個(gè)人信息保護(hù)合規(guī)審計(jì)制度建設(shè)思考

胡耘通（博士生導(dǎo)師）

伴隨著數(shù)字經(jīng)濟(jì)的迅猛發(fā)展、數(shù)字社會(huì)的積極建立，數(shù)據(jù)逐漸成為一種新型生產(chǎn)要素，數(shù)據(jù)安全也越發(fā)重要，而個(gè)人信息的數(shù)據(jù)保護(hù)已然成為整個(gè)數(shù)據(jù)安全體系的核心和基礎(chǔ)。在持續(xù)推進(jìn)數(shù)字中國(guó)建設(shè)的戰(zhàn)略背景之下，《個(gè)人信息保護(hù)法》首次以法律形式明確了個(gè)人信息保護(hù)合規(guī)審計(jì)，具有非常重大的現(xiàn)實(shí)意義（陳智敏，2022）。但奇安信行業(yè)安全研究中心等單位聯(lián)合發(fā)布的《中國(guó)政企機(jī)構(gòu)數(shù)據(jù)安全風(fēng)險(xiǎn)分析報(bào)告》顯示，個(gè)人信息數(shù)據(jù)被泄露的案件最多，2022 年3 ～9 月，全國(guó)約有868.8億條個(gè)人信息數(shù)據(jù)被泄露，相當(dāng)于平均每人有62 條個(gè)人信息數(shù)據(jù)被以各種方式盜取、泄露，個(gè)人信息的數(shù)據(jù)安全保障情況堪憂。為回應(yīng)現(xiàn)實(shí)的緊迫情勢(shì)，我國(guó)近年來(lái)陸續(xù)頒布《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等專門法律法規(guī)，為數(shù)據(jù)安全以及合規(guī)管理工作的依法開展提供了法定依據(jù)。與此同時(shí)，合規(guī)審計(jì)也成為一種新型的數(shù)據(jù)（信息）安全治理手段?！秱€(gè)人信息保護(hù)法》第54、64 條分別明確了個(gè)人信息處理的自主審計(jì)及監(jiān)管要求審計(jì)①；《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見(jiàn)稿）》第53、58條分別明確了年度審計(jì)及國(guó)家建立數(shù)據(jù)安全審計(jì)制度②。可見(jiàn)，在全面依法治國(guó)背景下，數(shù)據(jù)（信息）安全合規(guī)審計(jì)制度的建立完善是良法善治的必然要求。未來(lái)，個(gè)人信息保護(hù)合規(guī)審計(jì)將是一項(xiàng)常態(tài)化、持續(xù)性的制度工作。2023 年8 月，《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法（征求意見(jiàn)稿）》（簡(jiǎn)稱《征求意見(jiàn)稿》）具體落實(shí)了《個(gè)人信息保護(hù)法》第54、64條關(guān)于個(gè)人信息保護(hù)合規(guī)審計(jì)的條款，為合規(guī)審計(jì)工作制定了具體的執(zhí)行規(guī)則，將填補(bǔ)自《個(gè)人信息保護(hù)法》規(guī)定合規(guī)審計(jì)機(jī)制以來(lái)相關(guān)下位規(guī)范的空白。

一、《征求意見(jiàn)稿》的積極意義

《個(gè)人信息保護(hù)法》自2021年11月施行以來(lái)，針對(duì)個(gè)人信息保護(hù)的監(jiān)管力度不斷加大，公民個(gè)人的信息保護(hù)意識(shí)也顯著提升，濫用個(gè)人信息、侵犯?jìng)€(gè)人信息權(quán)益等問(wèn)題得到較大改善?！墩髑笠庖?jiàn)稿》從立法目的、審計(jì)定義、審計(jì)對(duì)象、審計(jì)機(jī)構(gòu)、審計(jì)啟動(dòng)、審計(jì)時(shí)限、獨(dú)立性要求等方面進(jìn)行了全面的規(guī)范，并發(fā)布了《合規(guī)審計(jì)參考要點(diǎn)》，為實(shí)際工作提供了操作指南。而加強(qiáng)個(gè)人信息保護(hù)，除強(qiáng)化法治宣傳以厘清個(gè)人在信息處理活動(dòng)中的權(quán)利、明確個(gè)人信息處理者的義務(wù)外，合規(guī)審計(jì)不失為一件防范和控制個(gè)人信息處理風(fēng)險(xiǎn)的“利器”?！墩髑笠庖?jiàn)稿》發(fā)布的目的就在于通過(guò)合規(guī)審計(jì)“提高個(gè)人信息處理活動(dòng)合規(guī)水平，保護(hù)個(gè)人信息權(quán)益”。美國(guó)會(huì)計(jì)學(xué)家梅格斯曾言，我們正生活在一個(gè)履行受托責(zé)任的偉大時(shí)期。受托責(zé)任不僅是一種普遍的經(jīng)濟(jì)關(guān)系，更是一種非靜止的社會(huì)活動(dòng)關(guān)系?；谑芡胸?zé)任關(guān)系，個(gè)人信息處理者處理個(gè)人信息，但源于信息非對(duì)稱等矛盾，個(gè)人為避免或減少由此帶來(lái)的損害，會(huì)對(duì)個(gè)人信息處理活動(dòng)產(chǎn)生監(jiān)督需求，合規(guī)審計(jì)恰是對(duì)個(gè)人信息處理活動(dòng)監(jiān)督需求的回應(yīng)方式之一。個(gè)人信息保護(hù)合規(guī)審計(jì)通過(guò)審查、評(píng)價(jià)個(gè)人信息處理活動(dòng)與法律法規(guī)、國(guó)家規(guī)定等相關(guān)標(biāo)準(zhǔn)的一致程度，揭示個(gè)人信息處理者的不合規(guī)或者違規(guī)情形，并按照相關(guān)規(guī)定予以披露、問(wèn)責(zé)。由此不僅能提高個(gè)人信息處理活動(dòng)的質(zhì)量和保障水平，而且有助于減輕個(gè)人信息權(quán)益上的損害（陳炎，2022）。目前，個(gè)人信息保護(hù)合規(guī)審計(jì)僅處于探索階段，個(gè)人信息處理者對(duì)合規(guī)性、審計(jì)流程的理解判斷不一?？傮w而言，合規(guī)審計(jì)不僅是個(gè)人信息處理者實(shí)施自我治理、自我監(jiān)督的必要工具，也是監(jiān)管部門監(jiān)督個(gè)人信息處理者行為的重要方式。本質(zhì)上，個(gè)人信息保護(hù)合規(guī)審計(jì)被視為對(duì)個(gè)人信息處理者針對(duì)個(gè)人信息處理、保護(hù)情形的功能性“體檢”，對(duì)個(gè)人信息處理者開展合規(guī)審計(jì)、建立多層次的個(gè)人信息保護(hù)體系、提升個(gè)人信息保護(hù)能力具有顯著效果。

二、擴(kuò)充合規(guī)審計(jì)的評(píng)價(jià)依據(jù)

評(píng)價(jià)依據(jù)是合規(guī)審計(jì)工作的前提，要想通過(guò)合規(guī)審計(jì)工作得出適當(dāng)?shù)慕Y(jié)論意見(jiàn)，就必須遵循科學(xué)、合理的評(píng)價(jià)依據(jù)?！墩髑笠庖?jiàn)稿》第3 條指出，“本辦法所稱個(gè)人信息保護(hù)合規(guī)審計(jì)，是指對(duì)個(gè)人信息處理者的個(gè)人信息處理活動(dòng)是否遵守法律、行政法規(guī)的情況進(jìn)行審查和評(píng)價(jià)的監(jiān)督活動(dòng)”。該條規(guī)定除明確合規(guī)審計(jì)定義外，還提出了審查和評(píng)價(jià)的依據(jù)——“法律、行政法規(guī)”。《個(gè)人信息保護(hù)法》第51 條要求“個(gè)人信息處理者應(yīng)當(dāng)根據(jù)個(gè)人信息的處理目的、處理方式、個(gè)人信息的種類以及對(duì)個(gè)人權(quán)益的影響、可能存在的安全風(fēng)險(xiǎn)等，采取下列措施確保個(gè)人信息處理活動(dòng)符合法律、行政法規(guī)的規(guī)定……”；第54 條指出，“個(gè)人信息處理者應(yīng)當(dāng)定期對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)”。可見(jiàn)《個(gè)人信息保護(hù)法》僅明確了個(gè)人信息處理活動(dòng)遵守、符合“法律、行政法規(guī)”的要求，但《征求意見(jiàn)稿》的審計(jì)評(píng)價(jià)依據(jù)是否限于“法律、行政法規(guī)”，評(píng)價(jià)標(biāo)準(zhǔn)的范圍是否較窄？值得進(jìn)一步考量。

與此近似，《審計(jì)法》第3條規(guī)定“審計(jì)機(jī)關(guān)依據(jù)有關(guān)財(cái)政收支、財(cái)務(wù)收支的法律、法規(guī)和國(guó)家其他有關(guān)規(guī)定進(jìn)行審計(jì)評(píng)價(jià)”；《中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第150號(hào)——對(duì)財(cái)務(wù)報(bào)表形成審計(jì)意見(jiàn)和出具審計(jì)報(bào)告》第11 條明確指出“注冊(cè)會(huì)計(jì)師應(yīng)當(dāng)就財(cái)務(wù)報(bào)表是否在所有重大方面按照適用的財(cái)務(wù)報(bào)告編制基礎(chǔ)的規(guī)定編制并實(shí)現(xiàn)公允反映形成審計(jì)意見(jiàn)”，此處的“財(cái)務(wù)報(bào)告編制基礎(chǔ)”就是評(píng)價(jià)依據(jù)?！胺伞⑿姓ㄒ?guī)”是否能夠涵蓋所有個(gè)人信息處理活動(dòng)的全部標(biāo)準(zhǔn)？換句話說(shuō)，其他法規(guī)或者國(guó)家規(guī)定是否會(huì)對(duì)個(gè)人信息處理活動(dòng)進(jìn)行規(guī)定？例如，《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》屬于部門規(guī)章，當(dāng)涉及兒童個(gè)人信息處理活動(dòng)時(shí)，審計(jì)評(píng)價(jià)是否需要遵循？另外，《信息安全技術(shù)個(gè)人信息安全規(guī)范》（GB/T 35273-2020）、《信息安全技術(shù)個(gè)人信息安全影響評(píng)估指南》（GB/T 39335-2020）等國(guó)家標(biāo)準(zhǔn)，是否屬于合規(guī)審計(jì)的評(píng)價(jià)依據(jù)？實(shí)際上，隨著數(shù)據(jù)信息保護(hù)的縱深發(fā)展，醫(yī)療、金融、汽車等不同行業(yè)的監(jiān)管部門亦會(huì)制定相關(guān)準(zhǔn)則，合規(guī)審計(jì)也應(yīng)當(dāng)遵從行業(yè)準(zhǔn)則中設(shè)置的關(guān)于個(gè)人信息保護(hù)義務(wù)、責(zé)任方面的標(biāo)準(zhǔn)規(guī)定。按照循序漸進(jìn)的原理，地方性法規(guī)、地方規(guī)章及其他國(guó)家規(guī)定應(yīng)當(dāng)成為審計(jì)評(píng)價(jià)依據(jù)。因此，建議將《審計(jì)法》第3 條修改為“本辦法所稱個(gè)人信息保護(hù)合規(guī)審計(jì)，是指對(duì)個(gè)人信息處理者的個(gè)人信息處理活動(dòng)是否遵守法律、法規(guī)和國(guó)家其他有關(guān)規(guī)定的情況進(jìn)行審查和評(píng)價(jià)的監(jiān)督活動(dòng)”。當(dāng)然，國(guó)家其他規(guī)定還應(yīng)當(dāng)涵蓋行業(yè)標(biāo)準(zhǔn)、地方標(biāo)準(zhǔn)等，具體適用于某個(gè)行業(yè)、某個(gè)區(qū)域的個(gè)人信息保護(hù)合規(guī)審計(jì)工作。

三、增加法律責(zé)任條款設(shè)置

法律責(zé)任是保障法律規(guī)范有效落實(shí)的重要環(huán)節(jié)?！墩髑笠庖?jiàn)稿》僅在第15 條明確規(guī)定，“違反本辦法規(guī)定的，依據(jù)《個(gè)人信息保護(hù)法》等法律法規(guī)處理；構(gòu)成犯罪的，依法追究刑事責(zé)任”。但《個(gè)人信息保護(hù)法》也缺乏相關(guān)主體的法律責(zé)任條款，包括專業(yè)機(jī)構(gòu)以及個(gè)人信息處理者的某些違法行為，均沒(méi)有設(shè)置法律責(zé)任條款。以專業(yè)機(jī)構(gòu)為例，《征求意見(jiàn)稿》第14條明確了其從事合規(guī)審計(jì)活動(dòng)中應(yīng)當(dāng)履行的義務(wù)，但未規(guī)定對(duì)應(yīng)的法律責(zé)任條款，如果專業(yè)機(jī)構(gòu)不能“誠(chéng)信正直、公正客觀地作出合規(guī)審計(jì)職業(yè)判斷”，應(yīng)如何承擔(dān)法律責(zé)任？如果專業(yè)機(jī)構(gòu)“有出具虛假、失實(shí)報(bào)告等違規(guī)行為的”，僅是“永久禁止列入個(gè)人信息保護(hù)合規(guī)審計(jì)專業(yè)機(jī)構(gòu)推薦目錄”，則法律責(zé)任與違法行為并不匹配。此外，《征求意見(jiàn)稿》第8條明確規(guī)定個(gè)人信息處理者“應(yīng)當(dāng)保證專業(yè)機(jī)構(gòu)能夠正常行使下列權(quán)限……”，如果個(gè)人信息處理者違反該規(guī)定、出現(xiàn)不提供或者協(xié)助查閱相關(guān)文件或資料的情況，應(yīng)如何追究相應(yīng)的法律責(zé)任，也缺乏規(guī)定。再如，《征求意見(jiàn)稿》第7 條指出，“個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)的部門要求開展個(gè)人信息保護(hù)合規(guī)審計(jì)的，應(yīng)當(dāng)在收到通知后盡快按照要求選定專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)合規(guī)審計(jì)”。這里的“盡快”含義并不明確，且對(duì)于沒(méi)有“盡快”進(jìn)行合規(guī)審計(jì)的行為，也缺乏針對(duì)個(gè)人信息處理者的違法責(zé)任條款。

“沒(méi)有無(wú)權(quán)利的義務(wù)，也沒(méi)有無(wú)義務(wù)的權(quán)利”?；跈?quán)利義務(wù)相一致的基本理念，針對(duì)專業(yè)機(jī)構(gòu)以及個(gè)人信息處理者的違法行為，筆者建議增補(bǔ)相應(yīng)的法律責(zé)任條款。例如，如果個(gè)人信息處理者違反《征求意見(jiàn)稿》第7、8 條規(guī)定，不能盡快進(jìn)行合規(guī)審計(jì)的、不能保證專業(yè)機(jī)構(gòu)正常行使權(quán)限的，履行個(gè)人信息保護(hù)職責(zé)的部門（簡(jiǎn)稱“監(jiān)管部門”）應(yīng)當(dāng)“責(zé)令改正，給予警告；拒不改正的，并處一百萬(wàn)元以下罰款；對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬(wàn)元以上十萬(wàn)元以下罰款”。如果專業(yè)機(jī)構(gòu)違反《征求意見(jiàn)稿》第14 條規(guī)定，出現(xiàn)不能“誠(chéng)信正直、公正客觀地作出合規(guī)審計(jì)職業(yè)判斷”“轉(zhuǎn)包委托第三方開展個(gè)人信息保護(hù)合規(guī)審計(jì)”等情形，監(jiān)管部門應(yīng)當(dāng)“責(zé)令改正，給予警告；拒不改正的，并處一百萬(wàn)元以下罰款；對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬(wàn)元以上十萬(wàn)元以下罰款”。當(dāng)然，如果專業(yè)機(jī)構(gòu)有出具虛假、失實(shí)報(bào)告等行為并構(gòu)成犯罪的，則追究相應(yīng)的刑事法律責(zé)任。

四、消除民事法律關(guān)系行政傾向

無(wú)論是自主實(shí)施審計(jì)，還是監(jiān)管要求審計(jì)，個(gè)人信息處理者與專業(yè)機(jī)構(gòu)之間均是基于合同而建立的民事法律關(guān)系，應(yīng)當(dāng)首先符合民事法律關(guān)系的基本特征——平等性、自主性等，但現(xiàn)有規(guī)定帶有行政傾向。例如，《征求意見(jiàn)稿》第9 條規(guī)定，“個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)部門要求委托專業(yè)機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)的，應(yīng)當(dāng)在90個(gè)工作日內(nèi)完成個(gè)人信息保護(hù)合規(guī)審計(jì)；情況復(fù)雜的，報(bào)經(jīng)履行個(gè)人信息保護(hù)職責(zé)的部門批準(zhǔn)后可適當(dāng)延長(zhǎng)”。針對(duì)“情況復(fù)雜的”，延長(zhǎng)合規(guī)審計(jì)期限，需要經(jīng)過(guò)監(jiān)管部門批準(zhǔn)。換句話說(shuō)，基于個(gè)人信息處理者與專業(yè)機(jī)構(gòu)之間被審計(jì)與審計(jì)的民事法律關(guān)系，延長(zhǎng)審計(jì)期限需要監(jiān)管部門的“批準(zhǔn)”，原本應(yīng)當(dāng)由民事法律關(guān)系的雙方當(dāng)事人自主變更的“審計(jì)期限”，改為“批準(zhǔn)”變更，即行政權(quán)力介入民事法律關(guān)系的運(yùn)行，使民事法律關(guān)系的平等性、自主性受到影響。再如，《征求意見(jiàn)稿》第11條規(guī)定，“個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)的部門要求委托專業(yè)機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)的，應(yīng)當(dāng)按照專業(yè)機(jī)構(gòu)給出的整改建議進(jìn)行整改，經(jīng)專業(yè)機(jī)構(gòu)復(fù)核后將整改情況報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門”。該條款“整改”帶有強(qiáng)制性，即“應(yīng)當(dāng)按照……整改建議”整改，并將整改情況報(bào)監(jiān)管部門。專業(yè)機(jī)構(gòu)的審計(jì)意見(jiàn)、整改建議原本屬于民事法律關(guān)系的內(nèi)容，一般也屬于雙方自愿協(xié)商的結(jié)果，只屬于約定條款，并非法定的權(quán)利義務(wù)內(nèi)容，不具備強(qiáng)制性，顯然“應(yīng)當(dāng)……整改”的要求，帶有強(qiáng)制性的行政色彩，突破了當(dāng)事人之間的民事法律關(guān)系屬性。

專業(yè)機(jī)構(gòu)的合規(guī)審計(jì)與審計(jì)機(jī)關(guān)的國(guó)家審計(jì)并不相同，后者帶有行政執(zhí)法的屬性，審計(jì)機(jī)關(guān)的審計(jì)結(jié)果包括整改建議均具有具體行政行為的典型特點(diǎn)——強(qiáng)制性，且會(huì)追究不整改的法律責(zé)任③。歸根結(jié)底，專業(yè)機(jī)構(gòu)的合規(guī)審計(jì)本質(zhì)上仍屬于民事法律行為，不應(yīng)具備法律上的強(qiáng)制性。因此，建議將《征求意見(jiàn)稿》第9條修改為“個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)部門要求委托專業(yè)機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)的，應(yīng)當(dāng)在90 個(gè)工作日內(nèi)完成個(gè)人信息保護(hù)合規(guī)審計(jì)；情況復(fù)雜的，經(jīng)個(gè)人信息處理者、專業(yè)機(jī)構(gòu)協(xié)商延長(zhǎng)不超過(guò)30個(gè)工作日”；將第11條修改為“個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)的部門要求委托專業(yè)機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)的，履行個(gè)人信息保護(hù)職責(zé)的部門審核專業(yè)機(jī)構(gòu)的審計(jì)報(bào)告，要求個(gè)人信息處理者進(jìn)行整改。專業(yè)機(jī)構(gòu)復(fù)核整改情況，報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門。拒不整改或者整改不到位的，由履行個(gè)人信息保護(hù)職責(zé)的部門追究相應(yīng)的法律責(zé)任”?？梢?jiàn)，監(jiān)管部門在履行審核專業(yè)機(jī)構(gòu)審計(jì)報(bào)告的職責(zé)之后，再依照相應(yīng)的職權(quán)向個(gè)人信息處理者下達(dá)整改建議，由單純的民事法律關(guān)系變更為監(jiān)管部門與個(gè)人信息處理者之間的行政法律關(guān)系，不僅增強(qiáng)了整改建議的權(quán)威性，而且能確保民事法律關(guān)系與行政法律關(guān)系相互獨(dú)立，剝離了民事法律關(guān)系的行政傾向。

五、明確審計(jì)結(jié)果的具體意見(jiàn)形式

《征求意見(jiàn)稿》第10 條指出，“個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)部門要求委托專業(yè)機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)的，應(yīng)當(dāng)按照本辦法要求組織實(shí)施個(gè)人信息保護(hù)合規(guī)審計(jì)，在實(shí)施必要合規(guī)審計(jì)程序后，及時(shí)將專業(yè)機(jī)構(gòu)出具的個(gè)人信息保護(hù)合規(guī)審計(jì)報(bào)告報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門。個(gè)人信息保護(hù)合規(guī)審計(jì)報(bào)告應(yīng)當(dāng)由合規(guī)審計(jì)負(fù)責(zé)人、專業(yè)機(jī)構(gòu)負(fù)責(zé)人簽字并加蓋專業(yè)機(jī)構(gòu)公章”。該條款明確了審計(jì)報(bào)告生效的形式要求，即“簽字”+“公章”。但關(guān)于審計(jì)結(jié)果的實(shí)質(zhì)規(guī)定顯然是匱乏和薄弱的，就本質(zhì)而言，個(gè)人信息保護(hù)合規(guī)審計(jì)屬于一項(xiàng)審查、評(píng)價(jià)的監(jiān)督活動(dòng)，既然涉及審查、評(píng)價(jià)，就需要出具相應(yīng)的審計(jì)結(jié)果報(bào)告，個(gè)人信息處理是合規(guī)還是不合規(guī)，抑或是部分合規(guī)、部分不合規(guī)等。雖然審計(jì)不是一項(xiàng)完全的保證，但至少能夠給予相應(yīng)的意見(jiàn)和建議，否則相應(yīng)“整改”規(guī)定也無(wú)從談起。

與國(guó)家審計(jì)的行政執(zhí)法性質(zhì)不同，專業(yè)機(jī)構(gòu)作為民事法律主體，其審計(jì)行為更應(yīng)當(dāng)符合民事法律活動(dòng)的特征。因此，專業(yè)機(jī)構(gòu)應(yīng)當(dāng)參照《中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第1501號(hào)——對(duì)財(cái)務(wù)報(bào)表形成審計(jì)意見(jiàn)和出具審計(jì)報(bào)告》相關(guān)規(guī)定④出具審計(jì)結(jié)果，專業(yè)機(jī)構(gòu)應(yīng)當(dāng)就個(gè)人信息處理活動(dòng)是否遵守法律法規(guī)、國(guó)家相關(guān)規(guī)定的情況形成審計(jì)結(jié)果，具體包括：無(wú)保留意見(jiàn)——能夠遵守法律法規(guī)、國(guó)家相關(guān)規(guī)定；非無(wú)保留意見(jiàn)——視遵守或者違反法律法規(guī)、國(guó)家相關(guān)規(guī)定的情況或者無(wú)法獲得審計(jì)證據(jù)的情況以及嚴(yán)重程度，分別發(fā)表保留意見(jiàn)、否定意見(jiàn)或無(wú)法表示意見(jiàn)。

六、強(qiáng)化審計(jì)結(jié)果的公布與運(yùn)用

在要求委托專業(yè)機(jī)構(gòu)開展的個(gè)人信息保護(hù)合規(guī)審計(jì)中，監(jiān)管部門只要求“在實(shí)施必要合規(guī)審計(jì)程序后，及時(shí)將專業(yè)機(jī)構(gòu)出具的個(gè)人信息保護(hù)合規(guī)審計(jì)報(bào)告報(bào)送”（《征求意見(jiàn)稿》第10 條）。該項(xiàng)規(guī)定中，一方面并未明確是否要公布該審計(jì)結(jié)果，另一方面也沒(méi)有明確“報(bào)送”之后如何運(yùn)用該審計(jì)結(jié)果。實(shí)際上，《個(gè)人信息保護(hù)法》第61條要求履行個(gè)人信息保護(hù)職責(zé)的部門“組織對(duì)應(yīng)用程序等個(gè)人信息保護(hù)情況進(jìn)行測(cè)評(píng)，并公布測(cè)評(píng)結(jié)果”?？梢?jiàn)，公布審計(jì)結(jié)果不僅屬于監(jiān)管部門履行職責(zé)的一種方式，而且有利于增強(qiáng)社會(huì)公眾監(jiān)督。此外，《征求意見(jiàn)稿》第11條規(guī)定，“個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)的部門要求委托專業(yè)機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)的，應(yīng)當(dāng)按照專業(yè)機(jī)構(gòu)給出的整改建議進(jìn)行整改，經(jīng)專業(yè)機(jī)構(gòu)復(fù)核后將整改情況報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門”。此處“整改”被過(guò)度賦予了行政屬性，其原本屬于民事主體之間的自主行為。事實(shí)上，“整改”應(yīng)當(dāng)由監(jiān)管部門做出明確規(guī)定，而非專業(yè)機(jī)構(gòu)的權(quán)力職責(zé)范圍。另外，對(duì)相關(guān)人員進(jìn)行追責(zé)屬于合規(guī)審計(jì)結(jié)果的運(yùn)用問(wèn)題，也需要進(jìn)一步明確和細(xì)化。

基于此，建議將《征求意見(jiàn)稿》第10 條修改為“個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)部門要求委托專業(yè)機(jī)構(gòu)開展個(gè)人信息保護(hù)合規(guī)審計(jì)的，個(gè)人信息處理者應(yīng)當(dāng)及時(shí)將審計(jì)報(bào)告報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門。履行個(gè)人信息保護(hù)職責(zé)的部門在符合相關(guān)保密規(guī)定的情形下，向社會(huì)公開審計(jì)結(jié)果”。這一方面可將審計(jì)結(jié)果對(duì)外公開，以有效接受社會(huì)監(jiān)督，另一方面也能夠發(fā)揮警示與教育作用（賈丹等，2022）。并且，監(jiān)管部門應(yīng)當(dāng)依據(jù)審計(jì)結(jié)果對(duì)個(gè)人信息處理者及相關(guān)人員給予相應(yīng)的處理處罰措施，包括納入誠(chéng)信建設(shè)體系等，以提高個(gè)人信息保護(hù)的社會(huì)認(rèn)可度和接受度，同時(shí)提高個(gè)人信息處理者及相關(guān)人員的違法成本。

七、其他需要完善的內(nèi)容

《征求意見(jiàn)稿》作為一項(xiàng)創(chuàng)新型立法，還有部分條文值得商榷完善。例如，第7 條指出，“個(gè)人信息處理者按照履行個(gè)人信息保護(hù)職責(zé)的部門要求開展個(gè)人信息保護(hù)合規(guī)審計(jì)的，應(yīng)當(dāng)在收到通知后盡快按照要求選定專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)合規(guī)審計(jì)”。此處應(yīng)當(dāng)明確“盡快”的涵義，建議修改為“10 個(gè)工作日”。再如，第14條指出，“專業(yè)機(jī)構(gòu)在履行個(gè)人信息保護(hù)合規(guī)審計(jì)職責(zé)時(shí)不得惡意干擾個(gè)人信息處理者的正常經(jīng)營(yíng)活動(dòng)”。此處“惡意”作為主觀意愿，在實(shí)踐中難以判斷，建議刪除“惡意”二字。

總體來(lái)說(shuō)，《征求意見(jiàn)稿》具有極顯著的開拓意識(shí)和時(shí)代特色，回應(yīng)了全面依法治國(guó)以及數(shù)據(jù)信息保護(hù)的基本訴求。如果期望發(fā)揮應(yīng)有的作用，應(yīng)當(dāng)進(jìn)一步堅(jiān)持開門立法、科學(xué)立法的基本原則，多方吸納各種有益意見(jiàn)和建議，進(jìn)而完善《征求意見(jiàn)稿》的基本內(nèi)容，從而發(fā)揮其在個(gè)人信息保護(hù)領(lǐng)域的應(yīng)有功能。

【注 釋】

①《個(gè)人信息保護(hù)法》第54條規(guī)定，“個(gè)人信息處理者應(yīng)當(dāng)定期對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)”。第64條規(guī)定，“履行個(gè)人信息保護(hù)職責(zé)的部門在履行職責(zé)中，發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件的，可以按照規(guī)定的權(quán)限和程序?qū)υ搨€(gè)人信息處理者的法定代表人或者主要負(fù)責(zé)人進(jìn)行約談，或者要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)。個(gè)人信息處理者應(yīng)當(dāng)按照要求采取措施，進(jìn)行整改，消除隱患”。

②《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見(jiàn)稿）》第53 條規(guī)定“大型互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者應(yīng)當(dāng)通過(guò)委托第三方審計(jì)方式，每年對(duì)平臺(tái)數(shù)據(jù)安全情況等進(jìn)行年度審計(jì)，并披露審計(jì)結(jié)果”。第58條規(guī)定，“國(guó)家建立數(shù)據(jù)安全審計(jì)制度。數(shù)據(jù)處理者應(yīng)當(dāng)委托數(shù)據(jù)安全審計(jì)專業(yè)機(jī)構(gòu)定期對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)”。

③《審計(jì)法》第52條指出，“審計(jì)結(jié)果以及整改情況應(yīng)當(dāng)作為考核、任免、獎(jiǎng)懲領(lǐng)導(dǎo)干部和制定政策、完善制度的重要參考；拒不整改或者整改時(shí)弄虛作假的，依法追究法律責(zé)任”。

④《中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第1501 號(hào)——對(duì)財(cái)務(wù)報(bào)表形成審計(jì)意見(jiàn)和出具審計(jì)報(bào)告》第11條規(guī)定，“注冊(cè)會(huì)計(jì)師應(yīng)當(dāng)就財(cái)務(wù)報(bào)表是否在所有重大方面按照適用的財(cái)務(wù)報(bào)告編制基礎(chǔ)的規(guī)定編制并實(shí)現(xiàn)公允反映形成審計(jì)意見(jiàn)”；第17條規(guī)定，“如果認(rèn)為財(cái)務(wù)報(bào)表在所有重大方面按照適用的財(cái)務(wù)報(bào)告編制基礎(chǔ)的規(guī)定編制并實(shí)現(xiàn)公允反映，注冊(cè)會(huì)計(jì)師應(yīng)當(dāng)發(fā)表無(wú)保留意見(jiàn)”。

【 主要參考文獻(xiàn)】

陳炎.個(gè)人信息處理合規(guī)審計(jì)制度的意義、目標(biāo)與功能［J］.審計(jì)觀察，2022（12）：12 ～17.

陳智敏.個(gè)人信息保護(hù)合規(guī)審計(jì)系統(tǒng)構(gòu)建研究［J］.審計(jì)觀察，2022（12）：18～22.

賈丹，張譽(yù)馨，王姍.我國(guó)個(gè)人信息保護(hù)合規(guī)審計(jì)制度的路徑探討［J］.工業(yè)信息安全，2022（4）：17 ～22