• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    個(gè)人信息保護(hù)合規(guī)審計(jì)探究

    2024-04-29 00:00:00趙翰雋殷楠
    財(cái)會(huì)月刊·下半月 2024年4期
    關(guān)鍵詞:比例原則個(gè)人信息保護(hù)數(shù)字經(jīng)濟(jì)

    【摘要】個(gè)人信息保護(hù)合規(guī)審計(jì)是合規(guī)審計(jì)制度在數(shù)字及人工智能時(shí)代的延伸拓展。本文運(yùn)用理論探究及規(guī)則分析等方法, 深入研究個(gè)人信息保護(hù)合規(guī)審計(jì)制度的底層法理邏輯、 特征屬性、 功能需求、 指導(dǎo)原則等理論問(wèn)題, 以及合規(guī)審計(jì)的框架及方法。在提出闡釋個(gè)人信息保護(hù)合規(guī)審計(jì)制度具有多重底層法理邏輯的基礎(chǔ)上, 進(jìn)一步分析論證合規(guī)審計(jì)具有強(qiáng)烈的規(guī)則解釋適用上的“裁量判斷”屬性, 為此, 建議確立和運(yùn)用利益衡量上的比例原則、 審計(jì)獨(dú)立下的溝通及共識(shí)解釋原則等指導(dǎo)原則。為塑造形成一個(gè)綜合全面、 立體多維、 契合緊密、 功能卓越的個(gè)人信息保護(hù)合規(guī)審計(jì)制度與機(jī)制, 應(yīng)逐步建立完善相關(guān)的審計(jì)框架、 功能模塊、 指標(biāo)體系、 技術(shù)方法等。

    【關(guān)鍵詞】個(gè)人信息保護(hù);合規(guī)審計(jì);裁量判斷;比例原則;數(shù)字經(jīng)濟(jì)

    【中圖分類(lèi)號(hào)】F239" " " 【文獻(xiàn)標(biāo)識(shí)碼】A" " " 【文章編號(hào)】1004-0994(2024)08-0080-6

    2021年8月我國(guó)出臺(tái)的《個(gè)人信息保護(hù)法》首次在法律層面提出了個(gè)人信息保護(hù)合規(guī)審計(jì)的要求, 包括信息處理者定期自行安排合規(guī)審計(jì), 按照監(jiān)管部門(mén)要求委托專(zhuān)業(yè)機(jī)構(gòu)進(jìn)行合規(guī)審計(jì)。2023年8月, 國(guó)家互聯(lián)網(wǎng)信息辦公室進(jìn)一步發(fā)布了《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法(征求意見(jiàn)稿)》及配套的《個(gè)人信息保護(hù)合規(guī)審計(jì)參考要點(diǎn)》。但是, 個(gè)人信息保護(hù)合規(guī)審計(jì)制度尚處于初步建立階段, 相關(guān)工作尚處于探索實(shí)踐中。為此, 需要進(jìn)一步分析個(gè)人信息保護(hù)合規(guī)審計(jì)制度建構(gòu)運(yùn)作的底層法理邏輯以及應(yīng)遵循的重要原則, 進(jìn)一步明確、 完善合規(guī)審計(jì)的規(guī)則體系和技術(shù)方法等。

    一、 個(gè)人信息保護(hù)合規(guī)審計(jì)制度的形成及底層法理邏輯

    (一) 個(gè)人信息保護(hù)合規(guī)審計(jì)制度的形成

    個(gè)人信息保護(hù)合規(guī)審計(jì)制度是數(shù)字時(shí)代的產(chǎn)物, 是在數(shù)字社會(huì)及數(shù)字經(jīng)濟(jì)的發(fā)展中逐步形成的。1996年, 國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)(ISACA)發(fā)布《信息及相關(guān)技術(shù)控制目標(biāo)標(biāo)準(zhǔn)》(COBIT標(biāo)準(zhǔn),2019年)。該標(biāo)準(zhǔn)圍繞著信息系統(tǒng)的開(kāi)發(fā)運(yùn)用制定了四十多項(xiàng)規(guī)制目標(biāo), 并提出相應(yīng)的審計(jì)要求與方法。目前, 該標(biāo)準(zhǔn)已成為關(guān)于信息系統(tǒng)審計(jì)的通用標(biāo)準(zhǔn)。其中, “系統(tǒng)安全”與“數(shù)據(jù)管理”控制目標(biāo)及審計(jì)要求涉及信息保護(hù)問(wèn)題。2002年, 美國(guó)國(guó)家審計(jì)署發(fā)布了《聯(lián)邦信息系統(tǒng)控制審計(jì)手冊(cè)》(2009年修訂), 該手冊(cè)主要適用于聯(lián)邦和其他政府實(shí)體的信息系統(tǒng)審計(jì)。2018年5月25日, 歐盟《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation,GDPR)正式生效。在該條例的約束要求下, 英、 法、 德等歐盟國(guó)家開(kāi)始制定和實(shí)施本國(guó)的數(shù)據(jù)保護(hù)審計(jì)制度。英國(guó)的數(shù)據(jù)保護(hù)審計(jì)以自愿審計(jì)為主、 強(qiáng)制審計(jì)為輔。其中, 信息專(zhuān)員辦公室開(kāi)展的審計(jì)是一種基于監(jiān)管層面的強(qiáng)制審計(jì)。2020年9月, 法國(guó)數(shù)據(jù)保護(hù)局(CNIL)發(fā)布《CNIL審計(jì)程序指南》, 闡述了數(shù)據(jù)保護(hù)合規(guī)審計(jì)的權(quán)利與義務(wù)及各種具體問(wèn)題(賈丹等,2022)。這些新的審計(jì)制度有著各自特定的宗旨目標(biāo)和關(guān)注重點(diǎn), 如信息系統(tǒng)審計(jì)、 數(shù)據(jù)保護(hù)審計(jì)主要關(guān)注解決的是安全性、 可靠性及風(fēng)險(xiǎn)防控問(wèn)題, 并非個(gè)人信息保護(hù)問(wèn)題。但是, 這些新的審計(jì)制度顯然與個(gè)人信息保護(hù)問(wèn)題緊密相關(guān), 個(gè)人信息保護(hù)上的諸多要求也包含在這些新的審計(jì)制度所關(guān)注的問(wèn)題中, 這就為個(gè)人信息保護(hù)合規(guī)審計(jì)制度的形成發(fā)展奠定了基礎(chǔ)和關(guān)聯(lián)支撐。

    從全球算法治理的實(shí)踐來(lái)看, 其為個(gè)人信息保護(hù)合規(guī)審計(jì)制度的形成發(fā)展提供了重要的技術(shù)內(nèi)核與經(jīng)驗(yàn)支持。目前, 一些大型互聯(lián)網(wǎng)企業(yè)正在進(jìn)一步研發(fā)關(guān)于算法內(nèi)部審計(jì)的制度框架和技術(shù)工具。例如, Google專(zhuān)門(mén)研發(fā)設(shè)計(jì)了“SMACTR”的算法內(nèi)部審計(jì)框架, 將內(nèi)部審計(jì)工作劃分為五個(gè)相互銜接的階段性框架。Meta、 IBM、 Google分別開(kāi)發(fā)了Fairness Flow、 AI 360 Toolkit、 Model Card Toolkit等技術(shù)工具, 用以檢測(cè)、 報(bào)告、 減輕算法設(shè)計(jì)運(yùn)用中可能存在的歧視等問(wèn)題。在算法內(nèi)部審計(jì)之外, 監(jiān)管機(jī)構(gòu)也正在逐步推進(jìn)開(kāi)展對(duì)算法的監(jiān)管審計(jì)。一種是關(guān)于算法合規(guī)問(wèn)題的個(gè)案審計(jì)。例如: 英國(guó)信息專(zhuān)員辦公室對(duì)Clearview AI違法處理個(gè)人數(shù)據(jù)尤其是生物特征數(shù)據(jù)的行為開(kāi)展監(jiān)管審計(jì); 針對(duì)Everalbum公司擅自使用用戶(hù)照片及面部信息訓(xùn)練算法的行為, 美國(guó)聯(lián)邦貿(mào)易委員會(huì)開(kāi)展專(zhuān)項(xiàng)審計(jì)調(diào)查。另一種是圍繞算法的公平性、 透明度、 安全性等一般性問(wèn)題進(jìn)行風(fēng)險(xiǎn)評(píng)估審計(jì)(張欣和宋雨鑫,2022)。顯然, 個(gè)人信息保護(hù)上的許多問(wèn)題往往來(lái)自于信息處理者所設(shè)計(jì)和運(yùn)用的算法, 算法審計(jì)的制度與實(shí)踐將為個(gè)人信息保護(hù)合規(guī)審計(jì)制度的建構(gòu)運(yùn)作提供關(guān)鍵的技術(shù)內(nèi)核與經(jīng)驗(yàn)支持。

    在信息系統(tǒng)審計(jì)、 數(shù)據(jù)保護(hù)審計(jì)、 算法審計(jì)等高度相關(guān)的審計(jì)制度被各國(guó)陸續(xù)建立和廣泛實(shí)踐的背景環(huán)境下, 隨著個(gè)人信息權(quán)益保護(hù)的法律觀念與規(guī)則不斷強(qiáng)化, 個(gè)人信息保護(hù)合規(guī)審計(jì)制度的形成發(fā)展也就成為一種必然。2020年國(guó)家市場(chǎng)監(jiān)督管理總局、 國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)制定發(fā)布的《信息安全技術(shù)" 個(gè)人信息安全規(guī)范》中, 第11.7條對(duì)個(gè)人信息控制者提出了開(kāi)展個(gè)人信息安全審計(jì)的要求。雖然該國(guó)家標(biāo)準(zhǔn)并沒(méi)有直接提出個(gè)人信息保護(hù)的合規(guī)審計(jì)要求, 但在安全審計(jì)的要求下, 已經(jīng)涉及個(gè)人信息保護(hù)合規(guī)審計(jì)的實(shí)質(zhì)要素。2021年8月通過(guò)的《個(gè)人信息保護(hù)法》首次在法律層面提出了個(gè)人信息保護(hù)合規(guī)審計(jì)的要求。該法第五十四條規(guī)定, 個(gè)人信息處理者承擔(dān)定期進(jìn)行合規(guī)審計(jì)的法定義務(wù); 第六十四條規(guī)定, 監(jiān)管部門(mén)根據(jù)發(fā)現(xiàn)的問(wèn)題, 可強(qiáng)制要求信息處理者委托專(zhuān)業(yè)機(jī)構(gòu)對(duì)其進(jìn)行合規(guī)審計(jì)。2021年11月, 國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布了《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見(jiàn)稿)》, 該征求意見(jiàn)稿第五十三條規(guī)定, 大型互聯(lián)網(wǎng)平臺(tái)應(yīng)當(dāng)委托外部機(jī)構(gòu)對(duì)平臺(tái)數(shù)據(jù)安全、 個(gè)人信息保護(hù)等情況進(jìn)行合規(guī)審計(jì); 第五十八條規(guī)定, 國(guó)家應(yīng)建立數(shù)據(jù)安全審計(jì)制度??梢?jiàn), 數(shù)據(jù)處理者應(yīng)承擔(dān)委托數(shù)據(jù)安全審計(jì)專(zhuān)業(yè)機(jī)構(gòu)進(jìn)行定期合規(guī)審計(jì)的義務(wù), 主管、 監(jiān)管部門(mén)應(yīng)組織開(kāi)展監(jiān)管審計(jì)工作。顯然, 這是從數(shù)據(jù)安全的角度對(duì)個(gè)人信息保護(hù)提出的合規(guī)審計(jì)要求。2021年12月, 國(guó)家互聯(lián)網(wǎng)信息辦公室等四個(gè)部門(mén)聯(lián)合發(fā)布了《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定》, 專(zhuān)門(mén)就算法推薦服務(wù)提出了合規(guī)要求。這就從算法推薦服務(wù)層面對(duì)個(gè)人信息保護(hù)進(jìn)一步提出了特定的合規(guī)要求。2023年8月, 國(guó)家互聯(lián)網(wǎng)信息辦公室進(jìn)一步發(fā)布了《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法(征求意見(jiàn)稿)》及配套的《個(gè)人信息保護(hù)合規(guī)審計(jì)參考要點(diǎn)》。根據(jù)該征求意見(jiàn)稿的規(guī)定, 處理超過(guò)100萬(wàn)個(gè)人信息的信息處理者, 每年至少應(yīng)實(shí)施一次合規(guī)審計(jì); 其他情形下每?jī)赡曛辽賾?yīng)實(shí)施一次合規(guī)審計(jì)。這兩份文件全面細(xì)化了個(gè)人信息保護(hù)合規(guī)審計(jì)制度??傮w而言, 目前, 以《個(gè)人信息保護(hù)法》所設(shè)定的合規(guī)審計(jì)這一法定要求為中心, 以各種相關(guān)的規(guī)章和規(guī)范性文件為關(guān)聯(lián)支撐并細(xì)化展開(kāi), 正在逐步形成關(guān)于個(gè)人信息保護(hù)合規(guī)審計(jì)的綜合全面、 立體多維的規(guī)則體系。

    (二) 建構(gòu)個(gè)人信息保護(hù)合規(guī)審計(jì)制度的多重底層法理邏輯

    1. 審計(jì)制度及其功能作用適應(yīng)時(shí)代延伸擴(kuò)展的發(fā)展邏輯。實(shí)際上, 個(gè)人信息權(quán)益保護(hù)問(wèn)題并不是一個(gè)傳統(tǒng)意義上的審計(jì)問(wèn)題。根據(jù)美國(guó)會(huì)計(jì)師學(xué)會(huì)審計(jì)基本概念委員會(huì)在1972年發(fā)布的《基本審計(jì)概念說(shuō)明》, 審計(jì)是客觀收集、 評(píng)價(jià)有關(guān)經(jīng)濟(jì)活動(dòng)和事項(xiàng)的證據(jù), 并確定其與已有標(biāo)準(zhǔn)的相符性的系統(tǒng)過(guò)程。在國(guó)內(nèi)理論和立法上, 審計(jì)一般是指對(duì)被審計(jì)單位的財(cái)政、 財(cái)務(wù)收支及有關(guān)經(jīng)濟(jì)活動(dòng)的真實(shí)、 合法、 效益進(jìn)行審查監(jiān)督。有研究將國(guó)家審計(jì)定義為, 對(duì)受托管理和使用公共資源的責(zé)任履行情況進(jìn)行的獨(dú)立監(jiān)督活動(dòng)(劉力云等,2021)。“審計(jì)”這一特殊的概念術(shù)語(yǔ)表明, 審計(jì)制度的核心領(lǐng)域與對(duì)象內(nèi)容是宏觀和微觀的各種經(jīng)濟(jì)運(yùn)行及其審查監(jiān)督問(wèn)題, 其實(shí)質(zhì)是監(jiān)督、 鑒證、 評(píng)價(jià)公共受托責(zé)任的履行情況。顯然, 個(gè)人信息保護(hù)合規(guī)問(wèn)題的核心是, 分析判斷個(gè)人信息權(quán)益保護(hù)的狀況與效果, 它應(yīng)當(dāng)主要屬于行政執(zhí)法監(jiān)管和司法層面上的調(diào)查及裁量判定問(wèn)題, 而不屬于傳統(tǒng)審計(jì)的問(wèn)題領(lǐng)域與對(duì)象范圍。

    但是, 作為一種重要而獨(dú)特的監(jiān)督治理手段①, 審計(jì)制度的領(lǐng)域范圍不是僵化不變的, 而是會(huì)隨著時(shí)代的發(fā)展要求而不斷變化拓展。例如,2018年8月, 審計(jì)署發(fā)布《關(guān)于進(jìn)一步加強(qiáng)減稅降費(fèi)政策措施落實(shí)情況審計(jì)監(jiān)督的意見(jiàn)》, 要求對(duì)稅收經(jīng)濟(jì)政策的遵從合規(guī)情況進(jìn)行審計(jì)監(jiān)督。2018年12月, 審計(jì)署發(fā)布《關(guān)于加強(qiáng)信息系統(tǒng)審計(jì)工作指導(dǎo)意見(jiàn)》, 要求對(duì)信息系統(tǒng)的安全性、 可靠性和經(jīng)濟(jì)性進(jìn)行監(jiān)督檢查, 推動(dòng)完善相關(guān)制度, 促進(jìn)提高資金使用績(jī)效, 保障信息系統(tǒng)安全、 可靠和高效運(yùn)行。2019年《關(guān)于實(shí)行審計(jì)全覆蓋的實(shí)施意見(jiàn)》等政策出臺(tái)后, 自然資源的開(kāi)發(fā)利用與環(huán)境保護(hù)進(jìn)一步成為審計(jì)制度的新領(lǐng)域。2023年5月23日, 習(xí)近平總書(shū)記在二十屆中央審計(jì)委員會(huì)第一次會(huì)議上發(fā)表講話(huà)時(shí)指出, 要加大關(guān)于穩(wěn)經(jīng)濟(jì)、 金融支持實(shí)體經(jīng)濟(jì)等宏觀政策的落實(shí)情況的審計(jì)力度。上述變化表明, 在對(duì)經(jīng)濟(jì)活動(dòng)本身進(jìn)行審計(jì)監(jiān)督外, 審計(jì)制度進(jìn)一步拓展到與經(jīng)濟(jì)活動(dòng)及公共受托責(zé)任相關(guān)的各種問(wèn)題領(lǐng)域, 如經(jīng)濟(jì)政策的遵從落實(shí)問(wèn)題。在數(shù)字及人工智能化時(shí)代, 審計(jì)制度進(jìn)一步延伸拓展到個(gè)人信息保護(hù)合規(guī)領(lǐng)域是時(shí)代發(fā)展的需要, 個(gè)人信息保護(hù)合規(guī)審計(jì)旨在鑒證個(gè)人信息處理行為是否符合既定標(biāo)準(zhǔn), 是合規(guī)審計(jì)覆蓋范圍與功能作用的進(jìn)一步延伸和擴(kuò)張(陳智敏,2022)。個(gè)人信息保護(hù)合規(guī)審計(jì)能夠有效彌補(bǔ)監(jiān)管部門(mén)的資源緊張, 是信息保護(hù)合規(guī)監(jiān)管的有效補(bǔ)充(王俊等,2023)。本文認(rèn)為, 合規(guī)審計(jì)不僅為個(gè)人信息保護(hù)的合規(guī)監(jiān)管與治理提供了有效抓手與支撐, 而且其本身也構(gòu)成了信息保護(hù)合規(guī)監(jiān)管與治理的重要內(nèi)容與功能模塊。目前, 個(gè)人信息保護(hù)合規(guī)審計(jì)已經(jīng)成為國(guó)際通行的做法, 在數(shù)字中國(guó)建設(shè)的大背景下, 開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)具有重要的實(shí)踐意義(高歌,2023)。為此, 應(yīng)充分遵循和運(yùn)用合規(guī)審計(jì)制度特有的分析審查視角、 功能邏輯、 運(yùn)作路徑、 技術(shù)方法, 著眼于個(gè)人信息保護(hù)的風(fēng)險(xiǎn)識(shí)別與合規(guī)治理體系建設(shè)和能力提升等綜合目標(biāo), 逐步創(chuàng)新建構(gòu)和運(yùn)作個(gè)人信息保護(hù)合規(guī)審計(jì)的各種制度和相關(guān)方法。

    2. 確保數(shù)據(jù)資源合理利用及數(shù)字經(jīng)濟(jì)健康發(fā)展的底層邏輯。在繼勞動(dòng)力、 土地、 資本、 技術(shù)等基本的生產(chǎn)要素之后, 數(shù)據(jù)資源已成為數(shù)字經(jīng)濟(jì)時(shí)代最重要的新的生產(chǎn)要素, 也是中國(guó)經(jīng)濟(jì)在新時(shí)代高質(zhì)量發(fā)展的重要驅(qū)動(dòng)要素。2022年12月, 中共中央、 國(guó)務(wù)院發(fā)布《關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見(jiàn)》(簡(jiǎn)稱(chēng)《意見(jiàn)》)。在建立數(shù)據(jù)要素的流通、 交易及治理制度方面, 《意見(jiàn)》要求培育合規(guī)認(rèn)證、 安全審計(jì)、 數(shù)據(jù)公證等第三方專(zhuān)業(yè)服務(wù)機(jī)構(gòu); 建立數(shù)據(jù)要素生產(chǎn)流通使用全過(guò)程的合規(guī)公證、 安全審查、 算法審查、 監(jiān)測(cè)預(yù)警等制度, 指導(dǎo)各方履行數(shù)據(jù)要素流通安全責(zé)任和義務(wù)。顯然, 為充分保障和發(fā)揮數(shù)據(jù)要素資源的作用, 《意見(jiàn)》要求建立安全審查、 合規(guī)監(jiān)管等重要基礎(chǔ)制度。由于個(gè)人信息是數(shù)據(jù)資源的重要來(lái)源和形成基礎(chǔ), 因此, 如何充分保護(hù)個(gè)人信息權(quán)益, 確保公平合理、 合法有序地搜集處理、 開(kāi)發(fā)利用個(gè)人信息數(shù)據(jù)關(guān)系到數(shù)據(jù)資源可持續(xù)的合理開(kāi)發(fā)利用, 進(jìn)而關(guān)系到數(shù)字經(jīng)濟(jì)的可持續(xù)發(fā)展。對(duì)個(gè)人信息的適度收集和合理利用是數(shù)字經(jīng)濟(jì)發(fā)展的邏輯前提。在我國(guó), 個(gè)人信息保護(hù)有助于保障我國(guó)數(shù)據(jù)要素市場(chǎng)的規(guī)范基礎(chǔ)及其健康發(fā)展。從全球經(jīng)濟(jì)的競(jìng)爭(zhēng)發(fā)展來(lái)看, 涉及個(gè)人信息的數(shù)據(jù)開(kāi)發(fā)利用日益成為全球數(shù)字經(jīng)濟(jì)競(jìng)爭(zhēng)發(fā)展的原動(dòng)力, 個(gè)人信息保護(hù)將為我國(guó)參與全球數(shù)字經(jīng)濟(jì)競(jìng)爭(zhēng)發(fā)展提供有效保障(黃哲瑞和徐來(lái)鳳,2023)。因此, 一方面, 從宏觀經(jīng)濟(jì)層面看, 個(gè)人信息保護(hù)不再僅僅只是私人權(quán)益保護(hù)的問(wèn)題, 而是事關(guān)社會(huì)經(jīng)濟(jì)健康運(yùn)行、 和諧發(fā)展的重要問(wèn)題之一; 另一方面, 從微觀經(jīng)濟(jì)層面看, 個(gè)人信息保護(hù)是數(shù)字經(jīng)濟(jì)時(shí)代企業(yè)參與市場(chǎng)經(jīng)濟(jì)活動(dòng), 在經(jīng)營(yíng)發(fā)展上“行穩(wěn)致遠(yuǎn)”的重要要求和保障。作為評(píng)價(jià)、 監(jiān)督經(jīng)濟(jì)生活運(yùn)行與微觀經(jīng)濟(jì)活動(dòng)的專(zhuān)門(mén)機(jī)制和工具方法, 審計(jì)自然可以也應(yīng)當(dāng)介入個(gè)人信息保護(hù)領(lǐng)域, 并通過(guò)其功能的拓展與創(chuàng)新充分發(fā)揮其在新領(lǐng)域的評(píng)價(jià)和監(jiān)督作用。

    二、 合規(guī)審計(jì)的“裁量判斷”強(qiáng)屬性及應(yīng)遵循原則

    (一) 信息保護(hù)規(guī)則的抽象性及合規(guī)解釋裁量的強(qiáng)屬性

    對(duì)個(gè)人信息保護(hù)進(jìn)行合規(guī)審計(jì)需要以明確、 具體的信息保護(hù)義務(wù)、 行為標(biāo)準(zhǔn)等為基礎(chǔ)依據(jù)和參照, 但是, 面對(duì)不斷更新變化的算法技術(shù)和數(shù)據(jù)信息開(kāi)發(fā)利用的復(fù)雜多樣的市場(chǎng)需求與活動(dòng), 個(gè)人信息保護(hù)的各種義務(wù)規(guī)則往往只能是一種高度概括性的抽象規(guī)定, 即便在某些方面也可能形成較為具體的行為義務(wù)規(guī)則或標(biāo)準(zhǔn), 但仍然可能不足以適應(yīng)各種具體情況。這就需要審計(jì)人員根據(jù)具體的個(gè)案情況, 對(duì)概括抽象的個(gè)人信息保護(hù)規(guī)則做出精準(zhǔn)、 恰當(dāng)?shù)木唧w解釋。這就意味著, 與關(guān)于財(cái)務(wù)收支、 經(jīng)濟(jì)績(jī)效等問(wèn)題的審計(jì)監(jiān)督不同, 個(gè)人信息保護(hù)的合規(guī)審計(jì)具有強(qiáng)烈的規(guī)則解釋適用上的“裁量判斷”屬性。鑒于規(guī)則解釋適用上所固有的復(fù)雜性、 靈活性、 多元性、 開(kāi)放性等, 合規(guī)審計(jì)上的“裁量判斷”將面臨明顯的障礙與困難。為此, 筆者結(jié)合個(gè)人信息保護(hù)的相關(guān)規(guī)則做適當(dāng)舉例分析。

    1. 對(duì)各種情形下的“必需”條件的衡量判斷。根據(jù)《個(gè)人信息保護(hù)法》第十三條, 屬于該條第一款第(二)項(xiàng)至第(七)項(xiàng)所規(guī)定情形的, 處理、 利用個(gè)人信息不需取得個(gè)人同意。如第一款第(二)項(xiàng)所規(guī)定的“為訂立、 履行合同所必需”; 第一款第(三)項(xiàng)所規(guī)定的“為履行法定職責(zé)、 義務(wù)所必需”; 第一款第(四)項(xiàng)所規(guī)定的“為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件等所必需”等。但是, 如何判斷上述各種情形下的“必需”, 法律并未明確規(guī)定, 在合規(guī)審計(jì)時(shí)如何做出準(zhǔn)確、 恰當(dāng)?shù)牟昧颗袛嗑捅厝幻媾R著困難與不確定性。

    2. 對(duì)“有效的告知”的衡量判斷?!秱€(gè)人信息保護(hù)法》確立了以“告知—同意”為核心的個(gè)人信息保護(hù)的合規(guī)原則, 《個(gè)人信息保護(hù)法》第十七條規(guī)定對(duì)“有效的告知”提出了具體要求。2023年發(fā)布的《個(gè)人信息保護(hù)合規(guī)審計(jì)參考要點(diǎn)》對(duì)“有效的告知”提出的進(jìn)一步要求是, 告知文本的大小、 字體和顏色應(yīng)便于個(gè)人閱讀認(rèn)知等。即便如此, 這些似乎較為具體的各種要求仍然需要進(jìn)一步的解釋明確, 如是否達(dá)到“顯著、 真實(shí)、 準(zhǔn)確、 完整”這些要求, 是否已經(jīng)構(gòu)成“有效的告知”, 仍然需要合規(guī)審計(jì)人員在個(gè)案中做出具體的裁量判斷。

    3. 對(duì)“敏感個(gè)人信息”的衡量判斷?!秱€(gè)人信息保護(hù)法》通過(guò)設(shè)置第二節(jié)共五個(gè)條款, 對(duì)“敏感個(gè)人信息”的處理提出了特殊規(guī)制要求。其中, 第二十八條第一款采用“概括+列舉”模式界定了何謂“敏感個(gè)人信息”, 該類(lèi)信息首先被抽象概括地界定為“一旦泄露或者非法使用, 容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、 財(cái)產(chǎn)安全受到危害的個(gè)人信息”, 然后, 具體列舉了七類(lèi)典型的敏感個(gè)人信息。但是, 王苑(2022)指出, 這樣的界定可能帶來(lái)如下的不確定性: (1)法律評(píng)價(jià)標(biāo)準(zhǔn)具有模糊性; (2)未來(lái)會(huì)出現(xiàn)的新的敏感個(gè)人信息不在具體列舉的范圍; (3)判斷標(biāo)準(zhǔn)的多維性導(dǎo)致分析確定的困難。對(duì)此, 應(yīng)通過(guò)綜合考量五個(gè)方面的要素, 動(dòng)態(tài)界定敏感個(gè)人信息。因此, 如何區(qū)分“敏感個(gè)人信息”與“非敏感個(gè)人信息”, 需要合規(guī)審計(jì)人員根據(jù)具體的個(gè)案情況做出動(dòng)態(tài)的解釋裁量判斷。

    4. 對(duì)“特定的互聯(lián)網(wǎng)平臺(tái)”的衡量判斷?!秱€(gè)人信息保護(hù)法》第五十八條提出了“守門(mén)人”條款, 對(duì)符合特定條件的互聯(lián)網(wǎng)平臺(tái)施加了特別的信息保護(hù)義務(wù)。但是, 有學(xué)者分析指出, “守門(mén)人”條款的規(guī)定過(guò)于簡(jiǎn)略, 該條款究竟如何理解與適用, 存在不少問(wèn)題和爭(zhēng)論, 需要進(jìn)一步解釋明確。例如, 對(duì)于某個(gè)互聯(lián)網(wǎng)平臺(tái)是否屬于“守門(mén)人”, 第五十八條提出了“提供重要服務(wù)、 用戶(hù)數(shù)量巨大、 業(yè)務(wù)類(lèi)型復(fù)雜”這三個(gè)疊加條件。這意味著, 確立了“先分類(lèi)、 再分級(jí)”的識(shí)別判斷標(biāo)準(zhǔn)?!疤峁┲匾?wù)”意味著要先對(duì)平臺(tái)服務(wù)進(jìn)行分類(lèi), “用戶(hù)數(shù)量巨大、 業(yè)務(wù)類(lèi)型復(fù)雜”意味著在分類(lèi)的基礎(chǔ)上再根據(jù)這兩個(gè)標(biāo)準(zhǔn)對(duì)平臺(tái)企業(yè)進(jìn)行分級(jí), 最終識(shí)別確定某互聯(lián)網(wǎng)平臺(tái)是否屬于“守門(mén)人”(周漢華,2022)。然而, 對(duì)于這些識(shí)別判斷的環(huán)節(jié)和要求, 缺乏明確細(xì)化的解釋、 指導(dǎo)。對(duì)此, 合規(guī)審計(jì)人員需要根據(jù)用戶(hù)規(guī)模、 業(yè)務(wù)類(lèi)型、 經(jīng)濟(jì)規(guī)模、 信息數(shù)據(jù)的利用程度等在個(gè)案中做出具體的裁量判斷。

    (二) 合規(guī)裁量判斷應(yīng)遵循的指導(dǎo)原則

    為應(yīng)對(duì)解決合規(guī)審計(jì)中“規(guī)則解釋適用”上的障礙與困難, 精準(zhǔn)、 恰當(dāng)?shù)夭昧颗袛鄠€(gè)人信息保護(hù)合規(guī)狀況及風(fēng)險(xiǎn)問(wèn)題, 應(yīng)當(dāng)確立和運(yùn)用各種指導(dǎo)原則。這些原則主要包括: 合規(guī)審計(jì)裁量權(quán)的審慎運(yùn)用原則; 利益衡量上的比例原則; 合規(guī)審計(jì)的裁量基準(zhǔn)原則; 體系解釋原則; 審計(jì)獨(dú)立下的溝通及共識(shí)解釋原則。本文僅就其中的兩個(gè)原則做進(jìn)一步的分析闡述。

    1. 利益衡量上的比例原則。在個(gè)人信息的收集處理及加工利用活動(dòng)中, 個(gè)人的信息權(quán)益保護(hù)實(shí)際上是一個(gè)各方利益協(xié)調(diào)平衡的問(wèn)題。就信息處理者而言, 它們包括立法機(jī)關(guān)、 司法機(jī)關(guān)、 政府部門(mén)、 企業(yè)以及其他社會(huì)組織等。國(guó)家機(jī)關(guān)、 政府部門(mén)在收集處理及加工利用個(gè)人信息時(shí), 行使的是公權(quán)力, 代表和體現(xiàn)了國(guó)家利益、 社會(huì)利益; 而企業(yè)和其他社會(huì)組織在收集處理及加工利用個(gè)人信息時(shí), 代表和體現(xiàn)的是企業(yè)和其他社會(huì)組織自身的經(jīng)濟(jì)利益或其他利益。就作為信息來(lái)源的個(gè)人而言, 他們對(duì)自身的信息享有充分的身份權(quán)益和經(jīng)濟(jì)權(quán)益。顯然, 信息處理者與作為信息來(lái)源的個(gè)人有著各自獨(dú)立的利益歸屬與訴求, 雙方的利益有時(shí)是協(xié)調(diào)一致的, 有時(shí)則是相互矛盾沖突的。梁燈(2022)分析指出, 特別是在企業(yè)作為個(gè)人信息處理者時(shí), 將面臨著個(gè)人信息的價(jià)值挖掘和個(gè)人信息權(quán)益保護(hù)之間的沖突和平衡問(wèn)題, 當(dāng)個(gè)人數(shù)據(jù)信息在企業(yè)間流轉(zhuǎn)時(shí)該問(wèn)題最為凸顯。因此, 在個(gè)人信息保護(hù)合規(guī)審計(jì)中, 對(duì)相關(guān)規(guī)則的解釋適用往往所涉及的是相關(guān)主體的利益得失問(wèn)題, 所謂的合規(guī)判斷也就是根據(jù)抽象規(guī)則對(duì)相互矛盾沖突的利益進(jìn)行衡量平衡處理。顯然, 如何對(duì)各方利益進(jìn)行合規(guī)裁量上的協(xié)調(diào)平衡, 需要形成和運(yùn)用相應(yīng)的指導(dǎo)原則。對(duì)此, 本文認(rèn)為, 可以參考借鑒行政法上的比例原則, 在個(gè)人信息保護(hù)合規(guī)審計(jì)制度中, 塑造形成關(guān)于規(guī)則解釋適用的利益衡量比例原則。

    比例原則是行政法上的一個(gè)重要原則, 它被用于約束規(guī)制行政權(quán)的自由裁量行使, 謀求在行政目的、 需要與相對(duì)人的利益保護(hù)之間實(shí)現(xiàn)協(xié)調(diào)平衡。其基本要求是, 行政主體實(shí)施行政行為應(yīng)兼顧行政目標(biāo)的實(shí)現(xiàn)和保護(hù)相對(duì)人的權(quán)益, 如果行政目標(biāo)的實(shí)現(xiàn)可能對(duì)相對(duì)人的權(quán)益造成不利影響, 則這種不利影響應(yīng)被限制在盡可能小的范圍和限度之內(nèi)。行政法中的比例原則包含適當(dāng)性、 必要性和相稱(chēng)性(均衡性)的多維度內(nèi)涵。適當(dāng)性又稱(chēng)為妥當(dāng)性、 妥適性、 適合性, 是指所采取的措施應(yīng)當(dāng)能夠或至少有助于實(shí)現(xiàn)行政目的。必要性又稱(chēng)為最少侵害性、 不可替代性。即在能實(shí)現(xiàn)行政目的的多個(gè)方式中, 應(yīng)選擇對(duì)權(quán)利影響或侵害最小的方式。相稱(chēng)性也稱(chēng)為均衡性, 即行政措施與其所達(dá)到的目的之間必須成比例或相稱(chēng)。相稱(chēng)性(均衡性)側(cè)重要求的是, 無(wú)論是否存在多個(gè)可選擇的措施、 方法, 行政措施不能過(guò)分地或不適當(dāng)?shù)赜绊憽?損害相對(duì)人的合法權(quán)益。筆者認(rèn)為, 在個(gè)人信息保護(hù)方面, 信息處理者與作為信息來(lái)源的個(gè)人在相互地位關(guān)系及利益結(jié)構(gòu)上非常類(lèi)似于行政機(jī)構(gòu)與相對(duì)人之間的關(guān)系, 尤其是信息處理者為國(guó)家立法、 司法機(jī)關(guān)、 政府部門(mén)時(shí)更是如此。因此, 應(yīng)當(dāng)參照行政法上的比例原則, 按照對(duì)個(gè)人造成最少最小影響的原則來(lái)解釋適用個(gè)人信息保護(hù)的相關(guān)規(guī)則, 以矯正個(gè)人在信息的收集處理及加工利用中的弱勢(shì)地位, 充分保護(hù)個(gè)人對(duì)自身的信息所應(yīng)享有的身份權(quán)益和經(jīng)濟(jì)權(quán)益。實(shí)際上, 在個(gè)人信息權(quán)益保護(hù)上, 利益衡量上的比例原則在立法上已經(jīng)有所體現(xiàn)。例如, 《個(gè)人信息保護(hù)法》第六條規(guī)定, 處理個(gè)人信息應(yīng)當(dāng)具有明確、 合理的目的, 并應(yīng)當(dāng)與處理目的直接相關(guān), 采取對(duì)個(gè)人權(quán)益影響最小的方式。收集個(gè)人信息時(shí)應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍, 不得過(guò)度收集個(gè)人信息。顯然, 該條所提出的要求已經(jīng)基本上體現(xiàn)了比例原則所包含的適當(dāng)性、 必要性和相稱(chēng)性(均衡性)要求。

    需要指出的是, 一般而言, 根據(jù)合規(guī)裁量上的比例原則, 應(yīng)采取對(duì)個(gè)人造成最少、 最小影響的方式來(lái)解釋適用個(gè)人信息保護(hù)的相關(guān)規(guī)則, 但是這不是絕對(duì)的。當(dāng)信息處理者投入大量的資金等成本對(duì)個(gè)人信息進(jìn)行深入加工并已經(jīng)形成穩(wěn)定的、 明確的商業(yè)利益時(shí), 信息處理者將獲得一種獨(dú)立于個(gè)人權(quán)益的“既得權(quán)益”。2023年12月財(cái)政部制定發(fā)布的《關(guān)于加強(qiáng)數(shù)據(jù)資產(chǎn)管理的指導(dǎo)意見(jiàn)》明確規(guī)定了數(shù)據(jù)開(kāi)發(fā)利用者基于其投入付出及再創(chuàng)造應(yīng)享有的獨(dú)立的受益權(quán)②。此時(shí), 就不能簡(jiǎn)單按照對(duì)個(gè)人造成最少、 最小影響的方式來(lái)解釋適用合規(guī)裁量上的比例原則, 而應(yīng)當(dāng)以兼顧平衡的方式來(lái)運(yùn)用比例原則。例如, 《個(gè)人信息保護(hù)法》第十五條規(guī)定, 基于個(gè)人同意處理個(gè)人信息的, 個(gè)人有權(quán)撤回其同意。個(gè)人信息處理者應(yīng)當(dāng)提供便捷的撤回同意的方式。個(gè)人撤回同意, 不影響撤回前基于個(gè)人同意已進(jìn)行的個(gè)人信息處理活動(dòng)的效力。顯然, 如果信息處理者已經(jīng)投入成本加工處理個(gè)人信息的, 或者進(jìn)一步將其予以商業(yè)共享或轉(zhuǎn)讓的, 無(wú)條件地允許個(gè)人撤回同意則可能損害信息處理者的商業(yè)利益。對(duì)此, 僅僅確認(rèn)“撤回前基于個(gè)人同意已進(jìn)行的個(gè)人信息處理活動(dòng)的效力”是不夠的, 應(yīng)當(dāng)根據(jù)比例原則中的“兼顧既得商業(yè)權(quán)益”的要求, 充分考量撤回同意的必要性, 以利益平衡的方式分析評(píng)估撤回同意的合規(guī)性問(wèn)題。

    2. 審計(jì)獨(dú)立下的溝通及共識(shí)解釋原則。鑒于個(gè)人信息保護(hù)規(guī)則具有高度概括抽象性, 審計(jì)機(jī)構(gòu)和人員需要對(duì)相關(guān)規(guī)則進(jìn)行解釋?zhuān)?這就會(huì)造成各方對(duì)同一規(guī)則的不同理解和判斷。對(duì)此, 審計(jì)機(jī)構(gòu)和人員可以與被審計(jì)企業(yè)及監(jiān)管部門(mén)等進(jìn)行溝通形成共識(shí)理解。但是, 有研究認(rèn)為這可能會(huì)導(dǎo)致審計(jì)獨(dú)立性及權(quán)威受損。例如, 由被審計(jì)單位委托進(jìn)行合規(guī)審計(jì)時(shí), 受托審計(jì)機(jī)構(gòu)在溝通交流中容易受委托方的影響, 從而對(duì)信息保護(hù)規(guī)則做出有利于委托方商業(yè)模式的解釋和定性判斷。在監(jiān)管部門(mén)所要求啟動(dòng)的審計(jì)中, 外部審計(jì)機(jī)構(gòu)往往需要與監(jiān)管機(jī)構(gòu)進(jìn)行溝通交流, 從而會(huì)受到監(jiān)管機(jī)構(gòu)立場(chǎng)的影響, 做出不利于被審計(jì)方的分析評(píng)價(jià)(梁燈,2022)。

    筆者認(rèn)為, 鑒于個(gè)人信息保護(hù)規(guī)則的高度概括抽象性以及個(gè)人信息開(kāi)發(fā)利用的復(fù)雜多樣性, 在合規(guī)審計(jì)中尋求溝通并形成共識(shí)解釋將是一種常態(tài)現(xiàn)象, 尋求溝通形成深入、 準(zhǔn)確的了解判斷也是審計(jì)工作中的常規(guī)做法。現(xiàn)有的一些審計(jì)準(zhǔn)則也有進(jìn)行溝通形成共識(shí)的要求, 如2013年中國(guó)內(nèi)部審計(jì)協(xié)會(huì)制定發(fā)布的《第2105號(hào)內(nèi)部審計(jì)具體準(zhǔn)則——結(jié)果溝通》。同時(shí), 尋求溝通并形成共識(shí)解釋并不必然損害合規(guī)審計(jì)的獨(dú)立性和權(quán)威性, 或者說(shuō), 尋求溝通并形成共識(shí)解釋并不是合規(guī)審計(jì)的獨(dú)立性和權(quán)威性受影響的真正原因。在尋求溝通并形成共識(shí)解釋中, 合規(guī)審計(jì)不能維持其獨(dú)立性和權(quán)威性的重要原因在于, 審計(jì)人員缺乏對(duì)相關(guān)規(guī)則的深入理解把握, 沒(méi)有形成堅(jiān)實(shí)的合規(guī)審計(jì)上的衡量判斷能力。在個(gè)人信息保護(hù)的合規(guī)審計(jì)中, 面對(duì)相關(guān)規(guī)則的概括抽象性及解釋適用, 尋求溝通并形成共識(shí)解釋將有助于審計(jì)人員更加全面深入地理解規(guī)則的內(nèi)涵及被審計(jì)的具體情況, 并形成高質(zhì)量的合規(guī)審計(jì)結(jié)論。因此, 在不斷提升審計(jì)人員的規(guī)則解釋及衡量判斷能力的基礎(chǔ)上, 將能夠也應(yīng)該確立審計(jì)獨(dú)立下的溝通及共識(shí)解釋原則。

    三、 個(gè)人信息保護(hù)合規(guī)審計(jì)的框架及方法的建構(gòu)運(yùn)作

    個(gè)人信息保護(hù)的合規(guī)審計(jì)應(yīng)當(dāng)立足于“調(diào)查分析”“監(jiān)督問(wèn)責(zé)”“風(fēng)險(xiǎn)防控”“督促整改”等專(zhuān)門(mén)視角與特有功能, 逐步建立完善相關(guān)的審計(jì)框架、 功能模塊、 指標(biāo)體系、 技術(shù)方法等, 以形成一個(gè)綜合全面、 立體多維、 契合緊密、 功能卓越的合規(guī)審計(jì)制度與機(jī)制。本文就其中的若干方面進(jìn)行適當(dāng)?shù)奶剿鞣治觥?/p>

    (一) 確立定性與定量分析相結(jié)合的框架方法

    個(gè)人信息保護(hù)合規(guī)審計(jì)的定性分析是一種符合性評(píng)價(jià), 即對(duì)處理個(gè)人信息的行為和活動(dòng)是否符合法律規(guī)定做出肯定性或否定性的審計(jì)評(píng)價(jià)。這是個(gè)人信息保護(hù)合規(guī)審計(jì)的基本內(nèi)容和結(jié)論要求。在此基礎(chǔ)上, 個(gè)人信息保護(hù)合規(guī)審計(jì)還應(yīng)進(jìn)行定量分析, 即對(duì)個(gè)人信息處理的行為和活動(dòng)偏離法律規(guī)則的程度進(jìn)行量化界定, 并建立和運(yùn)用量化評(píng)估的賦值指標(biāo)體系。對(duì)行為的偏差度的量化分析具有重要的價(jià)值和作用?!昂弦?guī)偏差度”的量化分析評(píng)價(jià)可以精確、 具體地揭示個(gè)人信息處理及利用的合規(guī)狀況, 進(jìn)一步確定各種偏差所造成的不同危害及應(yīng)采取的糾正措施, 進(jìn)一步分析判斷不同的偏差樣態(tài)造成的危害風(fēng)險(xiǎn)并進(jìn)行預(yù)警。進(jìn)而言之, “合規(guī)偏差度”的量化分析評(píng)價(jià)有助于開(kāi)展“審計(jì)容錯(cuò)糾錯(cuò)”的實(shí)踐。對(duì)于個(gè)人信息保護(hù)合規(guī)審計(jì)而言, “合規(guī)偏差度”下的“審計(jì)容錯(cuò)糾錯(cuò)”將解決兩個(gè)維度的問(wèn)題。一是關(guān)于個(gè)人信息保護(hù)的規(guī)則尤其是較低層級(jí)的具體規(guī)則存在著錯(cuò)誤、 不當(dāng)、 不合理之處, 或者過(guò)于僵化、 教條, 對(duì)此, 需要運(yùn)用“合規(guī)偏差度” 的量化分析評(píng)價(jià), 通過(guò)“審計(jì)容錯(cuò)糾錯(cuò)”的方式予以解決。二是關(guān)于個(gè)人信息保護(hù)的規(guī)則存在著滯后性, 不能充分適應(yīng)信息開(kāi)發(fā)利用和信息保護(hù)中的各種新情況與新問(wèn)題, 對(duì)此, 需要運(yùn)用“合規(guī)偏差度” 的量化分析評(píng)價(jià), 通過(guò)“審計(jì)容錯(cuò)糾錯(cuò)”的方式予以解決。當(dāng)然, 在審計(jì)容錯(cuò)糾錯(cuò)中, 對(duì)于觸及法律法規(guī)底線(xiàn)的問(wèn)題, 絕不能以容錯(cuò)糾錯(cuò)之名予以放縱(項(xiàng)健,2021)。

    (二) 建立模塊化的審計(jì)框架與指標(biāo)體系

    模塊化的審計(jì)框架是指根據(jù)多樣化的審計(jì)目標(biāo)設(shè)置不同的審計(jì)模塊單元。在模塊單元下, 可以進(jìn)一步細(xì)化具體的審計(jì)事項(xiàng)與指標(biāo)等。例如, 就算法審計(jì)這個(gè)特定目標(biāo)而言, 可將審計(jì)框架劃分為“總體風(fēng)險(xiǎn)控制與治理”與“過(guò)程風(fēng)險(xiǎn)控制與治理”兩個(gè)模塊??傮w風(fēng)險(xiǎn)控制與治理模塊所針對(duì)的是算法設(shè)計(jì)及風(fēng)險(xiǎn)治理的制度框架, 例如是否成立算法風(fēng)險(xiǎn)治理領(lǐng)導(dǎo)小組、 是否存在算法設(shè)計(jì)和運(yùn)行的合規(guī)審查制度等; 過(guò)程風(fēng)險(xiǎn)控制與治理模塊所針對(duì)的是算法系統(tǒng)在運(yùn)作過(guò)程中的問(wèn)題與風(fēng)險(xiǎn)(張欣和宋雨鑫,2022)。本文認(rèn)為, 模塊化的審計(jì)框架意味著, 個(gè)人信息保護(hù)的合規(guī)審計(jì)并不僅僅只是對(duì)信息處理和利用的行為或活動(dòng)本身的合規(guī)性進(jìn)行審計(jì)分析評(píng)價(jià), 而是將個(gè)人信息保護(hù)看作是一項(xiàng)全方位的系統(tǒng)工程, 是從宏觀框架到微觀環(huán)節(jié)進(jìn)行多維的綜合審計(jì)分析評(píng)價(jià)。因此, 對(duì)于個(gè)人信息保護(hù)的合規(guī)審計(jì), 應(yīng)當(dāng)根據(jù)個(gè)案所要求的不同的審查視角與目標(biāo)設(shè)置模塊化的審計(jì)框架, 既包括個(gè)人信息保護(hù)在總體架構(gòu)層面的合規(guī)審查模塊, 也包括在個(gè)人信息處理過(guò)程中各個(gè)環(huán)節(jié)及問(wèn)題的合規(guī)審查模塊, 從而形成綜合全面、 立體多維的合規(guī)審計(jì)分析評(píng)價(jià)。

    (三) 建立信息處理系統(tǒng)功能設(shè)計(jì)的合規(guī)審計(jì)制度

    在關(guān)于個(gè)人信息的隱私保護(hù)方面, 一些國(guó)家已經(jīng)形成“通過(guò)設(shè)計(jì)的隱私保護(hù)”(Privacy by Design)和“隱私工程”(Privacy Engineering)這兩個(gè)不同的保護(hù)環(huán)節(jié)。這就意味著, 個(gè)人信息隱私保護(hù)包含著兩個(gè)不同的階段, 即系統(tǒng)功能(算法)設(shè)計(jì)階段與個(gè)人信息處理階段的個(gè)人信息隱私保護(hù)(William Stallings,2019)。本文認(rèn)為, 個(gè)人信息權(quán)益保護(hù)的內(nèi)容范圍顯然要大于個(gè)人信息的隱私保護(hù), 但同樣也存在著系統(tǒng)功能(算法)設(shè)計(jì)階段的保護(hù)與個(gè)人信息處理階段的保護(hù)這兩個(gè)不同階段的個(gè)人信息保護(hù)。一般而言, 通過(guò)對(duì)個(gè)人信息處理階段的合規(guī)審計(jì), 也可以間接發(fā)現(xiàn)系統(tǒng)功能(算法)設(shè)計(jì)上的保護(hù)缺陷, 但是這種暴露往往是不充分和滯后的。因此, 為充分揭示和有效預(yù)防控制個(gè)人信息保護(hù)上的缺陷及風(fēng)險(xiǎn), 應(yīng)當(dāng)建立專(zhuān)門(mén)針對(duì)信息處理系統(tǒng)的功能(算法)設(shè)計(jì)的合規(guī)審計(jì)。在這方面, 已經(jīng)形成了一些重要準(zhǔn)則和指南, 如中國(guó)內(nèi)部審計(jì)協(xié)會(huì)于2014年制定發(fā)布的《內(nèi)部審計(jì)具體準(zhǔn)則——信息系統(tǒng)審計(jì)》," 于2021年制定發(fā)布的《內(nèi)部審計(jì)實(shí)務(wù)指南——信息系統(tǒng)審計(jì)》, 以及2018年12月審計(jì)署發(fā)布的《關(guān)于加強(qiáng)信息系統(tǒng)審計(jì)工作指導(dǎo)意見(jiàn)》。

    (四) 建立信息處理過(guò)程的合規(guī)風(fēng)險(xiǎn)持續(xù)控制制度

    由于個(gè)人信息的收集處理與開(kāi)發(fā)利用具有技術(shù)復(fù)雜性、 隱匿性及數(shù)量龐大性等特點(diǎn), 所以, 運(yùn)用傳統(tǒng)審計(jì)思路與方式進(jìn)行合規(guī)審計(jì)往往難以產(chǎn)生良好的預(yù)期效果, 因此, 有研究認(rèn)為, 應(yīng)建立和運(yùn)用CRCA模型(持續(xù)性風(fēng)險(xiǎn)評(píng)估與控制保證模型)來(lái)開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)(陳智敏,2022)。顯然, 合規(guī)風(fēng)險(xiǎn)持續(xù)控制分析側(cè)重關(guān)注的是個(gè)人信息保護(hù)風(fēng)險(xiǎn)的及時(shí)、 準(zhǔn)確識(shí)別, 以及將持續(xù)處理過(guò)程中的風(fēng)險(xiǎn)動(dòng)態(tài)變化置于監(jiān)控之下, 這有助于在信息處理持續(xù)過(guò)程中實(shí)現(xiàn)對(duì)個(gè)人信息權(quán)益的動(dòng)態(tài)及時(shí)保護(hù)。但是, 《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法(征求意見(jiàn)稿)》只是提出了一定年限內(nèi)的單次合規(guī)審計(jì)要求, 并沒(méi)有提出關(guān)于“合規(guī)風(fēng)險(xiǎn)持續(xù)控制分析”的要求。例如, 對(duì)于處理超過(guò)100萬(wàn)個(gè)人信息的信息處理者, 僅要求每年至少應(yīng)實(shí)施一次合規(guī)審計(jì), 其他情形下則要求每?jī)赡曛辽賾?yīng)實(shí)施一次合規(guī)審計(jì)。因此, 需要在該征求意見(jiàn)稿中補(bǔ)充納入“合規(guī)風(fēng)險(xiǎn)持續(xù)控制分析”的要求。

    四、 結(jié)語(yǔ)

    個(gè)人信息保護(hù)合規(guī)審計(jì)是合規(guī)審計(jì)制度在數(shù)字及人工智能時(shí)代的新拓展, 是個(gè)人信息保護(hù)的合規(guī)監(jiān)管與治理的有效抓手與重要內(nèi)容。但是, 個(gè)人信息保護(hù)合規(guī)審計(jì)制度尚處于初步建立階段, 相關(guān)的理論問(wèn)題與操作實(shí)施尚處于探索中。筆者就個(gè)人信息保護(hù)合規(guī)審計(jì)制度的底層法理邏輯、 特征屬性、 功能需求、 指導(dǎo)原則等理論問(wèn)題進(jìn)行了初步探討, 更多的和更深層次的理論問(wèn)題需要進(jìn)一步分析研究, 如個(gè)人信息保護(hù)合規(guī)審計(jì)的性質(zhì)類(lèi)型及其與國(guó)家審計(jì)的銜接協(xié)調(diào), 合規(guī)審計(jì)中關(guān)于“合規(guī)”要求的淵源依據(jù)等。同時(shí), 需要深入、 全面地分析研究個(gè)人信息保護(hù)中的各種案例和實(shí)際問(wèn)題, 針對(duì)個(gè)人信息保護(hù)合規(guī)審計(jì)制度, 進(jìn)一步分析建立和調(diào)整完善該領(lǐng)域特有的工具方法、 程序規(guī)范、 功能機(jī)制等。

    【 注 釋 】

    ① 黨的十九大報(bào)告將審計(jì)放在“健全黨和國(guó)家監(jiān)督體系”部分予以闡述。黨的十九屆四中全會(huì)明確提出審計(jì)監(jiān)督是黨和國(guó)家監(jiān)督體系的重要組成部分。

    ② 《關(guān)于加強(qiáng)數(shù)據(jù)資產(chǎn)管理的指導(dǎo)意見(jiàn)》將“暢通數(shù)據(jù)資產(chǎn)收益分配機(jī)制”作為數(shù)據(jù)資產(chǎn)管理的一項(xiàng)主要任務(wù)。針對(duì)完善數(shù)據(jù)資產(chǎn)收益分配與再分配機(jī)制,該指導(dǎo)意見(jiàn)要求按照“誰(shuí)投入、誰(shuí)貢獻(xiàn)、誰(shuí)受益”的原則,依法依規(guī)維護(hù)各相關(guān)主體數(shù)據(jù)資產(chǎn)權(quán)益。支持合法合規(guī)對(duì)數(shù)據(jù)資產(chǎn)價(jià)值進(jìn)行再次開(kāi)發(fā)挖掘,尊重?cái)?shù)據(jù)資產(chǎn)價(jià)值再創(chuàng)造、再分配,支持?jǐn)?shù)據(jù)資產(chǎn)使用權(quán)利各個(gè)環(huán)節(jié)的投入有相應(yīng)回報(bào)。

    【 主 要 參 考 文 獻(xiàn) 】

    陳智敏.個(gè)人信息保護(hù)合規(guī)審計(jì)系統(tǒng)構(gòu)建研究[ J].審計(jì)觀察,2022(12):18 ~ 22.

    高歌.個(gè)人信息保護(hù)合規(guī)審計(jì)蓄勢(shì)待發(fā)[N].中國(guó)會(huì)計(jì)報(bào),2023-09-01.

    黃哲瑞,徐來(lái)鳳.個(gè)人信息保護(hù)法對(duì)我國(guó)數(shù)字經(jīng)濟(jì)發(fā)展的重要價(jià)值[N].科學(xué)導(dǎo)報(bào),2023-10-17.

    賈丹,張譽(yù)馨,王姍.我國(guó)個(gè)人信息保護(hù)合規(guī)審計(jì)制度的路徑探討[ J].工業(yè)信息安全,2022(4):17 ~ 22.

    梁燈.個(gè)人信息保護(hù)合規(guī)審計(jì)的悖論及其解決——以個(gè)人信息流轉(zhuǎn)合法性基礎(chǔ)為例[ J].上海法學(xué)研究(集刊),2022(20):84 ~ 93.

    劉力云,崔孟修,王慧,沈玲.對(duì)國(guó)家審計(jì)基本概念仍需深入研究——基于一項(xiàng)有關(guān)國(guó)家審計(jì)基本概念和定義認(rèn)知訪(fǎng)談結(jié)果的分析[ J].會(huì)計(jì)之友,2021(8):15 ~ 21.

    王苑.敏感個(gè)人信息的概念界定與要素判斷——以《個(gè)人信息保護(hù)法》第28條為中心[ J].環(huán)球法律評(píng)論,2022(2):85 ~ 99.

    王俊,馮戀閣,鐘雨欣,鄭雪.網(wǎng)信辦擬細(xì)化個(gè)人信息保護(hù)合規(guī)審計(jì),企業(yè)需定期做“體檢”[N].21世紀(jì)經(jīng)濟(jì)報(bào)道,2023-08-04.

    項(xiàng)?。畬徲?jì)容錯(cuò)糾錯(cuò)思維方式探討[ J].審計(jì)月刊,2021(10):23 ~ 24.

    周漢華.《個(gè)人信息保護(hù)法》“守門(mén)人條款”解析[ J].法律科學(xué),2022(5):36 ~ 49.

    張欣,宋雨鑫.算法審計(jì)的制度邏輯和本土化構(gòu)建[ J].鄭州大學(xué)學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版),2022(6):33 ~ 42.

    William Stallings. Information Privacy Engineering and Privacy by Design:Understanding Privacy Threats, Technology, and Regulations Based on Standards and Best Practices[M]. New York:Addison Wesley,2019.

    (責(zé)任編輯·校對(duì): 劉鈺瑩" 羅萍)

    【作者單位】南京審計(jì)大學(xué)法學(xué)院, 南京 211815

    猜你喜歡
    比例原則個(gè)人信息保護(hù)數(shù)字經(jīng)濟(jì)
    OECD國(guó)家數(shù)字經(jīng)濟(jì)戰(zhàn)略的經(jīng)驗(yàn)和啟示
    淺論比例原則在我國(guó)行政法治中的定位
    法制博覽(2017年1期)2017-02-14 15:51:48
    從數(shù)字經(jīng)濟(jì)視角解讀歐亞經(jīng)濟(jì)聯(lián)盟與絲綢之路經(jīng)濟(jì)帶對(duì)接
    如何做好法律領(lǐng)域的個(gè)人信息保護(hù)
    東方教育(2016年3期)2016-12-14 20:18:10
    論比例原則在警察法上的適用
    商(2016年33期)2016-11-24 23:39:08
    我國(guó)城市群租治理立法的法律缺陷分析
    單雙號(hào)限行常態(tài)化行政法上的思考
    商(2016年31期)2016-11-22 21:58:20
    我國(guó)大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)研究綜述
    數(shù)字經(jīng)濟(jì)對(duì)CFC規(guī)則的沖擊探究
    應(yīng)對(duì)數(shù)字經(jīng)濟(jì)下的BEPS現(xiàn)象
    商(2016年25期)2016-07-29 22:05:59
    罗平县| 沾化县| 滨州市| 钦州市| 翼城县| 轮台县| 柳州市| 准格尔旗| 禹州市| 南投县| 门源| 峨边| 洱源县| 兴仁县| 博白县| 饶河县| 盐池县| 石景山区| 紫云| 谢通门县| 灵川县| 内丘县| 苗栗市| 苍山县| 临高县| 两当县| 邵东县| 桂平市| 武清区| 沧州市| 桐梓县| 桦川县| 离岛区| 罗田县| 闽清县| 惠安县| 无极县| 眉山市| 宁国市| 巴中市| 兰考县|