鐘 晨

一、引言

《個(gè)人信息保護(hù)法》第54條和第64條從內(nèi)部和外部?jī)蓚€(gè)方面對(duì)合規(guī)審計(jì)義務(wù)作出規(guī)定，這表明對(duì)個(gè)人信息處理者的監(jiān)管已經(jīng)從過(guò)去的事后監(jiān)管轉(zhuǎn)變到深入算法層面的事中或事前監(jiān)管，同時(shí)這也是我國(guó)第一次以法律的形式確定個(gè)人信息處理者應(yīng)當(dāng)承擔(dān)合規(guī)審計(jì)義務(wù)。遺憾的是雖然出臺(tái)了一些關(guān)于個(gè)人信息保護(hù)的標(biāo)準(zhǔn)和法律法規(guī)，但學(xué)界更多的是關(guān)注于個(gè)人信息權(quán)[1]、算法解釋權(quán)[2]、數(shù)據(jù)跨境流動(dòng)[3]、目的限制原則[4]等問(wèn)題，對(duì)合規(guī)審計(jì)義務(wù)的專(zhuān)題分析幾乎沒(méi)有，對(duì)《個(gè)人信息保護(hù)法》第54條和第64條的解讀也是付之闕如。本文嘗試填補(bǔ)關(guān)于合規(guī)審計(jì)義務(wù)的空白，以《個(gè)人信息保護(hù)法》第54條和第64條為切入點(diǎn)，從合規(guī)審計(jì)義務(wù)的義務(wù)來(lái)源、現(xiàn)實(shí)困境等多個(gè)方面進(jìn)行分析，初步構(gòu)建合規(guī)審計(jì)義務(wù)的制度框架。

二、合規(guī)審計(jì)義務(wù)的現(xiàn)實(shí)困境

合規(guī)審計(jì)義務(wù)的效力范圍從個(gè)人信息的收集階段、個(gè)人信息的處理階段到個(gè)人信息的應(yīng)用階段，包括了個(gè)人信息活動(dòng)的全過(guò)程，可以在多個(gè)階段發(fā)揮作用。但在現(xiàn)實(shí)的應(yīng)用中，仍然存在一些問(wèn)題亟待解決。

(一)概括性描述的合規(guī)審計(jì)義務(wù)執(zhí)行困難

合規(guī)審計(jì)義務(wù)在具體的實(shí)踐中，包括中國(guó)內(nèi)審協(xié)會(huì)、審計(jì)署在內(nèi)的學(xué)術(shù)組織和政府機(jī)構(gòu)都沒(méi)有對(duì)合規(guī)審計(jì)作出相應(yīng)的制度設(shè)計(jì)，缺少對(duì)合規(guī)審計(jì)的重視使得除了《個(gè)人信息保護(hù)法》外沒(méi)有其他規(guī)范性文件對(duì)合規(guī)審計(jì)進(jìn)行支撐，這不僅為執(zhí)法者、司法者帶來(lái)理解上的困擾，導(dǎo)致適用上的偏差，而且會(huì)讓企業(yè)在操作性較差或者遵守相關(guān)規(guī)則需要承擔(dān)較高成本的情況下，更傾向于選擇逃避法律。但是在國(guó)外，尤其是西方國(guó)家已經(jīng)對(duì)合規(guī)審計(jì)義務(wù)進(jìn)行了詳細(xì)的設(shè)計(jì)。以英國(guó)在2021年6月發(fā)布的《信息專(zhuān)員(ICO)審計(jì)指南》為例，目的是為了對(duì)英國(guó)2018年發(fā)布的《數(shù)據(jù)保護(hù)法》第146條(賦予信息專(zhuān)員強(qiáng)制審計(jì)進(jìn)行調(diào)查的權(quán)力)作出進(jìn)一步詳細(xì)的規(guī)定。我國(guó)也需要對(duì)合規(guī)審計(jì)義務(wù)進(jìn)行詳細(xì)的規(guī)定，出臺(tái)相應(yīng)的解釋性文件或國(guó)家標(biāo)準(zhǔn)。

(二)制度設(shè)計(jì)上的缺失難以發(fā)揮應(yīng)有的作用

除上述問(wèn)題以外，合規(guī)審計(jì)義務(wù)在制度設(shè)計(jì)上也存在一定的缺陷。由于政府很難準(zhǔn)確和及時(shí)獲得平臺(tái)組織內(nèi)的網(wǎng)絡(luò)企業(yè)是否濫用個(gè)人信息的相關(guān)信息以及平臺(tái)個(gè)人信息處理活動(dòng)行為的正當(dāng)性[5]，公權(quán)力機(jī)構(gòu)想要了解平臺(tái)合規(guī)審計(jì)的相關(guān)情況，只能在事后進(jìn)行強(qiáng)制性介入或委托第三方機(jī)構(gòu)參與，這與設(shè)立合規(guī)審計(jì)義務(wù)進(jìn)行前置性監(jiān)管的立法目的相悖，需要完善合規(guī)審計(jì)義務(wù)的制度設(shè)計(jì)，使合規(guī)審計(jì)義務(wù)能夠起到事中監(jiān)管的作用。在完善的方式上應(yīng)當(dāng)選擇對(duì)平臺(tái)影響較小的方式，不增設(shè)過(guò)多的義務(wù)，算法備案可以很好地解決這個(gè)問(wèn)題。算法備案是行政機(jī)關(guān)作出的一種存檔備查的行為，其目的在于獲取平臺(tái)設(shè)計(jì)部署的具有潛在危害和風(fēng)險(xiǎn)的算法系統(tǒng)的相關(guān)資訊，以固定問(wèn)責(zé)點(diǎn)為今后的行政監(jiān)管提供信息基礎(chǔ)。[6]平臺(tái)在進(jìn)行合規(guī)審計(jì)后將審計(jì)的報(bào)告通過(guò)備案的方式交由監(jiān)管機(jī)構(gòu)，使合規(guī)審計(jì)的內(nèi)容通過(guò)算法備案的方式固定下來(lái)。通過(guò)以上的分析可以發(fā)現(xiàn)，合規(guī)審計(jì)義務(wù)在應(yīng)用層面還面臨著不小的困難，需要對(duì)其進(jìn)行更多的理論探討。

三、合規(guī)審計(jì)義務(wù)的內(nèi)涵闡釋

我國(guó)在2021年正式通過(guò)了《個(gè)人信息保護(hù)法》，加上之前發(fā)布的《數(shù)據(jù)安全法》，初步在法律層面上建立起了對(duì)個(gè)人信息保護(hù)、數(shù)據(jù)跨境流動(dòng)等問(wèn)題的規(guī)制。那么在此背景下我國(guó)法律對(duì)平臺(tái)增加合規(guī)審計(jì)義務(wù)是出于什么目的？想達(dá)到怎樣的效果？要回答這些問(wèn)題，必須從合規(guī)審計(jì)義務(wù)的內(nèi)涵來(lái)看待。

從《個(gè)人信息保護(hù)法》第54條和第64條來(lái)看，目前的合規(guī)審計(jì)從條文上來(lái)看，包括內(nèi)、外兩部分：內(nèi)部審計(jì)要求平臺(tái)定期對(duì)其個(gè)人信息處理行為進(jìn)行合規(guī)審計(jì)，外部審計(jì)要求如果平臺(tái)個(gè)人信息處理活動(dòng)存在重大風(fēng)險(xiǎn)，要接受由監(jiān)管機(jī)構(gòu)啟動(dòng)的外部強(qiáng)制性合規(guī)審計(jì)。相應(yīng)地，合規(guī)審計(jì)義務(wù)的內(nèi)涵也可以分為兩方面，分別是：附隨性義務(wù)與救濟(jì)性義務(wù)。附隨性義務(wù)主要是指《個(gè)人信息保護(hù)法》第54條的規(guī)定，該條要求個(gè)人信息處理平臺(tái)在個(gè)人信息處理過(guò)程中，要定期地履行合規(guī)審計(jì)，也就是說(shuō)為個(gè)人信息處理平臺(tái)增設(shè)了合規(guī)審計(jì)的義務(wù)。該義務(wù)的產(chǎn)生有賴(lài)于個(gè)人信息處理活動(dòng)的實(shí)施，不進(jìn)行個(gè)人信息處理的網(wǎng)絡(luò)平臺(tái)并沒(méi)有被施加該義務(wù)，合規(guī)審計(jì)義務(wù)隨著個(gè)人信息處理的產(chǎn)生而產(chǎn)生，更多是一種附隨性的義務(wù)，因此，從該角度來(lái)看合規(guī)審計(jì)義務(wù)是一種附隨性的義務(wù)。救濟(jì)性義務(wù)則是指，《個(gè)人信息保護(hù)法》第64條所規(guī)定的當(dāng)出現(xiàn)個(gè)人信息處理事故或者個(gè)人信息處理活動(dòng)存在重大風(fēng)險(xiǎn)時(shí)，個(gè)人信息處理者將有可能面臨由外部監(jiān)管機(jī)構(gòu)強(qiáng)制啟動(dòng)的合規(guī)審計(jì)以保證個(gè)人信息處理活動(dòng)的合法合規(guī)，此時(shí)個(gè)人信息處理者需要履行配合外部強(qiáng)制審計(jì)的義務(wù)。從當(dāng)前的條文規(guī)定來(lái)看，救濟(jì)性義務(wù)針對(duì)不同的風(fēng)險(xiǎn)會(huì)產(chǎn)生不同的義務(wù)，雖然條文中沒(méi)有明確的告知，但是就實(shí)踐來(lái)看，約談的嚴(yán)重程度是小于外部強(qiáng)制合規(guī)審計(jì)的，以“滴滴打車(chē)赴美上市案”為例，在國(guó)家互聯(lián)網(wǎng)信息辦公室進(jìn)駐滴滴內(nèi)部之前，已經(jīng)多次約談過(guò)滴滴負(fù)責(zé)人，但是都沒(méi)有取得理想的效果，使得網(wǎng)信辦不得不通過(guò)外部的強(qiáng)制介入手段來(lái)保證滴滴平臺(tái)運(yùn)作的合規(guī)性與合法性。

四、合規(guī)審計(jì)義務(wù)的履行機(jī)制與制度框架架構(gòu)

根據(jù)前文所述，針對(duì)當(dāng)前法律規(guī)定下合規(guī)審計(jì)義務(wù)存在的兩方面問(wèn)題，分別提出相應(yīng)的對(duì)策，力求架構(gòu)合規(guī)審計(jì)義務(wù)的理論原則與制度銜接。

(一)合規(guī)審計(jì)義務(wù)構(gòu)建的指導(dǎo)原則

如何確定合規(guī)審計(jì)義務(wù)的期間、范圍等程序性細(xì)節(jié)是一個(gè)技術(shù)難題，面臨著技術(shù)和倫理的詰問(wèn)，這需要監(jiān)管機(jī)構(gòu)結(jié)合技術(shù)和法律進(jìn)行制定，本文試圖通過(guò)原理性的分析為監(jiān)管機(jī)構(gòu)制定相關(guān)標(biāo)準(zhǔn)提供理論性的引導(dǎo)。

比例原則。對(duì)平臺(tái)的監(jiān)管與個(gè)人信息的保護(hù)要處在平衡之中，應(yīng)明確行政監(jiān)管的基本理念仍是要發(fā)展數(shù)字經(jīng)濟(jì)促進(jìn)平臺(tái)發(fā)展，而非打壓平臺(tái)發(fā)展。監(jiān)管機(jī)構(gòu)在制定相關(guān)標(biāo)準(zhǔn)時(shí)應(yīng)當(dāng)充分考慮平臺(tái)的實(shí)際能力、付出的成本與收益等進(jìn)行綜合考慮，如果規(guī)定不合理會(huì)給平臺(tái)帶來(lái)巨大的壓力。如最近四部門(mén)聯(lián)合發(fā)布的《算法推薦管理規(guī)定》中的第24條規(guī)定的算法備案制就引發(fā)了較大的爭(zhēng)議，由于算法備案制沒(méi)有說(shuō)明備案的算法所需要達(dá)到的標(biāo)準(zhǔn)，很可能使平臺(tái)陷入過(guò)重的壓力之中。因此，在《個(gè)人信息保護(hù)法》實(shí)施過(guò)程中，既應(yīng)當(dāng)正確評(píng)估行政規(guī)制的功能與作用，處理好外部監(jiān)管和平臺(tái)義務(wù)的關(guān)系，同時(shí)也應(yīng)結(jié)合我國(guó)實(shí)際情況，做出符合實(shí)際情況的制度設(shè)計(jì)，提升外部監(jiān)管的質(zhì)量。

公開(kāi)原則。由于算法本身的技術(shù)特征，“算法黑箱”是不可避免的。[7]盡管對(duì)算法是否應(yīng)當(dāng)公開(kāi)仍存在爭(zhēng)議，但為了解決“算法黑箱”所帶來(lái)的算法歧視等問(wèn)題，通過(guò)構(gòu)建算法公開(kāi)制度來(lái)對(duì)部分算法進(jìn)行公開(kāi)和解釋也是必要的。[8]平臺(tái)在數(shù)字時(shí)代具有雙重身份，相對(duì)于公眾來(lái)說(shuō)其處在強(qiáng)勢(shì)的地位，公眾與平臺(tái)并不平等，通過(guò)公開(kāi)平臺(tái)個(gè)人信息處理的過(guò)程和結(jié)果有利于加強(qiáng)對(duì)平臺(tái)的監(jiān)管，并維護(hù)個(gè)人主體的個(gè)人信息權(quán)。而對(duì)合規(guī)審計(jì)義務(wù)來(lái)說(shuō)，通過(guò)算法備案將審計(jì)的內(nèi)容進(jìn)行公開(kāi)，可以確定平臺(tái)的問(wèn)責(zé)節(jié)點(diǎn)，既能破解“算法黑箱”的難題，也能夠幫助認(rèn)定平臺(tái)的主觀責(zé)任，填補(bǔ)當(dāng)前法律規(guī)定下合規(guī)審計(jì)義務(wù)缺少外部介入手段的制度缺陷，因此，有必要探討將算法備案制度與合規(guī)審計(jì)義務(wù)進(jìn)行銜接的可能性。

公平信息實(shí)踐原則?！肮叫畔?shí)踐原則”作為個(gè)人信息保護(hù)領(lǐng)域的理論基石，對(duì)各國(guó)的個(gè)人信息保護(hù)法產(chǎn)生了不同程度的影響。該原則主要內(nèi)容包括：合理使用與流通，平臺(tái)可以出于商業(yè)目的正當(dāng)?shù)厥褂檬占膫€(gè)人信息，但是不得妨礙個(gè)人信息的流通，那么進(jìn)行合規(guī)審計(jì)時(shí)需要重點(diǎn)審查個(gè)人信息流動(dòng)的情況，不得有限制性的算法設(shè)計(jì)，不得將個(gè)人信息用于收集時(shí)未告知個(gè)人主體的其他用途等；公共利益優(yōu)先，將個(gè)人信息運(yùn)用于商業(yè)時(shí)要避免無(wú)限度地壓榨式使用，當(dāng)商業(yè)活動(dòng)與公共利益產(chǎn)生沖突時(shí)，應(yīng)當(dāng)首先考慮公共利益，對(duì)合規(guī)審計(jì)來(lái)說(shuō)可以作為評(píng)估的基石標(biāo)準(zhǔn)，公共利益應(yīng)當(dāng)放在首位來(lái)考慮；風(fēng)險(xiǎn)預(yù)防，個(gè)人信息處理者要采取合理合法的方式來(lái)防范個(gè)人信息活動(dòng)可能出現(xiàn)的影響，要明確個(gè)人信息處理活動(dòng)所要遵守的法律法規(guī)，在算法設(shè)計(jì)時(shí)就要審核有無(wú)違背法律的設(shè)計(jì)，從源頭上預(yù)防風(fēng)險(xiǎn)。

(二)履行機(jī)制的現(xiàn)實(shí)對(duì)策

針對(duì)合規(guī)審計(jì)義務(wù)在實(shí)踐應(yīng)用層面沒(méi)有相關(guān)規(guī)定的問(wèn)題，在這里通過(guò)對(duì)時(shí)序分布和技術(shù)標(biāo)準(zhǔn)的探討，力圖從實(shí)務(wù)層面建立起能夠施行的制度，填補(bǔ)制度構(gòu)建上的空白。

1.合規(guī)審計(jì)義務(wù)的技術(shù)標(biāo)準(zhǔn)

如何判斷平臺(tái)個(gè)人信息處理活動(dòng)是否合規(guī)，這是合規(guī)審計(jì)必須要面對(duì)的問(wèn)題；但這卻又是個(gè)尚未明確的問(wèn)題。合規(guī)審計(jì)首先要考慮如下因素：一是個(gè)人信息處理活動(dòng)本身的技術(shù)性，二是技術(shù)運(yùn)用的正當(dāng)性。

(1)正當(dāng)性標(biāo)準(zhǔn)?！睹穹ǖ洹冯m然對(duì)個(gè)人信息權(quán)的保護(hù)作出了規(guī)定，但直接將《民法典》作為個(gè)人信息保護(hù)的標(biāo)準(zhǔn)并不妥當(dāng)。有學(xué)者提出個(gè)人信息保護(hù)與民法人格權(quán)中的隱私權(quán)相比具有保護(hù)客體的特殊性、義務(wù)主體的特殊性、權(quán)利性質(zhì)的特殊性，因此，個(gè)人信息保護(hù)具有獨(dú)立于民法的特殊性，是一項(xiàng)不同于隱私權(quán)的獨(dú)立的法律制度。[9]因此，以《個(gè)人信息保護(hù)法》內(nèi)容作為算法合規(guī)審計(jì)標(biāo)準(zhǔn)是恰當(dāng)?shù)??！秱€(gè)人信息保護(hù)法》第55條規(guī)定了事前風(fēng)險(xiǎn)評(píng)估制度，這在事實(shí)上就與第54條的定期合規(guī)審計(jì)合成了一條合規(guī)審計(jì)鏈。雖然事前合規(guī)審計(jì)在時(shí)間上具有提前性，但與事中和事后合規(guī)審計(jì)所追求的目標(biāo)具有一致性，故將第55條作為第54條的正當(dāng)性標(biāo)準(zhǔn)，也具有合理性和可操作性。

(2)制度性標(biāo)準(zhǔn)。即如何判斷平臺(tái)內(nèi)部的合規(guī)審計(jì)制度是否建立和健全。這主要包括三個(gè)方面：第一，制度的內(nèi)容要規(guī)范化，包括審計(jì)原則、審計(jì)方法、審計(jì)內(nèi)容、審計(jì)程序和審計(jì)評(píng)價(jià)等內(nèi)容，平臺(tái)行為都要有相應(yīng)的內(nèi)部規(guī)定或法律、法規(guī)作為依據(jù)，合規(guī)的標(biāo)準(zhǔn)和要求都要在平臺(tái)內(nèi)控制度中以規(guī)范性文件形式予以體現(xiàn)。第二，制度的內(nèi)容要體系化。要完整地涵蓋內(nèi)控的要素內(nèi)容，包括審計(jì)的本質(zhì)、審計(jì)的目標(biāo)、審計(jì)的內(nèi)容、審計(jì)的主體等，都應(yīng)包含在平臺(tái)審計(jì)制度之中。第三，制度的內(nèi)容要合法化，平臺(tái)內(nèi)控制度內(nèi)容除了要規(guī)范化、體系化外，實(shí)質(zhì)上還必須遵守法律、法規(guī)和《中國(guó)內(nèi)部審計(jì)準(zhǔn)則》等強(qiáng)制性規(guī)定，這也是制度性標(biāo)準(zhǔn)中最為重要的方面。

(三)與算法備案制度的銜接

算法備案制度屬于近年來(lái)學(xué)界討論較多的一種新型制度，在這里嘗試論述在合規(guī)審計(jì)義務(wù)中嵌入算法備案制度的必要性，完善現(xiàn)有的合規(guī)審計(jì)義務(wù)。

1.合規(guī)審計(jì)義務(wù)與算法備案的相同之處

第一，針對(duì)主體相同。《算法推薦規(guī)定》第8條規(guī)定算法服務(wù)提供者要定期進(jìn)行審核、評(píng)估以保證算法模型的安全性,《個(gè)人信息保護(hù)法》要求個(gè)人信息處理者定期進(jìn)行合規(guī)審計(jì)，算法備案的主體是算法服務(wù)推薦者而不包括算法設(shè)計(jì)者、算法研發(fā)者，合規(guī)審計(jì)的主體包括算法設(shè)計(jì)、使用、研發(fā)等多個(gè)主體，范圍上合規(guī)審計(jì)的主體要更廣泛，但個(gè)人信息處理者尤其是巨型網(wǎng)絡(luò)平臺(tái)往往也是算法服務(wù)的提供者，也就是說(shuō)二者所針對(duì)的主體幾乎相同，這在一定程度上為二者制度上的銜接奠定了基礎(chǔ)。第二，設(shè)立目的相同。并且從設(shè)立兩種制度的目的來(lái)看，都是為了進(jìn)一步厘清平臺(tái)責(zé)任，因此,從設(shè)立的目的上來(lái)講也具有一致性。

2.算法備案制度與合規(guī)審計(jì)義務(wù)的銜接

合規(guī)審計(jì)義務(wù)之所以要銜接算法備案制度是因?yàn)閱渭兊膬?nèi)部義務(wù)很難起到監(jiān)管的作用，如“國(guó)家網(wǎng)信辦進(jìn)駐豆瓣開(kāi)展網(wǎng)絡(luò)治理”案件，網(wǎng)信辦在進(jìn)駐之前已對(duì)豆瓣進(jìn)行了多次的約談和處罰，但是仍然沒(méi)有成效。[10]僅僅依靠平臺(tái)自己進(jìn)行內(nèi)部的合規(guī)審計(jì)顯然已經(jīng)無(wú)法滿(mǎn)足數(shù)字時(shí)代的要求，需要一種手段能刺破平臺(tái)外部直接穿入至算法的運(yùn)行，算法備案制度則符合這一要求。當(dāng)平臺(tái)履行了定期合規(guī)審計(jì)的義務(wù)之后，將審計(jì)的內(nèi)容通過(guò)備案的方式移交監(jiān)管機(jī)構(gòu)，監(jiān)管機(jī)構(gòu)既可以在日常的監(jiān)管過(guò)程中對(duì)審計(jì)內(nèi)容進(jìn)行審查，實(shí)現(xiàn)在不影響平臺(tái)運(yùn)行的情況下對(duì)平臺(tái)算法層面的監(jiān)管，同時(shí)當(dāng)發(fā)生個(gè)人信息事故之后，審計(jì)的內(nèi)容還能夠作為對(duì)平臺(tái)主觀過(guò)錯(cuò)的認(rèn)定依據(jù)，完善對(duì)平臺(tái)責(zé)任的事中認(rèn)定機(jī)制。將二者進(jìn)行銜接，補(bǔ)全了合規(guī)審計(jì)義務(wù)外部監(jiān)管的缺陷，有利于合規(guī)審計(jì)義務(wù)的現(xiàn)實(shí)應(yīng)用，并且算法備案無(wú)需平臺(tái)承擔(dān)過(guò)重的行政成本，對(duì)于平臺(tái)來(lái)說(shuō)也處于可以接受的范圍。