023 年5 月23 日，習(xí)近平總書記在二十屆中央審計委員會第一次會議上發(fā)表講話時指出，要加大關(guān)于穩(wěn)經(jīng)濟、金融支持實體經(jīng)濟等宏觀政策的落實情況的審計力度。上述變化表明，在對經(jīng)濟活動本身進(jìn)行審計監(jiān)督外，審計制度進(jìn)一步拓展到與經(jīng)濟活動及公共受托責(zé)任相關(guān)的各種問題領(lǐng)域，如經(jīng)濟政策的遵從落實問題。在數(shù)字及人工智能化時代，審計制度進(jìn)一步延伸拓展到個人信息保護(hù)合規(guī)領(lǐng)域是時代發(fā)展的需要，個人信息保護(hù)合規(guī)審計旨在鑒證個人信息處理行為是否符合既定標(biāo)準(zhǔn)，是合規(guī)審計覆蓋范圍與功能作用的進(jìn)一步延伸和擴張（陳智敏，2022）。個人信息保護(hù)合規(guī)審計能夠有效彌補監(jiān)管部門的資源緊張，是信息保護(hù)合規(guī)監(jiān)管的有效補充（王俊等，2023）。本文認(rèn)為，合規(guī)審計不僅為個人信息保護(hù)的合規(guī)監(jiān)管與治理提供了有效抓手與支撐，而且其本身也構(gòu)成了信息保護(hù)合規(guī)監(jiān)管與治理的重要內(nèi)容與功能模塊。目前，個人信息保護(hù)合規(guī)審計已經(jīng)成為國際通行的做法，在數(shù)字中國建設(shè)的大背景下，開展個人信息保護(hù)合規(guī)審計具有重要的實踐意義（高歌，2023）。為此，應(yīng)充分遵循和運用合規(guī)審計制度特有的分析審查視角、功能邏輯、運作路徑、技術(shù)方法，著眼于個人信息保護(hù)的風(fēng)險識別與合規(guī)治理體系建設(shè)和能力提升等綜合目標(biāo)，逐步創(chuàng)新建構(gòu)和運作個人信息保護(hù)合規(guī)審計的各種制度和相關(guān)方法。

2.確保數(shù)據(jù)資源合理利用及數(shù)字經(jīng)濟健康發(fā)展的底層邏輯。在繼勞動力、土地、資本、技術(shù)等基本的生產(chǎn)要素之后，數(shù)據(jù)資源已成為數(shù)字經(jīng)濟時代最重要的新的生產(chǎn)要素，也是中國經(jīng)濟在新時代高質(zhì)量發(fā)展的重要驅(qū)動要素。2022年12月，中共中央、國務(wù)院發(fā)布《關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》（簡稱《意見》）。在建立數(shù)據(jù)要素的流通、交易及治理制度方面，《意見》要求培育合規(guī)認(rèn)證、安全審計、數(shù)據(jù)公證等第三方專業(yè)服務(wù)機構(gòu)；建立數(shù)據(jù)要素生產(chǎn)流通使用全過程的合規(guī)公證、安全審查、算法審查、監(jiān)測預(yù)警等制度，指導(dǎo)各方履行數(shù)據(jù)要素流通安全責(zé)任和義務(wù)。顯然，為充分保障和發(fā)揮數(shù)據(jù)要素資源的作用，《意見》要求建立安全審查、合規(guī)監(jiān)管等重要基礎(chǔ)制度。由于個人信息是數(shù)據(jù)資源的重要來源和形成基礎(chǔ)，因此，如何充分保護(hù)個人信息權(quán)益，確保公平合理、合法有序地搜集處理、開發(fā)利用個人信息數(shù)據(jù)關(guān)系到數(shù)據(jù)資源可持續(xù)的合理開發(fā)利用，進(jìn)而關(guān)系到數(shù)字經(jīng)濟的可持續(xù)發(fā)展。對個人信息的適度收集和合理利用是數(shù)字經(jīng)濟發(fā)展的邏輯前提。在我國，個人信息保護(hù)有助于保障我國數(shù)據(jù)要素市場的規(guī)范基礎(chǔ)及其健康發(fā)展。從全球經(jīng)濟的競爭發(fā)展來看，涉及個人信息的數(shù)據(jù)開發(fā)利用日益成為全球數(shù)字經(jīng)濟競爭發(fā)展的原動力，個人信息保護(hù)將為我國參與全球數(shù)字經(jīng)濟競爭發(fā)展提供有效保障（黃哲瑞和徐來鳳，2023）。因此，一方面，從宏觀經(jīng)濟層面看，個人信息保護(hù)不再僅僅只是私人權(quán)益保護(hù)的問題，而是事關(guān)社會經(jīng)濟健康運行、和諧發(fā)展的重要問題之一；另一方面，從微觀經(jīng)濟層面看，個人信息保護(hù)是數(shù)字經(jīng)濟時代企業(yè)參與市場經(jīng)濟活動，在經(jīng)營發(fā)展上“行穩(wěn)致遠(yuǎn)”的重要要求和保障。作為評價、監(jiān)督經(jīng)濟生活運行與微觀經(jīng)濟活動的專門機制和工具方法，審計自然可以也應(yīng)當(dāng)介入個人信息保護(hù)領(lǐng)域，并通過其功能的拓展與創(chuàng)新充分發(fā)揮其在新領(lǐng)域的評價和監(jiān)督作用。

二、合規(guī)審計的“裁量判斷”強屬性及應(yīng)遵循原則

（一）信息保護(hù)規(guī)則的抽象性及合規(guī)解釋裁量的強屬性

對個人信息保護(hù)進(jìn)行合規(guī)審計需要以明確、具體的信息保護(hù)義務(wù)、行為標(biāo)準(zhǔn)等為基礎(chǔ)依據(jù)和參照，但是，面對不斷更新變化的算法技術(shù)和數(shù)據(jù)信息開發(fā)利用的復(fù)雜多樣的市場需求與活動，個人信息保護(hù)的各種義務(wù)規(guī)則往往只能是一種高度概括性的抽象規(guī)定，即便在某些方面也可能形成較為具體的行為義務(wù)規(guī)則或標(biāo)準(zhǔn)，但仍然可能不足以適應(yīng)各種具體情況。這就需要審計人員根據(jù)具體的個案情況，對概括抽象的個人信息保護(hù)規(guī)則做出精準(zhǔn)、恰當(dāng)?shù)木唧w解釋。這就意味著，與關(guān)于財務(wù)收支、經(jīng)濟績效等問題的審計監(jiān)督不同，個人信息保護(hù)的合規(guī)審計具有強烈的規(guī)則解釋適用上的“裁量判斷”屬性。鑒于規(guī)則解釋適用上所固有的復(fù)雜性、靈活性、多元性、開放性等，合規(guī)審計上的“裁量判斷”將面臨明顯的障礙與困難。為此，筆者結(jié)合個人信息保護(hù)的相關(guān)規(guī)則做適當(dāng)舉例分析。

1.對各種情形下的“必需”條件的衡量判斷。根據(jù)《個人信息保護(hù)法》第十三條，屬于該條第一款第（二）項至第（七）項所規(guī)定情形的，處理、利用個人信息不需取得個人同意。如第一款第（二）項所規(guī)定的“為訂立、履行合同所必需”；第一款第（三）項所規(guī)定的“為履行法定職責(zé)、義務(wù)所必需”；第一款第（四）項所規(guī)定的“為應(yīng)對突發(fā)公共衛(wèi)生事件等所必需”等。但是，如何判斷上述各種情形下的“必需”，法律并未明確規(guī)定，在合規(guī)審計時如何做出準(zhǔn)確、恰當(dāng)?shù)牟昧颗袛嗑捅厝幻媾R著困難與不確定性。

2.對“有效的告知”的衡量判斷?！秱€人信息保護(hù)法》確立了以“告知—同意”為核心的個人信息保護(hù)的合規(guī)原則，《個人信息保護(hù)法》第十七條規(guī)定對“有效的告知”提出了具體要求。2023 年發(fā)布的《個人信息保護(hù)合規(guī)審計參考要點》對“有效的告知”提出的進(jìn)一步要求是，告知文本的大小、字體和顏色應(yīng)便于個人閱讀認(rèn)知等。即便如此，這些似乎較為具體的各種要求仍然需要進(jìn)一步的解釋明確，如是否達(dá)到“顯著、真實、準(zhǔn)確、完整”這些要求，是否已經(jīng)構(gòu)成“有效的告知”，仍然需要合規(guī)審計人員在個案中做出具體的裁量判斷。

3.對“敏感個人信息”的衡量判斷。《個人信息保護(hù)法》通過設(shè)置第二節(jié)共五個條款，對“敏感個人信息”的處理提出了特殊規(guī)制要求。其中，第二十八條第一款采用“概括+列舉”模式界定了何謂“敏感個人信息”，該類信息首先被抽象概括地界定為“一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害的個人信息”，然后，具體列舉了七類典型的敏感個人信息。但是，王苑（2022）指出，這樣的界定可能帶來如下的不確定性：（1）法律評價標(biāo)準(zhǔn)具有模糊性；（2）未來會出現(xiàn)的新的敏感個人信息不在具體列舉的范圍；（3）判斷標(biāo)準(zhǔn)的多維性導(dǎo)致分析確定的困難。對此，應(yīng)通過綜合考量五個方面的要素，動態(tài)界定敏感個人信息。因此，如何區(qū)分“敏感個人信息”與“非敏感個人信息”，需要合規(guī)審計人員根據(jù)具體的個案情況做出動態(tài)的解釋裁量判斷。

4.對“特定的互聯(lián)網(wǎng)平臺”的衡量判斷。《個人信息保護(hù)法》第五十八條提出了“守門人”條款，對符合特定條件的互聯(lián)網(wǎng)平臺施加了特別的信息保護(hù)義務(wù)。但是，有學(xué)者分析指出，“守門人”條款的規(guī)定過于簡略，該條款究竟如何理解與適用，存在不少問題和爭論，需要進(jìn)一步解釋明確。例如，對于某個互聯(lián)網(wǎng)平臺是否屬于“守門人”，第五十八條提出了“提供重要服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜”這三個疊加條件。這意味著，確立了“先分類、再分級”的識別判斷標(biāo)準(zhǔn)。“提供重要服務(wù)”意味著要先對平臺服務(wù)進(jìn)行分類，“用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜”意味著在分類的基礎(chǔ)上再根據(jù)這兩個標(biāo)準(zhǔn)對平臺企業(yè)進(jìn)行分級，最終識別確定某互聯(lián)網(wǎng)平臺是否屬于“守門人”（周漢華，2022）。然而，對于這些識別判斷的環(huán)節(jié)和要求，缺乏明確細(xì)化的解釋、指導(dǎo)。對此，合規(guī)審計人員需要根據(jù)用戶規(guī)模、業(yè)務(wù)類型、經(jīng)濟規(guī)模、信息數(shù)據(jù)的利用程度等在個案中做出具體的裁量判斷。

（二）合規(guī)裁量判斷應(yīng)遵循的指導(dǎo)原則

為應(yīng)對解決合規(guī)審計中“規(guī)則解釋適用”上的障礙與困難，精準(zhǔn)、恰當(dāng)?shù)夭昧颗袛鄠€人信息保護(hù)合規(guī)狀況及風(fēng)險問題，應(yīng)當(dāng)確立和運用各種指導(dǎo)原則。這些原則主要包括：合規(guī)審計裁量權(quán)的審慎運用原則；利益衡量上的比例原則；合規(guī)審計的裁量基準(zhǔn)原則；體系解釋原則；審計獨立下的溝通及共識解釋原則。本文僅就其中的兩個原則做進(jìn)一步的分析闡述。

1.利益衡量上的比例原則。在個人信息的收集處理及加工利用活動中，個人的信息權(quán)益保護(hù)實際上是一個各方利益協(xié)調(diào)平衡的問題。就信息處理者而言，它們包括立法機關(guān)、司法機關(guān)、政府部門、企業(yè)以及其他社會組織等。國家機關(guān)、政府部門在收集處理及加工利用個人信息時，行使的是公權(quán)力，代表和體現(xiàn)了國家利益、社會利益；而企業(yè)和其他社會組織在收集處理及加工利用個人信息時，代表和體現(xiàn)的是企業(yè)和其他社會組織自身的經(jīng)濟利益或其他利益。就作為信息來源的個人而言，他們對自身的信息享有充分的身份權(quán)益和經(jīng)濟權(quán)益。顯然，信息處理者與作為信息來源的個人有著各自獨立的利益歸屬與訴求，雙方的利益有時是協(xié)調(diào)一致的，有時則是相互矛盾沖突的。梁燈（2022）分析指出，特別是在企業(yè)作為個人信息處理者時，將面臨著個人信息的價值挖掘和個人信息權(quán)益保護(hù)之間的沖突和平衡問題，當(dāng)個人數(shù)據(jù)信息在企業(yè)間流轉(zhuǎn)時該問題最為凸顯。因此，在個人信息保護(hù)合規(guī)審計中，對相關(guān)規(guī)則的解釋適用往往所涉及的是相關(guān)主體的利益得失問題，所謂的合規(guī)判斷也就是根據(jù)抽象規(guī)則對相互矛盾沖突的利益進(jìn)行衡量平衡處理。顯然，如何對各方利益進(jìn)行合規(guī)裁量上的協(xié)調(diào)平衡，需要形成和運用相應(yīng)的指導(dǎo)原則。對此，本文認(rèn)為，可以參考借鑒行政法上的比例原則，在個人信息保護(hù)合規(guī)審計制度中，塑造形成關(guān)于規(guī)則解釋適用的利益衡量比例原則。

比例原則是行政法上的一個重要原則，它被用于約束規(guī)制行政權(quán)的自由裁量行使，謀求在行政目的、需要與相對人的利益保護(hù)之間實現(xiàn)協(xié)調(diào)平衡。其基本要求是，行政主體實施行政行為應(yīng)兼顧行政目標(biāo)的實現(xiàn)和保護(hù)相對人的權(quán)益，如果行政目標(biāo)的實現(xiàn)可能對相對人的權(quán)益造成不利影響，則這種不利影響應(yīng)被限制在盡可能小的范圍和限度之內(nèi)。行政法中的比例原則包含適當(dāng)性、必要性和相稱性（均衡性）的多維度內(nèi)涵。適當(dāng)性又稱為妥當(dāng)性、妥適性、適合性，是指所采取的措施應(yīng)當(dāng)能夠或至少有助于實現(xiàn)行政目的。必要性又稱為最少侵害性、不可替代性。即在能實現(xiàn)行政目的的多個方式中，應(yīng)選擇對權(quán)利影響或侵害最小的方式。相稱性也稱為均衡性，即行政措施與其所達(dá)到的目的之間必須成比例或相稱。相稱性（均衡性）側(cè)重要求的是，無論是否存在多個可選擇的措施、方法，行政措施不能過分地或不適當(dāng)?shù)赜绊?、損害相對人的合法權(quán)益。筆者認(rèn)為，在個人信息保護(hù)方面，信息處理者與作為信息來源的個人在相互地位關(guān)系及利益結(jié)構(gòu)上非常類似于行政機構(gòu)與相對人之間的關(guān)系，尤其是信息處理者為國家立法、司法機關(guān)、政府部門時更是如此。因此，應(yīng)當(dāng)參照行政法上的比例原則，按照對個人造成最少最小影響的原則來解釋適用個人信息保護(hù)的相關(guān)規(guī)則，以矯正個人在信息的收集處理及加工利用中的弱勢地位，充分保護(hù)個人對自身的信息所應(yīng)享有的身份權(quán)益和經(jīng)濟權(quán)益。實際上，在個人信息權(quán)益保護(hù)上，利益衡量上的比例原則在立法上已經(jīng)有所體現(xiàn)。例如，《個人信息保護(hù)法》第六條規(guī)定，處理個人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對個人權(quán)益影響最小的方式。收集個人信息時應(yīng)當(dāng)限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息。顯然，該條所提出的要求已經(jīng)基本上體現(xiàn)了比例原則所包含的適當(dāng)性、必要性和相稱性（均衡性）要求。

需要指出的是，一般而言，根據(jù)合規(guī)裁量上的比例原則，應(yīng)采取對個人造成最少、最小影響的方式來解釋適用個人信息保護(hù)的相關(guān)規(guī)則，但是這不是絕對的。當(dāng)信息處理者投入大量的資金等成本對個人信息進(jìn)行深入加工并已經(jīng)形成穩(wěn)定的、明確的商業(yè)利益時，信息處理者將獲得一種獨立于個人權(quán)益的“既得權(quán)益”。2023年12月財政部制定發(fā)布的《關(guān)于加強數(shù)據(jù)資產(chǎn)管理的指導(dǎo)意見》明確規(guī)定了數(shù)據(jù)開發(fā)利用者基于其投入付出及再創(chuàng)造應(yīng)享有的獨立的受益權(quán)②。此時，就不能簡單按照對個人造成最少、最小影響的方式來解釋適用合規(guī)裁量上的比例原則，而應(yīng)當(dāng)以兼顧平衡的方式來運用比例原則。例如，《個人信息保護(hù)法》第十五條規(guī)定，基于個人同意處理個人信息的，個人有權(quán)撤回其同意。個人信息處理者應(yīng)當(dāng)提供便捷的撤回同意的方式。個人撤回同意，不影響撤回前基于個人同意已進(jìn)行的個人信息處理活動的效力。顯然，如果信息處理者已經(jīng)投入成本加工處理個人信息的，或者進(jìn)一步將其予以商業(yè)共享或轉(zhuǎn)讓的，無條件地允許個人撤回同意則可能損害信息處理者的商業(yè)利益。對此，僅僅確認(rèn)“撤回前基于個人同意已進(jìn)行的個人信息處理活動的效力”是不夠的，應(yīng)當(dāng)根據(jù)比例原則中的“兼顧既得商業(yè)權(quán)益”的要求，充分考量撤回同意的必要性，以利益平衡的方式分析評估撤回同意的合規(guī)性問題。

2.審計獨立下的溝通及共識解釋原則。鑒于個人信息保護(hù)規(guī)則具有高度概括抽象性，審計機構(gòu)和人員需要對相關(guān)規(guī)則進(jìn)行解釋，這就會造成各方對同一規(guī)則的不同理解和判斷。對此，審計機構(gòu)和人員可以與被審計企業(yè)及監(jiān)管部門等進(jìn)行溝通形成共識理解。但是，有研究認(rèn)為這可能會導(dǎo)致審計獨立性及權(quán)威受損。例如，由被審計單位委托進(jìn)行合規(guī)審計時，受托審計機構(gòu)在溝通交流中容易受委托方的影響，從而對信息保護(hù)規(guī)則做出有利于委托方商業(yè)模式的解釋和定性判斷。在監(jiān)管部門所要求啟動的審計中，外部審計機構(gòu)往往需要與監(jiān)管機構(gòu)進(jìn)行溝通交流，從而會受到監(jiān)管機構(gòu)立場的影響，做出不利于被審計方的分析評價（梁燈，2022）。

筆者認(rèn)為，鑒于個人信息保護(hù)規(guī)則的高度概括抽象性以及個人信息開發(fā)利用的復(fù)雜多樣性，在合規(guī)審計中尋求溝通并形成共識解釋將是一種常態(tài)現(xiàn)象，尋求溝通形成深入、準(zhǔn)確的了解判斷也是審計工作中的常規(guī)做法?，F(xiàn)有的一些審計準(zhǔn)則也有進(jìn)行溝通形成共識的要求，如2013 年中國內(nèi)部審計協(xié)會制定發(fā)布的《第2105 號內(nèi)部審計具體準(zhǔn)則——結(jié)果溝通》。同時，尋求溝通并形成共識解釋并不必然損害合規(guī)審計的獨立性和權(quán)威性，或者說，尋求溝通并形成共識解釋并不是合規(guī)審計的獨立性和權(quán)威性受影響的真正原因。在尋求溝通并形成共識解釋中，合規(guī)審計不能維持其獨立性和權(quán)威性的重要原因在于，審計人員缺乏對相關(guān)規(guī)則的深入理解把握，沒有形成堅實的合規(guī)審計上的衡量判斷能力。在個人信息保護(hù)的合規(guī)審計中，面對相關(guān)規(guī)則的概括抽象性及解釋適用，尋求溝通并形成共識解釋將有助于審計人員更加全面深入地理解規(guī)則的內(nèi)涵及被審計的具體情況，并形成高質(zhì)量的合規(guī)審計結(jié)論。因此，在不斷提升審計人員的規(guī)則解釋及衡量判斷能力的基礎(chǔ)上，將能夠也應(yīng)該確立審計獨立下的溝通及共識解釋原則。

三、個人信息保護(hù)合規(guī)審計的框架及方法的建構(gòu)運作

個人信息保護(hù)的合規(guī)審計應(yīng)當(dāng)立足于“調(diào)查分析”“監(jiān)督問責(zé)”“風(fēng)險防控”“督促整改”等專門視角與特有功能，逐步建立完善相關(guān)的審計框架、功能模塊、指標(biāo)體系、技術(shù)方法等，以形成一個綜合全面、立體多維、契合緊密、功能卓越的合規(guī)審計制度與機制。本文就其中的若干方面進(jìn)行適當(dāng)?shù)奶剿鞣治觥?/p>

（一）確立定性與定量分析相結(jié)合的框架方法

個人信息保護(hù)合規(guī)審計的定性分析是一種符合性評價，即對處理個人信息的行為和活動是否符合法律規(guī)定做出肯定性或否定性的審計評價。這是個人信息保護(hù)合規(guī)審計的基本內(nèi)容和結(jié)論要求。在此基礎(chǔ)上，個人信息保護(hù)合規(guī)審計還應(yīng)進(jìn)行定量分析，即對個人信息處理的行為和活動偏離法律規(guī)則的程度進(jìn)行量化界定，并建立和運用量化評估的賦值指標(biāo)體系。對行為的偏差度的量化分析具有重要的價值和作用?！昂弦?guī)偏差度”的量化分析評價可以精確、具體地揭示個人信息處理及利用的合規(guī)狀況，進(jìn)一步確定各種偏差所造成的不同危害及應(yīng)采取的糾正措施，進(jìn)一步分析判斷不同的偏差樣態(tài)造成的危害風(fēng)險并進(jìn)行預(yù)警。進(jìn)而言之，“合規(guī)偏差度”的量化分析評價有助于開展“審計容錯糾錯”的實踐。對于個人信息保護(hù)合規(guī)審計而言，“合規(guī)偏差度”下的“審計容錯糾錯”將解決兩個維度的問題。一是關(guān)于個人信息保護(hù)的規(guī)則尤其是較低層級的具體規(guī)則存在著錯誤、不當(dāng)、不合理之處，或者過于僵化、教條，對此，需要運用“合規(guī)偏差度”的量化分析評價，通過“審計容錯糾錯”的方式予以解決。二是關(guān)于個人信息保護(hù)的規(guī)則存在著滯后性，不能充分適應(yīng)信息開發(fā)利用和信息保護(hù)中的各種新情況與新問題，對此，需要運用“合規(guī)偏差度”的量化分析評價，通過“審計容錯糾錯”的方式予以解決。當(dāng)然，在審計容錯糾錯中，對于觸及法律法規(guī)底線的問題，絕不能以容錯糾錯之名予以放縱（項健，2021）。

（二）建立模塊化的審計框架與指標(biāo)體系

模塊化的審計框架是指根據(jù)多樣化的審計目標(biāo)設(shè)置不同的審計模塊單元。在模塊單元下，可以進(jìn)一步細(xì)化具體的審計事項與指標(biāo)等。例如，就算法審計這個特定目標(biāo)而言，可將審計框架劃分為“總體風(fēng)險控制與治理”與“過程風(fēng)險控制與治理”兩個模塊?？傮w風(fēng)險控制與治理模塊所針對的是算法設(shè)計及風(fēng)險治理的制度框架，例如是否成立算法風(fēng)險治理領(lǐng)導(dǎo)小組、是否存在算法設(shè)計和運行的合規(guī)審查制度等；過程風(fēng)險控制與治理模塊所針對的是算法系統(tǒng)在運作過程中的問題與風(fēng)險（張欣和宋雨鑫，2022）。本文認(rèn)為，模塊化的審計框架意味著，個人信息保護(hù)的合規(guī)審計并不僅僅只是對信息處理和利用的行為或活動本身的合規(guī)性進(jìn)行審計分析評價，而是將個人信息保護(hù)看作是一項全方位的系統(tǒng)工程，是從宏觀框架到微觀環(huán)節(jié)進(jìn)行多維的綜合審計分析評價。因此，對于個人信息保護(hù)的合規(guī)審計，應(yīng)當(dāng)根據(jù)個案所要求的不同的審查視角與目標(biāo)設(shè)置模塊化的審計框架，既包括個人信息保護(hù)在總體架構(gòu)層面的合規(guī)審查模塊，也包括在個人信息處理過程中各個環(huán)節(jié)及問題的合規(guī)審查模塊，從而形成綜合全面、立體多維的合規(guī)審計分析評價。

（三）建立信息處理系統(tǒng)功能設(shè)計的合規(guī)審計制度

在關(guān)于個人信息的隱私保護(hù)方面，一些國家已經(jīng)形成“通過設(shè)計的隱私保護(hù)”（Privacy by Design）和“隱私工程”（Privacy Engineering）這兩個不同的保護(hù)環(huán)節(jié)。這就意味著，個人信息隱私保護(hù)包含著兩個不同的階段，即系統(tǒng)功能（算法）設(shè)計階段與個人信息處理階段的個人信息隱私保護(hù)（William Stallings，2019）。本文認(rèn)為，個人信息權(quán)益保護(hù)的內(nèi)容范圍顯然要大于個人信息的隱私保護(hù)，但同樣也存在著系統(tǒng)功能（算法）設(shè)計階段的保護(hù)與個人信息處理階段的保護(hù)這兩個不同階段的個人信息保護(hù)。一般而言，通過對個人信息處理階段的合規(guī)審計，也可以間接發(fā)現(xiàn)系統(tǒng)功能（算法）設(shè)計上的保護(hù)缺陷，但是這種暴露往往是不充分和滯后的。因此，為充分揭示和有效預(yù)防控制個人信息保護(hù)上的缺陷及風(fēng)險，應(yīng)當(dāng)建立專門針對信息處理系統(tǒng)的功能（算法）設(shè)計的合規(guī)審計。在這方面，已經(jīng)形成了一些重要準(zhǔn)則和指南，如中國內(nèi)部審計協(xié)會于2014 年制定發(fā)布的《內(nèi)部審計具體準(zhǔn)則——信息系統(tǒng)審計》，于2021年制定發(fā)布的《內(nèi)部審計實務(wù)指南——信息系統(tǒng)審計》，以及2018年12月審計署發(fā)布的《關(guān)于加強信息系統(tǒng)審計工作指導(dǎo)意見》。

（四）建立信息處理過程的合規(guī)風(fēng)險持續(xù)控制制度

由于個人信息的收集處理與開發(fā)利用具有技術(shù)復(fù)雜性、隱匿性及數(shù)量龐大性等特點，所以，運用傳統(tǒng)審計思路與方式進(jìn)行合規(guī)審計往往難以產(chǎn)生良好的預(yù)期效果，因此，有研究認(rèn)為，應(yīng)建立和運用CRCA模型（持續(xù)性風(fēng)險評估與控制保證模型）來開展個人信息保護(hù)合規(guī)審計（陳智敏，2022）。顯然，合規(guī)風(fēng)險持續(xù)控制分析側(cè)重關(guān)注的是個人信息保護(hù)風(fēng)險的及時、準(zhǔn)確識別，以及將持續(xù)處理過程中的風(fēng)險動態(tài)變化置于監(jiān)控之下，這有助于在信息處理持續(xù)過程中實現(xiàn)對個人信息權(quán)益的動態(tài)及時保護(hù)。但是，《個人信息保護(hù)合規(guī)審計管理辦法（征求意見稿）》只是提出了一定年限內(nèi)的單次合規(guī)審計要求，并沒有提出關(guān)于“合規(guī)風(fēng)險持續(xù)控制分析”的要求。例如，對于處理超過100萬個人信息的信息處理者，僅要求每年至少應(yīng)實施一次合規(guī)審計，其他情形下則要求每兩年至少應(yīng)實施一次合規(guī)審計。因此，需要在該征求意見稿中補充納入“合規(guī)風(fēng)險持續(xù)控制分析”的要求。

四、結(jié)語

個人信息保護(hù)合規(guī)審計是合規(guī)審計制度在數(shù)字及人工智能時代的新拓展，是個人信息保護(hù)的合規(guī)監(jiān)管與治理的有效抓手與重要內(nèi)容。但是，個人信息保護(hù)合規(guī)審計制度尚處于初步建立階段，相關(guān)的理論問題與操作實施尚處于探索中。筆者就個人信息保護(hù)合規(guī)審計制度的底層法理邏輯、特征屬性、功能需求、指導(dǎo)原則等理論問題進(jìn)行了初步探討，更多的和更深層次的理論問題需要進(jìn)一步分析研究，如個人信息保護(hù)合規(guī)審計的性質(zhì)類型及其與國家審計的銜接協(xié)調(diào)，合規(guī)審計中關(guān)于“合規(guī)”要求的淵源依據(jù)等。同時，需要深入、全面地分析研究個人信息保護(hù)中的各種案例和實際問題，針對個人信息保護(hù)合規(guī)審計制度，進(jìn)一步分析建立和調(diào)整完善該領(lǐng)域特有的工具方法、程序規(guī)范、功能機制等。

【注 釋】

①黨的十九大報告將審計放在“健全黨和國家監(jiān)督體系”部分予以闡述。黨的十九屆四中全會明確提出審計監(jiān)督是黨和國家監(jiān)督體系的重要組成部分。

②《關(guān)于加強數(shù)據(jù)資產(chǎn)管理的指導(dǎo)意見》將“暢通數(shù)據(jù)資產(chǎn)收益分配機制”作為數(shù)據(jù)資產(chǎn)管理的一項主要任務(wù)。針對完善數(shù)據(jù)資產(chǎn)收益分配與再分配機制，該指導(dǎo)意見要求按照“誰投入、誰貢獻(xiàn)、誰受益”的原則，依法依規(guī)維護(hù)各相關(guān)主體數(shù)據(jù)資產(chǎn)權(quán)益。支持合法合規(guī)對數(shù)據(jù)資產(chǎn)價值進(jìn)行再次開發(fā)挖掘，尊重數(shù)據(jù)資產(chǎn)價值再創(chuàng)造、再分配，支持?jǐn)?shù)據(jù)資產(chǎn)使用權(quán)利各個環(huán)節(jié)的投入有相應(yīng)回報。

【 主要參考文獻(xiàn)】

陳智敏.個人信息保護(hù)合規(guī)審計系統(tǒng)構(gòu)建研究［J］.審計觀察，2022（12）：18～22.

高歌.個人信息保護(hù)合規(guī)審計蓄勢待發(fā)［N］.中國會計報，2023-09-01.

黃哲瑞，徐來鳳.個人信息保護(hù)法對我國數(shù)字經(jīng)濟發(fā)展的重要價值［N］.科學(xué)導(dǎo)報，2023-10-17.

賈丹，張譽馨，王姍.我國個人信息保護(hù)合規(guī)審計制度的路徑探討［J］.工業(yè)信息安全，2022（4）：17 ～22.

梁燈.個人信息保護(hù)合規(guī)審計的悖論及其解決——以個人信息流轉(zhuǎn)合法性基礎(chǔ)為例［J］.上海法學(xué)研究（集刊），2022（20）：84 ～93.

劉力云，崔孟修，王慧，沈玲.對國家審計基本概念仍需深入研究——基于一項有關(guān)國家審計基本概念和定義認(rèn)知訪談結(jié)果的分析［J］.會計之友，2021（8）：15 ～21.

王苑.敏感個人信息的概念界定與要素判斷——以《個人信息保護(hù)法》第28條為中心［J］.環(huán)球法律評論，2022（2）：85 ～99.

王俊，馮戀閣，鐘雨欣，鄭雪.網(wǎng)信辦擬細(xì)化個人信息保護(hù)合規(guī)審計，企業(yè)需定期做“體檢”［N］.21世紀(jì)經(jīng)濟報道，2023-08-04.

項健.審計容錯糾錯思維方式探討［J］.審計月刊，2021（10）：23 ～24.

周漢華.《個人信息保護(hù)法》“守門人條款”解析［J］.法律科學(xué)，2022（5）：36～49.

張欣，宋雨鑫.算法審計的制度邏輯和本土化構(gòu)建［J］.鄭州大學(xué)學(xué)報（哲學(xué)社會科學(xué)版），2022（6）：33 ～42.

William Stallings.Information Privacy Engineering and Privacy by Design：Understanding Privacy Threats，Technology，and Regulations Based on Standards and Best Practices［M］.New York：Addison Wesley，2019.