个人信息保护合规审计的规范价值与制度完善
陈丹
湘潭大学法学院，湖南 湘潭 411105
    摘要：个人信息保护合规审计与传统合规审计相比有其特殊性。现行立法出于个人信息保护和数据安全的规范目的和价值，为个人信息处理者设定了合规审计义务。由于此类合规审计尚属于新生事物，缺乏统一和确定的司法和执法标准，其在实践运行中面临着既有制度衔接不足、审计依据存在理解分歧以及审计证据的效力难以保证等制度性难题。为此，应充分借鉴域外个人信息保护的制度规范，明确界定合规审计责任主体和责任形式，强化合规审计报告的证据效力保障。
    关键词：个人信息保护；合规审计；规范价值；制度完善
    基金项目：湖南省教育厅社科项目（23B0165）
    作者简介：陈丹（1981—），男，博士，副教授，硕士研究生导师，主要研究方向为经济法、数据合规。
    一、个人信息保护合规审计规范的目标与价值追求
    合规审计是根据既定标准对经济活动是否符合规范进行的对照性检查，并且检查结论会被传递给利益相关者。根据《个人信息保护合规审计管理办法》（以下简称“《管理办法》”）的规定，个人信息保护合规审计是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。
    （一）与传统合规审计相比呈现出的特殊性
    个人信息保护合规审计与传统合规审计相比，具有明显的特殊性：一是产生条件不同。审计产生于财产所有权和管理使用权分离而形成于受托经济责任关系中，是基于所有者权益维护的经济监督需要而产生和发展的社会约束机制。个人信息保护合规审计主要是源于个人信息处理合规要求，而产生于数据成为第五大生产要素、大数据海量开发利用的数字经济时代。二是合规目的不同。传统合规审计主要是出于所有者权益实现，侧重于财产权保护，而个人信息保护合规审计则是出于个人信息保护，体现人格权的特殊保护。个人信息保护合规审计的直接目的在于鉴证个人信息处理行为对于既定标准的符合程度，根本目的是通过个人信息处理行为的规范化来实现对人格尊严维护的价值追求[1]。三是审计方式不同。按照传统审计理论，合规审计是基于内部管理和风险控制需要并由内部审计机构实施，从而与外部审计相对应。而基于个人信息保护目的，蕴含着个人信息处理关联的社会公共利益和秩序维护的内容，因而在合规义务方面既存在着内部控制和管理的要求，又可作为外部法律责任的判定标尺。
    （二）合规审计内含个人信息保护价值取向
    个人信息保护合规审计的规范目标更多侧重于个人信息所有者权益，并使其在法律上被赋予优先于经营性和财产性权利获得保护的正当性和必要性。其一，个人信息权利已被立法确认为具有人格权属性的基本民事权利。《中华人民共和国民法典》（以下简称《民法典》）已明文界定了个人信息的内涵与外延，并将其归入人格权编，与隐私权并列保护。这意味着作为人格权客体的个人信息，不具有民法上物的属性，不能成为财产权客体。《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）作为贯彻《民法典》规范实施的单行法，更是将个人信息上升到基本权利高度。其二，个人信息的人格权属性使其优先于信息处理者的财产权利保护。《民法典》规定民事主体“依法”享有物权或债权，但在表达人格权时却未强调“依法”[2]，意味着义务主体负有更加谨慎地避免侵害人格权的消极义务。按照权利束理论，个人信息权利束包括个人信息主体知情、决定、查询、更正、复制、删除等权能在内的一组权利集合。个人信息处理活动中，个人信息所有者通过知情同意规则让渡其中的使用权给信息处理者，使其取得可行使的具有产权性质的数据加工利用权和数据产品的经营权。但是，个人信息对于个人信息主体来说是其人格权载体，处理者的权益应劣后于个人信息主体获得保护。其三，仅靠知情同意规则不足以完成个人信息保护任务。基于个人信息所有权和使用权（处理权）分离的事实以及所有者权益的优先性，合规审计将知情同意规则落实作为审查要点。但是，仅靠知情同意规则难以充分保障个人信息处理相关主体的权益。由于个人与数据平台的信息不对称和地位不平等，个人信息主体未能基于权利让渡而参与衍生数据产权的利益分配。数据平台承担责任的边界因为与传统企业主要以自有财产对外承担责任不同而难以确定，可能造成知情同意规则流于形式审查，而被表面上的契约自由架空成为宣示条款。
    （三）立法技术上的个人信息权益保护目的
    正如耶林所言“法律都是有目的的”，立法目的蕴含着立法者的意图和价值取向[3]，呈现出多元化和多层次的特点。从文本表达技术看，立法目的一般是按照直接到间接、具体到抽象、微观到宏观的顺序排列，在逻辑上存在一种上升性的递进关系，直接目的是实现间接目的的手段。例如：《管理办法》第一条即开宗明义规定：“指导、规范个人信息保护合规审计活动，提高个人信息处理活动合规水平，保护个人信息权益。”按照该立法目的文本表达，规范合规审计工作为直接目的，保护个人信息权益为间接目的和最终归宿。前者为工具性价值，后者为目的性价值。就工具性价值实现而言，合规审计意在规范个人信息处理行为，为个人信息侵权事实提供违规证据，弥补个体权益单纯通过私法救济的不足，既为个人信息保护司法和行政救济程序机制完善提供了依据，又为企业经营预测、决策以及内部责任追究提供了有效依据。而从更宏观和终极的目的价值看，合规审计的规范化在保护个人信息权利、彰显社会安全、维护社会公共利益的同时，完成了平台和个体之间权益的合理配置，进而在个人信息权益、平台数据产权以及国家数据治理三方之间取得了平衡。
    二、个人信息保护合规审计规范要求及其不足
    《个人信息保护法》对合规审计的规范依据和启动方式做出了明确规定，为合规审计提供了基本原则和规范要求。但由于法律规定本身的抽象性和概括性，不可能事无巨细地对合规审计工作做出规定。
    （一）合规审计实施的依据和要求
    《管理办法》明确了“个人信息保护合规审计”的规范定义，成为该领域的直接规范依据。但是对于合规审计中的“规”不应局限于此一规范性文件，而应做广义理解，泛指与个人信息保护有关的政策、程序、法律、规章和合同等，包括但不限于已经颁布施行和即将颁布的规范性文件[4]。《管理办法》对合规审计的规范要求主要有四：一是审计对象和周期要求。《管理办法》明确规定定期自行审计和不定期监管审计两种审计类型的同时，要求对于超过100 万人个人信息的个人信息处理者以一年为周期，每年至少开展一次合规审计，对于其他个人信息处理者则以两年为周期，每两年至少开展一次合规审计。二是审计机构与时限要求。对于自行开展的内部合规审计，可根据实际情况，由组织内部机构或委托专业机构开展；而对于应监管部门要求开展的外部强制审计，则只能通过外部专业机构进行，且在收到监管通知后90 个工作日内完成，但对于情况复杂的，经报批后还可适当延长期限。三是专业机构的权限与义务。对于应监管要求开展的外部强制审计，个人信息处理者应当确保外部专业机构行使查阅资料、进入场所、调取数据、访谈人员、调查质询等开展合规审计工作必需的权限[5]。同时，为确保专业机构的独立性和客观性，还提出其连续为同一对象合规审计不得超过三次、不得转包委托等要求。四是明确审计工作参考要点。该要点依据《个人信息保护法》《数据出境安全评估办法》《信息安全技术 个人信息安全规范》（GB/T35273—2020）等法律、行政法规以及国家标准的强制性要求制定，围绕个人信息处理的合法性基础条件、个人信息处理规则、履行告知义务、共同处理和委托处理、自动化决策以及转移、提供、处理已公开的个人信息等具体情形，明确列举了重点审查事项。
    （二）合规审计实践中呈现的不足
    当前个人信息保护合规审计尚属于新生事物，作为合规管理的内控措施因缺乏规范执行和实操经验的长期积淀，在实践运行中仍将面临诸多制度性不足。
    1. 与既有审计制度缺乏有效衔接
    一方面，既有的审计制度尚未实现与合规审计的有效衔接，难以直接适用。虽然一些学术团体发布的标准指南具有一定参考性，但不同国家和行业标准中关于个人信息保护的标准和合规审计的规范口径并不统一。另一方面，不同主体出于不同审计目标，存在着审计标准和规范的理解分歧。根据启动的主体不同合规审计可以分为内部审计、第三方利益主体审计以及监管部门履职启动的合规审计。严格来讲，前两类审计都属于市场主体基于自身利益和合规管理需要而自主发起，与监管部门强制启动的审计有所区别，前者维护的是当事人的私益，而后者主要是出于维护个人信息保护和数据使用所关联的社会公共利益或者国家安全。
    2. 对合规审计依据的理解存在分歧
    一方面，数字经济时代的传统审计依据应用于个人信息保护合规审计面临着兼容性不足问题。各类网络平台、移动终端、App 应用软件无时无刻不在采集各种传统个人信息数据，随着生物科技发展还扩张到指纹、虹膜、面容、DNA 编码等个人生物特征信息。信息采集渠道广、方法隐蔽，如果在个人信息合规审计上坚持采用传统审计方法，则会非常困难。而且信息技术发展及其应用，信息共享，互联互通，使得传统财务报表审计、经营审计和合规审计日趋一体化，着眼于所有权和经营权保障的既有财务审计依据易与个人信息保护合规审计发生难以兼容的情况。另一方面，既有审计规范和依据有其特殊的适用条件，审计实操和司法、执法规范尚未配套跟进。对于从事传统行业且个人信息处理量不大的企业来说，合规审计尚属于新生事物，长期的路径依赖使其对于新兴规范要求较为抗拒。例如：人力资源管理中，劳动法律规定对于企业采集员工个人信息设定了“与劳动合同直接相关”的限制，但该规定本身较为抽象，难以有效规制此类过度采集行为。《个人信息保护法》颁布较晚，还没有形成全面、成熟的司法解释和执法规范，司法和执法缺乏统一和确定的尺度标准，个人信息处理行为的合规边界难以界定，合规审计结论易生偏差。
    3. 审计证据收集缺乏规范性保证
    实践中，个人信息处理者往往面临着合规证据不充分、工作异常复杂、合规审计成本投入过高的情形。一方面，是合规审计业务流程的复杂性导致审计证据收集较难。个人信息保护合规审计是一项涵盖企业全业务流程的复杂性较高的工作，费时费力，不易形成常态化的合规审计态势[6]。加上传统审计方法多属于事后收集证据，而个人信息保护规范要求作为外部规范，表达的是国家和社会的人权保护态度，若单纯地依赖事后收集证据，则不能发挥事前规范和指引的作用。另一方面，信息化时代，数据更新迭代迅速，个人信息处理违规行为的痕迹在网络系统中很容易被刷新、淹没甚至删除，原始载体极易丢失、毁坏，事后取证难度加大。大型数据平台的业务复杂，内外部的信息交互频繁发生，稍有不慎，就会造成个人信息泄露等违规后果。加之涉及不同主体和流程环节较多，对于个人信息保护规范的落实是否有足够证据来支撑和还原、个人信息处理全过程的合法性基础条件是否成就等合规事项的审查判定存在较大的不确定性[7]。
    三、个人信息保护合规审计制度的完善路径
    当前数据安全和个人信息保护已成为各国重点关注事项，需要监管部门、司法机关、个人信息处理者以及测评机构、外部专业机构等合规支持方的共同协力，推动合规审计制度落地实施和不断完善。
    （一）吸收国内外最新规范要求纳入审计依据
    一方面，要随时保持对国内监管要求变化的敏感性。合规审计不应仅仅着眼于违法责任的规避，还要为数据利用和开发提供更大动能。对于电商、电信运营、医疗、智能家居、互联网金融、自动驾驶汽车等个人信息处理业务量较大的行业和企业来说，应当将个人信息保护合规审计融入其主营业务，将贯穿于业务活动的个人信息处理事务的审查、服务与评价纳入合规审计范畴，为内部经营决策和管理提供精准参考。同时，基于不同行业所涉个人信息处理的体量和频度，随时关注监管部门针对性制定和更新的监管规则的变化，强化个人信息保护义务履行的动态调整。另一方面，要保持对域外法律和政策环境变化的敏感性。2018 年欧盟《通用数据保护条例》（GDPR）出台，英、法、德等通过国内立法修订完善了本国的数据保护规则，加强了对GDPR的规则的国内法转化力度，相继开展数据保护的合规审计。对于从事数据跨境交易和转移的数据平台企业来说，尤其需要关注域外数据保护制度的发展，虽无国内法的强制要求，也要自觉对标自身的个人信息和数据处理是否符合域外相关法律法规。应坚持以国内监管为指引，以域外规范为参考，自觉将其吸收为内部合规要求，避免遭受违规制裁或其他负面影响。
    （二）明确规定合规审计相关主体的责任条款
    现行法律规范并未明确专业机构以及个人信息处理者的某些违法行为所应承担的法律责任，通过责任条款完善可以弥补这一制度缺失。第一，在组织内部明确个人信息保护合规的主体责任。个人信息保护不仅是法律规范的要求，也是企业合规经营的内化要求，更是数据平台企业积极承担社会责任的重要表现。就公司制的企业组织而言，个人信息保护的合规义务应在董事会和监事会内予以同步下沉，引入外部专业团队入驻常态化开展工作的同时，也可以将其嵌入监事会和股东大会等运行机制。第二，明确被审计主体及有关责任人的法律责任。除了督促被审计主体积极接受审计监督之外，还须明确审计人员的法律责任。第三，明确外部专业机构承担责任的依据。《管理办法》所明确的专业机构，主要是指会计师事务所，需要满足个人信息保护、信息安全管理经验并取得个人信息保护认证等方面的条件，因而是否熟练掌握和运用合规审计规则将成为评判其专业能力的重要标准。除了专业性和独立性要求之外，《管理办法》对专业机构行使权限不当而造成的后果，应当承担何种责任以及责任形式均无明确规定，可以通过行业规范对执业失范行为实施惩戒。
    （三）强化合规审计报告证据效力的维护保障
    合规审计报告证据作用主要有二：一是作为合规结论的判定依据，二是作为违法责任的判定依据。以个人信息违规处理行为存在的审计结论为依据界定相关主体法律责任，在诉讼中会被作为专家意见或者鉴定意见予以采纳。这就要求合规审计报告结论在发挥其对个人信息保护合规进行评价和风险漏洞整改指引的功能的同时，对其证据效力本身加以维护。一方面，需要推动合规审计报告制作规范化和流程化，保障专业意见和结论的科学性。重点在于采集证据种类、采集方式、证据保全以及证据本身对于审计结论支撑的关联性论证等方面的制度完善，以此进一步增强审计报告的科学性和客观性。另一方面，须提高审计工作底稿的规范性，明确底稿制作的流程、责任主体等。这样才能确保审计报告作为专业鉴定意见的规范性和全面性，为事后界定风险和法律责任提供有效依据。
    四、结语
    总之，在个人信息保护和数据安全已成为全球共同关注话题的背景下，个人信息保护合规审计将成为一项常态化和持续性的要求。我国企业在应对此种合规要求时不应当仅仅着眼于国内法规和政策，还要具有国际视野和超前意识，以免因为触犯其他国家的监管规范而面临“长臂执法”的风险。不仅要保持随时应对外部法律和政策变化的敏感性，更要自觉将个人信息保护合规作为企业内部管理的基本操作，根据国内和国际两个维度的规范依据变化，有针对性地调整内部合规的审计依据和标准，避免合规风险的同时提升全社会的个人信息保护水平。
参考文献
[1] 陈智敏.个人信息保护合规审计系统构建研究[J].审计观察, 2022(12):18-22.
[2] 王锡锌.国家保护视野中的个人信息权利束[J].中国社会科学, 2021(11):115-134, 206, 207.
[3] 许娟, 黎浩田.企业数据产权与个人信息权利的再平衡:结合“数据二十条”的解读[J].上海大学学报(社会科学版), 2023, 40(2):1-19.
[4] 敬力嘉.个人信息保护合规的体系构建[J].法学研究,2022, 44(4):152-167.
[5] 刘风景.立法目的条款之法理基础及表述技术[J].法商研究, 2013, 30(3):48-57.
[6] 杨淦.个人信息保护社会责任的法律内涵及其实现[J].上海大学学报（社会科学版）, 2023, 40(1):32-44.
[7] 胡耘通.个人信息保护合规审计制度建设思考[J].财会月刊, 2023, 44(20):88-91.