個人信息安全風(fēng)險全流程專項(xiàng)管控機(jī)制

內(nèi)容提要 《中華人民共和國個人信息保護(hù)法》創(chuàng)設(shè)了從處理規(guī)則到合規(guī)義務(wù)的個人信息安全風(fēng)險雙層防控機(jī)制，以有效合規(guī)體系為基本架構(gòu)的第二層次防控機(jī)制涵蓋個人信息處理和企業(yè)治理全流程，具有安全風(fēng)險全流程專項(xiàng)管控機(jī)制的性質(zhì)，但存在紙面化有余實(shí)效化不足的缺陷。完善機(jī)制建設(shè)的關(guān)鍵在于充分激活個人信息保護(hù)影響評估和合規(guī)審計制度。個人信息保護(hù)影響評估作為前端與中端專項(xiàng)防范機(jī)制，通過評估個人信息處理行為的個人權(quán)益影響程度和安全事件發(fā)生可能性識別全流程安全風(fēng)險。個人信息合規(guī)審計作為末端專項(xiàng)監(jiān)督機(jī)制，兼具事中風(fēng)險監(jiān)測和事后風(fēng)險調(diào)查雙重功能，須從審計組織、審計方法、審計標(biāo)準(zhǔn)等方面對其進(jìn)行機(jī)制優(yōu)化。個人信息保護(hù)影響評估和合規(guī)審計機(jī)制在發(fā)揮風(fēng)險防控功能的同時，還能通過“以評促建”“以審促建”等方式督促個人信息合規(guī)建設(shè)，使個人信息處理者建立要素完備、運(yùn)行有效的安全風(fēng)險全流程專項(xiàng)管控機(jī)制體系。

關(guān)鍵詞 個人信息 風(fēng)險管控 個人信息保護(hù)影響評估 合規(guī)審計

毛逸瀟，博士，中國政法大學(xué)刑事司法學(xué)院師資博士后

本文為國家社會科學(xué)基金重大招標(biāo)課題“數(shù)字經(jīng)濟(jì)的刑事安全風(fēng)險防范體系建構(gòu)研究”（21ZD209）的階段性成果。

我國法律為個人信息領(lǐng)域設(shè)置了獨(dú)特的安全風(fēng)險雙層防控機(jī)制。根據(jù)《中華人民共和國個人信息保護(hù)法》（簡稱《個人信息保護(hù)法》）、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國網(wǎng)絡(luò)安全法》等法律的規(guī)定，個人信息處理者既需要遵守以“告知-同意”為核心的個人信息處理規(guī)則，還需要履行一系列個人信息合規(guī)義務(wù)[1]。如《個人信息保護(hù)法》第二章“個人信息處理規(guī)則”，即通過規(guī)范個人信息處理者處理個人信息的行為保障個人信息主體對其個人信息的自決權(quán)益，屬于第一層次的權(quán)益保護(hù)型風(fēng)險防控機(jī)制。《個人信息保護(hù)法》第五章規(guī)定了“個人信息處理者的義務(wù)”，從個人信息合規(guī)義務(wù)的角度要求個人信息處理者采取制定操作規(guī)程、分類管理等安全管理措施和安全技術(shù)措施，屬于第二層次的內(nèi)部管理型風(fēng)險防控機(jī)制。迄今為止，理論界和實(shí)務(wù)界主要關(guān)注第一層次的處理規(guī)范，對第二層次的管理義務(wù)尤其是全流程專項(xiàng)管控機(jī)制的研究較為缺乏，這導(dǎo)致個人信息安全風(fēng)險雙層防范機(jī)制的制度效能無法得到充分釋放。鑒于此，本文以專項(xiàng)管控機(jī)制中存在規(guī)范依據(jù)且相對成熟的個人信息保護(hù)影響評估機(jī)制和合規(guī)審計機(jī)制為中心，研究個人信息安全風(fēng)險專項(xiàng)管控機(jī)制的理論基礎(chǔ)和實(shí)效化運(yùn)行，以期加強(qiáng)個人信息全流程安全風(fēng)險防范。

一、個人信息安全風(fēng)險雙層防控架構(gòu)下專項(xiàng)管控機(jī)制的提出

在《個人信息保護(hù)法》中，“個人信息處理規(guī)則”代表的第一層次安全風(fēng)險防控機(jī)制和“個人信息處理者的義務(wù)”代表的第二層次安全風(fēng)險專項(xiàng)防控機(jī)制均具有防范個人信息安全風(fēng)險的制度功能，但二者的規(guī)制手段和作用方式存在顯著區(qū)別。對于第一層次機(jī)制而言，個人信息安全風(fēng)險防控只是其附屬功能，構(gòu)建以“告知-同意”為核心的個人信息處理規(guī)則體系才是核心任務(wù)，只不過由于秩序是安全的基礎(chǔ)，個人信息的規(guī)范有序流動自然能夠產(chǎn)生安全風(fēng)險防控的實(shí)際效果。對于第二層次機(jī)制而言，規(guī)定個人信息處理者義務(wù)的核心目的是通過引入合規(guī)管理體系實(shí)現(xiàn)風(fēng)險防控，屬于一種個人信息安全風(fēng)險的專項(xiàng)管控機(jī)制。

1.《個人信息保護(hù)法》確立的個人信息安全風(fēng)險雙層防控機(jī)制

“個人信息處理規(guī)則”的規(guī)范對象是個人信息處理者對個人信息的收集、存儲、使用等行為，對這些處理行為施加限制性條件可以全面保障個人信息權(quán)益。這種權(quán)益保護(hù)型風(fēng)險防控機(jī)制廣泛存在于我國法律體系中，民事權(quán)益、行政相對人合法權(quán)益、刑事法益的核心保護(hù)機(jī)制均對影響權(quán)益的行為設(shè)置了限制性或者禁止性條件，并對違反行為規(guī)則、造成權(quán)益侵害后果的行為確立了相應(yīng)罰則。個人信息處理行為的關(guān)鍵限制性條件是“取得個人的同意”，有效的同意包括同意能力、自愿、明確、充分知情以及具備一定的形式等要素[1]。只有在充分保障知情權(quán)和同意權(quán)等公民個人信息自決權(quán)益的情形下，個人信息處理行為才被允許，這是通過規(guī)范個人信息處理者處理個人信息的行為，保障個人信息的規(guī)范流動秩序和個人信息主體的個人信息權(quán)益束，間接防范個人信息安全風(fēng)險的權(quán)益保護(hù)型風(fēng)險防控機(jī)制。

專章設(shè)置“個人信息處理者的義務(wù)”是《個人信息保護(hù)法》的一大特色，該部分以增設(shè)合規(guī)義務(wù)的方式要求個人信息處理者建立安全風(fēng)險專項(xiàng)管控機(jī)制，是第二層次的內(nèi)部管理型風(fēng)險防控機(jī)制。合規(guī)義務(wù)指向一種防范、識別、應(yīng)對合規(guī)風(fēng)險的公司治理體系，其設(shè)計和運(yùn)行都要圍繞特定合規(guī)風(fēng)險而展開以體現(xiàn)風(fēng)險導(dǎo)向性[2]，因此個人信息處理者的合規(guī)義務(wù)實(shí)質(zhì)上是防范個人信息合規(guī)風(fēng)險的公司治理義務(wù)。一方面，個人信息處理者應(yīng)當(dāng)采取防范合規(guī)風(fēng)險的安全管理措施，包括制定內(nèi)部管理制度和操作規(guī)程、對個人信息實(shí)行分類管理、定期對從業(yè)人員進(jìn)行安全教育和培訓(xùn)等；另一方面，個人信息處理者還應(yīng)采取防范個人信息專業(yè)風(fēng)險的安全技術(shù)措施，包括相應(yīng)的加密、去標(biāo)識化、匿名化、備份等技術(shù)?！秱€人信息保護(hù)法》為此設(shè)置了法律責(zé)任條款：個人信息處理者未履行法律規(guī)定的合規(guī)義務(wù)，將面臨警告、罰款、停業(yè)整頓甚至吊銷營業(yè)執(zhí)照等處罰。

2.第二層次個人信息安全風(fēng)險專項(xiàng)管控機(jī)制的全流程功能布局

作為個人信息安全風(fēng)險的專項(xiàng)管控機(jī)制，個人信息處理者的合規(guī)義務(wù)能夠通過體系化的安全管理措施和技術(shù)措施，發(fā)揮個人信息安全風(fēng)險的全流程防控功能。首先，個人信息合規(guī)義務(wù)的風(fēng)險管控效果覆蓋個人信息處理全流程。合規(guī)管理體系的基本性質(zhì)主要體現(xiàn)為針對合規(guī)風(fēng)險的防范、監(jiān)控、應(yīng)對機(jī)制[3]，雙層防控視野下，第二層次合規(guī)風(fēng)險防控機(jī)制的主要功能為通過對第一層次的處理規(guī)則進(jìn)行加固，確保個人信息處理行為符合法律規(guī)范。例如，“制定內(nèi)部管理制度和操作規(guī)程”屬于合規(guī)管理體系中的制定合規(guī)政策環(huán)節(jié)[1]，合規(guī)政策體系包括合規(guī)憲章、業(yè)務(wù)手冊、原則性規(guī)范、場景化指引等層級，針對包括公司管理層在內(nèi)的全體員工設(shè)置授權(quán)性和禁止性規(guī)范，使個人信息全生命周期處理行為有規(guī)可依、有據(jù)可查。

其次，個人信息合規(guī)義務(wù)的風(fēng)險管控效果涵蓋公司業(yè)務(wù)全流程。個人信息處理規(guī)則主要專注于對個人信息全生命周期維度風(fēng)險的防控，卻忽略了對個人信息處理者全業(yè)務(wù)周期維度的觀照，這一缺陷需要通過建立、健全合規(guī)管理體系予以彌補(bǔ)。合規(guī)管理體系應(yīng)當(dāng)覆蓋公司所有部門和經(jīng)營領(lǐng)域，使設(shè)計研發(fā)、生產(chǎn)服務(wù)、市場推廣等業(yè)務(wù)全流程遵守個人信息合規(guī)處理和合規(guī)管理規(guī)范。例如，歐盟《通用數(shù)據(jù)保護(hù)條例》規(guī)定的“設(shè)計和默認(rèn)數(shù)據(jù)保護(hù)”制度，已成為個人信息保護(hù)領(lǐng)域合規(guī)管理的基本原則，即在管理體系設(shè)計之初就應(yīng)將個人信息保護(hù)的需求嵌入其中[2]。如今，其作為商業(yè)實(shí)踐的默認(rèn)規(guī)則，用于實(shí)現(xiàn)覆蓋業(yè)務(wù)全流程的個人信息安全風(fēng)險合規(guī)管控。

最后，個人信息合規(guī)義務(wù)的風(fēng)險管控效果囊括公司治理全流程。個人信息合規(guī)管理制度具有鮮明的體系自洽性，除了包括制度體系的合規(guī)政策和機(jī)構(gòu)體系的合規(guī)組織，有效合規(guī)計劃還包括預(yù)防、識別、應(yīng)對等合規(guī)管控程序。合規(guī)預(yù)防機(jī)制由合規(guī)風(fēng)險評估、合規(guī)盡職調(diào)查、合規(guī)培訓(xùn)等程序組成；合規(guī)識別機(jī)制包括合規(guī)審計、合規(guī)監(jiān)控、合規(guī)舉報、合規(guī)報告等程序；合規(guī)應(yīng)對機(jī)制包括合規(guī)內(nèi)部調(diào)查、違規(guī)處理和補(bǔ)救程序。三大機(jī)制環(huán)環(huán)相扣，形成合規(guī)治理的閉環(huán)。有效運(yùn)行的個人信息合規(guī)體系能基于公司治理的高度，從事前預(yù)防、事中識別、事后補(bǔ)救的治理全流程對個人信息安全風(fēng)險進(jìn)行專項(xiàng)精細(xì)化管控。

二、第二層次個人信息安全風(fēng)險專項(xiàng)管控機(jī)制的運(yùn)行障礙

第二層次的個人信息安全風(fēng)險專項(xiàng)管控機(jī)制通過督促個人信息處理者落實(shí)合規(guī)義務(wù)，確保個人信息處理行為符合法律規(guī)范，進(jìn)而實(shí)現(xiàn)個人信息處理全流程安全風(fēng)險的有效防范。當(dāng)前，專項(xiàng)管控機(jī)制缺乏明確的法律規(guī)范指引，且存在外部激勵不夠和內(nèi)部動力不足等實(shí)踐障礙，這導(dǎo)致個人信息處理者建立的專項(xiàng)管控機(jī)制存在紙面化有余而實(shí)效化不足的運(yùn)行缺陷。

1.第二層次個人信息安全風(fēng)險專項(xiàng)管控機(jī)制的規(guī)范滯后

個人信息安全風(fēng)險的雙層防控機(jī)制中，位于第二層次的專項(xiàng)管控機(jī)制始終沒有得到理論界和實(shí)務(wù)界的足夠重視，立法和規(guī)范指引的滯后是造成這一現(xiàn)象的重要原因?！秱€人信息保護(hù)法》既未明確提出雙層防控機(jī)制的總體布局，也未完成第二層次專項(xiàng)防控機(jī)制的體系化立法構(gòu)建；將專項(xiàng)管控機(jī)制冠以“個人信息處理者的義務(wù)”之名，難以體現(xiàn)其作為風(fēng)險防控和合規(guī)管理機(jī)制的本質(zhì)特征；相關(guān)規(guī)定較為雜亂，體系性和可操作性明顯不足。首先，《個人信息保護(hù)法》在合規(guī)政策和合規(guī)組織方面只要求“制定內(nèi)部管理制度和操作規(guī)程”，“指定個人信息保護(hù)負(fù)責(zé)人”，而沒有進(jìn)一步規(guī)定合規(guī)政策的具體內(nèi)容以及合規(guī)組織的基本架構(gòu)、履職方式、資源配置等要素。歐盟《通用數(shù)據(jù)保護(hù)條例》則詳細(xì)規(guī)范了數(shù)據(jù)保護(hù)專員的地位和任務(wù)，要求數(shù)據(jù)保護(hù)專員獲得執(zhí)行任務(wù)的必要資源，規(guī)定了其接觸個人數(shù)據(jù)和處理機(jī)制的必要方式以及個人專業(yè)知識的培訓(xùn)，并要求數(shù)據(jù)處理者不得對數(shù)據(jù)保護(hù)專員下達(dá)任何指令，以保證其不會因?yàn)閳?zhí)行任務(wù)的原因而被解雇或者受到處罰[3]。其次，《個人信息保護(hù)法》對個人信息合規(guī)流程的規(guī)定也存在缺陷。在合規(guī)預(yù)防程序方面，只規(guī)定了安全教育培訓(xùn)和個人信息保護(hù)影響評估，而對合規(guī)盡職調(diào)查、合規(guī)報告等制度未予以明確；在合規(guī)識別程序方面，只要求建立合規(guī)審計制度，卻忽略了合規(guī)監(jiān)控、合規(guī)舉報等機(jī)制；在合規(guī)應(yīng)對程序方面，沒有對最重要的合規(guī)內(nèi)部調(diào)查制度進(jìn)行立法布局。最后，《個人信息保護(hù)法》對個人信息保護(hù)影響評估和合規(guī)審計制度的規(guī)定也存在諸多問題。一方面，在條文設(shè)計上將合規(guī)審計置于個人信息保護(hù)影響評估制度之前，這反映了立法缺乏從合規(guī)預(yù)防程序到合規(guī)識別程序的體系邏輯；另一方面，立法也存在過于簡略和語焉不詳?shù)缺锥?，《個人信息保護(hù)法》只提出合規(guī)審計這一概念，而沒有對合規(guī)審計的范圍、頻率、方式、流程作任何規(guī)定[1]。作為個人信息保護(hù)領(lǐng)域位階最高的國家法律，《個人信息保護(hù)法》規(guī)范相對滯后，已成為個人信息安全風(fēng)險專項(xiàng)管控機(jī)制有效運(yùn)行的障礙。

2.第二層次個人信息安全風(fēng)險專項(xiàng)管控機(jī)制的實(shí)踐障礙

個人信息安全風(fēng)險專項(xiàng)管控機(jī)制在實(shí)踐中還存在有效性不足的問題，即便個人信息處理者按照《個人信息保護(hù)法》的規(guī)定建立了最低限度的專項(xiàng)管控機(jī)制，也存在紙面化有余實(shí)效化不足的缺陷，無法滿足專項(xiàng)管控機(jī)制的“專項(xiàng)性”和“專業(yè)化”要求。一方面，個人信息安全風(fēng)險的專項(xiàng)管控機(jī)制與個人信息處理規(guī)則體系的明確界分是雙層防控的基本特征，專項(xiàng)管控機(jī)制的專項(xiàng)性表現(xiàn)為其具有獨(dú)立的風(fēng)險防控步驟、方式、流程，而不是對個人信息處理規(guī)則的簡單重復(fù)。然而，實(shí)踐中個人信息處理者往往只注重制定操作規(guī)程、確定操作權(quán)限等與個人信息處理規(guī)則密切相關(guān)的管控措施，實(shí)質(zhì)上這只完成了個人信息處理規(guī)則的內(nèi)部化，與專門機(jī)制、專門流程、專門體系的專項(xiàng)管控要求仍相距甚遠(yuǎn)。另一方面，個人信息安全風(fēng)險專項(xiàng)管控機(jī)制作為專項(xiàng)合規(guī)管理體系，還具有專業(yè)化要求。專項(xiàng)合規(guī)計劃由通用合規(guī)要素和專業(yè)合規(guī)要素組成，通用合規(guī)要素是企業(yè)建立合規(guī)管理體系的必備要素，在此基礎(chǔ)上，各專項(xiàng)合規(guī)計劃有著針對特定合規(guī)風(fēng)險的專業(yè)合規(guī)要素[2]。個人信息保護(hù)合規(guī)計劃中的個人信息保護(hù)影響評估和個人信息合規(guī)審計等要素屬于專業(yè)合規(guī)要素，是典型的專項(xiàng)管控機(jī)制，也是個人信息安全風(fēng)險全流程防范機(jī)制的建設(shè)重點(diǎn)，但由于法律規(guī)定簡略、行政監(jiān)管乏力等原因，這些專項(xiàng)管控機(jī)制在實(shí)踐中未得到有效實(shí)施。

有鑒于此，現(xiàn)階段完善個人信息安全風(fēng)險全流程專項(xiàng)管控機(jī)制的關(guān)鍵在于充分激活專業(yè)合規(guī)要素，要在將個人信息處理規(guī)則內(nèi)化為合規(guī)政策，建立健全合規(guī)盡職調(diào)查、合規(guī)培訓(xùn)、合規(guī)監(jiān)控、合規(guī)舉報等通用合規(guī)要素的基礎(chǔ)上，通過完善針對個人信息安全風(fēng)險的專業(yè)合規(guī)要素，提升專項(xiàng)管控機(jī)制的風(fēng)險防范效能。個人信息保護(hù)影響評估制度和合規(guī)審計制度是個人信息專項(xiàng)合規(guī)管理體系中專業(yè)化程度較高的兩項(xiàng)合規(guī)制度，作為前端和中端防范機(jī)制的個人信息保護(hù)影響評估制度，相較于通用合規(guī)要素具有較強(qiáng)的風(fēng)險針對性，能夠有效識別潛在的合規(guī)風(fēng)險點(diǎn)，是個人信息保護(hù)領(lǐng)域各項(xiàng)風(fēng)險管控機(jī)制的依據(jù)和準(zhǔn)繩。作為末端監(jiān)督機(jī)制的個人信息保護(hù)合規(guī)審計制度，相較于部分專業(yè)合規(guī)要素更具有穿透性，其監(jiān)督效果能夠輻射至個人信息處理全流程，可以實(shí)質(zhì)審查第二層次個人信息安全風(fēng)險專項(xiàng)管控機(jī)制設(shè)計和運(yùn)行的有效性。要以這兩項(xiàng)專業(yè)化程度較高并且具有全流程預(yù)防和識別作用的合規(guī)制度為抓手，通過“以評促建”和“以審促建”的方式打造獨(dú)立于個人信息處理規(guī)則且能夠有效運(yùn)行的專項(xiàng)合規(guī)管理體系。

三、個人信息安全風(fēng)險的前端與中端專項(xiàng)防范：影響評估機(jī)制

個人信息保護(hù)影響評估是法律明確規(guī)定的個人信息安全風(fēng)險專項(xiàng)管控機(jī)制。根據(jù)《個人信息保護(hù)法》第55條的規(guī)定，個人信息處理者在處理敏感個人信息、利用個人信息進(jìn)行自動化決策、委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息、向境外提供個人信息，以及開展其他對個人權(quán)益有重大影響的個人信息處理活動之前，應(yīng)當(dāng)進(jìn)行事前個人信息保護(hù)影響評估，并對處理情況進(jìn)行記錄。通過功能延拓與機(jī)制完善，影響評估機(jī)制能夠突破前端防控的屬性限制，進(jìn)而對個人信息的中端處理過程發(fā)揮持續(xù)監(jiān)測功能。

1.個人信息保護(hù)影響評估機(jī)制的風(fēng)險識別功能

個人信息保護(hù)影響評估機(jī)制屬于合規(guī)預(yù)防程序，其主要發(fā)揮合規(guī)風(fēng)險識別的制度功能。合規(guī)風(fēng)險識別要求對企業(yè)經(jīng)營和管理行為中合規(guī)風(fēng)險是否存在或者存在可能性進(jìn)行判斷和定位，對合規(guī)風(fēng)險的危害和影響進(jìn)行評估和分析，對合規(guī)風(fēng)險發(fā)生的原因進(jìn)行查找和梳理，以進(jìn)一步借助合規(guī)體系對合規(guī)風(fēng)險進(jìn)行管理和控制。精準(zhǔn)識別合規(guī)風(fēng)險是開展合規(guī)體系建設(shè)的前提和基礎(chǔ)[1]，因此，合規(guī)風(fēng)險識別既是專項(xiàng)管控的首要機(jī)制，也對后續(xù)各項(xiàng)管控機(jī)制的全景運(yùn)行具有長效指導(dǎo)作用。個人信息保護(hù)影響評估的內(nèi)容包括以下三個方面：一是個人信息處理行為的合規(guī)范性，即“個人信息的處理目的、處理方式等是否合法、正當(dāng)、必要”，識別違反個人信息處理規(guī)范的風(fēng)險行為[2]；二是個人信息處理行為對個人權(quán)益的影響，即“對個人權(quán)益的影響及安全風(fēng)險”，從權(quán)利保護(hù)維度進(jìn)一步考察實(shí)質(zhì)風(fēng)險；三是合規(guī)管理義務(wù)的履行情況，即“所采取的保護(hù)措施是否合法、有效并與風(fēng)險程度相適應(yīng)”，檢查個人信息安全風(fēng)險專項(xiàng)管控機(jī)制的建設(shè)和運(yùn)行情況。

通過對個人信息處理行為和合規(guī)管理行為進(jìn)行審查，個人信息保護(hù)影響評估可以實(shí)現(xiàn)基本的風(fēng)險識別功能[3]。首先，個人信息保護(hù)影響評估必須在開展個人信息處理活動之前進(jìn)行，作為個人信息安全風(fēng)險的前端專項(xiàng)防范機(jī)制，其具有“合規(guī)準(zhǔn)入”和“合規(guī)一票否決”等功能，可以有效過濾和阻止存在違法風(fēng)險的個人信息處理行為[4]。其次，個人信息保護(hù)影響評估的對象涵蓋雙層防控機(jī)制，是對個人信息處理規(guī)則和個人信息合規(guī)義務(wù)的全體系、全流程的合規(guī)審查，這就要求個人信息處理者在開展處理活動之前要建立完善的個人信息保護(hù)合規(guī)體系。再次，風(fēng)險識別功能并非僅僅發(fā)現(xiàn)和消除風(fēng)險，還能對風(fēng)險進(jìn)行科學(xué)分級管控，只要合規(guī)保護(hù)措施與風(fēng)險后果嚴(yán)重性、風(fēng)險發(fā)生可能性等風(fēng)險程度相匹配，個人信息安全風(fēng)險得到專項(xiàng)管控，就不會影響個人信息處理活動的開展。最后，個人信息處理行為對個人權(quán)益的影響是評估的實(shí)質(zhì)標(biāo)準(zhǔn)，評估內(nèi)容不僅包括知情權(quán)、決定權(quán)、限制或者拒絕權(quán)、個人信息保護(hù)請求權(quán)等個人信息權(quán)益的保障情況[5]，還包括個人信息處理行為對名譽(yù)權(quán)、隱私權(quán)、健康權(quán)、財產(chǎn)權(quán)等個人人身財產(chǎn)權(quán)益的影響。

2.個人信息保護(hù)影響評估的基本原理與關(guān)鍵環(huán)節(jié)

個人信息保護(hù)影響評估機(jī)制風(fēng)險識別功能的實(shí)現(xiàn)要依托科學(xué)的評估原理和方法，國家標(biāo)準(zhǔn)GB/T 39335—2020《信息安全技術(shù)個人信息安全影響評估指南》具有一定的參考性。概括而言，個人信息保護(hù)影響評估的基本原理是通過數(shù)據(jù)映射分析、梳理待評估的個人信息處理活動，進(jìn)行個人權(quán)益影響分析和安全保護(hù)措施有效性分析，最終綜合評估個人權(quán)益影響程度和安全事件可能性程度后確定個人信息處理活動的風(fēng)險級別及應(yīng)對方式。

在此基礎(chǔ)上，個人信息保護(hù)影響評估需要遵循以下基本原則。一是場景化評估原則，即風(fēng)險識別應(yīng)依托個人信息處理和商業(yè)實(shí)踐的具體場景，評估處理敏感個人信息、利用個人信息進(jìn)行自動化決策、委托處理個人信息等場景下的個人信息類型、處理目的、處理方式、關(guān)涉利益，避免脫離具體應(yīng)用場景的抽象化判斷[1]。二是要素式評估原則，將法律規(guī)范、行業(yè)標(biāo)準(zhǔn)、自主實(shí)踐的要求加以要素化處理，如將利用個人信息進(jìn)行自動化決策的評估要素設(shè)置為向用戶說明自動化決策原理和機(jī)制、定期對決策效果進(jìn)行評價、對決策的數(shù)據(jù)源和算法持續(xù)優(yōu)化、向用戶提供針對性投訴渠道等要素，這有助于從面的籠統(tǒng)評估轉(zhuǎn)向點(diǎn)的精準(zhǔn)評估。三是綜合性評估原則，通過對個人權(quán)益影響程度和安全事件發(fā)生可能性的等級判定，結(jié)合自身風(fēng)險偏好和管控策略，得出綜合風(fēng)險評估結(jié)論。例如，對于對個人權(quán)益影響程度嚴(yán)重而安全事件發(fā)生可能性低的個人信息處理行為，風(fēng)險等級綜合評價一般為中級，此時風(fēng)險追求型個人信息處理者可以在建立相適應(yīng)的安全管控措施的同時實(shí)施個人信息處理行為。

個人信息保護(hù)影響評估的關(guān)鍵環(huán)節(jié)是評估個人權(quán)益影響程度和安全事件發(fā)生的可能性。個人權(quán)益影響評估應(yīng)先分析個人信息敏感程度，敏感個人信息的泄露或者非法使用會對個人權(quán)益造成嚴(yán)重影響，對此需要有專門的處理規(guī)則和合規(guī)管理要求，并采用差異化的風(fēng)險評估方式和內(nèi)容進(jìn)行評估[2]。隨后應(yīng)結(jié)合個人信息處理活動的場景和方式，以處理活動對個人信息自主權(quán)益和其他人身財產(chǎn)權(quán)益的影響為落腳點(diǎn)，對個人權(quán)益影響作出綜合分析。如處理活動限制了敏感個人信息自主決定權(quán)，可能使個人遭受重大的不可克服的人身和財產(chǎn)權(quán)益損害的，可以綜合認(rèn)定其為對個人權(quán)益影響程度嚴(yán)重。安全事件發(fā)生可能性評估內(nèi)容主要是個人信息安全風(fēng)險雙層防控機(jī)制的有效性，如果采取的措施不夠有效，個人信息處理行為極不規(guī)范，則安全事件的發(fā)生不可避免。個人權(quán)益影響程度和安全事件發(fā)生可能性的評估本質(zhì)上都是通過考察個人信息安全風(fēng)險防控機(jī)制的運(yùn)行情況及其帶來的影響，使個人信息處理者避免違反個人信息處理規(guī)則和怠于履行個人信息合規(guī)義務(wù)。

3.個人信息保護(hù)影響評估的功能延拓與機(jī)制完善

《個人信息保護(hù)法》規(guī)定個人信息保護(hù)影響評估報告和處理情況記錄應(yīng)當(dāng)至少保存三年，因此不能將影響評估等同于風(fēng)險識別，而是要在風(fēng)險識別和評估的基礎(chǔ)上進(jìn)行風(fēng)險處置和應(yīng)對。首先，應(yīng)將個人信息保護(hù)影響評估的效力范圍擴(kuò)展至風(fēng)險處置全流程。個人信息處理者對于嚴(yán)重違反處理規(guī)則、嚴(yán)重侵害個人權(quán)益的處理行為應(yīng)采用風(fēng)險規(guī)避策略，并主動放棄實(shí)施該處理行為；對于不違反處理規(guī)則，但有小概率會造成個人權(quán)益輕微損害的處理行為，可以選擇風(fēng)險接受，并強(qiáng)化對處理行為的動態(tài)監(jiān)測；對于違反處理規(guī)則、具有侵害個人權(quán)益風(fēng)險，但可以通過限縮處理范圍、改變處理方式、建立權(quán)利響應(yīng)機(jī)制、完善合規(guī)管理體系等方式降低風(fēng)險的處理行為，可以在有效改進(jìn)的基礎(chǔ)上實(shí)施處理行為；對于存在上述風(fēng)險，但自身能力不足以有效降低風(fēng)險的處理行為，可以采用風(fēng)險分擔(dān)策略，尋求與專業(yè)的第三方個人信息處理機(jī)構(gòu)合作，并遵守委托處理個人信息的基本規(guī)則。

其次，應(yīng)將個人信息保護(hù)影響評估的作用范圍輻射至個人信息處理全流程。有效合規(guī)計劃標(biāo)準(zhǔn)要求定期開展風(fēng)險評估[3]，由于在個人信息處理者運(yùn)營過程中業(yè)務(wù)條件、網(wǎng)絡(luò)環(huán)境、人員結(jié)構(gòu)、政策法規(guī)等經(jīng)常發(fā)生變動，對于正在實(shí)施的個人信息處理行為也應(yīng)定期進(jìn)行風(fēng)險評估，并持續(xù)修正安全風(fēng)險管控措施，將個人信息保護(hù)影響評估從事前合規(guī)預(yù)防轉(zhuǎn)向事中合規(guī)監(jiān)測，使個人信息安全風(fēng)險得到長效化防控。此外，個人信息保護(hù)影響評估報告在違規(guī)事件發(fā)生后的合規(guī)應(yīng)對環(huán)節(jié)也扮演著重要角色，合規(guī)管控措施對違法責(zé)任具有減輕甚至免除的作用，發(fā)揮責(zé)任切割功能[1]。個人信息保護(hù)影響評估報告及處置記錄可以在合規(guī)事件發(fā)生后證明自身已善盡風(fēng)險評估義務(wù)并采取有效安全保護(hù)措施，進(jìn)而獲得從寬處罰或者無責(zé)任處理[2]。

最后，應(yīng)將個人信息保護(hù)影響評估的功能范圍拓展至風(fēng)險管控機(jī)制全流程?；陲L(fēng)險的合規(guī)管理體系以有效防控合規(guī)風(fēng)險為目的，所有合規(guī)政策、組織結(jié)構(gòu)、流程都要圍繞合規(guī)風(fēng)險展開。個人信息保護(hù)影響評估能夠有效識別個人信息處理者存在的合規(guī)風(fēng)險點(diǎn)，在此基礎(chǔ)上才可以開展有效合規(guī)體系建設(shè)。例如，對相關(guān)業(yè)務(wù)進(jìn)行去違法化改造、制定規(guī)范相關(guān)個人信息處理行為的員工手冊、向相關(guān)業(yè)務(wù)部門派駐合規(guī)官員、開展針對性的合規(guī)培訓(xùn)和合規(guī)監(jiān)控、建立專門合規(guī)舉報機(jī)制等等。因此，個人信息保護(hù)領(lǐng)域的各項(xiàng)風(fēng)險管控機(jī)制都應(yīng)以影響評估內(nèi)容為依據(jù)和準(zhǔn)繩。法律對個人信息保護(hù)義務(wù)的規(guī)定使風(fēng)險合規(guī)管控機(jī)制本身也成為合規(guī)風(fēng)險之一，個人信息保護(hù)影響評估不僅對風(fēng)險控制和合規(guī)體系全流程具有指導(dǎo)作用，還能將合規(guī)體系的有效性納入評估內(nèi)容并對其產(chǎn)生直接的制約力。

四、個人信息安全風(fēng)險的末端專項(xiàng)監(jiān)督：合規(guī)審計機(jī)制

個人信息保護(hù)合規(guī)審計同樣是法律明確規(guī)定的個人信息安全風(fēng)險專項(xiàng)管控機(jī)制?！秱€人信息保護(hù)法》規(guī)定個人信息處理者應(yīng)當(dāng)定期對其處理個人信息全流程遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計。這種個人信息處理活動完成后的審計機(jī)制，發(fā)揮了個人信息安全風(fēng)險的末端專項(xiàng)監(jiān)督功能，其監(jiān)督效果能夠輻射至個人信息處理全流程。

1.個人信息合規(guī)審計機(jī)制的風(fēng)險監(jiān)測及調(diào)查功能

企業(yè)運(yùn)行過程中的審計制度是對各項(xiàng)經(jīng)營管理活動進(jìn)行獨(dú)立監(jiān)督的專項(xiàng)機(jī)制，合規(guī)審計在合規(guī)管理體系中屬于一種合規(guī)風(fēng)險監(jiān)測機(jī)制，合規(guī)審計的對象是合規(guī)管理體系本身，合規(guī)審計的主題是合規(guī)管理體系的有效性，其旨在通過審計活動檢驗(yàn)合規(guī)政策和各項(xiàng)合規(guī)流程是否得到有效設(shè)計和運(yùn)行，進(jìn)而發(fā)現(xiàn)合規(guī)管理的缺陷和漏洞，以便后續(xù)對合規(guī)體系進(jìn)行針對性修復(fù)和完善[3]。一般認(rèn)為，個人信息合規(guī)審計專指對個人信息保護(hù)合規(guī)體系的監(jiān)督，國家標(biāo)準(zhǔn)GB/T 35273—2020《信息安全技術(shù)個人信息安全規(guī)范》采用此觀點(diǎn)，認(rèn)為個人信息處理者“應(yīng)對個人信息保護(hù)政策、相關(guān)規(guī)程和安全措施的有效性進(jìn)行審計”。然而，《個人信息保護(hù)法》規(guī)定合規(guī)審計的對象是個人信息處理者“處理個人信息遵守法律、行政法規(guī)的情況”，既包括個人信息合規(guī)義務(wù)的履行情況，也包括個人信息處理行為的合法性。

《個人信息保護(hù)法》將審計對象由個人信息合規(guī)體系延伸到個人信息處理者的全部個人信息處理和合規(guī)管理活動，從根本上改變了合規(guī)審計的合規(guī)管理流程性質(zhì)，使其成為一種涵蓋合規(guī)管理體系內(nèi)外的個人信息風(fēng)險末端專項(xiàng)監(jiān)督機(jī)制，所以稱其為個人信息“合規(guī)性審計”更為恰當(dāng)。既然個人信息合規(guī)審計是全面的合規(guī)性審計，其功能也就不限于監(jiān)測個人信息合規(guī)體系的有效性。一方面，個人信息處理者定期開展的合規(guī)審計作為個人信息安全風(fēng)險的末端監(jiān)測機(jī)制，定期對個人信息處理行為合法性和合規(guī)管理體系有效性進(jìn)行全面審查，可以及時發(fā)現(xiàn)具有違法違規(guī)風(fēng)險的行為模式和管理方式。另一方面，《個人信息保護(hù)法》第64條還規(guī)定了在監(jiān)管部門要求下作為事后調(diào)查機(jī)制的合規(guī)審計的適用情形，也就是在監(jiān)管部門發(fā)現(xiàn)“個人信息處理活動存在較大風(fēng)險或者發(fā)生個人信息安全事件”的情況下，個人信息安全風(fēng)險已經(jīng)爆發(fā)，個人信息處理者采取事后應(yīng)對措施，合規(guī)審計活動具有“內(nèi)部調(diào)查”的功能，目的在于查明違規(guī)行為、確定責(zé)任人員、識別合規(guī)漏洞[1]。

2.個人信息合規(guī)審計機(jī)制的核心流程與審計要點(diǎn)

我國法律賦予個人信息合規(guī)審計機(jī)制風(fēng)險監(jiān)測和風(fēng)險調(diào)查雙重功能，使合規(guī)審計有合規(guī)內(nèi)部調(diào)查的性質(zhì)和內(nèi)容，監(jiān)測與調(diào)查機(jī)制在核心流程方面有著相似的原理，都是對個人信息處理行為和合規(guī)管理行為的合法性和有效性進(jìn)行審查。問題在于，如何通過審計組織建設(shè)、審計職能配置、審計標(biāo)準(zhǔn)制定和審計方法設(shè)計，對個人信息處理者的各項(xiàng)行為進(jìn)行專業(yè)、全面、獨(dú)立、客觀、公正的審計審查[2]。針對此，2023年8月3日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《個人信息保護(hù)合規(guī)審計管理辦法（征求意見稿）》（以下簡稱《合規(guī)審計辦法》），不僅確定了審計專業(yè)組織的履職要求和職業(yè)倫理，還著重規(guī)范了審計組織的權(quán)限和個人信息處理者的配合義務(wù)，這些規(guī)定可以為機(jī)制運(yùn)行提供有益參照。

首先，作為一種專項(xiàng)監(jiān)督機(jī)制，個人信息合規(guī)審計的首要條件是確保審計機(jī)構(gòu)的獨(dú)立性，在此基礎(chǔ)上審計工作才具有客觀性，審計人員才能公正客觀地作出職業(yè)判斷。在合規(guī)風(fēng)險爆發(fā)時，個人信息處理者應(yīng)在監(jiān)管部門要求下委托專業(yè)機(jī)構(gòu)開展個人信息保護(hù)合規(guī)審計，此時需要重點(diǎn)審查審計機(jī)構(gòu)及其成員與個人信息處理者及其股東之間是否存在利益關(guān)聯(lián)?！逗弦?guī)審計辦法》要求專業(yè)機(jī)構(gòu)連續(xù)為同一審計對象開展個人信息保護(hù)合規(guī)審計不得超過三次，以阻斷審計雙方的利益交互。而在個人信息處理者自行開展日常性合規(guī)審計的場合，也應(yīng)盡量聘請外部專業(yè)人員組成審計團(tuán)隊(duì)，因?yàn)楹弦?guī)審計的對象既包括業(yè)務(wù)部門從事的個人信息處理行為，也包括合規(guī)部門搭建的個人信息保護(hù)合規(guī)體系，僅由合規(guī)部門負(fù)責(zé)合規(guī)審計可能難以發(fā)現(xiàn)合規(guī)管理漏洞。因此，《個人信息保護(hù)法》明確要求大型網(wǎng)絡(luò)平臺應(yīng)當(dāng)成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對個人信息保護(hù)情況進(jìn)行監(jiān)督。

其次，相較于專業(yè)化程度較高的財務(wù)審計，個人信息合規(guī)審計在方法上較不成熟?！逗弦?guī)審計辦法》第8條規(guī)定了審計機(jī)構(gòu)的權(quán)限，包括要求提供文件資料、觀察個人信息處理活動、調(diào)查信息系統(tǒng)、檢查設(shè)備設(shè)施、調(diào)取數(shù)據(jù)信息、訪談人員、調(diào)查質(zhì)詢等，對此個人信息處理者需要履行配合義務(wù)。上述規(guī)定對合規(guī)審計的實(shí)際開展具有一定指導(dǎo)意義，個人信息合規(guī)審計方法可以分為審計調(diào)查方法和審計技術(shù)方法兩大類，合規(guī)審計調(diào)查方法主要是傳統(tǒng)的審閱、觀察、檢查、詢問、測試、分析等，目的在于提取個人信息處理和合規(guī)管理行為，并進(jìn)行合法性和有效性評價。然而面對海量個人信息處理行為，傳統(tǒng)審計調(diào)查方法明顯力有不逮，此時需要引入數(shù)字化審計技術(shù)方法進(jìn)行自動化輔助，這在自然語義處理和知識圖譜構(gòu)建等人工智能科技不斷成熟的時代背景下不存在技術(shù)障礙[3]，只要向機(jī)器準(zhǔn)確輸入類型化的合規(guī)審計標(biāo)準(zhǔn)和要點(diǎn)，就能保證自動化審計結(jié)果輸出的穩(wěn)定性和科學(xué)性[4]。

最后，《合規(guī)審計辦法》附件中的“個人信息保護(hù)合規(guī)審計參考要點(diǎn)”具有合規(guī)審計基本標(biāo)準(zhǔn)的功能，其中既包括個人信息處理活動的合法性基礎(chǔ)條件、履行告知義務(wù)、與他人共同處理個人信息、委托處理個人信息、轉(zhuǎn)移個人信息、利用自動化決策處理個人信息、在公共場所安裝圖像采集個人信息、處理敏感個人信息等個人信息處理全場景的審查要點(diǎn)，還包括對個人信息保護(hù)內(nèi)部管理制度、操作規(guī)程、技術(shù)措施等安全風(fēng)險專項(xiàng)管控機(jī)制的重點(diǎn)審計事項(xiàng)。參考要點(diǎn)的規(guī)范形式符合要素式合規(guī)審計標(biāo)準(zhǔn)的基本要求，其本質(zhì)是將法律法規(guī)對個人信息處理者的安全風(fēng)險管控要求進(jìn)行類型化提煉，并以審計視角對規(guī)范要求進(jìn)行細(xì)化。目前，合規(guī)審計標(biāo)準(zhǔn)只有兩個指標(biāo)層級，一級指標(biāo)是對規(guī)范要求的簡單提煉，如在合規(guī)培訓(xùn)方面，要求審查是否制定實(shí)施個人信息保護(hù)的安全教育和培訓(xùn)計劃。二級指標(biāo)則是對一級指標(biāo)的要素細(xì)化，其一，是否按計劃對管理、技術(shù)、操作等各類人員開展相應(yīng)的安全教育和培訓(xùn)；其二，是否對相應(yīng)人員的個人信息保護(hù)意識和技能進(jìn)行考核；其三，培訓(xùn)內(nèi)容、培訓(xùn)方式、培訓(xùn)對象、培訓(xùn)頻率等能否滿足個人信息保護(hù)需要。合規(guī)審計機(jī)構(gòu)在具體開展工作時需要針對特定審計對象進(jìn)一步細(xì)化標(biāo)準(zhǔn)，構(gòu)建三級審計指標(biāo)體系。

3.個人信息合規(guī)審計機(jī)制的全流程風(fēng)險管控路徑

個人信息合規(guī)管理體系作為合規(guī)風(fēng)險專項(xiàng)管控機(jī)制，主要通過事前預(yù)防、事中監(jiān)測、事后應(yīng)對的機(jī)制建設(shè)和運(yùn)行實(shí)現(xiàn)對個人信息安全風(fēng)險的全流程防控[1]。合規(guī)培訓(xùn)、合規(guī)舉報、合規(guī)報告等大部分合規(guī)體系要素只能在風(fēng)險防控中的一個環(huán)節(jié)發(fā)揮作用[2]，而個人信息合規(guī)審計機(jī)制能夠發(fā)揮安全風(fēng)險全流程防范功能?！秱€人信息保護(hù)法》規(guī)定的合規(guī)審計機(jī)制突破了傳統(tǒng)審計制度的局限性：一是將審計范圍由個人信息合規(guī)體系擴(kuò)展至個人信息處理行為；二是將審計功能由事中監(jiān)測擴(kuò)展至事后應(yīng)對，同時承擔(dān)合規(guī)審計和合規(guī)內(nèi)部調(diào)查兩項(xiàng)職能，個人信息合規(guī)審計足以為個人信息處理行為和合規(guī)管理行為提供有效的事中和事后風(fēng)險防控[3]。此外，其還具有個人信息安全風(fēng)險的事前預(yù)防效果，因?yàn)槎ㄆ陂_展合規(guī)審計是個人信息處理者的法定義務(wù)?！逗弦?guī)審計辦法》要求處理超過100萬人個人信息的個人信息處理者，應(yīng)當(dāng)每年至少開展一次合規(guī)審計，其他個人信息處理者也應(yīng)當(dāng)每二年至少開展一次合規(guī)審計。通過這種日常性合規(guī)審計，可以及時發(fā)現(xiàn)并消除上一審計年度存在的個人信息處理風(fēng)險和合規(guī)管理缺陷，有效預(yù)防下一審計年度可能發(fā)生的個人信息安全風(fēng)險。

個人信息合規(guī)審計不僅應(yīng)具有獨(dú)立的風(fēng)險管控功能，還應(yīng)與個人信息保護(hù)影響評估等合規(guī)體系的有機(jī)組成部分形成管控合力。首先，個人信息安全風(fēng)險專項(xiàng)管控機(jī)制應(yīng)遵循“先評估、后審計”的設(shè)計和運(yùn)行邏輯，個人信息保護(hù)影響評估是開展后續(xù)合規(guī)體系建設(shè)的前提和基礎(chǔ)，有效識別潛在的個人信息安全風(fēng)險，便于后續(xù)針對性構(gòu)建個人信息處理和合規(guī)管理的基本規(guī)范和流程體系，其是安全風(fēng)險的第一道專項(xiàng)防線；末端合規(guī)審計則是面向個人信息處理和合規(guī)管理行為的全面監(jiān)督機(jī)制，可以用來識別和應(yīng)對個人信息處理者的規(guī)范和流程偏離情況，審查合規(guī)管理機(jī)制的運(yùn)行實(shí)效，其是安全風(fēng)險的最后一道專項(xiàng)防線。兩項(xiàng)制度合力保障個人信息處理全流程的信息安全秩序和個人權(quán)益。其次，個人信息保護(hù)影響評估報告和處置情況記錄作為審計對象和審計材料，在日常性合規(guī)審計和內(nèi)部調(diào)查型合規(guī)審計中都扮演著重要角色，既可以幫助審計人員快速了解個人信息處理行為的規(guī)范性和合規(guī)管理體系的有效性，也可以作為認(rèn)定違法違規(guī)責(zé)任，尤其是區(qū)分單位責(zé)任與自然人責(zé)任的關(guān)鍵依據(jù)[4]。反之，合規(guī)審計機(jī)制的有效建設(shè)本身也是個人信息保護(hù)影響評估的內(nèi)容之一。最后，個人信息保護(hù)影響評估和合規(guī)審計除了自身能夠發(fā)揮風(fēng)險防控功能，還能通過“以評促建”“以審促建”的方式督促個人信息保護(hù)合規(guī)體系建設(shè)。行政監(jiān)管機(jī)關(guān)應(yīng)在判斷影響評估和合規(guī)審計機(jī)制有效性的同時，著重檢查個人信息處理者是否建立完善的評估和審計響應(yīng)制度，能否對評估和審計中發(fā)現(xiàn)的風(fēng)險防控漏洞進(jìn)行針對性填補(bǔ)和修復(fù)。憑借完善的個人信息保護(hù)影響評估和合規(guī)審計機(jī)制，個人信息處理者能夠及時發(fā)現(xiàn)合規(guī)風(fēng)險，并在此基礎(chǔ)上針對性建立要素完備、運(yùn)行有效的個人信息安全風(fēng)險全流程專項(xiàng)管控體系。

〔責(zé)任編輯：玉水〕

[1]毛逸瀟：《數(shù)據(jù)保護(hù)合規(guī)體系研究》，《國家檢察官學(xué)院學(xué)報》2022年第2期。

[1]王洪亮、李依怡：《個人信息處理中“同意規(guī)則”的法教義學(xué)構(gòu)造》，《江蘇社會科學(xué)》2022年第3期。

[2]劉艷紅：《涉案企業(yè)合規(guī)建設(shè)的有效性標(biāo)準(zhǔn)研究——以刑事涉案企業(yè)合規(guī)的犯罪預(yù)防為視角》，《東方法學(xué)》2022年第4期。

[3]陳瑞華：《論企業(yè)合規(guī)的性質(zhì)》，《浙江工商大學(xué)學(xué)報》2021年第1期。

[1]陳瑞華：《有效合規(guī)管理的兩種模式》，《法制與社會發(fā)展》2022年第1期。

[2]王鵬：《數(shù)據(jù)平臺個人信息保護(hù)的合規(guī)義務(wù)與路徑實(shí)施》，《江蘇社會科學(xué)》2023年第3期。

[3]王融：《〈歐盟數(shù)據(jù)保護(hù)通用條例〉詳解》，《大數(shù)據(jù)》2016年第4期。

[1]劉艷紅：《我國刑法的再法典化：模式選擇與方案改革》，《法制與社會發(fā)展》2023年第3期。

[2]陳瑞華：《企業(yè)合規(guī)整改中的專項(xiàng)合規(guī)計劃》，《政法論壇》2023年第1期。

[1]李勇：《涉罪企業(yè)合規(guī)有效性標(biāo)準(zhǔn)研究——以A公司串通投標(biāo)案為例》，《政法論壇》2022年第1期。

[2]馮愷、楊潤宇：《人臉識別信息處理中“合法、正當(dāng)、必要”原則的區(qū)分審查》，歐陽本祺主編：《東南法學(xué)》第5輯，東南大學(xué)出版社2022年版，第18頁。

[3]劉權(quán)：《論個人信息保護(hù)影響評估——以〈個人信息保護(hù)法〉第55、56條為中心》，《上海交通大學(xué)學(xué)報（哲學(xué)社會科學(xué)版）》2022年第5期。

[4]周佑勇：《大變局下中國式民主的制度優(yōu)勢與憲法保障》，《中國法學(xué)》2023年第1期。

[5]王苑：《私法視域下的個人信息權(quán)益論》，《法治研究》2022年第5期。

[1]H. Nissenbaum， \"Privacy as Contextual Integrit\"， Washington Law Review， 2004， 79（1）， p.119.

[2]高景峰：《涉案企業(yè)合規(guī)適用刑事訴訟全流程的相關(guān)問題研究》，《中國刑事法雜志》2023年第4期。

[3]黎宏：《合規(guī)計劃與企業(yè)刑事責(zé)任》，《法學(xué)雜志》2019年第9期。

[1]劉艷紅：《企業(yè)合規(guī)責(zé)任論之提倡——兼論刑事一體化的合規(guī)出罪機(jī)制》，《法律科學(xué)》2023年第3期。

[2]王志遠(yuǎn)：《刑事合規(guī)的體系化觀察及制度建構(gòu)展望》，《當(dāng)代法學(xué)》2023年第4期。

[3]劉艷紅：《企業(yè)合規(guī)不起訴改革的刑法教義學(xué)根基》，《中國刑事法雜志》2022年第1期。

[1]李奮飛：《論涉案企業(yè)合規(guī)的全流程從寬》，《中國法學(xué)》2023年第4期。

[2]李世剛、屈然：《論敏感個人信息的合理使用》，《江蘇社會科學(xué)》2022年第6期。

[3]王祿生：《ChatGPT類技術(shù)：法律人工智能的改進(jìn)者還是顛覆者？》，《政法論壇》2023年第4期。

[4]馬明亮：《合規(guī)科技在企業(yè)整改中的價值與實(shí)現(xiàn)路徑》，《蘇州大學(xué)學(xué)報（哲學(xué)社會科學(xué)版）》2022年第4期。

[1]毛逸瀟：《“行檢協(xié)同式”個人信息合規(guī)行刑銜接激勵新模式研究》，《法學(xué)論壇》2022年第6期。

[2]周佑勇：《契約行政理念下的企業(yè)合規(guī)協(xié)議制度構(gòu)建——以工程建設(shè)領(lǐng)域?yàn)橐暯恰?，《法學(xué)論壇》2021年第3期。

[3]閆夏秋：《企業(yè)合規(guī)視角下的內(nèi)部審計：現(xiàn)實(shí)挑戰(zhàn)與應(yīng)對》，《財會月刊》2023年第18期。

[4]王志遠(yuǎn)：《企業(yè)合規(guī)改革視野下單位犯罪主體分離論與歸咎責(zé)任論之提倡》，《比較法研究》2022年第5期。