個(gè)人信息保護(hù)合規(guī)審計(jì)制度建設(shè)思考

胡耘通

【摘要】伴隨著數(shù)字經(jīng)濟(jì)的迅猛發(fā)展， 個(gè)人信息作為當(dāng)前一項(xiàng)重要的數(shù)據(jù)資源， 亟需給予充分關(guān)注和重點(diǎn)保護(hù)。為了落實(shí)《個(gè)人信息保護(hù)法》的相關(guān)條款內(nèi)容， 國家互聯(lián)網(wǎng)信息辦公室發(fā)布的《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法（征求意見稿）》將填補(bǔ)立法空白， 開創(chuàng)新的審計(jì)實(shí)踐。但其仍需要在擴(kuò)充合規(guī)審計(jì)的評(píng)價(jià)依據(jù)、 增加法律責(zé)任條款設(shè)置、 消除民事法律關(guān)系行政傾向、 明確審計(jì)結(jié)果的具體意見形式、 強(qiáng)化審計(jì)結(jié)果的公布與運(yùn)用等方面予以完善， 以真正發(fā)揮規(guī)范和保障個(gè)人信息保護(hù)合規(guī)審計(jì)良好運(yùn)行之應(yīng)有功效。

【關(guān)鍵詞】評(píng)價(jià)依據(jù)；責(zé)任條款；民事法律關(guān)系；審計(jì)結(jié)果

【中圖分類號(hào)】F239 ? ? ?【文獻(xiàn)標(biāo)識(shí)碼】A ? ? ?【文章編號(hào)】1004-0994（2023）20-0088-4

伴隨著數(shù)字經(jīng)濟(jì)的迅猛發(fā)展、 數(shù)字社會(huì)的積極建立， 數(shù)據(jù)逐漸成為一種新型生產(chǎn)要素， 數(shù)據(jù)安全也越發(fā)重要， 而個(gè)人信息的數(shù)據(jù)保護(hù)已然成為整個(gè)數(shù)據(jù)安全體系的核心和基礎(chǔ)。在持續(xù)推進(jìn)數(shù)字中國建設(shè)的戰(zhàn)略背景之下， 《個(gè)人信息保護(hù)法》首次以法律形式明確了個(gè)人信息保護(hù)合規(guī)審計(jì)， 具有非常重大的現(xiàn)實(shí)意義（陳智敏，2022）。但奇安信行業(yè)安全研究中心等單位聯(lián)合發(fā)布的《中國政企機(jī)構(gòu)數(shù)據(jù)安全風(fēng)險(xiǎn)分析報(bào)告》顯示， 個(gè)人信息數(shù)據(jù)被泄露的案件最多， 2022年3 ～ 9月， 全國約有868.8億條個(gè)人信息數(shù)據(jù)被泄露， 相當(dāng)于平均每人有62條個(gè)人信息數(shù)據(jù)被以各種方式盜取、 泄露， 個(gè)人信息的數(shù)據(jù)安全保障情況堪憂。為回應(yīng)現(xiàn)實(shí)的緊迫情勢(shì)， 我國近年來陸續(xù)頒布《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等專門法律法規(guī)， 為數(shù)據(jù)安全以及合規(guī)管理工作的依法開展提供了法定依據(jù)。與此同時(shí)， 合規(guī)審計(jì)也成為一種新型的數(shù)據(jù)（信息）安全治理手段?！秱€(gè)人信息保護(hù)法》第54、 64條分別明確了個(gè)人信息處理的自主審計(jì)及監(jiān)管要求審計(jì)①； 《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》第53、 58條分別明確了年度審計(jì)及國家建立數(shù)據(jù)安全審計(jì)制度②。可見， 在全面依法治國背景下， 數(shù)據(jù)（信息）安全合規(guī)審計(jì)制度的建立完善是良法善治的必然要求。未來， 個(gè)人信息保護(hù)合規(guī)審計(jì)將是一項(xiàng)常態(tài)化、 持續(xù)性的制度工作。2023年8月， 《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法（征求意見稿）》（簡(jiǎn)稱《征求意見稿》）具體落實(shí)了《個(gè)人信息保護(hù)法》第54、 64條關(guān)于個(gè)人信息保護(hù)合規(guī)審計(jì)的條款， 為合規(guī)審計(jì)工作制定了具體的執(zhí)行規(guī)則， 將填補(bǔ)自《個(gè)人信息保護(hù)法》規(guī)定合規(guī)審計(jì)機(jī)制以來相關(guān)下位規(guī)范的空白。

一、 《征求意見稿》的積極意義

《個(gè)人信息保護(hù)法》自2021年11月施行以來， 針對(duì)個(gè)人信息保護(hù)的監(jiān)管力度不斷加大， 公民個(gè)人的信息保護(hù)意識(shí)也顯著提升， 濫用個(gè)人信息、 侵犯?jìng)€(gè)人信息權(quán)益等問題得到較大改善?！墩髑笠庖姼濉窂牧⒎康?、 審計(jì)定義、 審計(jì)對(duì)象、 審計(jì)機(jī)構(gòu)、 審計(jì)啟動(dòng)、 審計(jì)時(shí)限、 獨(dú)立性要求等方面進(jìn)行了全面的規(guī)范， 并發(fā)布了《合規(guī)審計(jì)參考要點(diǎn)》， 為實(shí)際工作提供了操作指南。而加強(qiáng)個(gè)人信息保護(hù)， 除強(qiáng)化法治宣傳以厘清個(gè)人在信息處理活動(dòng)中的權(quán)利、 明確個(gè)人信息處理者的義務(wù)外， 合規(guī)審計(jì)不失為一件防范和控制個(gè)人信息處理風(fēng)險(xiǎn)的“利器”?！墩髑笠庖姼濉钒l(fā)布的目的就在于通過合規(guī)審計(jì)“提高個(gè)人信息處理活動(dòng)合規(guī)水平， 保護(hù)個(gè)人信息權(quán)益”。美國會(huì)計(jì)學(xué)家梅格斯曾言， 我們正生活在一個(gè)履行受托責(zé)任的偉大時(shí)期。受托責(zé)任不僅是一種普遍的經(jīng)濟(jì)關(guān)系， 更是一種非靜止的社會(huì)活動(dòng)關(guān)系?；谑芡胸?zé)任關(guān)系， 個(gè)人信息處理者處理個(gè)人信息， 但源于信息非對(duì)稱等矛盾， 個(gè)人為避免或減少由此帶來的損害， 會(huì)對(duì)個(gè)人信息處理活動(dòng)產(chǎn)生監(jiān)督需求， 合規(guī)審計(jì)恰是對(duì)個(gè)人信息處理活動(dòng)監(jiān)督需求的回應(yīng)方式之一。個(gè)人信息保護(hù)合規(guī)審計(jì)通過審查、 評(píng)價(jià)個(gè)人信息處理活動(dòng)與法律法規(guī)、 國家規(guī)定等相關(guān)標(biāo)準(zhǔn)的一致程度， 揭示個(gè)人信息處理者的不合規(guī)或者違規(guī)情形， 并按照相關(guān)規(guī)定予以披露、 問責(zé)。由此不僅能提高個(gè)人信息處理活動(dòng)的質(zhì)量和保障水平， 而且有助于減輕個(gè)人信息權(quán)益上的損害（陳炎，2022）。目前， 個(gè)人信息保護(hù)合規(guī)審計(jì)僅處于探索階段， 個(gè)人信息處理者對(duì)合規(guī)性、 審計(jì)流程的理解判斷不一?？傮w而言， 合規(guī)審計(jì)不僅是個(gè)人信息處理者實(shí)施自我治理、 自我監(jiān)督的必要工具， 也是監(jiān)管部門監(jiān)督個(gè)人信息處理者行為的重要方式。本質(zhì)上， 個(gè)人信息保護(hù)合規(guī)審計(jì)被視為對(duì)個(gè)人信息處理者針對(duì)個(gè)人信息處理、 保護(hù)情形的功能性“體檢”， 對(duì)個(gè)人信息處理者開展合規(guī)審計(jì)、 建立多層次的個(gè)人信息保護(hù)體系、 提升個(gè)人信息保護(hù)能力具有顯著效果。

二、 擴(kuò)充合規(guī)審計(jì)的評(píng)價(jià)依據(jù)

評(píng)價(jià)依據(jù)是合規(guī)審計(jì)工作的前提， 要想通過合規(guī)審計(jì)工作得出適當(dāng)?shù)慕Y(jié)論意見， 就必須遵循科學(xué)、 合理的評(píng)價(jià)依據(jù)?！墩髑笠庖姼濉返?條指出， “本辦法所稱個(gè)人信息保護(hù)合規(guī)審計(jì)， 是指對(duì)個(gè)人信息處理者的個(gè)人信息處理活動(dòng)是否遵守法律、 行政法規(guī)的情況進(jìn)行審查和評(píng)價(jià)的監(jiān)督活動(dòng)”。該條規(guī)定除明確合規(guī)審計(jì)定義外， 還提出了審查和評(píng)價(jià)的依據(jù)——“法律、 行政法規(guī)”?！秱€(gè)人信息保護(hù)法》第51條要求“個(gè)人信息處理者應(yīng)當(dāng)根據(jù)個(gè)人信息的處理目的、 處理方式、 個(gè)人信息的種類以及對(duì)個(gè)人權(quán)益的影響、 可能存在的安全風(fēng)險(xiǎn)等， 采取下列措施確保個(gè)人信息處理活動(dòng)符合法律、 行政法規(guī)的規(guī)定……”； 第54條指出， “個(gè)人信息處理者應(yīng)當(dāng)定期對(duì)其處理個(gè)人信息遵守法律、 行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)”。可見《個(gè)人信息保護(hù)法》僅明確了個(gè)人信息處理活動(dòng)遵守、 符合“法律、 行政法規(guī)”的要求， 但《征求意見稿》的審計(jì)評(píng)價(jià)依據(jù)是否限于“法律、 行政法規(guī)”， 評(píng)價(jià)標(biāo)準(zhǔn)的范圍是否較窄？值得進(jìn)一步考量。

與此近似， 《審計(jì)法》第3條規(guī)定“審計(jì)機(jī)關(guān)依據(jù)有關(guān)財(cái)政收支、 財(cái)務(wù)收支的法律、 法規(guī)和國家其他有關(guān)規(guī)定進(jìn)行審計(jì)評(píng)價(jià)”； 《中國注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第150號(hào)——對(duì)財(cái)務(wù)報(bào)表形成審計(jì)意見和出具審計(jì)報(bào)告》第11條明確指出“注冊(cè)會(huì)計(jì)師應(yīng)當(dāng)就財(cái)務(wù)報(bào)表是否在所有重大方面按照適用的財(cái)務(wù)報(bào)告編制基礎(chǔ)的規(guī)定編制并實(shí)現(xiàn)公允反映形成審計(jì)意見”， 此處的“財(cái)務(wù)報(bào)告編制基礎(chǔ)”就是評(píng)價(jià)依據(jù)?！胺?、 行政法規(guī)”是否能夠涵蓋所有個(gè)人信息處理活動(dòng)的全部標(biāo)準(zhǔn)？換句話說， 其他法規(guī)或者國家規(guī)定是否會(huì)對(duì)個(gè)人信息處理活動(dòng)進(jìn)行規(guī)定？例如， 《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》屬于部門規(guī)章， 當(dāng)涉及兒童個(gè)人信息處理活動(dòng)時(shí)， 審計(jì)評(píng)價(jià)是否需要遵循？另外， 《信息安全技術(shù) 個(gè)人信息安全規(guī)范》（GB/T 35273-2020）、 《信息安全技術(shù) 個(gè)人信息安全影響評(píng)估指南》（GB/T 39335-2020）等國家標(biāo)準(zhǔn)， 是否屬于合規(guī)審計(jì)的評(píng)價(jià)依據(jù)？實(shí)際上， 隨著數(shù)據(jù)信息保護(hù)的縱深發(fā)展， 醫(yī)療、 金融、 汽車等不同行業(yè)的監(jiān)管部門亦會(huì)制定相關(guān)準(zhǔn)則， 合規(guī)審計(jì)也應(yīng)當(dāng)遵從行業(yè)準(zhǔn)則中設(shè)置的關(guān)于個(gè)人信息保護(hù)義務(wù)、 責(zé)任方面的標(biāo)準(zhǔn)規(guī)定。按照循序漸進(jìn)的原理， 地方性法規(guī)、 地方規(guī)章及其他國家規(guī)定應(yīng)當(dāng)成為審計(jì)評(píng)價(jià)依據(jù)。因此， 建議將《審計(jì)法》第3條修改為“本辦法所稱個(gè)人信息保護(hù)合規(guī)審計(jì)， 是指對(duì)個(gè)人信息處理者的個(gè)人信息處理活動(dòng)是否遵守法律、 法規(guī)和國家其他有關(guān)規(guī)定的情況進(jìn)行審查和評(píng)價(jià)的監(jiān)督活動(dòng)”。當(dāng)然， 國家其他規(guī)定還應(yīng)當(dāng)涵蓋行業(yè)標(biāo)準(zhǔn)、 地方標(biāo)準(zhǔn)等， 具體適用于某個(gè)行業(yè)、 某個(gè)區(qū)域的個(gè)人信息保護(hù)合規(guī)審計(jì)工作。

三、 增加法律責(zé)任條款設(shè)置

法律責(zé)任是保障法律規(guī)范有效落實(shí)的重要環(huán)節(jié)?！墩髑笠庖姼濉穬H在第15條明確規(guī)定， “違反本辦法規(guī)定的， 依據(jù)《個(gè)人信息保護(hù)法》等法律法規(guī)處理； 構(gòu)成犯罪的， 依法追究刑事責(zé)任”。但《個(gè)人信息保護(hù)法》也缺乏相關(guān)主體的法律責(zé)任條款， 包括專業(yè)機(jī)構(gòu)以及個(gè)人信息處理者的某些違法行為， 均沒有設(shè)置法律責(zé)任條款。以專業(yè)機(jī)構(gòu)為例， 《征求意見稿》第14條明確了其從事合規(guī)審計(jì)活動(dòng)中應(yīng)當(dāng)履行的義務(wù)， 但未規(guī)定對(duì)應(yīng)的法律責(zé)任條款， 如果專業(yè)機(jī)構(gòu)不能“誠信正直、 公正客觀地作出合規(guī)審計(jì)職業(yè)判斷”， 應(yīng)如何承擔(dān)法律責(zé)任？如果專業(yè)機(jī)構(gòu)“有出具虛假、 失實(shí)報(bào)告等違規(guī)行為的”， 僅是“永久禁止列入個(gè)人信息保護(hù)合規(guī)審計(jì)專業(yè)機(jī)構(gòu)推薦目錄”， 則法律責(zé)任與違法行為并不匹配。此外， 《征求意見稿》第8條明確規(guī)定個(gè)人信息處理者“應(yīng)當(dāng)保證專業(yè)機(jī)構(gòu)能夠正常行使下列權(quán)限……”， 如果個(gè)人信息處理者違反該規(guī)定、 出現(xiàn)不提供或者協(xié)助查閱相關(guān)文件或資料的情況， 應(yīng)如何追究相應(yīng)的法律責(zé)任， 也缺乏規(guī)定。再如， 《征求意見稿》第7條指出， “個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)的部門要求開展個(gè)人信息保護(hù)合規(guī)審計(jì)的， 應(yīng)當(dāng)在收到通知后盡快按照要求選定專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)合規(guī)審計(jì)”。這里的“盡快”含義并不明確， 且對(duì)于沒有“盡快”進(jìn)行合規(guī)審計(jì)的行為， 也缺乏針對(duì)個(gè)人信息處理者的違法責(zé)任條款。

“沒有無權(quán)利的義務(wù)， 也沒有無義務(wù)的權(quán)利”。基于權(quán)利義務(wù)相一致的基本理念， 針對(duì)專業(yè)機(jī)構(gòu)以及個(gè)人信息處理者的違法行為， 筆者建議增補(bǔ)相應(yīng)的法律責(zé)任條款。例如， 如果個(gè)人信息處理者違反《征求意見稿》第7、 8條規(guī)定， 不能盡快進(jìn)行合規(guī)審計(jì)的、 不能保證專業(yè)機(jī)構(gòu)正常行使權(quán)限的， 履行個(gè)人信息保護(hù)職責(zé)的部門（簡(jiǎn)稱“監(jiān)管部門”）應(yīng)當(dāng)“責(zé)令改正， 給予警告； 拒不改正的， 并處一百萬元以下罰款； 對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款”。如果專業(yè)機(jī)構(gòu)違反《征求意見稿》第14條規(guī)定， 出現(xiàn)不能“誠信正直、 公正客觀地作出合規(guī)審計(jì)職業(yè)判斷”“轉(zhuǎn)包委托第三方開展個(gè)人信息保護(hù)合規(guī)審計(jì)”等情形， 監(jiān)管部門應(yīng)當(dāng)“責(zé)令改正， 給予警告； 拒不改正的， 并處一百萬元以下罰款； 對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款”。當(dāng)然， 如果專業(yè)機(jī)構(gòu)有出具虛假、 失實(shí)報(bào)告等行為并構(gòu)成犯罪的， 則追究相應(yīng)的刑事法律責(zé)任。

四、 消除民事法律關(guān)系行政傾向

無論是自主實(shí)施審計(jì)， 還是監(jiān)管要求審計(jì)， 個(gè)人信息處理者與專業(yè)機(jī)構(gòu)之間均是基于合同而建立的民事法律關(guān)系， 應(yīng)當(dāng)首先符合民事法律關(guān)系的基本特征——平等性、 自主性等， 但現(xiàn)有規(guī)定帶有行政傾向。例如， 《征求意見稿》第9條規(guī)定， “個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)部門要求委托專業(yè)機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)的， 應(yīng)當(dāng)在90個(gè)工作日內(nèi)完成個(gè)人信息保護(hù)合規(guī)審計(jì)； 情況復(fù)雜的， 報(bào)經(jīng)履行個(gè)人信息保護(hù)職責(zé)的部門批準(zhǔn)后可適當(dāng)延長(zhǎng)”。針對(duì)“情況復(fù)雜的”， 延長(zhǎng)合規(guī)審計(jì)期限， 需要經(jīng)過監(jiān)管部門批準(zhǔn)。換句話說， 基于個(gè)人信息處理者與專業(yè)機(jī)構(gòu)之間被審計(jì)與審計(jì)的民事法律關(guān)系， 延長(zhǎng)審計(jì)期限需要監(jiān)管部門的“批準(zhǔn)”， 原本應(yīng)當(dāng)由民事法律關(guān)系的雙方當(dāng)事人自主變更的“審計(jì)期限”， 改為“批準(zhǔn)”變更， 即行政權(quán)力介入民事法律關(guān)系的運(yùn)行， 使民事法律關(guān)系的平等性、 自主性受到影響。再如， 《征求意見稿》第11條規(guī)定， “個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)的部門要求委托專業(yè)機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)的， 應(yīng)當(dāng)按照專業(yè)機(jī)構(gòu)給出的整改建議進(jìn)行整改， 經(jīng)專業(yè)機(jī)構(gòu)復(fù)核后將整改情況報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門”。該條款“整改”帶有強(qiáng)制性， 即“應(yīng)當(dāng)按照……整改建議”整改， 并將整改情況報(bào)監(jiān)管部門。專業(yè)機(jī)構(gòu)的審計(jì)意見、 整改建議原本屬于民事法律關(guān)系的內(nèi)容， 一般也屬于雙方自愿協(xié)商的結(jié)果， 只屬于約定條款， 并非法定的權(quán)利義務(wù)內(nèi)容， 不具備強(qiáng)制性， 顯然“應(yīng)當(dāng)……整改”的要求， 帶有強(qiáng)制性的行政色彩， 突破了當(dāng)事人之間的民事法律關(guān)系屬性。

專業(yè)機(jī)構(gòu)的合規(guī)審計(jì)與審計(jì)機(jī)關(guān)的國家審計(jì)并不相同， 后者帶有行政執(zhí)法的屬性， 審計(jì)機(jī)關(guān)的審計(jì)結(jié)果包括整改建議均具有具體行政行為的典型特點(diǎn)——強(qiáng)制性， 且會(huì)追究不整改的法律責(zé)任③。歸根結(jié)底， 專業(yè)機(jī)構(gòu)的合規(guī)審計(jì)本質(zhì)上仍屬于民事法律行為， 不應(yīng)具備法律上的強(qiáng)制性。因此， 建議將《征求意見稿》第9條修改為“個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)部門要求委托專業(yè)機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)的， 應(yīng)當(dāng)在90個(gè)工作日內(nèi)完成個(gè)人信息保護(hù)合規(guī)審計(jì)； 情況復(fù)雜的， 經(jīng)個(gè)人信息處理者、 專業(yè)機(jī)構(gòu)協(xié)商延長(zhǎng)不超過30個(gè)工作日”； 將第11條修改為“個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)的部門要求委托專業(yè)機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)的， 履行個(gè)人信息保護(hù)職責(zé)的部門審核專業(yè)機(jī)構(gòu)的審計(jì)報(bào)告， 要求個(gè)人信息處理者進(jìn)行整改。專業(yè)機(jī)構(gòu)復(fù)核整改情況， 報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門。拒不整改或者整改不到位的， 由履行個(gè)人信息保護(hù)職責(zé)的部門追究相應(yīng)的法律責(zé)任”?？梢姡?監(jiān)管部門在履行審核專業(yè)機(jī)構(gòu)審計(jì)報(bào)告的職責(zé)之后， 再依照相應(yīng)的職權(quán)向個(gè)人信息處理者下達(dá)整改建議， 由單純的民事法律關(guān)系變更為監(jiān)管部門與個(gè)人信息處理者之間的行政法律關(guān)系， 不僅增強(qiáng)了整改建議的權(quán)威性， 而且能確保民事法律關(guān)系與行政法律關(guān)系相互獨(dú)立， 剝離了民事法律關(guān)系的行政傾向。

五、 明確審計(jì)結(jié)果的具體意見形式

《征求意見稿》第10條指出， “個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)部門要求委托專業(yè)機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)的， 應(yīng)當(dāng)按照本辦法要求組織實(shí)施個(gè)人信息保護(hù)合規(guī)審計(jì)， 在實(shí)施必要合規(guī)審計(jì)程序后， 及時(shí)將專業(yè)機(jī)構(gòu)出具的個(gè)人信息保護(hù)合規(guī)審計(jì)報(bào)告報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門。個(gè)人信息保護(hù)合規(guī)審計(jì)報(bào)告應(yīng)當(dāng)由合規(guī)審計(jì)負(fù)責(zé)人、 專業(yè)機(jī)構(gòu)負(fù)責(zé)人簽字并加蓋專業(yè)機(jī)構(gòu)公章”。該條款明確了審計(jì)報(bào)告生效的形式要求， 即“簽字”+“公章”。但關(guān)于審計(jì)結(jié)果的實(shí)質(zhì)規(guī)定顯然是匱乏和薄弱的， 就本質(zhì)而言， 個(gè)人信息保護(hù)合規(guī)審計(jì)屬于一項(xiàng)審查、 評(píng)價(jià)的監(jiān)督活動(dòng)， 既然涉及審查、 評(píng)價(jià)， 就需要出具相應(yīng)的審計(jì)結(jié)果報(bào)告， 個(gè)人信息處理是合規(guī)還是不合規(guī)， 抑或是部分合規(guī)、 部分不合規(guī)等。雖然審計(jì)不是一項(xiàng)完全的保證， 但至少能夠給予相應(yīng)的意見和建議， 否則相應(yīng)“整改”規(guī)定也無從談起。

與國家審計(jì)的行政執(zhí)法性質(zhì)不同， 專業(yè)機(jī)構(gòu)作為民事法律主體， 其審計(jì)行為更應(yīng)當(dāng)符合民事法律活動(dòng)的特征。因此， 專業(yè)機(jī)構(gòu)應(yīng)當(dāng)參照《中國注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第 1501號(hào)——對(duì)財(cái)務(wù)報(bào)表形成審計(jì)意見和出具審計(jì)報(bào)告》相關(guān)規(guī)定④出具審計(jì)結(jié)果， 專業(yè)機(jī)構(gòu)應(yīng)當(dāng)就個(gè)人信息處理活動(dòng)是否遵守法律法規(guī)、 國家相關(guān)規(guī)定的情況形成審計(jì)結(jié)果， 具體包括： 無保留意見——能夠遵守法律法規(guī)、 國家相關(guān)規(guī)定； 非無保留意見——視遵守或者違反法律法規(guī)、 國家相關(guān)規(guī)定的情況或者無法獲得審計(jì)證據(jù)的情況以及嚴(yán)重程度， 分別發(fā)表保留意見、 否定意見或無法表示意見。

六、 強(qiáng)化審計(jì)結(jié)果的公布與運(yùn)用

在要求委托專業(yè)機(jī)構(gòu)開展的個(gè)人信息保護(hù)合規(guī)審計(jì)中， 監(jiān)管部門只要求“在實(shí)施必要合規(guī)審計(jì)程序后， 及時(shí)將專業(yè)機(jī)構(gòu)出具的個(gè)人信息保護(hù)合規(guī)審計(jì)報(bào)告報(bào)送”（《征求意見稿》第10條）。該項(xiàng)規(guī)定中， 一方面并未明確是否要公布該審計(jì)結(jié)果， 另一方面也沒有明確“報(bào)送”之后如何運(yùn)用該審計(jì)結(jié)果。實(shí)際上， 《個(gè)人信息保護(hù)法》第61條要求履行個(gè)人信息保護(hù)職責(zé)的部門“組織對(duì)應(yīng)用程序等個(gè)人信息保護(hù)情況進(jìn)行測(cè)評(píng)， 并公布測(cè)評(píng)結(jié)果”?？梢姡?公布審計(jì)結(jié)果不僅屬于監(jiān)管部門履行職責(zé)的一種方式， 而且有利于增強(qiáng)社會(huì)公眾監(jiān)督。此外， 《征求意見稿》第11條規(guī)定， “個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)的部門要求委托專業(yè)機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)的， 應(yīng)當(dāng)按照專業(yè)機(jī)構(gòu)給出的整改建議進(jìn)行整改， 經(jīng)專業(yè)機(jī)構(gòu)復(fù)核后將整改情況報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門”。此處“整改”被過度賦予了行政屬性， 其原本屬于民事主體之間的自主行為。事實(shí)上， “整改”應(yīng)當(dāng)由監(jiān)管部門做出明確規(guī)定， 而非專業(yè)機(jī)構(gòu)的權(quán)力職責(zé)范圍。另外， 對(duì)相關(guān)人員進(jìn)行追責(zé)屬于合規(guī)審計(jì)結(jié)果的運(yùn)用問題， 也需要進(jìn)一步明確和細(xì)化。

基于此， 建議將《征求意見稿》第10條修改為“個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)部門要求委托專業(yè)機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)的， 個(gè)人信息處理者應(yīng)當(dāng)及時(shí)將審計(jì)報(bào)告報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門。履行個(gè)人信息保護(hù)職責(zé)的部門在符合相關(guān)保密規(guī)定的情形下， 向社會(huì)公開審計(jì)結(jié)果”。這一方面可將審計(jì)結(jié)果對(duì)外公開， 以有效接受社會(huì)監(jiān)督， 另一方面也能夠發(fā)揮警示與教育作用（賈丹等，2022）。并且， 監(jiān)管部門應(yīng)當(dāng)依據(jù)審計(jì)結(jié)果對(duì)個(gè)人信息處理者及相關(guān)人員給予相應(yīng)的處理處罰措施， 包括納入誠信建設(shè)體系等， 以提高個(gè)人信息保護(hù)的社會(huì)認(rèn)可度和接受度， 同時(shí)提高個(gè)人信息處理者及相關(guān)人員的違法成本。

七、 其他需要完善的內(nèi)容

《征求意見稿》作為一項(xiàng)創(chuàng)新型立法， 還有部分條文值得商榷完善。例如， 第7條指出， “個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)的部門要求開展個(gè)人信息保護(hù)合規(guī)審計(jì)的， 應(yīng)當(dāng)在收到通知后盡快按照要求選定專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)合規(guī)審計(jì)”。此處應(yīng)當(dāng)明確“盡快”的涵義， 建議修改為“10個(gè)工作日”。再如， 第14條指出， “專業(yè)機(jī)構(gòu)在履行個(gè)人信息保護(hù)合規(guī)審計(jì)職責(zé)時(shí)不得惡意干擾個(gè)人信息處理者的正常經(jīng)營(yíng)活動(dòng)”。此處“惡意”作為主觀意愿， 在實(shí)踐中難以判斷， 建議刪除“惡意”二字。

總體來說， 《征求意見稿》具有極顯著的開拓意識(shí)和時(shí)代特色， 回應(yīng)了全面依法治國以及數(shù)據(jù)信息保護(hù)的基本訴求。如果期望發(fā)揮應(yīng)有的作用， 應(yīng)當(dāng)進(jìn)一步堅(jiān)持開門立法、 科學(xué)立法的基本原則， 多方吸納各種有益意見和建議， 進(jìn)而完善《征求意見稿》的基本內(nèi)容， 從而發(fā)揮其在個(gè)人信息保護(hù)領(lǐng)域的應(yīng)有功能。

【 注 釋 】

① 《個(gè)人信息保護(hù)法》第54條規(guī)定，“個(gè)人信息處理者應(yīng)當(dāng)定期對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)”。第64條規(guī)定，“履行個(gè)人信息保護(hù)職責(zé)的部門在履行職責(zé)中，發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件的，可以按照規(guī)定的權(quán)限和程序?qū)υ搨€(gè)人信息處理者的法定代表人或者主要負(fù)責(zé)人進(jìn)行約談，或者要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)。個(gè)人信息處理者應(yīng)當(dāng)按照要求采取措施，進(jìn)行整改，消除隱患”。

② 《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》第53條規(guī)定“大型互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者應(yīng)當(dāng)通過委托第三方審計(jì)方式，每年對(duì)平臺(tái)數(shù)據(jù)安全情況等進(jìn)行年度審計(jì)，并披露審計(jì)結(jié)果”。第58條規(guī)定，“國家建立數(shù)據(jù)安全審計(jì)制度。數(shù)據(jù)處理者應(yīng)當(dāng)委托數(shù)據(jù)安全審計(jì)專業(yè)機(jī)構(gòu)定期對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)”。

③ 《審計(jì)法》第52條指出，“審計(jì)結(jié)果以及整改情況應(yīng)當(dāng)作為考核、任免、獎(jiǎng)懲領(lǐng)導(dǎo)干部和制定政策、完善制度的重要參考；拒不整改或者整改時(shí)弄虛作假的，依法追究法律責(zé)任”。

④ 《中國注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第 1501號(hào)——對(duì)財(cái)務(wù)報(bào)表形成審計(jì)意見和出具審計(jì)報(bào)告》第11條規(guī)定，“注冊(cè)會(huì)計(jì)師應(yīng)當(dāng)就財(cái)務(wù)報(bào)表是否在所有重大方面按照適用的財(cái)務(wù)報(bào)告編制基礎(chǔ)的規(guī)定編制并實(shí)現(xiàn)公允反映形成審計(jì)意見”；第17條規(guī)定，“如果認(rèn)為財(cái)務(wù)報(bào)表在所有重大方面按照適用的財(cái)務(wù)報(bào)告編制基礎(chǔ)的規(guī)定編制并實(shí)現(xiàn)公允反映，注冊(cè)會(huì)計(jì)師應(yīng)當(dāng)發(fā)表無保留意見”。

【 主 要 參 考 文 獻(xiàn) 】

陳炎．個(gè)人信息處理合規(guī)審計(jì)制度的意義、目標(biāo)與功能［ J］．審計(jì)觀察，2022（12）：12 ～ 17．

陳智敏．個(gè)人信息保護(hù)合規(guī)審計(jì)系統(tǒng)構(gòu)建研究［ J］．審計(jì)觀察，2022（12）：18 ～ 22．

賈丹，張譽(yù)馨，王姍．我國個(gè)人信息保護(hù)合規(guī)審計(jì)制度的路徑探討［ J］．工業(yè)信息安全，2022（4）：17 ～ 22