趙翰雋，殷 楠（副教授）

2021 年8 月我國出臺的《個人信息保護法》首次在法律層面提出了個人信息保護合規(guī)審計的要求，包括信息處理者定期自行安排合規(guī)審計，按照監(jiān)管部門要求委托專業(yè)機構(gòu)進行合規(guī)審計。2023 年8 月，國家互聯(lián)網(wǎng)信息辦公室進一步發(fā)布了《個人信息保護合規(guī)審計管理辦法（征求意見稿）》及配套的《個人信息保護合規(guī)審計參考要點》。但是，個人信息保護合規(guī)審計制度尚處于初步建立階段，相關(guān)工作尚處于探索實踐中。為此，需要進一步分析個人信息保護合規(guī)審計制度建構(gòu)運作的底層法理邏輯以及應遵循的重要原則，進一步明確、完善合規(guī)審計的規(guī)則體系和技術(shù)方法等。

一、個人信息保護合規(guī)審計制度的形成及底層法理邏輯

（一）個人信息保護合規(guī)審計制度的形成

個人信息保護合規(guī)審計制度是數(shù)字時代的產(chǎn)物，是在數(shù)字社會及數(shù)字經(jīng)濟的發(fā)展中逐步形成的。1996 年，國際信息系統(tǒng)審計與控制協(xié)會（ISACA）發(fā)布《信息及相關(guān)技術(shù)控制目標標準》（COBIT標準，2019年）。該標準圍繞著信息系統(tǒng)的開發(fā)運用制定了四十多項規(guī)制目標，并提出相應的審計要求與方法。目前，該標準已成為關(guān)于信息系統(tǒng)審計的通用標準。其中，“系統(tǒng)安全”與“數(shù)據(jù)管理”控制目標及審計要求涉及信息保護問題。2002年，美國國家審計署發(fā)布了《聯(lián)邦信息系統(tǒng)控制審計手冊》（2009年修訂），該手冊主要適用于聯(lián)邦和其他政府實體的信息系統(tǒng)審計。2018 年5 月25 日，歐盟《通用數(shù)據(jù)保護條例》（General Data Protection Regulation，GDPR）正式生效。在該條例的約束要求下，英、法、德等歐盟國家開始制定和實施本國的數(shù)據(jù)保護審計制度。英國的數(shù)據(jù)保護審計以自愿審計為主、強制審計為輔。其中，信息專員辦公室開展的審計是一種基于監(jiān)管層面的強制審計。2020 年9月，法國數(shù)據(jù)保護局（CNIL）發(fā)布《CNIL審計程序指南》，闡述了數(shù)據(jù)保護合規(guī)審計的權(quán)利與義務及各種具體問題（賈丹等，2022）。這些新的審計制度有著各自特定的宗旨目標和關(guān)注重點，如信息系統(tǒng)審計、數(shù)據(jù)保護審計主要關(guān)注解決的是安全性、可靠性及風險防控問題，并非個人信息保護問題。但是，這些新的審計制度顯然與個人信息保護問題緊密相關(guān)，個人信息保護上的諸多要求也包含在這些新的審計制度所關(guān)注的問題中，這就為個人信息保護合規(guī)審計制度的形成發(fā)展奠定了基礎(chǔ)和關(guān)聯(lián)支撐。

從全球算法治理的實踐來看，其為個人信息保護合規(guī)審計制度的形成發(fā)展提供了重要的技術(shù)內(nèi)核與經(jīng)驗支持。目前，一些大型互聯(lián)網(wǎng)企業(yè)正在進一步研發(fā)關(guān)于算法內(nèi)部審計的制度框架和技術(shù)工具。例如，Google 專門研發(fā)設(shè)計了“SMACTR”的算法內(nèi)部審計框架，將內(nèi)部審計工作劃分為五個相互銜接的階段性框架。Meta、IBM、Google 分別開發(fā)了Fairness Flow、AI 360 Toolkit、Model Card Toolkit 等技術(shù)工具，用以檢測、報告、減輕算法設(shè)計運用中可能存在的歧視等問題。在算法內(nèi)部審計之外，監(jiān)管機構(gòu)也正在逐步推進開展對算法的監(jiān)管審計。一種是關(guān)于算法合規(guī)問題的個案審計。例如：英國信息專員辦公室對Clearview AI 違法處理個人數(shù)據(jù)尤其是生物特征數(shù)據(jù)的行為開展監(jiān)管審計；針對Everalbum公司擅自使用用戶照片及面部信息訓練算法的行為，美國聯(lián)邦貿(mào)易委員會開展專項審計調(diào)查。另一種是圍繞算法的公平性、透明度、安全性等一般性問題進行風險評估審計（張欣和宋雨鑫，2022）。顯然，個人信息保護上的許多問題往往來自于信息處理者所設(shè)計和運用的算法，算法審計的制度與實踐將為個人信息保護合規(guī)審計制度的建構(gòu)運作提供關(guān)鍵的技術(shù)內(nèi)核與經(jīng)驗支持。

在信息系統(tǒng)審計、數(shù)據(jù)保護審計、算法審計等高度相關(guān)的審計制度被各國陸續(xù)建立和廣泛實踐的背景環(huán)境下，隨著個人信息權(quán)益保護的法律觀念與規(guī)則不斷強化，個人信息保護合規(guī)審計制度的形成發(fā)展也就成為一種必然。2020 年國家市場監(jiān)督管理總局、國家標準化管理委員會制定發(fā)布的《信息安全技術(shù) 個人信息安全規(guī)范》中，第11.7 條對個人信息控制者提出了開展個人信息安全審計的要求。雖然該國家標準并沒有直接提出個人信息保護的合規(guī)審計要求，但在安全審計的要求下，已經(jīng)涉及個人信息保護合規(guī)審計的實質(zhì)要素。2021年8月通過的《個人信息保護法》首次在法律層面提出了個人信息保護合規(guī)審計的要求。該法第五十四條規(guī)定，個人信息處理者承擔定期進行合規(guī)審計的法定義務；第六十四條規(guī)定，監(jiān)管部門根據(jù)發(fā)現(xiàn)的問題，可強制要求信息處理者委托專業(yè)機構(gòu)對其進行合規(guī)審計。2021年11月，國家互聯(lián)網(wǎng)信息辦公室發(fā)布了《網(wǎng)絡數(shù)據(jù)安全管理條例（征求意見稿）》，該征求意見稿第五十三條規(guī)定，大型互聯(lián)網(wǎng)平臺應當委托外部機構(gòu)對平臺數(shù)據(jù)安全、個人信息保護等情況進行合規(guī)審計；第五十八條規(guī)定，國家應建立數(shù)據(jù)安全審計制度。可見，數(shù)據(jù)處理者應承擔委托數(shù)據(jù)安全審計專業(yè)機構(gòu)進行定期合規(guī)審計的義務，主管、監(jiān)管部門應組織開展監(jiān)管審計工作。顯然，這是從數(shù)據(jù)安全的角度對個人信息保護提出的合規(guī)審計要求。2021年12月，國家互聯(lián)網(wǎng)信息辦公室等四個部門聯(lián)合發(fā)布了《互聯(lián)網(wǎng)信息服務算法推薦管理規(guī)定》，專門就算法推薦服務提出了合規(guī)要求。這就從算法推薦服務層面對個人信息保護進一步提出了特定的合規(guī)要求。2023 年8 月，國家互聯(lián)網(wǎng)信息辦公室進一步發(fā)布了《個人信息保護合規(guī)審計管理辦法（征求意見稿）》及配套的《個人信息保護合規(guī)審計參考要點》。根據(jù)該征求意見稿的規(guī)定，處理超過100萬個人信息的信息處理者，每年至少應實施一次合規(guī)審計；其他情形下每兩年至少應實施一次合規(guī)審計。這兩份文件全面細化了個人信息保護合規(guī)審計制度?？傮w而言，目前，以《個人信息保護法》所設(shè)定的合規(guī)審計這一法定要求為中心，以各種相關(guān)的規(guī)章和規(guī)范性文件為關(guān)聯(lián)支撐并細化展開，正在逐步形成關(guān)于個人信息保護合規(guī)審計的綜合全面、立體多維的規(guī)則體系。

（二）建構(gòu)個人信息保護合規(guī)審計制度的多重底層法理邏輯

1.審計制度及其功能作用適應時代延伸擴展的發(fā)展邏輯。實際上，個人信息權(quán)益保護問題并不是一個傳統(tǒng)意義上的審計問題。根據(jù)美國會計師學會審計基本概念委員會在1972 年發(fā)布的《基本審計概念說明》，審計是客觀收集、評價有關(guān)經(jīng)濟活動和事項的證據(jù)，并確定其與已有標準的相符性的系統(tǒng)過程。在國內(nèi)理論和立法上，審計一般是指對被審計單位的財政、財務收支及有關(guān)經(jīng)濟活動的真實、合法、效益進行審查監(jiān)督。有研究將國家審計定義為，對受托管理和使用公共資源的責任履行情況進行的獨立監(jiān)督活動（劉力云等，2021）?！皩徲嫛边@一特殊的概念術(shù)語表明，審計制度的核心領(lǐng)域與對象內(nèi)容是宏觀和微觀的各種經(jīng)濟運行及其審查監(jiān)督問題，其實質(zhì)是監(jiān)督、鑒證、評價公共受托責任的履行情況。顯然，個人信息保護合規(guī)問題的核心是，分析判斷個人信息權(quán)益保護的狀況與效果，它應當主要屬于行政執(zhí)法監(jiān)管和司法層面上的調(diào)查及裁量判定問題，而不屬于傳統(tǒng)審計的問題領(lǐng)域與對象范圍。

但是，作為一種重要而獨特的監(jiān)督治理手段①，審計制度的領(lǐng)域范圍不是僵化不變的，而是會隨著時代的發(fā)展要求而不斷變化拓展。例如，2018年8月，審計署發(fā)布《關(guān)于進一步加強減稅降費政策措施落實情況審計監(jiān)督的意見》，要求對稅收經(jīng)濟政策的遵從合規(guī)情況進行審計監(jiān)督。2018 年12 月，審計署發(fā)布《關(guān)于加強信息系統(tǒng)審計工作指導意見》，要求對信息系統(tǒng)的安全性、可靠性和經(jīng)濟性進行監(jiān)督檢查，推動完善相關(guān)制度，促進提高資金使用績效，保障信息系統(tǒng)安全、可靠和高效運行。2019 年《關(guān)于實行審計全覆蓋的實施意見》等政策出臺后，自然資源的開發(fā)利用與環(huán)境保護進一步成為審計制度的新領(lǐng)域。2023 年5 月23 日，習近平總書記在二十屆中央審計委員會第一次會議上發(fā)表講話時指出，要加大關(guān)于穩(wěn)經(jīng)濟、金融支持實體經(jīng)濟等宏觀政策的落實情況的審計力度。上述變化表明，在對經(jīng)濟活動本身進行審計監(jiān)督外，審計制度進一步拓展到與經(jīng)濟活動及公共受托責任相關(guān)的各種問題領(lǐng)域，如經(jīng)濟政策的遵從落實問題。在數(shù)字及人工智能化時代，審計制度進一步延伸拓展到個人信息保護合規(guī)領(lǐng)域是時代發(fā)展的需要，個人信息保護合規(guī)審計旨在鑒證個人信息處理行為是否符合既定標準，是合規(guī)審計覆蓋范圍與功能作用的進一步延伸和擴張（陳智敏，2022）。個人信息保護合規(guī)審計能夠有效彌補監(jiān)管部門的資源緊張，是信息保護合規(guī)監(jiān)管的有效補充（王俊等，2023）。本文認為，合規(guī)審計不僅為個人信息保護的合規(guī)監(jiān)管與治理提供了有效抓手與支撐，而且其本身也構(gòu)成了信息保護合規(guī)監(jiān)管與治理的重要內(nèi)容與功能模塊。目前，個人信息保護合規(guī)審計已經(jīng)成為國際通行的做法，在數(shù)字中國建設(shè)的大背景下，開展個人信息保護合規(guī)審計具有重要的實踐意義（高歌，2023）。為此，應充分遵循和運用合規(guī)審計制度特有的分析審查視角、功能邏輯、運作路徑、技術(shù)方法，著眼于個人信息保護的風險識別與合規(guī)治理體系建設(shè)和能力提升等綜合目標，逐步創(chuàng)新建構(gòu)和運作個人信息保護合規(guī)審計的各種制度和相關(guān)方法。

2.確保數(shù)據(jù)資源合理利用及數(shù)字經(jīng)濟健康發(fā)展的底層邏輯。在繼勞動力、土地、資本、技術(shù)等基本的生產(chǎn)要素之后，數(shù)據(jù)資源已成為數(shù)字經(jīng)濟時代最重要的新的生產(chǎn)要素，也是中國經(jīng)濟在新時代高質(zhì)量發(fā)展的重要驅(qū)動要素。2022年12月，中共中央、國務院發(fā)布《關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》（簡稱《意見》）。在建立數(shù)據(jù)要素的流通、交易及治理制度方面，《意見》要求培育合規(guī)認證、安全審計、數(shù)據(jù)公證等第三方專業(yè)服務機構(gòu)；建立數(shù)據(jù)要素生產(chǎn)流通使用全過程的合規(guī)公證、安全審查、算法審查、監(jiān)測預警等制度，指導各方履行數(shù)據(jù)要素流通安全責任和義務。顯然，為充分保障和發(fā)揮數(shù)據(jù)要素資源的作用，《意見》要求建立安全審查、合規(guī)監(jiān)管等重要基礎(chǔ)制度。由于個人信息是數(shù)據(jù)資源的重要來源和形成基礎(chǔ)，因此，如何充分保護個人信息權(quán)益，確保公平合理、合法有序地搜集處理、開發(fā)利用個人信息數(shù)據(jù)關(guān)系到數(shù)據(jù)資源可持續(xù)的合理開發(fā)利用，進而關(guān)系到數(shù)字經(jīng)濟的可持續(xù)發(fā)展。對個人信息的適度收集和合理利用是數(shù)字經(jīng)濟發(fā)展的邏輯前提。在我國，個人信息保護有助于保障我國數(shù)據(jù)要素市場的規(guī)范基礎(chǔ)及其健康發(fā)展。從全球經(jīng)濟的競爭發(fā)展來看，涉及個人信息的數(shù)據(jù)開發(fā)利用日益成為全球數(shù)字經(jīng)濟競爭發(fā)展的原動力，個人信息保護將為我國參與全球數(shù)字經(jīng)濟競爭發(fā)展提供有效保障（黃哲瑞和徐來鳳，2023）。因此，一方面，從宏觀經(jīng)濟層面看，個人信息保護不再僅僅只是私人權(quán)益保護的問題，而是事關(guān)社會經(jīng)濟健康運行、和諧發(fā)展的重要問題之一；另一方面，從微觀經(jīng)濟層面看，個人信息保護是數(shù)字經(jīng)濟時代企業(yè)參與市場經(jīng)濟活動，在經(jīng)營發(fā)展上“行穩(wěn)致遠”的重要要求和保障。作為評價、監(jiān)督經(jīng)濟生活運行與微觀經(jīng)濟活動的專門機制和工具方法，審計自然可以也應當介入個人信息保護領(lǐng)域，并通過其功能的拓展與創(chuàng)新充分發(fā)揮其在新領(lǐng)域的評價和監(jiān)督作用。

二、合規(guī)審計的“裁量判斷”強屬性及應遵循原則

（一）信息保護規(guī)則的抽象性及合規(guī)解釋裁量的強屬性

對個人信息保護進行合規(guī)審計需要以明確、具體的信息保護義務、行為標準等為基礎(chǔ)依據(jù)和參照，但是，面對不斷更新變化的算法技術(shù)和數(shù)據(jù)信息開發(fā)利用的復雜多樣的市場需求與活動，個人信息保護的各種義務規(guī)則往往只能是一種高度概括性的抽象規(guī)定，即便在某些方面也可能形成較為具體的行為義務規(guī)則或標準，但仍然可能不足以適應各種具體情況。這就需要審計人員根據(jù)具體的個案情況，對概括抽象的個人信息保護規(guī)則做出精準、恰當?shù)木唧w解釋。這就意味著，與關(guān)于財務收支、經(jīng)濟績效等問題的審計監(jiān)督不同，個人信息保護的合規(guī)審計具有強烈的規(guī)則解釋適用上的“裁量判斷”屬性。鑒于規(guī)則解釋適用上所固有的復雜性、靈活性、多元性、開放性等，合規(guī)審計上的“裁量判斷”將面臨明顯的障礙與困難。為此，筆者結(jié)合個人信息保護的相關(guān)規(guī)則做適當舉例分析。

1.對各種情形下的“必需”條件的衡量判斷。根據(jù)《個人信息保護法》第十三條，屬于該條第一款第（二）項至第（七）項所規(guī)定情形的，處理、利用個人信息不需取得個人同意。如第一款第（二）項所規(guī)定的“為訂立、履行合同所必需”；第一款第（三）項所規(guī)定的“為履行法定職責、義務所必需”；第一款第（四）項所規(guī)定的“為應對突發(fā)公共衛(wèi)生事件等所必需”等。但是，如何判斷上述各種情形下的“必需”，法律并未明確規(guī)定，在合規(guī)審計時如何做出準確、恰當?shù)牟昧颗袛嗑捅厝幻媾R著困難與不確定性。

2.對“有效的告知”的衡量判斷?！秱€人信息保護法》確立了以“告知—同意”為核心的個人信息保護的合規(guī)原則，《個人信息保護法》第十七條規(guī)定對“有效的告知”提出了具體要求。2023 年發(fā)布的《個人信息保護合規(guī)審計參考要點》對“有效的告知”提出的進一步要求是，告知文本的大小、字體和顏色應便于個人閱讀認知等。即便如此，這些似乎較為具體的各種要求仍然需要進一步的解釋明確，如是否達到“顯著、真實、準確、完整”這些要求，是否已經(jīng)構(gòu)成“有效的告知”，仍然需要合規(guī)審計人員在個案中做出具體的裁量判斷。

3.對“敏感個人信息”的衡量判斷。《個人信息保護法》通過設(shè)置第二節(jié)共五個條款，對“敏感個人信息”的處理提出了特殊規(guī)制要求。其中，第二十八條第一款采用“概括+列舉”模式界定了何謂“敏感個人信息”，該類信息首先被抽象概括地界定為“一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個人信息”，然后，具體列舉了七類典型的敏感個人信息。但是，王苑（2022）指出，這樣的界定可能帶來如下的不確定性：（1）法律評價標準具有模糊性；（2）未來會出現(xiàn)的新的敏感個人信息不在具體列舉的范圍；（3）判斷標準的多維性導致分析確定的困難。對此，應通過綜合考量五個方面的要素，動態(tài)界定敏感個人信息。因此，如何區(qū)分“敏感個人信息”與“非敏感個人信息”，需要合規(guī)審計人員根據(jù)具體的個案情況做出動態(tài)的解釋裁量判斷。

4.對“特定的互聯(lián)網(wǎng)平臺”的衡量判斷?！秱€人信息保護法》第五十八條提出了“守門人”條款，對符合特定條件的互聯(lián)網(wǎng)平臺施加了特別的信息保護義務。但是，有學者分析指出，“守門人”條款的規(guī)定過于簡略，該條款究竟如何理解與適用，存在不少問題和爭論，需要進一步解釋明確。例如，對于某個互聯(lián)網(wǎng)平臺是否屬于“守門人”，第五十八條提出了“提供重要服務、用戶數(shù)量巨大、業(yè)務類型復雜”這三個疊加條件。這意味著，確立了“先分類、再分級”的識別判斷標準?！疤峁┲匾铡币馕吨葘ζ脚_服務進行分類，“用戶數(shù)量巨大、業(yè)務類型復雜”意味著在分類的基礎(chǔ)上再根據(jù)這兩個標準對平臺企業(yè)進行分級，最終識別確定某互聯(lián)網(wǎng)平臺是否屬于“守門人”（周漢華，2022）。然而，對于這些識別判斷的環(huán)節(jié)和要求，缺乏明確細化的解釋、指導。對此，合規(guī)審計人員需要根據(jù)用戶規(guī)模、業(yè)務類型、經(jīng)濟規(guī)模、信息數(shù)據(jù)的利用程度等在個案中做出具體的裁量判斷。

（二）合規(guī)裁量判斷應遵循的指導原則

為應對解決合規(guī)審計中“規(guī)則解釋適用”上的障礙與困難，精準、恰當?shù)夭昧颗袛鄠€人信息保護合規(guī)狀況及風險問題，應當確立和運用各種指導原則。這些原則主要包括：合規(guī)審計裁量權(quán)的審慎運用原則；利益衡量上的比例原則；合規(guī)審計的裁量基準原則；體系解釋原則；審計獨立下的溝通及共識解釋原則。本文僅就其中的兩個原則做進一步的分析闡述。

1.利益衡量上的比例原則。在個人信息的收集處理及加工利用活動中，個人的信息權(quán)益保護實際上是一個各方利益協(xié)調(diào)平衡的問題。就信息處理者而言，它們包括立法機關(guān)、司法機關(guān)、政府部門、企業(yè)以及其他社會組織等。國家機關(guān)、政府部門在收集處理及加工利用個人信息時，行使的是公權(quán)力，代表和體現(xiàn)了國家利益、社會利益；而企業(yè)和其他社會組織在收集處理及加工利用個人信息時，代表和體現(xiàn)的是企業(yè)和其他社會組織自身的經(jīng)濟利益或其他利益。就作為信息來源的個人而言，他們對自身的信息享有充分的身份權(quán)益和經(jīng)濟權(quán)益。顯然，信息處理者與作為信息來源的個人有著各自獨立的利益歸屬與訴求，雙方的利益有時是協(xié)調(diào)一致的，有時則是相互矛盾沖突的。梁燈（2022）分析指出，特別是在企業(yè)作為個人信息處理者時，將面臨著個人信息的價值挖掘和個人信息權(quán)益保護之間的沖突和平衡問題，當個人數(shù)據(jù)信息在企業(yè)間流轉(zhuǎn)時該問題最為凸顯。因此，在個人信息保護合規(guī)審計中，對相關(guān)規(guī)則的解釋適用往往所涉及的是相關(guān)主體的利益得失問題，所謂的合規(guī)判斷也就是根據(jù)抽象規(guī)則對相互矛盾沖突的利益進行衡量平衡處理。顯然，如何對各方利益進行合規(guī)裁量上的協(xié)調(diào)平衡，需要形成和運用相應的指導原則。對此，本文認為，可以參考借鑒行政法上的比例原則，在個人信息保護合規(guī)審計制度中，塑造形成關(guān)于規(guī)則解釋適用的利益衡量比例原則。

比例原則是行政法上的一個重要原則，它被用于約束規(guī)制行政權(quán)的自由裁量行使，謀求在行政目的、需要與相對人的利益保護之間實現(xiàn)協(xié)調(diào)平衡。其基本要求是，行政主體實施行政行為應兼顧行政目標的實現(xiàn)和保護相對人的權(quán)益，如果行政目標的實現(xiàn)可能對相對人的權(quán)益造成不利影響，則這種不利影響應被限制在盡可能小的范圍和限度之內(nèi)。行政法中的比例原則包含適當性、必要性和相稱性（均衡性）的多維度內(nèi)涵。適當性又稱為妥當性、妥適性、適合性，是指所采取的措施應當能夠或至少有助于實現(xiàn)行政目的。必要性又稱為最少侵害性、不可替代性。即在能實現(xiàn)行政目的的多個方式中，應選擇對權(quán)利影響或侵害最小的方式。相稱性也稱為均衡性，即行政措施與其所達到的目的之間必須成比例或相稱。相稱性（均衡性）側(cè)重要求的是，無論是否存在多個可選擇的措施、方法，行政措施不能過分地或不適當?shù)赜绊?、損害相對人的合法權(quán)益。筆者認為，在個人信息保護方面，信息處理者與作為信息來源的個人在相互地位關(guān)系及利益結(jié)構(gòu)上非常類似于行政機構(gòu)與相對人之間的關(guān)系，尤其是信息處理者為國家立法、司法機關(guān)、政府部門時更是如此。因此，應當參照行政法上的比例原則，按照對個人造成最少最小影響的原則來解釋適用個人信息保護的相關(guān)規(guī)則，以矯正個人在信息的收集處理及加工利用中的弱勢地位，充分保護個人對自身的信息所應享有的身份權(quán)益和經(jīng)濟權(quán)益。實際上，在個人信息權(quán)益保護上，利益衡量上的比例原則在立法上已經(jīng)有所體現(xiàn)。例如，《個人信息保護法》第六條規(guī)定，處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關(guān)，采取對個人權(quán)益影響最小的方式。收集個人信息時應當限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息。顯然，該條所提出的要求已經(jīng)基本上體現(xiàn)了比例原則所包含的適當性、必要性和相稱性（均衡性）要求。

需要指出的是，一般而言，根據(jù)合規(guī)裁量上的比例原則，應采取對個人造成最少、最小影響的方式來解釋適用個人信息保護的相關(guān)規(guī)則，但是這不是絕對的。當信息處理者投入大量的資金等成本對個人信息進行深入加工并已經(jīng)形成穩(wěn)定的、明確的商業(yè)利益時，信息處理者將獲得一種獨立于個人權(quán)益的“既得權(quán)益”。2023年12月財政部制定發(fā)布的《關(guān)于加強數(shù)據(jù)資產(chǎn)管理的指導意見》明確規(guī)定了數(shù)據(jù)開發(fā)利用者基于其投入付出及再創(chuàng)造應享有的獨立的受益權(quán)②。此時，就不能簡單按照對個人造成最少、最小影響的方式來解釋適用合規(guī)裁量上的比例原則，而應當以兼顧平衡的方式來運用比例原則。例如，《個人信息保護法》第十五條規(guī)定，基于個人同意處理個人信息的，個人有權(quán)撤回其同意。個人信息處理者應當提供便捷的撤回同意的方式。個人撤回同意，不影響撤回前基于個人同意已進行的個人信息處理活動的效力。顯然，如果信息處理者已經(jīng)投入成本加工處理個人信息的，或者進一步將其予以商業(yè)共享或轉(zhuǎn)讓的，無條件地允許個人撤回同意則可能損害信息處理者的商業(yè)利益。對此，僅僅確認“撤回前基于個人同意已進行的個人信息處理活動的效力”是不夠的，應當根據(jù)比例原則中的“兼顧既得商業(yè)權(quán)益”的要求，充分考量撤回同意的必要性，以利益平衡的方式分析評估撤回同意的合規(guī)性問題。

2.審計獨立下的溝通及共識解釋原則。鑒于個人信息保護規(guī)則具有高度概括抽象性，審計機構(gòu)和人員需要對相關(guān)規(guī)則進行解釋，這就會造成各方對同一規(guī)則的不同理解和判斷。對此，審計機構(gòu)和人員可以與被審計企業(yè)及監(jiān)管部門等進行溝通形成共識理解。但是，有研究認為這可能會導致審計獨立性及權(quán)威受損。例如，由被審計單位委托進行合規(guī)審計時，受托審計機構(gòu)在溝通交流中容易受委托方的影響，從而對信息保護規(guī)則做出有利于委托方商業(yè)模式的解釋和定性判斷。在監(jiān)管部門所要求啟動的審計中，外部審計機構(gòu)往往需要與監(jiān)管機構(gòu)進行溝通交流，從而會受到監(jiān)管機構(gòu)立場的影響，做出不利于被審計方的分析評價（梁燈，2022）。

筆者認為，鑒于個人信息保護規(guī)則的高度概括抽象性以及個人信息開發(fā)利用的復雜多樣性，在合規(guī)審計中尋求溝通并形成共識解釋將是一種常態(tài)現(xiàn)象，尋求溝通形成深入、準確的了解判斷也是審計工作中的常規(guī)做法?，F(xiàn)有的一些審計準則也有進行溝通形成共識的要求，如2013 年中國內(nèi)部審計協(xié)會制定發(fā)布的《第2105 號內(nèi)部審計具體準則——結(jié)果溝通》。同時，尋求溝通并形成共識解釋并不必然損害合規(guī)審計的獨立性和權(quán)威性，或者說，尋求溝通并形成共識解釋并不是合規(guī)審計的獨立性和權(quán)威性受影響的真正原因。在尋求溝通并形成共識解釋中，合規(guī)審計不能維持其獨立性和權(quán)威性的重要原因在于，審計人員缺乏對相關(guān)規(guī)則的深入理解把握，沒有形成堅實的合規(guī)審計上的衡量判斷能力。在個人信息保護的合規(guī)審計中，面對相關(guān)規(guī)則的概括抽象性及解釋適用，尋求溝通并形成共識解釋將有助于審計人員更加全面深入地理解規(guī)則的內(nèi)涵及被審計的具體情況，并形成高質(zhì)量的合規(guī)審計結(jié)論。因此，在不斷提升審計人員的規(guī)則解釋及衡量判斷能力的基礎(chǔ)上，將能夠也應該確立審計獨立下的溝通及共識解釋原則。

三、個人信息保護合規(guī)審計的框架及方法的建構(gòu)運作

個人信息保護的合規(guī)審計應當立足于“調(diào)查分析”“監(jiān)督問責”“風險防控”“督促整改”等專門視角與特有功能，逐步建立完善相關(guān)的審計框架、功能模塊、指標體系、技術(shù)方法等，以形成一個綜合全面、立體多維、契合緊密、功能卓越的合規(guī)審計制度與機制。本文就其中的若干方面進行適當?shù)奶剿鞣治觥?/p>

（一）確立定性與定量分析相結(jié)合的框架方法

個人信息保護合規(guī)審計的定性分析是一種符合性評價，即對處理個人信息的行為和活動是否符合法律規(guī)定做出肯定性或否定性的審計評價。這是個人信息保護合規(guī)審計的基本內(nèi)容和結(jié)論要求。在此基礎(chǔ)上，個人信息保護合規(guī)審計還應進行定量分析，即對個人信息處理的行為和活動偏離法律規(guī)則的程度進行量化界定，并建立和運用量化評估的賦值指標體系。對行為的偏差度的量化分析具有重要的價值和作用。“合規(guī)偏差度”的量化分析評價可以精確、具體地揭示個人信息處理及利用的合規(guī)狀況，進一步確定各種偏差所造成的不同危害及應采取的糾正措施，進一步分析判斷不同的偏差樣態(tài)造成的危害風險并進行預警。進而言之，“合規(guī)偏差度”的量化分析評價有助于開展“審計容錯糾錯”的實踐。對于個人信息保護合規(guī)審計而言，“合規(guī)偏差度”下的“審計容錯糾錯”將解決兩個維度的問題。一是關(guān)于個人信息保護的規(guī)則尤其是較低層級的具體規(guī)則存在著錯誤、不當、不合理之處，或者過于僵化、教條，對此，需要運用“合規(guī)偏差度”的量化分析評價，通過“審計容錯糾錯”的方式予以解決。二是關(guān)于個人信息保護的規(guī)則存在著滯后性，不能充分適應信息開發(fā)利用和信息保護中的各種新情況與新問題，對此，需要運用“合規(guī)偏差度”的量化分析評價，通過“審計容錯糾錯”的方式予以解決。當然，在審計容錯糾錯中，對于觸及法律法規(guī)底線的問題，絕不能以容錯糾錯之名予以放縱（項健，2021）。

（二）建立模塊化的審計框架與指標體系

模塊化的審計框架是指根據(jù)多樣化的審計目標設(shè)置不同的審計模塊單元。在模塊單元下，可以進一步細化具體的審計事項與指標等。例如，就算法審計這個特定目標而言，可將審計框架劃分為“總體風險控制與治理”與“過程風險控制與治理”兩個模塊?？傮w風險控制與治理模塊所針對的是算法設(shè)計及風險治理的制度框架，例如是否成立算法風險治理領(lǐng)導小組、是否存在算法設(shè)計和運行的合規(guī)審查制度等；過程風險控制與治理模塊所針對的是算法系統(tǒng)在運作過程中的問題與風險（張欣和宋雨鑫，2022）。本文認為，模塊化的審計框架意味著，個人信息保護的合規(guī)審計并不僅僅只是對信息處理和利用的行為或活動本身的合規(guī)性進行審計分析評價，而是將個人信息保護看作是一項全方位的系統(tǒng)工程，是從宏觀框架到微觀環(huán)節(jié)進行多維的綜合審計分析評價。因此，對于個人信息保護的合規(guī)審計，應當根據(jù)個案所要求的不同的審查視角與目標設(shè)置模塊化的審計框架，既包括個人信息保護在總體架構(gòu)層面的合規(guī)審查模塊，也包括在個人信息處理過程中各個環(huán)節(jié)及問題的合規(guī)審查模塊，從而形成綜合全面、立體多維的合規(guī)審計分析評價。

（三）建立信息處理系統(tǒng)功能設(shè)計的合規(guī)審計制度

在關(guān)于個人信息的隱私保護方面，一些國家已經(jīng)形成“通過設(shè)計的隱私保護”（Privacy by Design）和“隱私工程”（Privacy Engineering）這兩個不同的保護環(huán)節(jié)。這就意味著，個人信息隱私保護包含著兩個不同的階段，即系統(tǒng)功能（算法）設(shè)計階段與個人信息處理階段的個人信息隱私保護（William Stallings，2019）。本文認為，個人信息權(quán)益保護的內(nèi)容范圍顯然要大于個人信息的隱私保護，但同樣也存在著系統(tǒng)功能（算法）設(shè)計階段的保護與個人信息處理階段的保護這兩個不同階段的個人信息保護。一般而言，通過對個人信息處理階段的合規(guī)審計，也可以間接發(fā)現(xiàn)系統(tǒng)功能（算法）設(shè)計上的保護缺陷，但是這種暴露往往是不充分和滯后的。因此，為充分揭示和有效預防控制個人信息保護上的缺陷及風險，應當建立專門針對信息處理系統(tǒng)的功能（算法）設(shè)計的合規(guī)審計。在這方面，已經(jīng)形成了一些重要準則和指南，如中國內(nèi)部審計協(xié)會于2014 年制定發(fā)布的《內(nèi)部審計具體準則——信息系統(tǒng)審計》，于2021年制定發(fā)布的《內(nèi)部審計實務指南——信息系統(tǒng)審計》，以及2018年12月審計署發(fā)布的《關(guān)于加強信息系統(tǒng)審計工作指導意見》。

（四）建立信息處理過程的合規(guī)風險持續(xù)控制制度

由于個人信息的收集處理與開發(fā)利用具有技術(shù)復雜性、隱匿性及數(shù)量龐大性等特點，所以，運用傳統(tǒng)審計思路與方式進行合規(guī)審計往往難以產(chǎn)生良好的預期效果，因此，有研究認為，應建立和運用CRCA模型（持續(xù)性風險評估與控制保證模型）來開展個人信息保護合規(guī)審計（陳智敏，2022）。顯然，合規(guī)風險持續(xù)控制分析側(cè)重關(guān)注的是個人信息保護風險的及時、準確識別，以及將持續(xù)處理過程中的風險動態(tài)變化置于監(jiān)控之下，這有助于在信息處理持續(xù)過程中實現(xiàn)對個人信息權(quán)益的動態(tài)及時保護。但是，《個人信息保護合規(guī)審計管理辦法（征求意見稿）》只是提出了一定年限內(nèi)的單次合規(guī)審計要求，并沒有提出關(guān)于“合規(guī)風險持續(xù)控制分析”的要求。例如，對于處理超過100萬個人信息的信息處理者，僅要求每年至少應實施一次合規(guī)審計，其他情形下則要求每兩年至少應實施一次合規(guī)審計。因此，需要在該征求意見稿中補充納入“合規(guī)風險持續(xù)控制分析”的要求。

四、結(jié)語

個人信息保護合規(guī)審計是合規(guī)審計制度在數(shù)字及人工智能時代的新拓展，是個人信息保護的合規(guī)監(jiān)管與治理的有效抓手與重要內(nèi)容。但是，個人信息保護合規(guī)審計制度尚處于初步建立階段，相關(guān)的理論問題與操作實施尚處于探索中。筆者就個人信息保護合規(guī)審計制度的底層法理邏輯、特征屬性、功能需求、指導原則等理論問題進行了初步探討，更多的和更深層次的理論問題需要進一步分析研究，如個人信息保護合規(guī)審計的性質(zhì)類型及其與國家審計的銜接協(xié)調(diào)，合規(guī)審計中關(guān)于“合規(guī)”要求的淵源依據(jù)等。同時，需要深入、全面地分析研究個人信息保護中的各種案例和實際問題，針對個人信息保護合規(guī)審計制度，進一步分析建立和調(diào)整完善該領(lǐng)域特有的工具方法、程序規(guī)范、功能機制等。

【注 釋】

①黨的十九大報告將審計放在“健全黨和國家監(jiān)督體系”部分予以闡述。黨的十九屆四中全會明確提出審計監(jiān)督是黨和國家監(jiān)督體系的重要組成部分。

②《關(guān)于加強數(shù)據(jù)資產(chǎn)管理的指導意見》將“暢通數(shù)據(jù)資產(chǎn)收益分配機制”作為數(shù)據(jù)資產(chǎn)管理的一項主要任務。針對完善數(shù)據(jù)資產(chǎn)收益分配與再分配機制，該指導意見要求按照“誰投入、誰貢獻、誰受益”的原則，依法依規(guī)維護各相關(guān)主體數(shù)據(jù)資產(chǎn)權(quán)益。支持合法合規(guī)對數(shù)據(jù)資產(chǎn)價值進行再次開發(fā)挖掘，尊重數(shù)據(jù)資產(chǎn)價值再創(chuàng)造、再分配，支持數(shù)據(jù)資產(chǎn)使用權(quán)利各個環(huán)節(jié)的投入有相應回報。

【 主要參考文獻】

陳智敏.個人信息保護合規(guī)審計系統(tǒng)構(gòu)建研究［J］.審計觀察，2022（12）：18～22.

高歌.個人信息保護合規(guī)審計蓄勢待發(fā)［N］.中國會計報，2023-09-01.

黃哲瑞，徐來鳳.個人信息保護法對我國數(shù)字經(jīng)濟發(fā)展的重要價值［N］.科學導報，2023-10-17.

賈丹，張譽馨，王姍.我國個人信息保護合規(guī)審計制度的路徑探討［J］.工業(yè)信息安全，2022（4）：17 ～22.

梁燈.個人信息保護合規(guī)審計的悖論及其解決——以個人信息流轉(zhuǎn)合法性基礎(chǔ)為例［J］.上海法學研究（集刊），2022（20）：84 ～93.

劉力云，崔孟修，王慧，沈玲.對國家審計基本概念仍需深入研究——基于一項有關(guān)國家審計基本概念和定義認知訪談結(jié)果的分析［J］.會計之友，2021（8）：15 ～21.

王苑.敏感個人信息的概念界定與要素判斷——以《個人信息保護法》第28條為中心［J］.環(huán)球法律評論，2022（2）：85 ～99.

王俊，馮戀閣，鐘雨欣，鄭雪.網(wǎng)信辦擬細化個人信息保護合規(guī)審計，企業(yè)需定期做“體檢”［N］.21世紀經(jīng)濟報道，2023-08-04.

項健.審計容錯糾錯思維方式探討［J］.審計月刊，2021（10）：23 ～24.

周漢華.《個人信息保護法》“守門人條款”解析［J］.法律科學，2022（5）：36～49.

張欣，宋雨鑫.算法審計的制度邏輯和本土化構(gòu)建［J］.鄭州大學學報（哲學社會科學版），2022（6）：33 ～42.

William Stallings.Information Privacy Engineering and Privacy by Design：Understanding Privacy Threats，Technology，and Regulations Based on Standards and Best Practices［M］.New York：Addison Wesley，2019.