【中文摘要】我国近期公布的《个人信息保护合规审计管理办法》旨在落实《个人信息保护法》第54条和第64条规定的个人信息保护合规审计制度。然而,现有研究并未对该类合规审计机制的功能定位和具体内容进行系统性讨论,甚至存在将合规管理与合规审计等同看待的概念认知误区。个人信息保护合规审计机制不同于个人信息保护影响评估、数据安全风险评估等个人信息保护制度,而属于面向个人信息业务合规的专项合规审计活动,其“审计”属性大于“合规”属性。个人信息保护合规审计机制是以传统的合规审计理论为起点,基于风险管理的传统理论建立的机制,其功能包括合规监督、合规鉴证和合规评估,规范包括审计基本原则、审计证据规则和审计报告规则等。个人信息保护合规审计制度中规定的前期证据调取、合规管理事实评定、审计报告出具和后期审计建议整改监督有助于促成个人信息保护合规审计与其他个人信息保护配套制度的相互支撑。
【全文】
一、问题的提出
自《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)及其配套制度实施以来,无论是一般情形下的个人信息保护,还是诸如医疗健康、跨境传输等特殊情形下的个人信息保护,都取得了较明显的成效。不过,由于商业实践模式的不断创新、信息技术的更新迭代,加之法律本身固有的滞后性和法律文本的简洁性,个人信息保护相关制度的实施方式引发了争议。从最基础的“个人信息”概念界定到具体的权利行使、义务履行方式,均是实践中的争点,例如“某博士二手车历史信息查询案”中车况信息究竟是否属于个人信息、“物业公司张贴判决书侵害业主个人信息案”中张贴经处理的民事判决书是否侵犯个人信息、“外卖骑手近亲属查询死者个人信息案”中个人信息处理者应当如何满足死者近亲属的查询请求等。对于个人信息处理者而言,模棱两可的法律条款使得其在业务合规过程中面临棘手难题:一方面,如果严格按照《个人信息保护法》的相关要求进行业务合规管理,那么中小企业显然难以负担沉重的合规成本;另一方面,如果仅以“表面合规”“敷衍合规”等方式进行业务管理,那么又会导致企业在监管活动中被认定为“不合规”,招致罚款、停业整顿等行政处罚。
解决这种业务合规管理悖论的方法有二:一是通过法律解释、个案裁判的方式明确商业实践中存在争议的法律条款,二是通过合规审计的方式进行自我评估或第三方评估,以便判断业务活动是否符合个人信息保护的基本要求,并进一步进行合规整改。对于前者,法院通过结合个案中个人信息的识别难度、识别成本、诚信原则等要素综合判断个人信息处理活动的合法性,其本质上属于外部的行为评价。对于后者,《个人信息保护法》第54、64条明确要求个人信息处理者应当定期进行个人信息保护合规审计,且监管部门在发现个人信息处理者存在较大安全风险或发生个人信息安全事件时,有权要求个人信息处理者委托专业机构对其进行个人信息保护合规审计。相较于前者而言,合规审计的优势在于通过自评估、他评估的方式更有效地判断个人信息处理活动的合法性问题。并且,审计活动自身的性质决定了在具体的合规审计活动中,个人信息处理者需要有确切的证据证明其具体的业务活动符合《个人信息保护法》等相关法律法规要求,以方便监管部门高效透明地评估个人信息处理者是否履行了法定的个人信息保护义务。
尽管个人信息保护合规审计机制存在诸多优点,国家互联网信息办公室也在2023年8月发布了《个人信息保护合规审计管理办法》(以下简称《合规审计办法》)及其附件《个人信息保护合规审计指引》,但学界对于合规审计的概念理解普遍停留于企业内部管理活动层面,对合规审计的理论基础、实施方式等方面的专门论述少之又少。因此,为了解决个人信息保护合规审计机制在法律实施阶段可能存在的困境,有必要分别从三个方面进行探讨:一是澄清个人信息保护合规审计机制的功能定位及其与个人信息保护影响评估等其他机制的区别;二是厘清个人信息保护合规审计的理论基础及由此延伸而来的制度框架;三是明确实践中应当采用的审计流程和审计方法。
二、个人信息保护合规审计机制的定位
个人信息保护合规审计机制属于对企业内部个人信息保护合规监督、鉴证和整改的特殊审计机制。如果仅从《合规审计办法》的内容来看,容易混淆合规审计与合规管理两个概念,因此,在探讨个人信息保护合规审计机制的理论基础和具体内容之前,有必要对该机制的基本概念和功能定位予以明确。
(一)个人信息保护合规审计机制是否属于“重复立法”?
个人信息保护合规审计机制的核心是判断义务主体是否履行了个人信息保护义务,其内容以《个人信息保护法》为基础,甚至可以说大部分内容与《个人信息保护法》的内容相似或相同,那么这是否属于“重复立法”?若是如此,则该专门立法缺乏相应的必要性。这里需要澄清的是,“重复立法”通常是指就同一调整对象或同一法律关系作出相同或相近似的立法规定,而个人信息保护合规审计是以《个人信息保护法》为上位法依据,属于个人信息保护法律制度中的特殊制度。因此,个人信息保护合规审计不可避免地会与《个人信息保护法》的内容存在相似与关联,但这种相似或关联与“重复立法”并非一回事,个人信息保护合规审计制度是对《个人信息保护法》实施标准的细化,而《个人信息保护法》则要求个人信息保护合规审计制度在审计事项、审计标准等法律条款的设计上要与其精神保持一致。此外,作为特殊制度的个人信息保护合规审计制度除了包含通常意义上的义务履行的内容,还囊括了义务是否得到充分履行的判断标准。因为如果只是出于判断义务履行与否的目的设置该项制度,那么在立法层面显然完全没有必要进行单行立法或者设置配套的实施细则。结合《个人信息保护法》所提及的“最小必要”等基本原则来看,个人信息保护义务的履行方式并不存在绝对统一的标准,所谓“最小”亦是暗含义务履行的充分性,即在处理目的范围内,处理的个人信息越少越好。
个人信息保护合规审计机制在一定程度上也与个人信息保护影响评估、数据安全风险评估等机制存在交叉,强调个人信息处理者应当判断自身的业务活动是否符合《个人信息保护法》的具体要求;《个人信息保护法》第56条个人信息保护影响评估事项涉及的个人信息处理者应当对处理目的、处理方式等是否合法、正当、必要进行评估,而《合规审计办法》附件第13项也提及针对敏感个人信息,义务主体的重点审计事项包括“处理敏感个人信息的目的、方式是否合法、正当、必要”。这种内容交叉并非立法中的技术性失误所致,而是立法目的同一性所导致的。无论是个人信息保护合规审计机制还是个人信息保护影响评估、数据安全风险评估等制度,本质上都是从不同环节控制所有可能的个人信息安全风险,加之个人信息保护基本原则普遍适用于个人信息保护的各个环节,所以这些制度的部分条款表述必然会存在交叉甚至重叠。
个人信息保护影响评估的范围主要为《个人信息保护法》第55条规定的五类情形,其首要功能在于“合规检验”,而个人信息保护合规审计的适用范围则包括所有的个人信息处理行为。《个人信息保护法》第56条规定的个人信息保护影响评估事项反映了该项制度的评估目的是判断特定的个人信息处理活动是否会对个人信息权益产生重大影响,该项制度设定的正当性在于特定的个人信息处理活动所存在的安全风险不单纯是对个人信息权益的减损,更可能涉及对自然人财产权、人身权的侵害。例如,基于算法评估个人信用状况时,如果用于评估的个人信息不准确、不完整,则有可能对自然人的社会信用状况产生负面影响。个人信息保护合规审计机制的正当性在于其是对个人信息处理者的业务合法性进行整体评估和判断,故而其评估事项集中于义务主体的业务活动是否能够全方位满足个人信息保护的基本要求。
此外,《个人信息保护法》《数据安全法》《数据出境安全评估办法》均提及了关键信息基础设施运营者和重要数据处理者的风险评估义务以及数据处理者的自评估义务,而数据安全风险评估也必然包括数据处理目的、范围、方式等方面的合法性、正当性、必要性等内容。从评估逻辑来看,个人信息保护合规审计和数据安全风险评估均涉及对整体数据处理活动的合法性评估。数据安全风险评估与个人信息保护合规审计制度的区别在于:数据安全风险评估属于技术风险、法律风险等综合性风险评估机制,并且要求重要数据处理者的风险评估报告要包括“面临的数据安全风险及其应对措施等”,其核心目标是对数据处理活动所存在的整体性风险状况进行评估;个人信息保护合规审计制度则更侧重“审计”环节,即通过比对义务主体的业务活动是否符合法律法规规定以判断其义务履行状况,且更重要的是在审计之后会要求义务主体根据审计结论采取相应的整改措施。
(二)个人信息保护合规审计属于企业合规审计的环节
个人信息保护合规审计制度虽然包括“审计”环节,但其与财务审计概念存在显著差别。我国《审计法实施条例》第2条将“审计”界定为一种确保财务收支真实、合法和效益的经济监督活动,具有独立性、权威性和公正性的基本特征。相应地,审计的功能定位也被归结为经济监督、经济鉴证和经济评价三个方面。诚然,在财会领域的审计活动中,虽然审计机关及其审计人员会对被审计单位的业务合法性进行评定,但这种评定主要是判断经济活动是否存在关联交易、虚开增值税发票等违法犯罪行为,其最终的目的是判断被审计单位经济活动的真实效益状态和合规情况。个人信息保护合规审计制度虽然在审计逻辑上与财务审计具有一定相似性,即均是在审计后出具相关的书面报告,并提出整改建议,但这种“审计”是以合法性判断为核心内容,且审计事项不涉及任何财务状况的合法性判断,故而也有学者在借鉴传统审计概念的基础上,将个人信息保护合规审计界定为“对个人信息保护行为是否合规所实施的一种监督活动”。并且,无论是义务主体内部的个人信息保护合规审计,还是第三方机构的个人信息保护合规审计,本质上均属于对义务主体内部管理活动合规与否的审查。
个人信息保护合规审计与常见的企业合规审计存在一定的差别。《中央企业全面风险管理指引》第10条将企业风险管理划分为各有关职能部门和业务单位审计、风险管理职能部门和董事会下设的风险管理委员会审计、内部审计部门和董事会下设的审计委员会审计三个阶段,企业业务合规审计属于第三个阶段,也被视为企业内部审计的组成部分。因此,企业业务合规审计实际上是企业内部的审计部门对企业的合规管理活动是否适当、有效进行评定和判断的内部审计活动。《企业内部控制基本规范》第3条将内部控制的目标规定为“合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整”以及实现企业的良性发展。因此,企业内部审计的目的是评定被审计单位经营活动的真实性、合法性和效益性。企业的合规管理情况属于内部审计的审计事项,企业合规审计也可被理解为内部审计机构对企业内部业务合规管理情况的适当性和有效性进行的评定和判断。有学者将《个人信息保护法》所规定的两类合规审计解释为“作为日常合规管理措施的个人信息保护合规审计”和“作为企业自主合规整改措施的个人信息保护合规审计措施”。但是,合规管理和合规审计终究存在一定差别,《商业银行合规风险管理指引》第22条就在区分合规管理和合规审计的基础上,明确规定内部审计部门应当负责商业银行各项经营活动的合规性审计。由此观之,通常意义上的合规审计实际上是对企业内部风险(主要是法律风险)的评定,审计的对象也主要是各个业务职能部门的业务合法性。
个人信息保护合规审计与传统企业合规审计最突出的区别在于审计范围不同,个人信息保护合规审计仅以个人信息处理活动为限,而企业合规审计则是以企业内部的全部业务活动为限。倘若按照此种审计逻辑,那么个人信息保护合规审计确实应当属于企业合规审计的一部分,但这无疑会降低个人信息保护合规审计专门立法的必要性,因为现行立法活动鲜有就专门的业务合规管理情况制定“特别法”之先例。需要澄清的是,过往的企业合规审计活动主要是以公司法、刑法等基本法的遵守情况作为审计对象,已经形成相对成熟的业务流程。而个人信息保护合规管理属于新型的法定义务,为了便于企业在短时间内将个人信息保护合规审计纳入内部审计的范畴,明确具体的审计事项和审计标准,确有必要专门立法。部分学者更是认为合理的合规审计通常是“有效开展经营审计、绩效审计、质量审计等一系列审计活动的基础”,个人信息保护合规审计的确立能够为企业数据资产入表的相关财务审计活动奠定基础。并且从网信办、工信部的执法实践来看,因为部分企业认为该类义务的履行并不会对其经济收益产生直接的增益效果,所以反而会以消极被动的方式保护个人信息,如果不专门立法,个人信息保护合规审计的监督功能就难以得到充分发挥。《第2201号内部审计具体准则——内部控制审计》第8条将内部控制审计分为全面内部控制审计和专项内部控制审计,后者是指“针对组织内部控制的某个要素、某项业务活动或业务活动的某些环节的内部控制所进行的审计”。个人信息保护合规审计业务作为数字经济时代企业新增的业务活动,在审计方式、审计范围和审计标准等方面均有其特殊性,故而设置专门的个人信息保护合规审计制度具有重大的现实意义。
(三)基于审计业务逻辑的功能定位
个人信息保护合规审计的立法目的是监督个人信息处理者是否充分履行个人信息保护义务,故而《合规审计办法》的内容主要是对《个人信息保护法》相关笼统规定的细化,为义务主体提供更为明确且具体的行为规范指引。无论是合规机制,还是合规科技,抑或合规审计,本质上均是从不同业务环节确认个人信息保护规则的适用方式。从这个角度来看,《合规审计办法》是对《个人信息保护法》的“解释”和“说明”。但是,个人信息保护合规审计作为一项合规审计机制,其核心功能依然是督促义务主体积极主动履行法定义务,而不是单纯对《个人信息保护法》进行解释。事实上,《合规审计办法》是对《个人信息保护法》中尚未明确的个人信息保护合规审计的实施方式的明确,例如明确合规审计的流程、机构、次数、审计标准等事项,并没有涉及对特定法律概念、法律术语的解释。因此,个人信息保护合规审计机制的功能实际上包括合规管理标准设定、合规管理监督和合规管理鉴证。倘若把该项机制的功能理解为是对《个人信息保护法》的法律解释,《合规审计办法》对《个人信息保护法》第54条和第64条的扩充则显然超出了法律解释的必要范围。在排除个人信息保护合规审计机制的单纯法律解释功能之后,不难发现,该项机制的功能主要还是以“审计”为限,遵循“审核合规管理情况—评定合规管理结论—根据审计报告进行整改”的业务逻辑,以便企业内部和外部监管机构能够较为准确地判断和评估《个人信息保护法》在特定单位的实施情况。相较于传统的企业合规审计事项而言,业务层面的个人信息保护工作并没有标准化的监管要求,企业更需要以内部审计的方式独立判断义务履行状况。对于企业而言,个人信息保护合规审计面向的是企业的整体业务活动,在数据处理的全生命周期范围内控制各类个人信息安全风险。并且《合规审计办法》及其附件《个人信息保护合规审计指引》所提及的重点审计事项均以基础法律风险和特定法律风险为划分标准。基础法律风险主要是指个人信息处理活动是否违背了知情同意以及合法、必要、正当等基本要求;特定法律风险主要是指可能严重影响个人权益的个人信息处理活动是否按照法律规定采取特定的事前风险控制措施。此外,个人信息保护合规审计的关键环节之一是要求被审计机构根据审计报告结论,整改不合规业务活动,提升个人信息保护实际效果。因此,个人信息保护合规审计机制具备自我风险评定和改善个人信息保护业务水平的功能。对于监管机构而言,有限的监管资源决定了监管机构不可能实时监管各个义务主体的个人信息保护情况,而且企业内部的个人信息保护合规工作往往具有一定的隐蔽性和非直观性,监管机构难以高效判断企业义务的履行情况。个人信息保护合规审计机制的业务逻辑既要求审计机构在审计过程中如实记录企业合规的证据材料,也要求审计机构最终出具审计报告,以帮助监管机构更为直观地了解和判断被审计机构是否充分履行了个人信息保护义务。
三、个人信息保护合规审计的内在制度逻辑
《个人信息保护法》专门设置个人信息保护合规审计制度的内在逻辑是,借助审计机制督促企业积极主动履行个人信息保护义务。个人信息保护合规审计虽然具有一定的特殊性,但仍然是审计活动的一部分,故而需要从审计而非合规的视角确认该项合规审计的理论基础。
(一)个人信息保护合规审计的目标
对于特定法律制度的设置,学者们大多会选择从特定权利保障等角度解释相应的理论基础,诸如个人信息权益的理论基础被解释为个人信息自决权等。但是,个人信息保护合规审计机制却有其特殊性,它并非以个人信息权益保障、技术风险控制或者义务强制履行作为直接的理论基础,而是遵循审计的业务逻辑所设置的特殊监督制度。从《合规审计办法》的内容来看,人们很容易误将个人信息保护合规审计机制理解为个人信息安全风险评估制度或者个人信息保护义务履行监督制度。实际上,该项制度的底层制度逻辑是“审计”而非“合规”,因为《合规审计办法》第6-15条以及附件等具体条款并没有就具体的合规标准提出明确要求,反而是对审计程序、审计方法、审计机构等内容作出相关规定。诚然,个人信息保护合规审计机制的设置目的是通过判断义务主体是否充分履行法定义务,最终保障个人信息安全。但是,这种间接性的理论基础推导只会将个人信息保护合规审计的功能定位偏向于“合规”,相应的制度内容也会被导向判断业务流程是否符合法律规定,最终的结果便是《合规审计办法》的内容不过是“复述”《个人信息保护法》的内容罢了。因此,意欲厘清个人信息保护合规审计的底层制度逻辑,首先需要明确两个问题,一是审计目标,二是合规审计和合规管理的区别。前者决定了该项制度的具体范围,后者则决定了该项制度的重点内容。
在传统合规审计理论中,审计目标通常包括揭露违法违纪行为、检查和发现舞弊行为、降低组织风险、促进领导履职尽责以及完善内部控制。这些目标的相同点在于,对义务主体内部管理制度、业务流程是否符合法律法规要求,是否存在被疏忽的合规风险进行判断。概括来说,被审计机构通过合规审计活动发现未合规事项并提升业务合规水平。而在个人信息保护合规审计机制中,审计目标则可被解释为:其一,揭露违反个人信息保护要求的业务活动,如个人信息处理活动是否获得个人明确授权同意等;其二,检查和发现内部员工擅自处理个人信息的活动,如内部员工是否恶意窃取和出售公司客户的个人信息等;其三,降低个人信息处理业务违规风险,如针对部分新型业务活动判断其合规水平等;其四,促进企业领导层和主管人员履行个人信息保护义务,如部分业务部门主管为追求盈利而无视个人信息保护法定义务等;其五,完善内部控制,如发现内部管理漏洞、判断内部控制制度实施状况等。因此,在实践层面,个人信息保护合规审计的范围并不单纯针对被审计机构的业务活动和内部管理制度,还包括不同业务部门之间业务衔接过程的合规水平以及主管人员的履职尽责情况,以此判断整体业务层面的合规风险及其整改方向。
合规审计和合规管理属于企业内部风险控制的不同环节,但也有观点认为合规审计属于合规管理的组成部分,并提出存在“合规部门的合规审计”和“审计监督部门的合规审计”两类合规审计类型。这种分类模式实际上混淆了合规管理与合规审计的概念。合规管理通常是由企业内部的合规管理部门负责评估业务的合规性、内部管理制度制定等事项,而合规审计的本质是“审计”,应当是由审计部门负责评估和审核被审计单位的合规水平。并且,《企业境外经营合规管理指引》第26条明确规定“企业合规管理职能应当与内部审计职能分离”,审计范围包括“企业合规管理的执行情况、合规管理体系的适当性和有效性等”。在个人信息安全风险内部管理的框架下,相应的制度逻辑应包括三个方面:一是合规部门负责判断业务合规性和制定内部管理制度;二是由内部审计部门针对被审计单位的整体业务合规情况进行审计,因为“降低企业合规风险也能够间接降低企业的运营成本”;三是个人信息保护合规审计报告交由合规部门进行业务整改。需要说明的是,现阶段有关合规管理、合规审计、合规评审等类似术语尚未形成相应的行业标准,如《中央企业合规管理指引(试行)》采用的是合规风险评估和合规管理评估的概念,并没有采用合规审计等表述。但是,合规审计本身的特征之一是独立客观,故而相应的合规审计必然不可能由合规部门完成,否则会陷入“自我审计”的误区。
(二)个人信息保护合规审计机制的审计功能与审计模式
作为内部审计环节的合规审计应遵循风险导向的基本思路,以应对战略风险、法律风险、运营风险等企业内部风险。不过,内部审计更关注的是剩余风险,即企业在实现经营目标中存在的各类风险,尤其是在采取相应的控制措施后仍然留存的风险。在由“业务部门—合规部门—审计部门”这三部分组成的企业风险控制框架下,部分企业风险可能经由业务部门自我调整、合规部门合规管理等方式予以化解,故而内部审计所涉及的风险通常限于剩余风险,以更为精准高效地发现和评估特定的企业风险,提升企业的内部管理能力。从《个人信息保护法》的立法目的来看,个人信息保护合规审计的最终目的是确保个人信息安全风险能够被控制在可接受范围内,这种风险治理逻辑本质上与风险导向的内部审计逻辑不谋而合。与传统内部审计相比,风险导向的内部审计将“组织战略目标”与“风险评定”的先后顺位予以颠倒,即先根据组织战略目标确定审计方案,识别和评估可能影响战略目标实现的风险,然后针对这些风险评定重点业务、重点环节的内部控制情况,评定内部管理的薄弱环节,进而提升被审计机构的内部控制能力。相对应地,个人信息保护合规审计则应当是在实现全业务流程符合个人信息保护规定且不对企业盈利能力产生实质性影响的前提下规划和设计审计方案,有选择地确定审计事项和审计范围,针对个人信息保护领域容易被忽视的业务环节进行评定,既包括确认合规管理过程中是否已经恰当地评估风险,也包括评定特定风险管理情况等内容,并最终提出可操作的整改建议。同时,基于组织战略目标决定风险审计范围这一业务流程,个人信息保护合规审计的内容显然不包括选择、实施个人信息保护合规管理措施以及设置被审计单位的风险可接受标准。这是因为审计部门在风险导向的个人信息保护合规审计模式下,仅以组织战略目标为审计基础,并不包括制定和实施组织战略目标。
《合规审计办法》第3、5、6条实际上设置了强制性合规审计和非强制性合规审计两种审计模式。强制性合规审计是指法律规定在特定情形下被审计单位应当委托第三方机构进行的合规审计,非强制性合规审计主要是指由被审计单位自行或委托第三方机构进行的合规审计。个人信息保护合规审计主要是指非强制性合规审计,亦即内部审计,故而相应的审计逻辑、审计内容设定均应以内部审计为基础。强制性合规审计则属于外部审计模式,是以判断被审计机构是否存在未履行法定义务为目标,故而相应的审计逻辑并非属于风险导向的合规审计,而是以发现和评定内部控制风险为起点,进而明确相应的业务合规目标。外部审计和内部审计的核心区别在于,外部审计的服务对象通常是国家机关或相关利益方,在第三方机构强制审计的情形下,审计报告通常会被作为监管机构判断被审计单位是否存在重大违法违规事项的依据。为了保证审计活动的独立性,审计机构在经济、组织、工作等方面均与被审计单位不存在关联性。《合规审计办法》第5条所规定的强制性合规审计以“个人信息处理活动存在较大风险”和“发生个人信息安全事件”为前提,以“存在个人信息安全风险”为行为逻辑,以风险成因以及与风险事件相关的业务环节作为重点的审计事项,评定企业在特定业务环节是否存在未能履行个人信息保护义务的合规管理漏洞。在非强制合规审计模式下,个人信息保护合规审计是以保障全业务流程符合法律法规要求为组织战略目标,对全业务流程进行整体层面的合规管理风险识别和评定,进而确定相应的审计方案与审计方法,锚定个人信息保护内部合规管理薄弱环节,作出审计结论和审计整改建议。而在强制合规审计模式下,监管机构实际上已经确认了被审计机构存在较高的个人信息安全风险,合规审计属于事后的监督机制,并非同风险导向的个人信息保护合规审计那般,在事前阶段即对全业务过程进行监督和控制。强制合规审计的重心在于将审计结果对外公布,使监管部门知晓被审计机构是否存在重大违法行为。《合规审计办法》第5条将强制合规审计模式限定为“委托专业机构开展审计”,其目的是通过独立的外部审计机构作出客观中立且具有权威性的审计结论。
(三)以风险管理为导向:个人信息保护合规审计的理论基础
在传统理论中,学界针对“为何需要在内部审计模式中增加合规审计”这一问题存在不同的理论主张,有学者将之归结为“委托代理理论”“受托经济责任理论”“舞弊理论”和“风险管理理论”。“委托代理理论”是以所有权和实际经营的分离为基础,认为公司的所有者和管理者之间、管理者和员工之间存在“双重委托代理关系”,为了解决委托代理关系中因信息不对称可能导致的利益冲突,借由内部的合规审计实现对各方利益的最大化约束;“受托经济责任理论”则主张受托人的经济管理活动和报告行为必须依据特定原则行事,包括以合法经营管理为内容的行为责任和以编报财务报表为内容的报告责任,而进行内部合规审计的目的是确认受托经济责任的特定内容已经得到全面履行;“舞弊理论”则是有关舞弊为何会发生的理论,包括“压力、机会、借口”等风险因子,相应地,合规审计则是针对管理层舞弊的动因进行专门的预防和识别,其目的是抑制管理层的舞弊行为;“风险管理理论”则以企业风险管理目标为基础,主张对企业面临的纯粹风险进行识别和评估并采取应对措施,而这里的企业风险管理目标主要包括战略目标、经营目标、报告目标和合规目标,合规目标引申出的内部审计模式便是合规审计。这些合规审计理论从不同角度解释了合规审计的目的以及必要性,并不存在孰优孰劣之分。而个人信息保护合规审计机制的确立是由网信监管部门主导,故而风险管理理论更贴合该合规审计模式的内在需求。因为从《个人信息保护法》《合规审计办法》的内容来看,个人信息保护合规审计制度的立法逻辑是尽可能地采取多元化的制度模式将个人信息安全风险控制在可接受范围内。进一步而言,网信监管部门作为个人信息保护的统筹协调机构提出的个人信息保护监管要求与其他三个理论的关联性并不大。“委托代理理论”所涉及的利益冲突并不包括个人信息保护问题,“受托经济责任理论”所提及的受托人行为责任主要针对的是一般性的内部审计活动,“舞弊理论”则是针对管理层的行为合法性进行审计。而在我国《网络安全法》《数据安全法》《个人信息保护法》颁布后,企业原有的风险管理目标则需要增加“保护用户个人信息”这一专门的合规目标,故个人信息保护合规审计的基本内容应围绕个人信息安全风险展开。审计部门需要发现企业在个人信息保护业务合规过程中存在的问题及其原因,提升企业的个人信息保护业务合规水平,评定合规管理风险与企业可容忍的风险程度是否相适应,减少可能影响企业经营目标实现的不利因素。
如果依照“风险管理理论”,个人信息保护合规审计机制的核心功能就是发现、评估、确认和控制全业务流程中的个人信息安全风险。不过,这里的安全风险主要是以“法律风险”的形式存在。虽然具体的审计活动也会涉及是否存在合理的技术措施等审计事项,但是审计部门终究不是专门的技术部门,且技术安全可靠性的确认并不需要通过审计活动实现。从审计功能的传统理论来看,个人信息保护合规审计的功能主要包括监督、鉴证和整改三个方面,配套的具体审计制度也是基于这些功能而设置的。监督功能是指个人信息保护合规审计能够督促被审计机构积极履行个人信息保护的法定义务,因为相关的审计活动会结合其经营活动,评定被审计机构是否存在消极履行义务的合规风险并制定更为合理的合规管理方案。该功能的实现是以独立客观、科学透明审计原则为基础,即审计活动本身需要独立公正,审计流程和审计证据采集应当科学透明,以确保审计结果能够反映实际的合规管理状况。鉴证功能指个人信息保护合规审计活动需要留存被审计机构的合规管理证明材料,以此作为审计报告、审计结论的事实依据。这些材料也是判断被审计机构是否履行法定义务的直接依据。鉴证功能的实现以审计证据规则为基础,个人信息保护合规审计通过明确被审计机构的配合义务,针对性地确定审计证据的采集方式。整改功能是指个人信息保护合规审计活动形成符合审计准则和法律要求的审计报告,审计机构应当基于审计报告的结论提出相应的整改建议,提升被审计机构的合规管理水平,被审计机构据此做出整改。其实现方式是以审计报告规则为基础,对审计报告的内容要素、审计建议的可操作性等事项作出规定,提升审计报告的可用性。
四、个人信息保护合规审计的基本内容
个人信息保护合规审计是以风险管理为导向的合规审计机制,其基本制度设计应当围绕审计目标、审计功能展开。在审计功能层面,个人信息保护合规审计的具体功能表现为合规监督、合规鉴证以及合规整改三个方面,与之相对应的制度内容则表现为审计基本原则、审计证据和审计报告规则。
(一)监督功能的实现:基本原则
个人信息保护合规审计监督功能的实现在于确保整个审计活动的独立性与公正性,即便属于内部审计环节的个人信息保护合规审计模式,也需要审计部门能够独立于合规管理部门、业务部门,否则合规管理部门既做合规管理又做合规审计,就会出现“既当裁判员又当运动员”的问题。因此,个人信息保护合规审计的基本原则应当突出三方面内容。
1.独立审计原则。无论是财务审计,还是合规审计,审计活动需要遵循的最核心原则都是独立审计原则,因为如果审计活动无法保持自身的独立性和中立性,其相应的审计结果就不具有客观性和权威性,不仅浪费审计活动所必需的人力、财力和物力,而且会间接诱发管理层舞弊、业务不合规等企业管理风险。个人信息保护合规审计的目标是确定被审计机构是否充分履行个人信息保护义务,需要遵循的独立审计原则包括组织独立、人员独立、工作独立、资金独立四项要求。组织独立是指审计部门或审计组织应当独立于业务部门和合规管理部门。人员独立则是指在审计期间,审计人员的任命不受其他部门干涉,仅由审计部门或审计组织独立管理。实践中,部分企业的内部合规审计部门人员由其他业务部门和合规管理部门临时调任而组成,这同样符合人员独立的要求,只要处于审计期间,调岗的审计人员在与自身利益相关、自身处理的业务内容上做到回避即可。人员独立也是工作独立的基本要求,审计人员依据《中华人民共和国审计法》《中华人民共和国审计法实施条例》《中华人民共和国国家审计准则》以及其他外部的法律法规和内部的管理制度实施审计方案,既不能与具体的审计事项具有直接的经济利益关系或者业务处理关系,也不能脱离审计部门安排而按照其他部门或管理层的意见开展审计活动。经济独立则是指审计人员的工资、审计活动的必要支出应当独立于被审计单位的薪酬体系,否则事实层面的审计独立难以实现。
2.公正审计原则。与财务审计不同的是,个人信息保护合规审计的检查和判断需要保持更为客观公正的立场,因为个人信息保护合规情况并非可以通过纯粹的财务数据予以验证,而需要审计人员结合个人信息保护相关的法律法规进行定性层面的判断。在《个人信息保护法》的基础上制定的《合规审计办法》,也是为了给实践提供更为统一规范的审计标准。“公正”的内涵包括两个方面:一是审计方案的制定和实施能够贴合被审计单位的业务特征,审计人员能够充分证明审计证据与审计结论之间的必然关系,确保审计结论的公正性;二是审计人员应当不具有舞弊等能够对审计活动产生负面影响的先前行为。个人信息保护合规审计自身属于合规性判断,不仅需要审计人员对个人信息立法现状有一定的了解,而且需要审计人员具备相应的职业素养和诚信行为,在此前提下的审计行为才能使审计委托人信任审计结论。特别需要说明的是,适用强制性个人信息保护合规审计模式是监管机构强制要求的,虽然《合规审计办法》第5条采用了“可以”而非“应当”一词,但是从法律文本来看,此时的个人信息保护合规审计具有显著的必要性,因为被审计单位已经存在严重的个人信息安全风险,所以更需要确保审计活动遵守公正审计原则。
3.效益审计原则。归属于内部审计的个人信息保护合规审计不能被简单地理解为“对被审计机构是否落实《个人信息保护法》要求的判断机制”,否则只会将该机制与日常的合规予以混同。个人信息保护合规审计总体上属于经济活动,也需要遵循效益审计原则。一方面,个人信息保护合规审计在保障审计质量和最大化实现审计目标的前提下,应当优先采取资金、人力等成本投入最小的方式;另一方面,无论是被审计机构自行进行内部合规审计,还是委托外部专门机构进行外部合规审计,审计活动都应当将审计目标与审计效果进行对比,确保实际的审计效果至少能够满足基本的审计目标。在一般的内部审计活动开展之前,审计机构通常会通过调查和分析会议纪要、业务数据、过往审计报告、走访等方法确定审计工作的重点领域,提升审计工作效率。在《合规审计办法》后续的配套实施细则中,有必要对审前调查、审计实施方法编制等内容作出具体规定,以体现个人信息保护合规审计工作的特殊性与针对性。遵循效益审计原则是由个人信息保护合规审计的实践特征所决定的。倘若将个人信息保护合规审计纯粹理解为个人信息保护的法定义务,那么出于满足履行义务这一形式要求,审计模式可能会转变为对所有业务的合法性与否的判断机制,而不是判断义务是否被履行以及明确哪些重点业务环节需要被专项审计的机制。
(二)鉴证功能的实现:审计证据规则
个人信息保护合规审计机制以判断个人信息保护义务是否得到充分履行为目标,而审计证据作为审计部门制作审计报告的事实依据,应遵循相关的证据采集规则。审计是否遵循证据规则也是监管机构高效判断被审计机构是否真正落实个人信息保护监管要求的重要依据。
在传统理论中,审计证据是指“审计人员发表审计意见和出具合规审计报告的依据”,也是“保证审计意见和合规审计报告的稳妥可靠”的前提条件。而在个人信息保护合规审计中,审计证据更是判断被审计对象是否履行法定义务的核心依据,故而更需要明确具体的审计证据规则。在具体的审计活动中,审计部门需要对各个业务部门、合规管理部门提交的材料进行加工处理,有选择性地挑选用以支撑审计结论的材料。因此,不是所有的书面文件都能够作为审计证据,也不是所有的审计证据都是书面文件。基于审计证据的实际作用以及基本特征,个人信息保护合规审计的部门在筛选审计证据时,首先需要确保审计证据与审计目标、具体审计事项之间具有一定的关联性。举例来说,在判断企业是否履行告知义务时,审计证据主要限于用户协议、隐私政策等文本内容,至于其他的个人信息保护措施则不属于此项审计事项的审计证据范围。其次,需要确保审计证据具有一定的可信度,即审计证据的来源、收集方式、种类等能够有力地证明审计结论。审计证据的采集规则与民事诉讼法的证据规则在证据形式方面具有一定的相似性。通常而言,原始证据的效力优于传来证据,书面证据的效力优于口头证据;同样地,在审计证据层面,书面记载的内部管理制度、业务合规处理状况比内部员工的口头陈述更可信,附有公章、签字的业务合规原件可信度优于复印件。例如,在判断企业收集个人信息范围是否满足“最小必要”之要求时,网信部门的行政处罚文书优于企业内部自行提供的业务合规说明。再次,需要确保审计证据的数量满足充分性要求。诚然,审计证据的数量越多,越能充分地评定被审计机构的个人信息保护业务合规状况,但是,个人信息保护合规审计的直接目标是发现和评定合规管理风险,故而只要审计证据能够支撑审计结论即可。倘若审计证据在形式和内容上均能够直观反映业务合规状况,那么在效率审计原则的导向下,没有必要重复收集审计证据。最后,需要确保审计证据之间具有可相互印证性。除了单个的高质量审计证据能够独立证明相关审计事项之外,还需要复数的审计证据能够针对某一审计事项相互印证。不同审计证据最好能通过不同渠道获取,以保证彼此之间的相互独立性和客观性。举例来说,为了避免企业存在“阴阳合规”的问题,需要将业务部门自行提供的合同与合作方留存的合同予以对比,避免出现业务部门为了规避担责而提供不实的业务证明材料。
审计证据规则的具体内容既包括前述的审计证据特性,也包括审计证据采集规则。在审计活动中,审计证据的采集方式、采集渠道从来都不是固定的,往往是根据预期的审计目标和审计重心予以确定的。个人信息保护合规审计也不例外,在确定具体的审计证据采集方式之前,首先应当由审计人员初步判断本次合规审计所存在的合规管理风险。如果被审计单位属于《合规审计办法》第5条规定的强制性个人信息保护合规审计,则应将监管机构指出的个人信息安全风险作为审计重心和审计目标。之后,再根据审计目标确定大致的审计事项,并围绕这些审计事项收集相应的审计证据。需要注意的是,虽然被审计机构的业务范围、安全技术能力等方面存在诸多差异,但是个人信息安全风险的来源无外乎内部员工违规、外部攻击、安全技术框架不合规和内部管理制度不合理四个方面,因此,审计证据的采集也需要反映这些主要风险来源领域的管理状况。在实践层面,审计证据的采集除了包括业务部门提交的书面文件,还应包括与业务管理部门面谈、实地观察个人信息保护内部管理制度的实施情况,向合作方、业务关联方发函了解业务的合规情况,上网检索被审计机构是否存在行政处罚记录等。
(三)整改功能的实现:审计报告规则
个人信息保护合规审计与传统的业务合规管理相比,最显著的差异在于审计报告。审计报告的内容不仅涉及本次合规审计的具体结论,即被审计机构存在何种程度的合规管理风险,而且涉及审计部门基于审计结论所提出的审计建议,即被审计机构应当采取何种措施将相关风险降至可接受水平。事实上,《个人信息保护法》规定合规审计的目的也是督促被审计部门提升业务合规水平、降低个人信息安全风险。因此,遵循审计报告规则同样是个人信息保护合规审计的重要事项,主要包括审计报告的质量要求、审计结果的沟通等内容。
在审计报告的质量方面,需要满足面向被审计单位、高层管理人员以及监管机构三个层面的信息获取需求。其一,面向审计单位时,审计报告应能够客观中立地反映被审计单位的个人信息保护业务合规状况以及存在的合规管理风险,能够协助被审计单位改善业务活动。其二,面向高层管理人员时,审计报告需要条理清晰、重点突出,能够帮助高层管理人员优化业务流程,指明被审计单位内部控制环节存在的风险和问题。其三,面向监管机构时,审计报告应当能够凸显被审计机构的个人信息安全风险控制情况以及是否存在重大的不合规风险结论。通常而言,审计报告的结构可分为摘要报告、结论报告、详细报告等类型,往往需要根据阅读者的信息获取需求对审计报告的类型进行选择。摘要报告和结论报告本质上都是“定性报告”,即尽可能以简洁明了的语言评定被审计机构的个人信息保护业务合规情况,并不需要列明所有的审计证据等其他内容。相对地,最常见的审计报告形式是详细报告,即系统性地交代审计目的、审计背景、审计证据、审计发现、审计建议等具体内容。
当然,审计报告的内容并不是越多越好,因为审计报告的阅读者通常并不具备专业的审计知识,并且繁冗的内容只会降低审计报告的权威性和可信度,所以审计报告需要满足简明清晰、客观公正、切实可行、深入审计的要求。第一,个人信息保护合规审计的目的并不是对外证明企业积极落实个人信息保护要求,而是为了向委托人、监管机构等主体说明业务合规管理风险,所以审计报告的内容应当足够简明清晰;审计机构和审计人员应当确保语言表述不存在歧义,不存在过多的专业术语。第二,审计活动的权威性要求审计主体基于审计证据和相关事实作出专业性审计报告,故而审计报告的表述方式需要以客观中立为主,不掺杂主观性的判断。同时,在认定存在合规管理风险时,审计报告应当列明相关事实、具体的法律依据以及对应的业务管理责任人。难以验证、超出审计目标、纯粹的工作模式等事项不应当列入审计报告,以确保给出的审计结论存在充分必要的审计证据和法律法规支撑。第三,审计报告的内容除了应明确企业合规管理风险的审计结论,还应指明企业个人信息保护合规的优化建议。需要说明的是,这里的审计建议不应当被理解为方向性建议,否则完全没有专门设置该合规审计机制的必要性。审计建议应当在具体的业务层面具有可操作性,完全脱离现有的安全技术能力或者大幅提升业务合规成本等建议内容已经严重影响到商事活动的效率,并不具有可操作性。第四,个人信息保护合规审计的实施不是对《个人信息保护法》的逐条分析,审计报告也不应当罗列业务合规管理现象,而应当主次分明地反映业务合规管理问题,并结合审计证据进行成因分析,提出相应的审计建议。这是“深入审计”的基本要求。
在审计结果沟通方面,因为审计报告主要服务于被审计机构,所以审计人员与被审计机构就审计结果的沟通相当重要。《第2105号内部审计具体准则——结果沟通》也强调结果沟通是内部审计机构与被审计单位、组织适当管理层就审计概况、审计依据、审计发现、审计结论、审计意见和审计建议等方面进行交流沟通的方式。个人信息保护合规审计的结果沟通是为了与被审计机构的管理层进行精准有效的交流,从而引导被审计机构的管理层了解个人信息保护业务合规的重要性以及现有的核心问题。听取管理层意见也是优化和完善审计报告的重要方式。审计人员需要留存好审计过程中形成的审计工作底稿,就管理层的质疑点进行有效答复。同时,针对部分管理层的“吹毛求疵”或者“知之甚少”的情况,审计人员应当保持审计活动的客观中立,确保审计报告的内容均有审计证据和审计工作底稿的佐证。
五、个人信息保护合规审计与个人信息保护制度的体系关联
个人信息保护合规审计机制是对企业业务合规管理活动的专项审计机制,为了避免出现就同一事项重复审计、增加企业合规成本的问题,审计机构还需要结合《个人信息保护法》规定的其他配套制度,明确相关的审计证据、审计结论与其他配套制度之间的逻辑关系,督促被审计机构形成风险控制高效、整改事项全面的个人信息保护框架。
(一)个人信息保护合规审计的体系关联基础:审计整改
我国个人信息保护制度呈现体系化、配套化的立法趋势,诸如个人信息保护负责人制度、个人信息跨境传输制度、个人信息保护影响评估制度等配套制度的规则细化使得个人信息保护的业务合规标准越发明确,这也对个人信息保护合规审计的审计标准产生了一定影响。当然,个人信息保护合规审计如果仅停留于“配套制度细化了审计标准”这种影响层面,还不足以体现个人信息保护合规审计机制的真正作用。在整个审计活动中,审计结论只是对业务合规管理状况的反映,审计督促整改才是个人信息保护合规审计的真正目的。在整个个人信息保护规则体系中,个人信息保护合规审计机制与其他制度之间的体系关联是依托审计结论和审计建议实现的。一方面,审计结论通常会附加列明合规管理风险类别、风险程度、业务环节、归属部门、具体描述以及法律依据等具体内容,而这些内容足以作为企业个人信息安全风险评估的依据之一;另一方面,审计建议仅是审计人员对被审计机构提出的具体整改建议,最终还需由被审计机构落实。倘若审计建议不具有可操作性或者后续整改缺乏监督机制,那么个人信息保护合规审计本质上不过是“二次合规管理”,这也与传统的审计理念相悖。
需要说明的是,仅从《合规审计办法》的正文内容来看,个人信息保护合规审计与个人信息保护合规管理在外观上具有内容同质性,但《合规审计办法》终究是规范性文件,针对个人信息保护合规审计的主要事项进行规定,至于审计流程、审计方法等内容,则需要在后续的实施细则或审计规范中予以明确。
在通常意义上,个人信息保护合规管理属于企业的内部控制活动,对违法行为进行识别、监督、预防、控制,本质上属于企业的业务风险管理活动。个人信息保护合规审计则是对被审计单位的生产经营管理等活动是否合法进行判断,本质上属于经济监督活动,故而个人信息保护合规审计的核心内容不仅包括具体的审计流程,而且包括审计报告的反馈和整改内容。
在审计报告完成后,审计人员需要监督和评定被审计机构按照审计报告内容进行整改的实际状况。因此,个人信息保护合规审计的机制还存在另一个容易被忽视的内容,即整改确认机制。在传统的合规审计活动中,不乏部分管理层在获得审计报告后敷衍了事的情况。为了确保审计报告不会成为“一纸空文”,同时为了避免个人信息保护合规审计成为形式意义上的合规管理,整改确认机制需要涵盖四个方面的内容:第一,设置合规管理风险整改台账和合理的监督计划。审计人员需要在审计报告的基础上列明具体的整改事项,结合被审计机构的业务特征制定详细的整改监督计划,在合规管理风险整改台账中确定整改责任部门、整改期限以及整改验收意见等内容。第二,设置内部的整改结果验收公示机制。在整改期间届满后,审计机构在被审计机构内部公示相关整改责任部门的落实情况,督促整改负责人落实审计建议。特别是在强制性个人信息保护合规审计模式下,监管机构在其职权范围内可以就审计人员的验收结论在社会范围内进行公示。当然,这种公示行为不应当涉及具体的业务活动内容,仅需就个人信息安全风险和整改效果进行整体性评价即可。因为公示的目的在于让社会公众了解被审计机构的个人信息保护情况,监督被审计机构履行个人信息保护义务,具体的业务内容以及整改措施与公示目的并不相关。第三,设置整改措施评价和调查机制。在后续的审计整改阶段,审计人员需要了解被审计机构所采取的具体整改措施并对其进行评价,同时,对于未能按照审计报告要求整改的问题事项,在调查了解的基础上,判断是否存在“法律法规发生变动”“整改措施成本过高”“企业发生严重的经营不善问题”“个人信息保护合规风险已经消失”等足以影响进一步整改必要性的情况。第四,设置分类整改监督机制。个人信息保护合规审计的结论通常有主次之分,故而针对重大个人信息保护合规管理风险,审计人员应在事前制定整改计划实施方案,确保整改方案能够稳步推进。同时,可结合被审计机构的业务能力、合规风险事项等要素,将整改期间划分为即时整改、限期整改和按照计划整改三类。诸如告知义务履行不到位、隐私政策中的关键事项文字未加粗等问题事项属于即时整改问题;员工离职时留存个人信息访问权限、过度收集用户个人信息等属于单个业务部门或特定业务环节的整改问题,因为需要进行内部业务调整无法直接整改完善,则属于限期整改问题;个人信息保护内部管理制度落实不到位等问题因涉及多个业务部门,需要协同多个业务环节共同处理,故而属于按照计划整改问题。
(二)与个人信息保护相关制度的体系关联
审计结论和审计建议分别与合规风险判断和合规优化方案相对应,相应内容恰恰体现了个人信息保护的核心治理理念,即法律层面的个人信息安全风险控制依赖义务主体充分履行法定义务,并且能够结合业务环境、技术能力等特定因素不断提升自身的个人信息保护水平。更确切地说,理想化的个人信息保护效果表现为个人信息保护义务的履行方式处于一个持续优化的状态。类似地,其他个人信息保护制度同样遵循了相同的治理理念,而这也是个人信息保护合规审计机制能够与其他制度相互契合的正当性基础。
1.与个人信息保护负责人机制的关联。《个人信息保护法》第52条规定:处理个人信息达到一定数量的个人信息处理者应当指定个人信息保护负责人;第58条专门提及超大型个人信息处理者应当建立健全个人信息保护合规制度体系,成立主要由外部成员构成的独立机构对个人信息保护情况进行监督。这些条款与个人信息保护合规审计的实施环节、报告整改环节密切相关:个人信息保护负责人独立履职,监督企业严格履行个人信息保护义务,既是内部的个人信息保护业务合规管理责任人,也是审计建议整改落实的负责人。外部的独立机构对个人信息保护合规情况进行监督,其监督意见和监督材料可以作为外部来源的审计证据。外部独立机构的监督功能当然包括对审计建议的整改落实监督。
我国的个人信息保护负责人机制与欧盟的数据保护官制度具有一定的相似性,均强调该负责人专门负责个人信息处理者的个人信息安全保护业务活动,不仅需要该负责人对个人信息保护制度足够熟悉,而且需要其掌握一定程度的数据安全技术知识。虽然《个人信息保护法》并没有明确个人信息保护负责人机制的具体内容,但是从独立履职内容来看,个人信息处理者应当为该负责人提供必要的管理职权,使其能够保持自身业务活动的独立性。特别是个人信息保护负责人不应当被调任从事与个人信息保护目标相悖的工作内容,否则会造成利益冲突,欧盟模式也拒绝数据保护官同时担任首席执行官、首席运营官、IT部门负责人等可能与数据保护存在利益冲突的职位。而在个人信息保护合规审计中,个人信息保护负责人的履职情况属于重点审计事项,因为其职权直接关涉个人信息保护业务管理,对该事项进行审计的范围不仅包括判断个人信息保护负责人是否按照个人信息保护法要求管理个人信息业务合规活动,而且包括判断个人信息保护负责人是否能够有效地合规履职,是否存在虚设该职位的合规风险。
2.与网络安全审查机制的关联。网络安全审查作为评估关键信息基础设施处理者以及掌握超过100万用户个人信息的网络平台运营者处理个人信息安全风险的核心机制,审查事项应聚焦且明确能够判断特定的个人信息处理活动是否可能存在威胁国家安全的风险。因此,《网络安全审查办法》第10条规定了包括“产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险”等七类国家安全风险因素。不过,从各网络安全审查公布的结果来看,网络安全审查的内容除了网络设备、网络技术服务等供应链层面的安全风险之外,还包括海量公民个人信息的处理活动是否符合现行立法要求的问题。与个人信息保护合规审计相比,网络安全审查机制本质上是一种安全风险识别和评估机制,除了对具体的业务合规事项进行审查外,还囊括了对技术安全风险的审查。两者的关联之处在于,个人信息保护合规审计的报告在一定程度上能够客观反映被审计机构自身的业务合规管理风险,审计证据、审计报告仅能够作为网络安全审查的事实依据;被审计机构是否定期开展个人信息保护合规审计本身也是审查其网络安全风险的环节之一。特别是在《合规审计办法》第5条规定了强制性个人信息保护合规审计的前提下,该类合规审计中的审计工作底稿、审计结论、审计建议也能够满足网络安全审查的业务需求,能够辅助网络安全审查办公室在短期内初步完成网络安全审查活动。值得注意的是,网络安全审查与国家安全密切相关,审查机构使用个人信息保护合规审计的相关材料能够有效缩短安全审查周期,确保在短时间内作出被审查主体是否存在威胁国家安全行为的判断,尽早发现和解决相关的源头风险。当然,并非所有的个人信息保护合规审计材料均能够支撑网络安全审查活动的开展,故网络安全审查应当优先选取时间较为接近的审计报告作为网络安全审查的依据。值得注意的是,我国《数据安全法》第24条规定了“国家建立数据安全审查制度”,虽然目前尚未对数据安全审查制度的内容作出具体规定,但从风险管理的业务逻辑考量,一旦经由强制性个人信息保护合规审计活动作出存在重大数据安全风险的审计结论后,国家网信部门理应启动数据安全审查程序。因为审计结论意味着被审计机构的数据安全风险可能威胁国家安全;为了在短期内作出初步结论以及快速识别潜在的安全风险,合规审计底稿以及审计证据可作为数据安全审查的事实依据。
3.与数据跨境传输机制的关联。目前,我国数据跨境传输机制主要包括数据出境安全评估、个人信息标准合同以及个人信息保护认证,这三类模式虽然在适用条件、具体流程等方面存在诸多差异,但其相似点在于均需要以评估数据出境方是否履行个人信息保护义务以及是否采取可靠的安全技术保障措施为基础内容。因此,仅在个人信息跨境传输领域,经由数据跨境传输机制审查得出的业务合规管理状况可以作为个人信息保护合规审计的证据来源。此外,数据跨境传输所涉及的个人信息安全风险较为特殊,除了可能涉及国家安全风险外,还因为个人信息出境后,个人信息处理者对这些个人信息的实际控制能力明显降低,更需要在事前阶段尽可能采取合理措施将安全风险控制在可接受范围内。个人信息保护合规审计通常需要将数据出境业务合规作为重点合规审计事项,在采集业务合规相关的审计证据时,审计机构既要关注企业自身的数据出境业务流程是否符合《个人信息保护法》的要求,也要在必要且可行的前提下,向境外合作方或其他机构通过发函等方式了解数据出境后的个人信息处理情况。
在数据出境安全评估模式中,《数据出境安全评估办法》第5条规定了企业应先行开展数据出境风险自评估,评估的事项包括出境必要性、权益风险、境外接收方的个人信息保护能力、个人信息安全风险以及维护方式、法律文件的约定内容等。虽然部分评估事项可能并不涉及业务合规情况,但是风险自评估活动中所涉及的评估依据、评估事实均可被纳入个人信息保护合规审计的证据范畴。鉴于监管机构会对数据出境的安全性进行专门评估,故而数据出境活动的合规审计范围主要应以风险自评估的全面性和数据出境活动是否选择恰当的数据出境传输机制为限。
关于个人信息出境标准问题,《个人信息出境标准合同办法》第5、8条等条款实际上将个人信息保护影响评估机制作为实施个人信息出境安全保障的前置性条件。为了避免就相同的个人信息保护事项进行重复合规管理,个人信息保护合规审计应以个人信息出境标准合同、个人信息保护影响评估的开展方式作为主要的审计事项;除了需要重点评估标准合同内容的合规性之外,还应就个人信息保护影响评估的评估流程、评估范围是否全面、科学开展合规管理风险审计。
关于个人信息保护认证,《个人信息保护认证实施规则》第3条规定了“技术验证+现场审核+获证后监督”的认证模式,实际上引入了第三方专业机构以确保个人信息出境活动能够得到相应的安全保障。所以,个人信息保护合规审计的审计重心应侧重于评估第三方专业机构与被审计机构之间是否有利益关联,相应的具体审计内容则应包括认证证书的有效期、证书到期前是否进行有效续期、被审计机构选择第三方专业机构认证的程序是否公开、公正等。
六、结语
从现行立法体系来看,我国个人信息保护正在呈现以《个人信息保护法》为中心,持续细化各类配套制度的发展趋势,风险控制层面的立法又表现出整体性风险控制和特定风险强化控制相结合的基本特征。《合规审计办法》的发布则是在该个人信息安全风险控制体系的末尾又增加一个“风险复核”环节。为了强化个人信息保护合规审计在个人信息安全风险控制体系中的补充性功能,有必要明确区分个人信息保护合规审计与个人信息保护合规管理之间的差异。《合规审计办法》附件第9项规定了许多有关个人信息处理规则的内容,如是否事前主动告知自动化决策处理个人信息的种类及可能带来的影响等,但需要明确的是,《合规审计办法》规定的内容属于参考性质的具体审计事项,这一点从附件《个人信息保护合规审计参考指引》的名称就可见一斑。个人信息保护合规审计机制更强调的是“审计”,而不是合规管理。因此,在未来个人信息保护合规审计机制的实施过程中,更重要的是按照既定的审计原则、审计规则等内容,确保个人信息保护合规审计的独立客观性,通过公正透明的审计报告和审计结果进一步提升个人信息保护义务的履行效果。
