平臺處理未成年人個人信息的合規(guī)審計分析

劉愛龍 俞雪

文章編號：2097-0749（2024）02-0059-19

摘要：個人信息合規(guī)審計制度是信息時代運(yùn)用審計法治推進(jìn)人權(quán)保障事業(yè)的重要制度設(shè)計，未成年人個人信息保護(hù)合規(guī)審計是保護(hù)未成年人個人信息權(quán)益的重要舉措。目前實(shí)踐中尚未形成體系化的互聯(lián)網(wǎng)平臺治理規(guī)范，落實(shí)平臺履行個人信息合規(guī)審計義務(wù)的針對性、完整性和有效性規(guī)定均存在明顯瑕疵，且平臺自身開展個人信息合規(guī)審計的內(nèi)生動力不足，外部監(jiān)管也施力有限。為發(fā)揮審計法律規(guī)制效力，切實(shí)保護(hù)未成年人個人信息權(quán)益，未成年人個人信息合規(guī)審計需堅持最有利于未成年人原則。平臺開展個人信息合規(guī)審計須凸顯未成年人保護(hù)的特殊性，強(qiáng)化平臺內(nèi)部治理，建立健全平臺個人信息保護(hù)合規(guī)激勵機(jī)制，以合作監(jiān)管模式賦能政企協(xié)同監(jiān)管，形成全社會共同參與的未成年人個人信息保護(hù)機(jī)制。

關(guān)鍵詞：個人信息保護(hù) 合規(guī)審計 未成年人權(quán)益 大型互聯(lián)網(wǎng)平臺

中圖分類號：D9 文獻(xiàn)標(biāo)志碼：A

DOI：10.3969/j.issn. 2097-0749.2024.02.03 開放科學(xué)（資源服務(wù)）標(biāo)識碼（OSID）：

眾所周知，因技術(shù)不對等和信息不對稱等原因，互聯(lián)網(wǎng)平臺在數(shù)字空間中具有強(qiáng)勢地位，進(jìn)而形成了平臺與用戶在數(shù)字社會中的不平等地位，用戶在享受數(shù)字便利的同時也面臨著數(shù)字風(fēng)險，個體更是無法制衡平臺對個人信息的不當(dāng)使用。此外，基于數(shù)字技術(shù)的復(fù)雜性和互聯(lián)網(wǎng)用戶數(shù)量的不斷增多，數(shù)字平臺日益獲取了巨大的控制力，用戶對平臺的依賴又進(jìn)一步加劇了這種權(quán)力的控制性，放大了它對經(jīng)濟(jì)社會構(gòu)成的特殊風(fēng)險。在此情形下，數(shù)字平臺的行為風(fēng)險變得更加突出，數(shù)字生態(tài)中個人權(quán)益受侵害的風(fēng)險也隨之增加?！?〕與此同時，互聯(lián)網(wǎng)呈現(xiàn)出用戶低齡化趨勢。據(jù)統(tǒng)計，截至2023年6月，我國未成年網(wǎng)民人數(shù)已突破1.91億〔2〕，未成年人業(yè)已成為互聯(lián)網(wǎng)企業(yè)的重要用戶群。〔3〕由此，在強(qiáng)大的平臺控制力與弱勢且數(shù)量龐大的未成年互聯(lián)網(wǎng)用戶相互交織的背景下，大型互聯(lián)網(wǎng)平臺的有效治理尤為迫切。

近年來，國家不斷加強(qiáng)對未成年人個人信息的立法保護(hù)，除《中華人民共和國個人信息保護(hù)法》（以下簡稱《個保法》）、《兒童個人信息網(wǎng)絡(luò)保護(hù)規(guī)定》（以下簡稱《規(guī)定》）之外，眾望所歸的《未成年人網(wǎng)絡(luò)保護(hù)條例》更是進(jìn)一步健全了未成年人個人信息保護(hù)規(guī)則，要求擁有大量未成年用戶或具有重要影響力的平臺在履行普遍性保護(hù)義務(wù)的基礎(chǔ)上，還需進(jìn)一步履行特殊保護(hù)義務(wù)，以督促大型平臺企業(yè)切實(shí)承擔(dān)社會責(zé)任，統(tǒng)籌好平臺經(jīng)濟(jì)健康發(fā)展和未成年人網(wǎng)絡(luò)保護(hù)之間的關(guān)系。

作為兼具內(nèi)部監(jiān)督與外部監(jiān)管雙重屬性的合規(guī)審計，不僅是平臺實(shí)施自我治理、自我監(jiān)督的必要工具，也是監(jiān)管部門規(guī)制平臺個人信息處理行為的重要方式?！?〕因此，個人信息保護(hù)合規(guī)審計已經(jīng)成為當(dāng)前國際上的一種常規(guī)做法，其對個人信息治理和未成年人權(quán)益保護(hù)具有重要價值。根據(jù)《個保法》第54條和第64條規(guī)定，合規(guī)審計分為定期審計和監(jiān)管審計，審計的依據(jù)明確為“法律、行政法規(guī)”。《個人信息保護(hù)合規(guī)審計管理辦法（征求意見稿）》第3條也對個人信息保護(hù)合規(guī)審計給出了清晰界定，其指對個人信息處理者的個人信息處理活動是否遵守法律、行政法規(guī)的情況進(jìn)行審查和評價的監(jiān)督活動?！?〕在中國數(shù)字化進(jìn)程加快和《個保法》實(shí)施、《中華人民共和國未成年人保護(hù)法》（以下簡稱《未成年人保護(hù)法》）修訂的多重背景之下，個人信息保護(hù)合規(guī)審計的審計重點(diǎn)內(nèi)容和審計程序，在考慮合規(guī)審計一般要求的同時，還應(yīng)突出未成年人個人信息保護(hù)的特殊性，進(jìn)一步開展平臺處理未成年人個人信息的合規(guī)審計研究，提高未成年人信息安全保護(hù)水平。

一、個人信息合規(guī)審計的法律圖景

（一）域外法律對未成年人個人信息合規(guī)審計的法律規(guī)定

合規(guī)審計作為平臺自我治理與監(jiān)管部門規(guī)制個人信息處理行為的手段，在不同國家或司法轄區(qū)已有適用的先例。同時，針對未成年人個人信息保護(hù)的特殊需要，各國也進(jìn)行了不同的立法嘗試。

歐盟《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，以下簡稱“GDPR”）較早地提出了數(shù)據(jù)保護(hù)審計（Data Protection Audit）的概念，并將數(shù)據(jù)保護(hù)審計作為核查、判斷數(shù)據(jù)處理者，以及數(shù)據(jù)控制者是否遵循GDPR處理個人信息的手段。〔6〕在GDPR的規(guī)范體系下，相關(guān)企業(yè)可以通過合規(guī)審計證明其個人信息處理活動的合法合規(guī)性。

相較于歐盟，美國雖然不具有類似GDPR可以統(tǒng)一適用于聯(lián)邦層面的個人信息保護(hù)立法，但其擁有立法權(quán)的各州也對個人信息保護(hù)提出了不同的審計義務(wù)。其中最具有代表性的是加利福尼亞州的《加州隱私權(quán)法案》（California Privacy Rights Act，CPRA），該法案要求對“消費(fèi)者隱私或者安全構(gòu)成重大風(fēng)險”的企業(yè)應(yīng)當(dāng)進(jìn)行年度網(wǎng)絡(luò)安全審計。為了加強(qiáng)對未成年人的個人信息保護(hù)，美國于1988年就制定了《兒童在線隱私保護(hù)法案》（Children's Online Privacy Protection Act，COPPA），并于2014年對其予以修訂。法案中的重點(diǎn)條款就包括父母的同意制度、兒童個人信息的范圍界定、保護(hù)對象的年齡劃定等。

除歐美國家外，英國在個人信息合規(guī)審計方面也進(jìn)行了相應(yīng)的制度創(chuàng)新，于2022年5月發(fā)布了《數(shù)據(jù)審計指南》（A Guide to ICO Audits），設(shè)置了自愿申請審計制度。2020年韓國在《個人信息保護(hù)法》（The Personal Information Protection Act，PIPA）修訂時，也在未成年人個人信息合規(guī)審計方面進(jìn)一步進(jìn)行規(guī)范。該修正案對企業(yè)處理未成年人個人信息的行為采取寬進(jìn)嚴(yán)出的方式，放寬了收集法律規(guī)定最低限度的個人信息的事前要求，但引入了評價制度，通過加強(qiáng)個人信息處理活動的事后控制，實(shí)現(xiàn)對個人權(quán)利的有效保護(hù)，防止“知情同意制”僵化。

（二）我國未成年人個人信息合規(guī)審計的立法現(xiàn)狀

2021年 11月1日，我國個人信息保護(hù)領(lǐng)域的第一部專項(xiàng)立法《個保法》正式實(shí)施，對個人在個人信息處理活動中享有的權(quán)利，以及個人信息處理者在個人信息處理活動中應(yīng)遵守的處理規(guī)則、履行的義務(wù)等做出了系統(tǒng)全面的規(guī)定，其中就包含了個人信息處理者所要履行的合規(guī)審計義務(wù)與強(qiáng)制合規(guī)要求，并賦予大型互聯(lián)網(wǎng)平臺個人信息保護(hù)的特別義務(wù)?；ヂ?lián)網(wǎng)平臺是未成年人使用和接觸網(wǎng)絡(luò)的重要防線，也是保護(hù)未成年人個人信息安全的重要“守門人”，平臺治理具有先天資源和技術(shù)優(yōu)勢。《未成年人網(wǎng)絡(luò)保護(hù)條例》第20條針對擁有數(shù)量巨大的未成年人用戶和對未成年人具有顯著影響的網(wǎng)絡(luò)平臺服務(wù)提供者作出相應(yīng)的責(zé)任義務(wù)規(guī)定，要求其建立健全未成年人網(wǎng)絡(luò)保護(hù)合規(guī)制度體系，并履行個人信息處理合規(guī)審計義務(wù)。至此，相關(guān)法律、法規(guī)部門規(guī)章及規(guī)范性文件共同初步建構(gòu)起我國未成年人個人信息保護(hù)合規(guī)審計框架（見表1）。

細(xì)化落實(shí)了個人信息處理者合規(guī)審計要求，明確了個人信息保護(hù)合規(guī)審計觸發(fā)條件、頻次、流程、審計機(jī)構(gòu)、審計活動規(guī)范等。并以附件形式詳細(xì)列明了“個人信息保護(hù)合規(guī)審計參考要點(diǎn)”，為個人信息處理者開展合規(guī)審計工作提供指引。

（三）《個人信息保護(hù)法》對個人信息合規(guī)審計的總體要求

《個保法》規(guī)定了個人信息合規(guī)審計的義務(wù)主體。第54條明確規(guī)定由個人信息處理者主動履行定期合規(guī)審計義務(wù)，第64條則規(guī)定由個人信息處理者委托專業(yè)機(jī)構(gòu)進(jìn)行強(qiáng)制外部審計。與此同時，第54條和第64條還分別提出了對個人信息處理者履行個人信息保護(hù)合規(guī)審計義務(wù)不同層面的要求。其中，第54條要求企業(yè)定期履行個人信息保護(hù)合規(guī)審計義務(wù)，明確審計內(nèi)容是個人信息處理活動是否遵守“法律、行政法規(guī)”的要求，為個人信息的合規(guī)審計提供了依據(jù)，允許個人信息處理者可以根據(jù)自身情況和需要確定合規(guī)審計的時間、頻次和方式。〔7〕第64條則明確規(guī)定，當(dāng)個人信息處理活動存在風(fēng)險情況時，除可以進(jìn)行約談外，相關(guān)履職部門還可以要求個人信息處理者委托專業(yè)機(jī)構(gòu)進(jìn)行合規(guī)審計，利用外部審計機(jī)構(gòu)的獨(dú)立地位與專業(yè)知識對個人信息處理者的合規(guī)審計情況進(jìn)行評估、審查，為職責(zé)部門提供監(jiān)管依據(jù)和方案。這一立法設(shè)計有助于監(jiān)管者對個人信息處理活動的合法性進(jìn)行持續(xù)關(guān)注，且有利于提升個人信息處理者的合法合規(guī)水平與個人信息保護(hù)能力。然而，我國個人信息保護(hù)合規(guī)審計制度的具體要求尚未明確，平臺落實(shí)個人信息合規(guī)審計的針對性、完整性和有效性也缺乏更為細(xì)致的要求。〔8〕

此外，《個保法》第58條還規(guī)定了“守門人規(guī)則”，明確要求大型平臺承擔(dān)更為積極的信息安全責(zé)任，具體包括：（1）成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對個人信息保護(hù)情況予以監(jiān)督；（2）制定平臺規(guī)則，合理確定雙方的權(quán)利義務(wù)和責(zé)任，并通過平臺規(guī)則明確監(jiān)督平臺內(nèi)部處理個人信息的規(guī)范和保護(hù)個人信息的義務(wù)；（3）發(fā)揮監(jiān)督作用，對嚴(yán)重違反法律法規(guī)處理個人信息的平臺內(nèi)的產(chǎn)品或者服務(wù)提供者，停止提供服務(wù)；（4）定期發(fā)布個人信息保護(hù)社會責(zé)任報告，接受社會監(jiān)督?！?〕

（四）《未成年人網(wǎng)絡(luò)保護(hù)條例》對個人信息合規(guī)審計的主要訴求

《未成年人網(wǎng)絡(luò)保護(hù)條例》第20條以《個保法》第58條為上位法依據(jù)，要求平臺經(jīng)營者承擔(dān)特殊的“守門人”義務(wù)，即超大型的互聯(lián)網(wǎng)平臺應(yīng)當(dāng)充分考慮未成年人身心健康發(fā)展特點(diǎn)，定期開展未成年人網(wǎng)絡(luò)保護(hù)影響評估，提供青少年模式或者未成年人專區(qū)等，并按照國家規(guī)定建立健全未成年人網(wǎng)絡(luò)保護(hù)合規(guī)制度體系。此外，對嚴(yán)重侵犯未成年人合法權(quán)益的平臺內(nèi)產(chǎn)品或者服務(wù)提供者，其還要求平臺及時停止提供服務(wù)，并定期發(fā)布未成年人網(wǎng)絡(luò)保護(hù)社會責(zé)任報告。同時，《未成年人網(wǎng)絡(luò)保護(hù)條例》第37條要求個人信息處理者定期履行處理未成年人個人信息活動的合規(guī)審計義務(wù)，并將審計情況及時報告網(wǎng)信等部門?！段闯赡耆司W(wǎng)絡(luò)保護(hù)條例》從未成年人這一特殊主體的角度出發(fā)對個人信息保護(hù)合規(guī)審計進(jìn)行了補(bǔ)充，但其主要通過列舉的方式規(guī)定平臺的義務(wù)，這種封閉式的規(guī)定也限制了監(jiān)管主體和司法部門不能“個案地”擴(kuò)張平臺的責(zé)任種類。

（五）相關(guān)規(guī)范性文件對個人信息合規(guī)審計的具體規(guī)定

為指導(dǎo)、規(guī)范個人信息保護(hù)合規(guī)審計活動，國家互聯(lián)網(wǎng)信息辦公室于2023年8月3日發(fā)布了《個人信息保護(hù)合規(guī)審計管理辦法（征求意見稿）》，對個人信息保護(hù)合規(guī)審計相關(guān)內(nèi)容加以補(bǔ)充和延伸，重點(diǎn)體現(xiàn)在兩個方面：一是細(xì)化了《個人信息保護(hù)法》中的自我合規(guī)評估和強(qiáng)制合規(guī)評估的相關(guān)要求；二是配套制定《個人信息保護(hù)合規(guī)審計參考要點(diǎn)》，落實(shí)個人信息保護(hù)合規(guī)審計開展的業(yè)務(wù)指引和核心要求。

2021年11月14日，國家互聯(lián)網(wǎng)信息辦公室就《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》征求意見，在《個保法》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》等法律規(guī)范構(gòu)成的框架下對數(shù)據(jù)安全、數(shù)據(jù)分級分類、數(shù)據(jù)處理者境外上市、數(shù)據(jù)出境等方面提出了詳細(xì)且有針對性的監(jiān)管措施，并對數(shù)據(jù)處理者在數(shù)據(jù)安全方面的義務(wù)提出了明確要求。《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》第53條明確要求大型互聯(lián)網(wǎng)平臺運(yùn)營者履行年度審計義務(wù)，并對第三方審計結(jié)果進(jìn)行披露。其第58條則對數(shù)據(jù)安全審計制度進(jìn)行了規(guī)定。

此外，國家標(biāo)準(zhǔn)《信息安全技術(shù) 個人信息安全規(guī)范》要求個人信息控制者進(jìn)行個人信息保護(hù)的有效性審計。中國科學(xué)技術(shù)法學(xué)會團(tuán)體標(biāo)準(zhǔn)《個人信息處理法律合規(guī)性評估指南》則詳細(xì)闡述了個人信息處理法律合規(guī)性評估的各項(xiàng)內(nèi)容，但其缺乏可操作性，難以直接適用于個人信息保護(hù)合規(guī)審計實(shí)踐。

二、平臺履行未成年人個人信息保護(hù)合規(guī)審計義務(wù)的正當(dāng)性理據(jù)

個人信息保護(hù)立法的關(guān)鍵在于通過利益衡量實(shí)現(xiàn)個人對其信息保護(hù)的私人利益、信息業(yè)者對個人信息利用的商業(yè)利益和國家管理社會的公共利益之間的適當(dāng)平衡。〔10〕《個保法》和《未成年人網(wǎng)絡(luò)保護(hù)條例》都不同程度地課與了平臺履行未成年人個人信息保護(hù)合規(guī)審計的義務(wù)，立法設(shè)計中對不同利益關(guān)系的平衡即是平臺履行義務(wù)的正當(dāng)性依據(jù)所在。

（一）實(shí)現(xiàn)《個人信息保護(hù)法》的立法宗旨

在數(shù)字經(jīng)濟(jì)發(fā)展和法治社會建設(shè)相互助力的進(jìn)程中，《個保法》及相關(guān)配套法律規(guī)范為我國個人信息保護(hù)提供了有力的制度保障?！秱€保法》明確將“保護(hù)個人信息權(quán)益，規(guī)范個人信息處理活動，促進(jìn)個人信息合理使用”作為立法目的。個人信息處理的合規(guī)審計能夠強(qiáng)化個人信息權(quán)益保護(hù)與規(guī)范個人信息處理活動，并為預(yù)測、決策、責(zé)任追究提供依據(jù)，有利于實(shí)現(xiàn)個人信息保護(hù)之目的。

個人信息保護(hù)合規(guī)的法理依據(jù)是比例原則在個人信息處理中潛在風(fēng)險分配的體現(xiàn)，即對公民、平臺與國家公權(quán)力機(jī)關(guān)處理個人信息自由的合理限制。著眼于個人信息的實(shí)際流動過程，澄清個人信息保護(hù)責(zé)任主體的界定誤區(qū)，應(yīng)當(dāng)由個人信息控制者承擔(dān)個人信息保護(hù)的責(zé)任，而不是由公民個人承擔(dān)。〔11〕互聯(lián)網(wǎng)平臺作為個人信息保護(hù)的關(guān)鍵環(huán)節(jié)，對平臺內(nèi)的個人信息處理活動具有強(qiáng)大的控制力和支配力，因此，《個保法》第58條對超大型互聯(lián)網(wǎng)平臺提出了更高的注意義務(wù)標(biāo)準(zhǔn)。

此外，如果超大型互聯(lián)網(wǎng)平臺內(nèi)部的算法使用存在侵害未成年人利益的行為，其經(jīng)營者沒有積極履行安全義務(wù)采取必要措施的，還可能違反《中華人民共和國民法典》（以下簡稱《民法典》） 第1197條的規(guī)定，與網(wǎng)絡(luò)用戶共同承擔(dān)連帶責(zé)任?！?2〕

（二）設(shè)置特別義務(wù)的法理：“守門人”與控制者義務(wù)理論

1.“守門人”理論

“守門人”理論認(rèn)為“守門人”能夠自主決定商品服務(wù)、信息等是否被允許進(jìn)入渠道。平臺的功能恰恰符合這一點(diǎn)，它擁有特殊的技術(shù)優(yōu)勢可以控制信息的流動，對個人信息有著更強(qiáng)的處理能力?！笆亻T人”在互聯(lián)網(wǎng)平臺有三種類型：一是應(yīng)用程序分發(fā)平臺；二是移動終端操作系統(tǒng)；三是平臺型應(yīng)用程序。其本質(zhì)上都是處理個人信息的互聯(lián)網(wǎng)信息控制方。故而，平臺就像一個把守“信息樞紐”大門的“守門人”，是個人信息流動的控制者。

因而，由互聯(lián)網(wǎng)平臺來充任外部合規(guī)協(xié)調(diào)者和內(nèi)部合規(guī)落實(shí)者的重要角色，已成為互聯(lián)網(wǎng)平臺的實(shí)然所需?！?3〕網(wǎng)絡(luò)虛擬空間助長了個人信息監(jiān)管對象及其行為的模糊性，構(gòu)筑起“無知之幕”，加劇了政府與個人信息處理主體之間的信息不對稱，加上信息處理目的的多樣性、信息處理過程的復(fù)雜性和信息最小適用邊界的難辨別性，加劇了個人信息安全風(fēng)險及其潛在危害的高度不確定性?！?4〕但面對個人信息安全監(jiān)管的高需求，政府等外部監(jiān)管主體缺乏常態(tài)化融入平臺日常經(jīng)營監(jiān)管的能力。此時，作為“守門人”的平臺進(jìn)行個人信息保護(hù)合規(guī)審計，能有效緩解監(jiān)管資源的緊張，對政府監(jiān)管進(jìn)行有效補(bǔ)充。

當(dāng)然，盡管我國的《個保法》和歐盟的《數(shù)字市場法案》都引入了“守門人”規(guī)則，但其功能有所不同。相比之下，我國的《個保法》要求平臺承擔(dān)更為積極的責(zé)任，以形成全社會共同參與的個人信息保護(hù)機(jī)制?！?5〕

2.控制者義務(wù)理論

確立個人信息保護(hù)中平臺的“守門人”角色，促使平臺積極履行社會責(zé)任，其法理在于“控制者義務(wù)理論”，其內(nèi)核在于收益與風(fēng)險相一致、收益與控制危險源能力相匹配的原理，即任何主體對其所控制的場所都應(yīng)負(fù)有相應(yīng)的安全保障責(zé)任。平臺掌握著個人信息的存儲空間、個人信息處理系統(tǒng)的運(yùn)行環(huán)境、依賴平臺算力的用戶群等，又具備信息處理優(yōu)勢與相對穩(wěn)定的經(jīng)濟(jì)能力，實(shí)為個人信息處理的“控制者”?！?6〕

正所謂每一種社會交往都會對他人產(chǎn)生影響，其中潛在的風(fēng)險也會對他人產(chǎn)生危害?！?7〕而“不傷害他人”是法律和司法實(shí)踐中所公認(rèn)的基本原則，也是社會行為的基本規(guī)范之一。這一原則就要求個人在行為中應(yīng)當(dāng)尊重他人的權(quán)利和尊嚴(yán)，以確保他人免受任何不必要的傷害。因此，法治的一般原理認(rèn)為任何個人都有責(zé)任對其所控制的場所等負(fù)有相應(yīng)的安全保障義務(wù)。〔18〕《民法典》中的安全保障義務(wù)〔19〕和網(wǎng)絡(luò)侵權(quán)責(zé)任〔20〕的相關(guān)規(guī)定就吸收了“控制者義務(wù)”理論，要求平臺承擔(dān)相應(yīng)的管理和注意義務(wù)。根據(jù)侵權(quán)法的一般原理，平臺創(chuàng)設(shè)了用戶無法控制的且具有一定風(fēng)險的虛擬場所，就應(yīng)當(dāng)對防范該領(lǐng)域中的風(fēng)險履行特殊義務(wù)?！?1〕

“控制者義務(wù)”理論的內(nèi)核在于收益與風(fēng)險相一致的原理。具體而言，在個人信息保護(hù)領(lǐng)域，一方面，平臺作為個人信息的控制者，獲得利益就要承擔(dān)風(fēng)險。互聯(lián)網(wǎng)平臺經(jīng)營的目的當(dāng)然是為了收益，如果沒有利益可以獲取，平臺就不會存在，但由此產(chǎn)生的負(fù)外部性效應(yīng)就應(yīng)當(dāng)由收益方承擔(dān)，平臺應(yīng)當(dāng)負(fù)起保護(hù)個人信息免受侵害的監(jiān)管義務(wù)；另一方面，平臺控制潛在危險的義務(wù)也來源于其對危險源的控制能力。平臺作為個人信息的管理者，其擁有著對信息流動實(shí)際上的控制能力，技術(shù)、資源上的優(yōu)勢使得其對個人信息具有更強(qiáng)的控制和處理能力，對個人信息面臨的風(fēng)險有著更敏銳的預(yù)見能力，可以提供更有力的保護(hù)措施。根據(jù)科斯定理，由防范成本較低的一方即網(wǎng)絡(luò)平臺采取防范措施，承擔(dān)個人信息保護(hù)的主要責(zé)任，這也是符合效益的理想選擇?！?2〕

（三）基于特別保護(hù)的依據(jù)：最有利于未成年人原則的內(nèi)在要求

個人信息保護(hù)合規(guī)的制度功能在于調(diào)整信息處理者相較于個人的優(yōu)勢地位，從而實(shí)現(xiàn)對個人信息處理各方利益的平衡與保障。〔23〕未成年人因其自身認(rèn)知能力與行為控制能力的局限，在應(yīng)對平臺技術(shù)優(yōu)勢時就顯得愈發(fā)劣勢，《個保法》理應(yīng)對其進(jìn)行傾斜型保護(hù)。

在個人信息保護(hù)情境中，優(yōu)先承認(rèn)了未成年人利益的重要性。不僅因?yàn)閲沂冀K倡導(dǎo)未成年人利益的保護(hù)，還因?yàn)槲闯赡耆死婢邆渖墳楣怖孢M(jìn)行保護(hù)的潛力。〔24〕最有利于未成年人原則在《未成年人保護(hù)法》中正式確立，2021年修訂時又細(xì)化了具體要求，明確指出要給予未成年人特殊保護(hù)、優(yōu)先保護(hù)。在個人信息保護(hù)合規(guī)審計中給予未成年特別保護(hù)和優(yōu)先保護(hù)，即是最有利于未成年人原則在未成年人網(wǎng)絡(luò)個人信息權(quán)益保護(hù)中的應(yīng)然要求。

三、平臺開展未成年人個人信息合規(guī)審計的現(xiàn)狀及障礙

保障公民個人信息權(quán)益，推動個人信息數(shù)據(jù)在合法合理的前提下得到有效利用，已經(jīng)成為政府推動數(shù)字經(jīng)濟(jì)持續(xù)健康發(fā)展的重要任務(wù)。然而，2021年11月，我國才開始施行《個保法》，實(shí)施時間短，尚未形成全面的司法解釋和最佳實(shí)踐。與之對應(yīng)，審計工作與平臺的合規(guī)實(shí)踐也處于同步摸索階段。

（一）平臺開展未成年人個人信息合規(guī)審計的現(xiàn)狀

近年來，在法律規(guī)制和行政監(jiān)管的雙重作用下，未成年人個人信息保護(hù)受到高度重視，互聯(lián)網(wǎng)平臺企業(yè)的個人信息保護(hù)合規(guī)水平有所提升?！?5〕根據(jù)未成年人網(wǎng)絡(luò)活動類型和頻率的相關(guān)統(tǒng)計，選取使用頻率較高且各個使用場景中具有代表性的五個互聯(lián)網(wǎng)平臺進(jìn)行考察可以發(fā)現(xiàn)〔26〕，以微信為代表的互聯(lián)網(wǎng)平臺在告知內(nèi)容和告知方式上都作了相應(yīng)的合規(guī)處理（見表2），但平臺在告知個人信息保存期限時往往只使用“進(jìn)行個人信息處理所需要的時間”之類的模糊表達(dá)，并不對具體期限予以告知，提供的行權(quán)方式也多缺乏便捷性，具有操作上的難度。

從未成年人個人信息保護(hù)的特殊需求出發(fā)進(jìn)行考察，卻可以發(fā)現(xiàn)平臺未成年人個人信息保護(hù)合規(guī)仍與立法旨趣存在較大差距（見表3）。要實(shí)現(xiàn)平臺經(jīng)濟(jì)和未成年人網(wǎng)絡(luò)保護(hù)的統(tǒng)籌發(fā)展，還需壓緊壓實(shí)大型網(wǎng)絡(luò)平臺主體責(zé)任，進(jìn)一步推動相關(guān)規(guī)范落地落實(shí)。

各平臺雖都設(shè)置有青少年模式，制定《兒童隱私政策》，但仍未改變隱私政策文本冗長難懂的特點(diǎn)，未成年人及其監(jiān)護(hù)人難以理解和閱讀，即或在使用應(yīng)用程序后也不便再次查閱和同意，而且各平臺并未提供便捷的行權(quán)受理方法?？梢钥闯觯脚_進(jìn)行未成年人個人信息保護(hù)合規(guī)審計并未充分考慮不同年齡段未成年人的差異和需求。究其原因，主要在于以下三個方面：未成年人個人信息保護(hù)合規(guī)審計的立法設(shè)計存在缺憾、平臺自身開展個人信息合規(guī)審計的內(nèi)生動力不足、外部監(jiān)管不力。

（二）平臺開展未成年人個人信息合規(guī)審計的障礙

1.未成年人個人信息保護(hù)合規(guī)審計的立法設(shè)計存在缺憾

個人信息保護(hù)合規(guī)審計的立法設(shè)計在未成年人保護(hù)領(lǐng)域內(nèi)存在清晰性、體系性、針對性、實(shí)操性不足的狀況，掣肘未成年人個人信息權(quán)利保護(hù)的發(fā)展。

首先，未成年人個人信息保護(hù)合規(guī)審計的清晰性不足?！扒逦砸笫呛戏ㄐ缘囊豁?xiàng)最基本的要素。一種徒有其表的清晰可能比一種誠實(shí)的、開放性的模糊更有害?！薄?9〕用含糊或?qū)挿旱姆绞奖磉_(dá)的立法往往在實(shí)踐中會出現(xiàn)操作變形的情況。例如，《個保法》第58條規(guī)定，大型互聯(lián)網(wǎng)平臺需履行個人信息保護(hù)方面的特別義務(wù)，其中之一就是成立主要由外部成員組成的獨(dú)立監(jiān)督機(jī)構(gòu)。但此條義務(wù)性規(guī)范卻沒有匹配具有可實(shí)施性的操作規(guī)范，缺少設(shè)置獨(dú)立監(jiān)督機(jī)構(gòu)的程序性法律規(guī)定。該條文中的“主要”概念模糊，“外部人員”的資格要求、職責(zé)范圍界定不明。而且無論是在外部成員的選任上，還是獨(dú)立機(jī)構(gòu)的組織架構(gòu)上，平臺均具有較大的自由空間，如果沒有相應(yīng)的規(guī)定作為指導(dǎo)，就極易出現(xiàn)無從下手、實(shí)施成效差距大的棘況。賦予法律義務(wù)的規(guī)定以較大的彈性空間，雖然一定程度上保證了平臺自我監(jiān)管的自由度，但也容易造成不同平臺對社會責(zé)任的基本內(nèi)涵、法律規(guī)范的內(nèi)在要求產(chǎn)生認(rèn)知偏差，甚至?xí)?dǎo)致平臺合規(guī)審計實(shí)踐操作變形，出現(xiàn)履責(zé)的碎片化和不平衡，進(jìn)而產(chǎn)生互聯(lián)網(wǎng)平臺的合規(guī)審計危機(jī)。

其次，未成年人個人信息保護(hù)合規(guī)審計的針對性和可操作性不強(qiáng)。以“告知同意機(jī)制”為例，《個保法》第14條第2款規(guī)定，如果處理個人信息的目的、方式或類型發(fā)生變更，必須重新獲得個人的同意。這意味著， 在“告知同意機(jī)制”之下，當(dāng)場景變化引發(fā)個人信息處理目的、方式和個人信息種類的變化時，用戶則需要同步、反復(fù)進(jìn)行同意確認(rèn)，這容易導(dǎo)致用戶陷入“同意疲勞”，大大增加了平臺的運(yùn)營成本。對未成年人個人信息保護(hù)而言，監(jiān)護(hù)人同意制的內(nèi)在缺陷還會引發(fā)平臺告知不充分、用戶同意缺乏真實(shí)性和自主性、過度處理用戶個人信息的合規(guī)問題。即使信息主體是在充分知曉個人信息處理情況的前提下自主決定“同意”與否，“理性信息主體”的假設(shè)也實(shí)難成立?！?0〕更何況對監(jiān)護(hù)人“理性人”身份的假設(shè)本身就是一種不合理的期待，且監(jiān)護(hù)人同意制度的執(zhí)行機(jī)制也一直為諸多學(xué)者所詬病。有關(guān)調(diào)查統(tǒng)計結(jié)果顯示，大部分用戶很少或從未閱讀隱私政策，而“文本冗長，不想看”是用戶很少或從未閱讀隱私政策的主要原因，占比高達(dá)96.44%。〔31〕可見，平臺雖基于規(guī)避合規(guī)審計風(fēng)險不斷擴(kuò)容隱私政策，但未成年人個人信息權(quán)利保護(hù)的實(shí)效卻難以同步提升。究其深層原因，告知同意機(jī)制與個人信息保護(hù)合規(guī)審計的制度銜接的科學(xué)性仍需進(jìn)一步提升，未成年人個人信息保護(hù)合規(guī)審計也應(yīng)加強(qiáng)主體針對性和可操作性，化解平臺履行合規(guī)審計義務(wù)的疑惑。

再次，在課以平臺較大合規(guī)義務(wù)的同時，應(yīng)匹配相應(yīng)的操作指南和參考范式，加強(qiáng)個人信息保護(hù)合規(guī)審計的體系性與實(shí)操性。為使個人信息保護(hù)合規(guī)審計的執(zhí)行更具有實(shí)操性，建議將《個人信息保護(hù)合規(guī)審計管理辦法（征求意見稿）》中所附的《個人信息保護(hù)合規(guī)審計參考要點(diǎn)》條文順序按照個人信息保護(hù)合規(guī)審計流程（見圖1）重新整合，使之更符合個人信息保護(hù)合規(guī)審計的內(nèi)在運(yùn)行邏輯（見表4），也便于在更大程度上發(fā)揮《個人信息保護(hù)合規(guī)審計參考要點(diǎn)》的參考指引價值。

二、對個人信息主體權(quán)利實(shí)現(xiàn)的審計

第五條：個人行使個人信息權(quán)益的權(quán)利保障情況審計

第六條：個人信息處理規(guī)則解釋說明義務(wù)審計

三、對個人信息處理活動的審計

一般個人信息處理活動

第七條：對公共場所安裝圖像采集、個人信息識別設(shè)備行為的審計

第八條：利用自動化決策處理個人信息的審計

第九條：提供個人信息的審計

第十條：向境外提供個人信息的審計

第十一條：向境外提供個人信息采取必要措施的審計

第十二條：公開個人信息的審計

第十三條：個人信息刪除權(quán)保障情況審計

特殊個人信息處理活動

第十四條：處理已公開個人信息的審計

第十五條：處理敏感個人信息的審計

第十六條：處理不滿十四周歲的未成年人個人信息的審計

為第三方機(jī)構(gòu)的其他情形

第十七條：共同處理個人信息的審計

第十八條：委托處理個人信息的審計

第十九條：轉(zhuǎn)移個人信息的審計

四、對個人信息處理者主體義務(wù)的審計（與原條款內(nèi)容、順序一致）

一般個人信息處理者主體義務(wù)：第二十條至二十七條

大型互聯(lián)網(wǎng)平臺個人信息保護(hù)特別義務(wù)：第二十八條至三十一條

最后，立法設(shè)計的體系性有待補(bǔ)正還體現(xiàn)在下位規(guī)范與上位法的銜接問題上。比如，《兒童個人信息網(wǎng)絡(luò)保護(hù)規(guī)定》所規(guī)定的“網(wǎng)絡(luò)運(yùn)營者”是否等同于《個保法》第58條規(guī)定的“提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜”的個人信息處理者，又是否等同于《未成年人網(wǎng)絡(luò)保護(hù)條例》中的“網(wǎng)絡(luò)平臺服務(wù)提供者”？又如，《個保法》第61條要求個人信息保護(hù)職能部門組織測評應(yīng)用程序等個人信息保護(hù)的情況，并將測評結(jié)果公開?！秱€人信息保護(hù)合規(guī)審計管理辦法（征求意見稿）》第10條卻并未對此進(jìn)行落實(shí)，其既未確定是否要公布該審計結(jié)果，又未明確“報送”之后如何運(yùn)用該審計結(jié)果。基于目前未成年人個人信息保護(hù)的分散立法模式，加強(qiáng)現(xiàn)有規(guī)范的體系性尤為重要。

2.平臺自身開展個人信息合規(guī)審計的內(nèi)生動力不足

平臺自身開展個人信息合規(guī)審計存在經(jīng)濟(jì)效益和保護(hù)用戶信息安全的價值沖突，既包括個人信息利用帶來的收益與個人信息安全之間的矛盾，也包括個人信息保護(hù)合規(guī)審計成本與收益之間的矛盾。平臺合規(guī)審計之所以內(nèi)生動力不足，其根本原因在于平臺對未成年人個人信息合規(guī)審計價值的認(rèn)知偏差。固有認(rèn)知源于一種傳統(tǒng)觀念，這種傳統(tǒng)觀念把社會效益和經(jīng)濟(jì)效益、合規(guī)審計與自由市場相互對立，認(rèn)為強(qiáng)化社會責(zé)任就會弱化企業(yè)經(jīng)濟(jì)效益，強(qiáng)調(diào)合規(guī)審計就必然增加平臺成本。這種觀點(diǎn)只看到了“對立”，沒看到“統(tǒng)一”，失之偏頗。若從對立統(tǒng)一關(guān)系的內(nèi)在機(jī)理出發(fā)，立足于互惠視角重新審視，會獲得不一樣的答案：強(qiáng)化平臺保護(hù)未成年人個人信息的社會責(zé)任未必就會減損企業(yè)經(jīng)濟(jì)利益，完善合規(guī)審計也并不必然犧牲平臺經(jīng)濟(jì)利益。

例如，平臺為了不斷優(yōu)化自身各項(xiàng)功能，提高其在未成年人群體中的市場占有率，就需要充分掌握未成年人的個人信息、興趣偏好和價值傾向。平臺如果忠實(shí)履行了控制者的義務(wù)和社會責(zé)任，定會獲得用戶（未成年人及其監(jiān)護(hù)人）的信賴，從而增加平臺的市場認(rèn)同度，擴(kuò)大潛在用戶群。這與平臺的利益趨于一致，有利于構(gòu)建可持續(xù)的數(shù)字經(jīng)濟(jì)生態(tài)環(huán)境，促進(jìn)平臺個人信息合規(guī)審計與用戶個人信息保護(hù)形成良性循環(huán)。相反，如果雙方互惠關(guān)系被打破，重新取得用戶的信任就需要花費(fèi)比承擔(dān)個人信息合規(guī)審計義務(wù)大得多的成本。與此同時，對違反《個保法》關(guān)于個人信息合規(guī)審計相關(guān)規(guī)定的網(wǎng)絡(luò)平臺，不僅可能被處以高額罰款，還可能面臨暫停相關(guān)業(yè)務(wù)、吊銷相關(guān)業(yè)務(wù)許可證等行政處罰措施。因此，根據(jù)社會責(zé)任的內(nèi)涵要求，在未成年人個人信息保護(hù)方面，平臺不僅僅應(yīng)該致力于逐利性的滿足，還要站在用戶的立場，關(guān)注保障未成年人的合法權(quán)益?！?2〕

此外，合規(guī)審計相關(guān)復(fù)合型人才的缺乏也是平臺自身開展未成年人個人信息合規(guī)審計內(nèi)生動力不足的原因之一?；ヂ?lián)網(wǎng)平臺內(nèi)部業(yè)務(wù)類型復(fù)雜、部門數(shù)量較多且流動性大。個人信息保護(hù)合規(guī)審計涉及企業(yè)內(nèi)部較多流程，合規(guī)審計工作既需要對企業(yè)內(nèi)部深入了解，掌握信息審計涉及的專業(yè)知識，又需要熟知未成年人保護(hù)相關(guān)法律法規(guī)等，合規(guī)審計相關(guān)復(fù)合型人才的缺乏則會導(dǎo)致未成年人個人信息合規(guī)審計工作難以全面、深入地開展。

3.平臺個人信息合規(guī)審計的外部監(jiān)管不力

監(jiān)管者的監(jiān)管水平受到各種因素的影響，包括監(jiān)管者的職權(quán)范圍、風(fēng)險識別的敏銳程度，以及對風(fēng)險反應(yīng)的速度等?！?3〕同時，個人信息處理又具有相關(guān)利益繁雜、風(fēng)險覆蓋面廣、危害潛伏性高、數(shù)據(jù)溯源難等特點(diǎn)， 較一般的監(jiān)管對象而言，對平臺個人信息合規(guī)審計的監(jiān)管難度遠(yuǎn)遠(yuǎn)超過預(yù)期，增加了監(jiān)管的復(fù)雜性。

首先，個人信息處理者既可以單獨(dú)參與某一項(xiàng)個人信息處理活動，也可以與其他處理者合作共同完成信息處理，在個人信息處理活動中可以不斷變換身份角色。監(jiān)管者難以識別個人信息處理者實(shí)際從事哪些個人信息處理活動與具體情形，為監(jiān)管又披上另一層面紗。其次，法律規(guī)范的清晰性不足也容易引發(fā)監(jiān)管者履責(zé)互相推諉的惰化效應(yīng)。最后，源頭監(jiān)管與過程取證的艱難也在很大程度上降低了預(yù)防性監(jiān)管的效果，強(qiáng)制力往往只能在事后救濟(jì)環(huán)節(jié)發(fā)揮作用。我國總體上過多依賴政府監(jiān)管，市場自我監(jiān)管和技術(shù)平臺監(jiān)管相對運(yùn)用不夠，難以形成法律、政策、市場、技術(shù)協(xié)同監(jiān)管的長效機(jī)制?！?4〕

四、完善未成年人個人信息合規(guī)審計的對策建議

網(wǎng)絡(luò)信息技術(shù)的發(fā)展與未成年人個人信息權(quán)益保護(hù)之間的矛盾依然存在，為了避免法律中不經(jīng)意的沖突，進(jìn)行立法設(shè)計時仍需十分謹(jǐn)慎。作為立法者，其應(yīng)對政策中現(xiàn)存的籠統(tǒng)模糊的規(guī)定進(jìn)行明確說明，提高政策的透明度和可操作性，在各個維度上構(gòu)建規(guī)范化的政策框架和操作標(biāo)準(zhǔn)，為個人信息保護(hù)合規(guī)審計提供清晰指引。除此之外，基于順利開展未成年人個人信息保護(hù)合規(guī)審計的目的與需要，更需加強(qiáng)未成年人權(quán)利保護(hù)的針對性，在激活平臺合規(guī)審計動力，提高監(jiān)管效率，建立政企共振共律、協(xié)同治理的長效機(jī)制上進(jìn)一步努力。

（一）加強(qiáng)未成年人權(quán)利保護(hù)針對性

個人信息保護(hù)法的制度起源于公平信息實(shí)踐。一方面，公平信息實(shí)踐對個人進(jìn)行了信息賦權(quán)，規(guī)定了個體享有的一系列信息權(quán)利；另一方面，也對信息收集者、處理者施加了一系列義務(wù)?！?5〕個人信息合規(guī)審計就是對義務(wù)履行的法律審查與監(jiān)督?？梢?，未成年人信息權(quán)利保護(hù)與個人信息合規(guī)審計本就是一體兩面。未成年人是有自我身份和尊嚴(yán)的個體，是其自己生活中的主體，而非被關(guān)心和保護(hù)的客體?！?6〕故此，在完善未成年人個人信息合規(guī)審計的過程中，勢必要強(qiáng)調(diào)未成年人的權(quán)利主體地位，突出未成年人個人信息合規(guī)審計的特殊性，尊重未成年人的合理需求，并加以特別保護(hù)。

《兒童權(quán)利公約》（Convention on the Rights of the Child）第43條設(shè)立了兒童權(quán)利委員會以審查締約國在履行或承擔(dān)公約義務(wù)方面取得的進(jìn)展。兒童權(quán)利委員會特別強(qiáng)調(diào)建立一個獨(dú)立的兒童權(quán)利保護(hù)機(jī)構(gòu)的重要意義?！?7〕基于公約要求與現(xiàn)實(shí)需求，或可在履行個人信息保護(hù)職責(zé)的部門增設(shè)未成年人監(jiān)察專員，專職審查平臺進(jìn)行未成年人個人信息合規(guī)審計的情況，以及配合平臺內(nèi)部進(jìn)行常態(tài)化監(jiān)管，提出有針對性的改進(jìn)措施，指導(dǎo)、督促平臺開展個人信息保護(hù)合規(guī)審計活動，以實(shí)現(xiàn)獨(dú)立有效的監(jiān)督、增進(jìn)和保護(hù)未成年人權(quán)利。

針對未成年人個人信息保護(hù)合規(guī)審計的特殊需要，還可以在《個人信息保護(hù)合規(guī)審計管理辦法（征求意見稿）》第16條（“處理不滿十四周歲的未成年人個人信息的審計”）基礎(chǔ)上設(shè)置“對未成年人個人信息的審計”小節(jié)，補(bǔ)充對十四至十八周歲未成年人個人信息的保護(hù)。

（二）建立健全平臺個人信息保護(hù)合規(guī)激勵機(jī)制

個人信息處理的治理本屬行政機(jī)關(guān)的職責(zé)，但由于行政資源短缺、評估指標(biāo)僵化與日常規(guī)制缺位等原因，行政監(jiān)管難以全面應(yīng)對日新月異的技術(shù)發(fā)展與不斷變化的個人信息權(quán)益侵害方式。故此，行政機(jī)關(guān)亟待創(chuàng)新治理模式，在治理節(jié)點(diǎn)中引入新的主體，在治理方式中運(yùn)用新的工具，調(diào)動信息控制者維護(hù)信息安全的積極性是事半功倍的做法?！?8〕

《未成年人保護(hù)法》第14條和《未成年人網(wǎng)絡(luò)保護(hù)條例》第12條都規(guī)定了對未成年人網(wǎng)絡(luò)保護(hù)工作中作出突出貢獻(xiàn)的組織和個人，按照國家有關(guān)規(guī)定給予表彰和獎勵。《規(guī)定》第6條為加強(qiáng)行業(yè)自律，亦積極鼓勵互聯(lián)網(wǎng)行業(yè)組織采取相關(guān)措施加強(qiáng)指導(dǎo)，促進(jìn)網(wǎng)絡(luò)平臺運(yùn)營者制定未成年人個人信息保護(hù)的行業(yè)規(guī)范。這些激勵機(jī)制在引導(dǎo)相關(guān)主體履行社會責(zé)任上具有積極效應(yīng)，所以互聯(lián)網(wǎng)行業(yè)組織要進(jìn)一步推進(jìn)激勵機(jī)制的落實(shí)和完善，對優(yōu)先完成合規(guī)建設(shè)的平臺實(shí)施正向激勵型監(jiān)管，形成合規(guī)藍(lán)本，激發(fā)示范效應(yīng)。由此，相關(guān)域外經(jīng)驗(yàn)則值得借鑒。

日本推行個人信息保護(hù)標(biāo)識認(rèn)證機(jī)制，通過個人信息保護(hù)認(rèn)證機(jī)構(gòu)賦予一些認(rèn)證合格的企業(yè)及行業(yè)代表組織信息保護(hù)合格賦予權(quán)，再由這些組織協(xié)助進(jìn)行資格認(rèn)證工作。日本在個人信息保護(hù)領(lǐng)域的因應(yīng)措施可以為我國探尋個人信息網(wǎng)絡(luò)保護(hù)與利用的平衡提供著手點(diǎn)?！?9〕例如，建立“未成年人個人信息保護(hù)合規(guī)審計白名單”，或者為中小型互聯(lián)網(wǎng)平臺提供市場準(zhǔn)入優(yōu)先權(quán)、合規(guī)補(bǔ)貼等獎勵政策。還可以給予主動開展未成年人個人信息保護(hù)相關(guān)技術(shù)研發(fā)和共享的企業(yè)社會榮譽(yù)，認(rèn)證其為“未成年人個人信息保護(hù)友好型”平臺，方便政府機(jī)構(gòu)精確匹配和實(shí)施科學(xué)合理的監(jiān)管手段和措施，實(shí)現(xiàn)個人信息合規(guī)利用與個人信息妥善保護(hù)的權(quán)責(zé)統(tǒng)一。

（三）合作監(jiān)管模式賦能政企協(xié)同監(jiān)管

只有多元社會治理主體在合作意愿下共同進(jìn)行社會治理才能有效解決社會問題?！?0〕政府與企業(yè)的合作不是零和博弈，公權(quán)力部門與個人信息處理者并非只有對立關(guān)系。個人信息保護(hù)的合作監(jiān)管主張控制并非塑造公共價值的唯一路徑，合作同樣能夠增進(jìn)公共利益。通過各主體間的協(xié)同監(jiān)管，以凝聚監(jiān)管資源、共享監(jiān)管信息、共用監(jiān)管線索等方式提高監(jiān)管主體間的協(xié)調(diào)配合能力，實(shí)現(xiàn)對個人信息保護(hù)主體賦能，從而更好地回應(yīng)個人信息處理的風(fēng)險治理問題。

監(jiān)管資源的稀缺性是監(jiān)管部門面臨的永恒難題，由于個人信息處理者掌握個人信息處理的全過程，國家公權(quán)力機(jī)關(guān)和平臺用戶等外部人很難打破信息不對稱導(dǎo)致的障礙，系統(tǒng)、全面、及時地了解動態(tài)變化中的監(jiān)管信息。這種“數(shù)字鴻溝”也成為個人信息保護(hù)偏重事后救濟(jì)、監(jiān)管控制力不足、難以落實(shí)事前預(yù)防理念的重要原因，因此，借鑒市場配置資源的效率機(jī)制不失為一種大有裨益的探索。個人信息處理者在監(jiān)管方面具有巨大的信息和技術(shù)優(yōu)勢，合作監(jiān)管模式之下充分利用個人信息處理者的先天優(yōu)勢，推動個人信息處理者提升自我監(jiān)管能力，有利于提高監(jiān)管效率、降低監(jiān)管成本。

（四）后設(shè)監(jiān)管機(jī)制保障有效性審查

雖然合規(guī)本位的協(xié)作治理將平臺的專門知識及數(shù)字資源引入數(shù)字治理之中，以彌補(bǔ)政府監(jiān)管的局限性，但此舉也意味著將部分監(jiān)管職責(zé)轉(zhuǎn)移給了被監(jiān)管實(shí)體。因此，為防止政府監(jiān)管退化為平臺自我監(jiān)管，敦促平臺切實(shí)遵照自我監(jiān)管的規(guī)則行事，后設(shè)監(jiān)管顯得尤為必要。后設(shè)監(jiān)管即指由政府監(jiān)管市場主體的自我監(jiān)管。后設(shè)監(jiān)管與事前預(yù)防相輔相成，事前預(yù)防可以減少后設(shè)監(jiān)管的頻率和強(qiáng)度，后設(shè)監(jiān)管則是對事前預(yù)防的補(bǔ)充。通過強(qiáng)調(diào)兩者的有效結(jié)合，減少對事后補(bǔ)救的依賴，可以降低高額的監(jiān)管成本，將政府監(jiān)管的重心從偏重事后補(bǔ)救轉(zhuǎn)向合理配置政府監(jiān)管力量，均衡事前、事中、事后的風(fēng)險控制，且有余力對個人信息處理主體合規(guī)體系建設(shè)及其運(yùn)行進(jìn)行指導(dǎo)?！?1〕

后設(shè)監(jiān)管有利于對監(jiān)管過程進(jìn)行動態(tài)審視和自我糾錯，保障個人信息處理合規(guī)審計的有效性審查。一方面，后設(shè)監(jiān)管有助于強(qiáng)化審計整改。個人信息保護(hù)合規(guī)審計的關(guān)鍵在于對合規(guī)審計完成后的報告和審計結(jié)果的運(yùn)用，問題整改作為審計監(jiān)督的最后一個環(huán)節(jié)，直接決定了審計成效。同時，后設(shè)監(jiān)管通過對平臺自我監(jiān)管的監(jiān)督、跟蹤審計，可以發(fā)現(xiàn)問題并保障審計意見的執(zhí)行。另一方面，后設(shè)監(jiān)管有助于充分發(fā)揮合規(guī)審計的評價與建議功能，為預(yù)測、決策、責(zé)任追究提供依據(jù)。如此，有利于進(jìn)一步落實(shí)《個保法》第64條的立法要求，即對企業(yè)個人信息保護(hù)合規(guī)計劃的有效性審查。

（五）提升平臺內(nèi)部治理能力

針對平臺內(nèi)部的合規(guī)審計治理問題，有必要規(guī)范平臺所依賴的數(shù)字生態(tài)系統(tǒng)，強(qiáng)化平臺內(nèi)部治理，不斷提升內(nèi)部信息處理運(yùn)作程序的合規(guī)性與安全性，使個人信息保護(hù)各項(xiàng)要求內(nèi)嵌到主體的業(yè)務(wù)流程當(dāng)中。

一方面，調(diào)整審計相關(guān)流程，明確審計重點(diǎn)。企業(yè)的總體資源是有限的，在管理、財務(wù)和技術(shù)各方資源需求量較大的情況下，很難保障資源投入的充足性。且不同業(yè)務(wù)部門收集的信息內(nèi)容不同，處理信息的方式也不同。因此，企業(yè)在調(diào)整合規(guī)審計工作的過程中應(yīng)當(dāng)考慮到不同業(yè)務(wù)部門的特點(diǎn)。合規(guī)審計對象的確定應(yīng)具有場景面向與風(fēng)險導(dǎo)向性。同時，企業(yè)應(yīng)當(dāng)對審計結(jié)果和日常合規(guī)整改情況予以重視，及時反饋給各部門以確保合規(guī)審計計劃更具針對性。

另一方面，有機(jī)結(jié)合平臺個人信息活動全生命周期的處理情況、平臺保障個人信息主體權(quán)利實(shí)現(xiàn)情況及平臺履行個人信息處理者主體義務(wù)的情況等，定期開展未成年人個人信息保護(hù)專項(xiàng)審計，進(jìn)行常態(tài)化監(jiān)管。為此，可以建立平臺個人信息保護(hù)規(guī)則中心，增加個人信息合規(guī)性技術(shù)方面的研發(fā)投入，進(jìn)一步增強(qiáng)平臺處理個人信息不當(dāng)行為的快速發(fā)現(xiàn)、辨認(rèn)、處置和整改能力。

（責(zé)任編輯：李 娟）

〔1〕 解正山：《約束數(shù)字守門人：超大型數(shù)字平臺加重義務(wù)研究》，載《比較法研究》2023年第4期。

〔2〕 《司法部、國家網(wǎng)信辦有關(guān)負(fù)責(zé)人就<未成年人網(wǎng)絡(luò)保護(hù)條例>答記者問》，載中華人民共和國司法部網(wǎng)站，http：//www.moj.gov.cn/pub/sfbgw/zcid/202310/t20231024 488321html。

〔3〕 王穎：《未成年人互聯(lián)網(wǎng)運(yùn)用中個人信息保護(hù)狀況》，載方勇、季為民、沈杰等主編：《青少年藍(lán)皮書：中國未成年人互聯(lián)網(wǎng)運(yùn)用報告（2023）》，社會科學(xué)文獻(xiàn)出版社2023年版，第250頁。

〔4〕 胡耘通：《個人信息保護(hù)合規(guī)審計制度建設(shè)思考》，載《財會月刊》2023年第20期。

〔5〕 《個人信息保護(hù)合規(guī)審計管理辦法（征求意見稿）》，載中華人民共和國國家互聯(lián)網(wǎng)信息辦公室網(wǎng)站，http：//www.cac.gov.cn/2023-08/03/c_1692628348448092.htm。

〔6〕 賈丹、張譽(yù)馨、王姍：《我國個人信息保護(hù)合規(guī)審計制度的路徑探討》，載《工業(yè)信息安全》2022年第4期。

〔7〕 高飛：《中華人民共和國個人信息保護(hù)法解讀》，中國法制出版社2022年版，第177頁。

〔8〕 王文華、姚津笙：《重要互聯(lián)網(wǎng)平臺個人信息保護(hù)合規(guī)體系研究——以個人信息保護(hù)法第五十八條為視角》，載《人民檢察》2022年第5期。

〔9〕 高飛：《中華人民共和國個人信息保護(hù)法解讀》，中國法制出版社2022年版，第177頁。

〔10〕 張新寶：《從隱私到個人信息：利益再衡量的理論與制度安排》，載《中國法學(xué)》2015年第3期。

〔11〕 敬力嘉：《個人信息保護(hù)合規(guī)的體系構(gòu)建》，載《法學(xué)研究》2022年第4期。

〔12〕 林洹民：《算法“監(jiān)護(hù)”未成年人的規(guī)范應(yīng)對》，載《當(dāng)代法學(xué)》2023年第3期。

〔13〕 王鵬：《數(shù)據(jù)平臺個人信息保護(hù)的合規(guī)義務(wù)與路徑實(shí)施》，載《江蘇社會科學(xué)》2023年第3期。

〔14〕 葉嵐：《從控制到合作：個人信息保護(hù)策略優(yōu)化》，載《中共天津市委黨校學(xué)報》2023年第4期。

〔15〕 林洹民：《算法“監(jiān)護(hù)”未成年人的規(guī)范應(yīng)對》，載《當(dāng)代法學(xué)》2023年第3期。

〔16〕 王鵬：《數(shù)據(jù)平臺個人信息保護(hù)的合規(guī)義務(wù)與實(shí)施路徑》，載《江蘇社會科學(xué)》2023年第3期。

〔17〕 劉召成：《安全保障義務(wù)的擴(kuò)展適用與違法性判斷標(biāo)準(zhǔn)的發(fā)展》，載《法學(xué)》2014年第5期。

〔18〕 張新寶：《互聯(lián)網(wǎng)生態(tài)“守門人”個人信息保護(hù)特別義務(wù)設(shè)置研究》，載《比較法研究》2021 年第3期。

〔19〕 《中華人民共和國民法典》第1198條。

〔20〕 《中華人民共和國民法典》第1194至第1197條。

〔21〕 解正山：《約束數(shù)字守門人：超大型數(shù)字平臺加重義務(wù)研究》，載《比較法研究》2023年第4期。

〔22〕 陳宇照：《網(wǎng)絡(luò)平臺個人信息保護(hù)責(zé)任的法律經(jīng)濟(jì)學(xué)分析》，載《北京社會科學(xué)》2022年第10期。

〔23〕 王錫鋅：《個人信息國家保護(hù)義務(wù)及展開》，載《中國法學(xué)》2021年第1期。

〔24〕 王婭：《未成年人個人信息保護(hù)的現(xiàn)實(shí)困境及路徑優(yōu)化》，載《時代法學(xué)》2022年第6期。

〔25〕 王穎：《未成年人互聯(lián)網(wǎng)運(yùn)用中個人信息保護(hù)狀況》，載方勇、季為民、沈杰等主編：《青少年藍(lán)皮書：中國未成年人互聯(lián)網(wǎng)運(yùn)用報告（2023）》，社會科學(xué)文獻(xiàn)出版社2023年版，第250頁。

〔26〕 復(fù)旦大學(xué)韓國研究中心：《2021-2022年中國未成年人數(shù)字生活與網(wǎng)絡(luò)保護(hù)報告》，載復(fù)旦大學(xué)韓國研究中心主編：《未成年人藍(lán)皮書：中國未成年人數(shù)字生活與網(wǎng)絡(luò)保護(hù)研究報告（2021～2022）》，社會科學(xué)文獻(xiàn)出版社2022年版，第8頁。

〔27〕 此表格內(nèi)容為個人統(tǒng)計所得，參考了復(fù)旦大學(xué)韓國研究中心主編的《未成年人藍(lán)皮書：中國未成年人數(shù)字生活與網(wǎng)絡(luò)保護(hù)研究報告（2021～2022）》有關(guān)數(shù)據(jù)，選取使用頻率較高且在各個使用場景中具有代表性的“微信”“微博”“抖音”“嗶哩嗶哩”和“網(wǎng)易云音樂”五個平臺作為分析對象進(jìn)行考察。

〔28〕 此表格內(nèi)容為個人統(tǒng)計所得，參考了復(fù)旦大學(xué)韓國研究中心主編的《未成年人藍(lán)皮書：中國未成年人數(shù)字生活與網(wǎng)絡(luò)保護(hù)研究報告（2021～2022）》有關(guān)數(shù)據(jù)，選取使用頻率較高且在各個使用場景中具有代表性的“微信”“微博”“抖音”“嗶哩嗶哩”和“網(wǎng)易云音樂”五個平臺作為分析對象進(jìn)行考察。

〔29〕 [美]富勒：《法律的道德性》，鄭戈譯，商務(wù)印書館2021年版，第75-76頁。

〔30〕 敬力嘉：《個人信息保護(hù)合規(guī)的體系構(gòu)建》，載《法學(xué)研究》2022年第4期。

〔31〕 深圳大學(xué)法學(xué)院App個人信息保護(hù)課題組：《移動互聯(lián)網(wǎng)應(yīng)用程序個人信息保護(hù)的法制路徑》，載羅思、李朝暉主編：《深圳藍(lán)皮書：深圳法治發(fā)展報告（2021）》，社會科學(xué)文獻(xiàn)出版社2021年版，第255～270頁。

〔32〕 王婭：《未成年人個人信息保護(hù)的現(xiàn)實(shí)困境及路徑優(yōu)化》，載《時代法學(xué)》2022年第6期。

〔33〕 葉嵐：《從控制到合作：個人信息保護(hù)策略優(yōu)化》，載《中共天津市委黨校學(xué)報》2023年第4期。

〔34〕 唐思慧：《大數(shù)據(jù)時代信息公平的保障研究：基于權(quán)利的視角》，中國政法大學(xué)出版社2017年版，第220頁。

〔35〕 丁曉東：《個人信息保護(hù)：原理與實(shí)踐》，法律出版社2021年版，第34-35頁。

〔36〕 王雪梅：《兒童權(quán)利論：一個初步的比較研究》，社會科學(xué)文獻(xiàn)出版社2005年版，第151頁。

〔37〕 參見王雪梅：《兒童權(quán)利論：一個初步的比較研究》，社會科學(xué)文獻(xiàn)出版社2005年版，第182～193頁。

〔38〕 張新寶：《大型互聯(lián)網(wǎng)平臺企業(yè)個人信息保護(hù)獨(dú)立監(jiān)督機(jī)構(gòu)研究》，載《東方法學(xué)》2022年第4期。

〔39〕 池建新：《個人信息保護(hù)政策的國際比較研究》，東南大學(xué)出版社2021年版，第106頁。

〔40〕 張康之：《論主體多元化條件下的社會治理》，載《中國人民大學(xué)學(xué)報》2014 年第2期。

〔41〕 葉嵐：《從控制到合作：個人信息保護(hù)策略優(yōu)化》，載《中共天津市委黨校學(xué)報》2023年第4期。

基金項(xiàng)目：2022年江蘇省研究生科研創(chuàng)新項(xiàng)目“被遺忘權(quán)視角下《未成年人保護(hù)法》第 72 條實(shí)施研究”（KYCX22_2135）

作者簡介：劉愛龍，男，法學(xué)博士，南京審計大學(xué)法學(xué)院教授；俞雪，女，南京審計大學(xué)法學(xué)院碩士研究生。

The Compliance Audit Analysis of Internet Platforms Handling of Minors Personal Information

LIU Ailong， YU Xue

（School of Law， Nanjing Audit University）

Abstract： The information age has provided convenient Internet services and the “age of first contact” for minors has become significantly younger. Therefore， the protection of the rights and interests of minors， who have already constituted an important user group for Internet enterprises， has entered a new stage. Internet platform service is a significant feature of the digital economy that distinguishes it from the traditional economy. Compared with ordinary adults， minors， as Internet users， are facing greater digital risks while enjoying digital convenience. In fact， in the context of the increasingly prominent behavioral risks of digital platforms and the growing number of underage Internet users， effective governance of Internet platforms needs to be strengthened， and the protection of the rights and interests of minors is urgent. The illegal handling of personal information is currently the main source of risk that harms the security of minors personal information. In response to problems such as ineffective protection of minors personal information on the Internet， the establishment of a compliance audit system has thus become an important measure to safeguard the rights and interests of minors. Personal Information Protection Law of the Peoples Republic of China and Regulations to Protect Minors in Cyberspace have， to varying degrees， imposed on platforms the obligation to fulfill compliance audits on the protection of minors personal information， and Administrative Measures for Compliance Audits on the Protection of Personal Information（draft for comments）have also released relevant provisions. However， the existing practices have not yet resulted in systematic norms of Internet platform governance， and there are obvious flaws in the relevance， completeness and effectiveness of the provisions for the implementation of platforms obligations to conduct compliance audits on the handling of personal information. In addition， Internet platforms themselves also have insufficient endogenous incentives to conduct those compliance audits and the external supervision is also difficult to be imposed.

Against the backdrop of the formal implementation of Regulations to Protect Minors in Cyberspace， the compliance audit of Internet platforms handling of minors personal information should highlight the particularity of protecting minors and implement the principle of being most beneficial to minors and its related requirements. This means we need to further improve the systematicity and feasibility of legislative design， and build a standardized policy framework and operational standards in all dimensions to provide clear guidelines for compliance audits of personal information protection. Whats more， in order to highlight the special protection for minors and to ensure the smooth implementation of the compliance audits， it is even more necessary to establish a long-term mechanism of government-enterprise co-discipline and collaborative governance， so as to realize the targeted protection for the rights and interests of minors. On the one hand， from the perspective of the relative autonomy of platforms， we should establish a sound incentive mechanism for platforms compliance audits on personal information protection to motivate them to conduct compliance audits and improve their internal governance capabilities; on the other hand， from the perspective of external supervision， a cooperative supervision model should be employed to empower government-enterprise collaborative supervision so that effective audits would be ensured and supervisory efficiency be enhanced.

KEY WORDS： personal information protection; compliance audit; the rights and interests of minors; large internet platforms