內(nèi)容提要 《中華人民共和國個人信息保護法》創(chuàng)設了從處理規(guī)則到合規(guī)義務的個人信息安全風險雙層防控機制，以有效合規(guī)體系為基本架構的第二層次防控機制涵蓋個人信息處理和企業(yè)治理全流程，具有安全風險全流程專項管控機制的性質(zhì)，但存在紙面化有余實效化不足的缺陷。完善機制建設的關鍵在于充分激活個人信息保護影響評估和合規(guī)審計制度。個人信息保護影響評估作為前端與中端專項防范機制，通過評估個人信息處理行為的個人權益影響程度和安全事件發(fā)生可能性識別全流程安全風險。個人信息合規(guī)審計作為末端專項監(jiān)督機制，兼具事中風險監(jiān)測和事后風險調(diào)查雙重功能，須從審計組織、審計方法、審計標準等方面對其進行機制優(yōu)化。個人信息保護影響評估和合規(guī)審計機制在發(fā)揮風險防控功能的同時，還能通過“以評促建”“以審促建”等方式督促個人信息合規(guī)建設，使個人信息處理者建立要素完備、運行有效的安全風險全流程專項管控機制體系。

關鍵詞 個人信息 風險管控 個人信息保護影響評估 合規(guī)審計

毛逸瀟，博士，中國政法大學刑事司法學院師資博士后

本文為國家社會科學基金重大招標課題“數(shù)字經(jīng)濟的刑事安全風險防范體系建構研究”（21ZD209）的階段性成果。

我國法律為個人信息領域設置了獨特的安全風險雙層防控機制。根據(jù)《中華人民共和國個人信息保護法》（簡稱《個人信息保護法》）、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國網(wǎng)絡安全法》等法律的規(guī)定，個人信息處理者既需要遵守以“告知-同意”為核心的個人信息處理規(guī)則，還需要履行一系列個人信息合規(guī)義務[1]。如《個人信息保護法》第二章“個人信息處理規(guī)則”，即通過規(guī)范個人信息處理者處理個人信息的行為保障個人信息主體對其個人信息的自決權益，屬于第一層次的權益保護型風險防控機制?！秱€人信息保護法》第五章規(guī)定了“個人信息處理者的義務”，從個人信息合規(guī)義務的角度要求個人信息處理者采取制定操作規(guī)程、分類管理等安全管理措施和安全技術措施，屬于第二層次的內(nèi)部管理型風險防控機制。迄今為止，理論界和實務界主要關注第一層次的處理規(guī)范，對第二層次的管理義務尤其是全流程專項管控機制的研究較為缺乏，這導致個人信息安全風險雙層防范機制的制度效能無法得到充分釋放。鑒于此，本文以專項管控機制中存在規(guī)范依據(jù)且相對成熟的個人信息保護影響評估機制和合規(guī)審計機制為中心，研究個人信息安全風險專項管控機制的理論基礎和實效化運行，以期加強個人信息全流程安全風險防范。

一、個人信息安全風險雙層防控架構下專項管控機制的提出

在《個人信息保護法》中，“個人信息處理規(guī)則”代表的第一層次安全風險防控機制和“個人信息處理者的義務”代表的第二層次安全風險專項防控機制均具有防范個人信息安全風險的制度功能，但二者的規(guī)制手段和作用方式存在顯著區(qū)別。對于第一層次機制而言，個人信息安全風險防控只是其附屬功能，構建以“告知-同意”為核心的個人信息處理規(guī)則體系才是核心任務，只不過由于秩序是安全的基礎，個人信息的規(guī)范有序流動自然能夠產(chǎn)生安全風險防控的實際效果。對于第二層次機制而言，規(guī)定個人信息處理者義務的核心目的是通過引入合規(guī)管理體系實現(xiàn)風險防控，屬于一種個人信息安全風險的專項管控機制。

1.《個人信息保護法》確立的個人信息安全風險雙層防控機制

“個人信息處理規(guī)則”的規(guī)范對象是個人信息處理者對個人信息的收集、存儲、使用等行為，對這些處理行為施加限制性條件可以全面保障個人信息權益。這種權益保護型風險防控機制廣泛存在于我國法律體系中，民事權益、行政相對人合法權益、刑事法益的核心保護機制均對影響權益的行為設置了限制性或者禁止性條件，并對違反行為規(guī)則、造成權益侵害后果的行為確立了相應罰則。個人信息處理行為的關鍵限制性條件是“取得個人的同意”，有效的同意包括同意能力、自愿、明確、充分知情以及具備一定的形式等要素[1]。只有在充分保障知情權和同意權等公民個人信息自決權益的情形下，個人信息處理行為才被允許，這是通過規(guī)范個人信息處理者處理個人信息的行為，保障個人信息的規(guī)范流動秩序和個人信息主體的個人信息權益束，間接防范個人信息安全風險的權益保護型風險防控機制。

專章設置“個人信息處理者的義務”是《個人信息保護法》的一大特色，該部分以增設合規(guī)義務的方式要求個人信息處理者建立安全風險專項管控機制，是第二層次的內(nèi)部管理型風險防控機制。合規(guī)義務指向一種防范、識別、應對合規(guī)風險的公司治理體系，其設計和運行都要圍繞特定合規(guī)風險而展開以體現(xiàn)風險導向性[2]，因此個人信息處理者的合規(guī)義務實質(zhì)上是防范個人信息合規(guī)風險的公司治理義務。一方面，個人信息處理者應當采取防范合規(guī)風險的安全管理措施，包括制定內(nèi)部管理制度和操作規(guī)程、對個人信息實行分類管理、定期對從業(yè)人員進行安全教育和培訓等；另一方面，個人信息處理者還應采取防范個人信息專業(yè)風險的安全技術措施，包括相應的加密、去標識化、匿名化、備份等技術。《個人信息保護法》為此設置了法律責任條款：個人信息處理者未履行法律規(guī)定的合規(guī)義務，將面臨警告、罰款、停業(yè)整頓甚至吊銷營業(yè)執(zhí)照等處罰。

2.第二層次個人信息安全風險專項管控機制的全流程功能布局

作為個人信息安全風險的專項管控機制，個人信息處理者的合規(guī)義務能夠通過體系化的安全管理措施和技術措施，發(fā)揮個人信息安全風險的全流程防控功能。首先，個人信息合規(guī)義務的風險管控效果覆蓋個人信息處理全流程。合規(guī)管理體系的基本性質(zhì)主要體現(xiàn)為針對合規(guī)風險的防范、監(jiān)控、應對機制[3]，雙層防控視野下，第二層次合規(guī)風險防控機制的主要功能為通過對第一層次的處理規(guī)則進行加固，確保個人信息處理行為符合法律規(guī)范。例如，“制定內(nèi)部管理制度和操作規(guī)程”屬于合規(guī)管理體系中的制定合規(guī)政策環(huán)節(jié)[1]，合規(guī)政策體系包括合規(guī)憲章、業(yè)務手冊、原則性規(guī)范、場景化指引等層級，針對包括公司管理層在內(nèi)的全體員工設置授權性和禁止性規(guī)范，使個人信息全生命周期處理行為有規(guī)可依、有據(jù)可查。

其次，個人信息合規(guī)義務的風險管控效果涵蓋公司業(yè)務全流程。個人信息處理規(guī)則主要專注于對個人信息全生命周期維度風險的防控，卻忽略了對個人信息處理者全業(yè)務周期維度的觀照，這一缺陷需要通過建立、健全合規(guī)管理體系予以彌補。合規(guī)管理體系應當覆蓋公司所有部門和經(jīng)營領域，使設計研發(fā)、生產(chǎn)服務、市場推廣等業(yè)務全流程遵守個人信息合規(guī)處理和合規(guī)管理規(guī)范。例如，歐盟《通用數(shù)據(jù)保護條例》規(guī)定的“設計和默認數(shù)據(jù)保護”制度，已成為個人信息保護領域合規(guī)管理的基本原則，即在管理體系設計之初就應將個人信息保護的需求嵌入其中[2]。如今，其作為商業(yè)實踐的默認規(guī)則，用于實現(xiàn)覆蓋業(yè)務全流程的個人信息安全風險合規(guī)管控。

最后，個人信息合規(guī)義務的風險管控效果囊括公司治理全流程。個人信息合規(guī)管理制度具有鮮明的體系自洽性，除了包括制度體系的合規(guī)政策和機構體系的合規(guī)組織，有效合規(guī)計劃還包括預防、識別、應對等合規(guī)管控程序。合規(guī)預防機制由合規(guī)風險評估、合規(guī)盡職調(diào)查、合規(guī)培訓等程序組成；合規(guī)識別機制包括合規(guī)審計、合規(guī)監(jiān)控、合規(guī)舉報、合規(guī)報告等程序；合規(guī)應對機制包括合規(guī)內(nèi)部調(diào)查、違規(guī)處理和補救程序。三大機制環(huán)環(huán)相扣，形成合規(guī)治理的閉環(huán)。有效運行的個人信息合規(guī)體系能基于公司治理的高度，從事前預防、事中識別、事后補救的治理全流程對個人信息安全風險進行專項精細化管控。

二、第二層次個人信息安全風險專項管控機制的運行障礙

第二層次的個人信息安全風險專項管控機制通過督促個人信息處理者落實合規(guī)義務，確保個人信息處理行為符合法律規(guī)范，進而實現(xiàn)個人信息處理全流程安全風險的有效防范。當前，專項管控機制缺乏明確的法律規(guī)范指引，且存在外部激勵不夠和內(nèi)部動力不足等實踐障礙，這導致個人信息處理者建立的專項管控機制存在紙面化有余而實效化不足的運行缺陷。

1.第二層次個人信息安全風險專項管控機制的規(guī)范滯后

個人信息安全風險的雙層防控機制中，位于第二層次的專項管控機制始終沒有得到理論界和實務界的足夠重視，立法和規(guī)范指引的滯后是造成這一現(xiàn)象的重要原因?！秱€人信息保護法》既未明確提出雙層防控機制的總體布局，也未完成第二層次專項防控機制的體系化立法構建；將專項管控機制冠以“個人信息處理者的義務”之名，難以體現(xiàn)其作為風險防控和合規(guī)管理機制的本質(zhì)特征；相關規(guī)定較為雜亂，體系性和可操作性明顯不足。首先，《個人信息保護法》在合規(guī)政策和合規(guī)組織方面只要求“制定內(nèi)部管理制度和操作規(guī)程”，“指定個人信息保護負責人”，而沒有進一步規(guī)定合規(guī)政策的具體內(nèi)容以及合規(guī)組織的基本架構、履職方式、資源配置等要素。歐盟《通用數(shù)據(jù)保護條例》則詳細規(guī)范了數(shù)據(jù)保護專員的地位和任務，要求數(shù)據(jù)保護專員獲得執(zhí)行任務的必要資源，規(guī)定了其接觸個人數(shù)據(jù)和處理機制的必要方式以及個人專業(yè)知識的培訓，并要求數(shù)據(jù)處理者不得對數(shù)據(jù)保護專員下達任何指令，以保證其不會因為執(zhí)行任務的原因而被解雇或者受到處罰[3]。其次，《個人信息保護法》對個人信息合規(guī)流程的規(guī)定也存在缺陷。在合規(guī)預防程序方面，只規(guī)定了安全教育培訓和個人信息保護影響評估，而對合規(guī)盡職調(diào)查、合規(guī)報告等制度未予以明確；在合規(guī)識別程序方面，只要求建立合規(guī)審計制度，卻忽略了合規(guī)監(jiān)控、合規(guī)舉報等機制；在合規(guī)應對程序方面，沒有對最重要的合規(guī)內(nèi)部調(diào)查制度進行立法布局。最后，《個人信息保護法》對個人信息保護影響評估和合規(guī)審計制度的規(guī)定也存在諸多問題。一方面，在條文設計上將合規(guī)審計置于個人信息保護影響評估制度之前，這反映了立法缺乏從合規(guī)預防程序到合規(guī)識別程序的體系邏輯；另一方面，立法也存在過于簡略和語焉不詳?shù)缺锥?，《個人信息保護法》只提出合規(guī)審計這一概念，而沒有對合規(guī)審計的范圍、頻率、方式、流程作任何規(guī)定[1]。作為個人信息保護領域位階最高的國家法律，《個人信息保護法》規(guī)范相對滯后，已成為個人信息安全風險專項管控機制有效運行的障礙。

2.第二層次個人信息安全風險專項管控機制的實踐障礙

個人信息安全風險專項管控機制在實踐中還存在有效性不足的問題，即便個人信息處理者按照《個人信息保護法》的規(guī)定建立了最低限度的專項管控機制，也存在紙面化有余實效化不足的缺陷，無法滿足專項管控機制的“專項性”和“專業(yè)化”要求。一方面，個人信息安全風險的專項管控機制與個人信息處理規(guī)則體系的明確界分是雙層防控的基本特征，專項管控機制的專項性表現(xiàn)為其具有獨立的風險防控步驟、方式、流程，而不是對個人信息處理規(guī)則的簡單重復。然而，實踐中個人信息處理者往往只注重制定操作規(guī)程、確定操作權限等與個人信息處理規(guī)則密切相關的管控措施，實質(zhì)上這只完成了個人信息處理規(guī)則的內(nèi)部化，與專門機制、專門流程、專門體系的專項管控要求仍相距甚遠。另一方面，個人信息安全風險專項管控機制作為專項合規(guī)管理體系，還具有專業(yè)化要求。專項合規(guī)計劃由通用合規(guī)要素和專業(yè)合規(guī)要素組成，通用合規(guī)要素是企業(yè)建立合規(guī)管理體系的必備要素，在此基礎上，各專項合規(guī)計劃有著針對特定合規(guī)風險的專業(yè)合規(guī)要素[2]。個人信息保護合規(guī)計劃中的個人信息保護影響評估和個人信息合規(guī)審計等要素屬于專業(yè)合規(guī)要素，是典型的專項管控機制，也是個人信息安全風險全流程防范機制的建設重點，但由于法律規(guī)定簡略、行政監(jiān)管乏力等原因，這些專項管控機制在實踐中未得到有效實施。

有鑒于此，現(xiàn)階段完善個人信息安全風險全流程專項管控機制的關鍵在于充分激活專業(yè)合規(guī)要素，要在將個人信息處理規(guī)則內(nèi)化為合規(guī)政策，建立健全合規(guī)盡職調(diào)查、合規(guī)培訓、合規(guī)監(jiān)控、合規(guī)舉報等通用合規(guī)要素的基礎上，通過完善針對個人信息安全風險的專業(yè)合規(guī)要素，提升專項管控機制的風險防范效能。個人信息保護影響評估制度和合規(guī)審計制度是個人信息專項合規(guī)管理體系中專業(yè)化程度較高的兩項合規(guī)制度，作為前端和中端防范機制的個人信息保護影響評估制度，相較于通用合規(guī)要素具有較強的風險針對性，能夠有效識別潛在的合規(guī)風險點，是個人信息保護領域各項風險管控機制的依據(jù)和準繩。作為末端監(jiān)督機制的個人信息保護合規(guī)審計制度，相較于部分專業(yè)合規(guī)要素更具有穿透性，其監(jiān)督效果能夠輻射至個人信息處理全流程，可以實質(zhì)審查第二層次個人信息安全風險專項管控機制設計和運行的有效性。要以這兩項專業(yè)化程度較高并且具有全流程預防和識別作用的合規(guī)制度為抓手，通過“以評促建”和“以審促建”的方式打造獨立于個人信息處理規(guī)則且能夠有效運行的專項合規(guī)管理體系。

三、個人信息安全風險的前端與中端專項防范：影響評估機制

個人信息保護影響評估是法律明確規(guī)定的個人信息安全風險專項管控機制。根據(jù)《個人信息保護法》第55條的規(guī)定，個人信息處理者在處理敏感個人信息、利用個人信息進行自動化決策、委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息、向境外提供個人信息，以及開展其他對個人權益有重大影響的個人信息處理活動之前，應當進行事前個人信息保護影響評估，并對處理情況進行記錄。通過功能延拓與機制完善，影響評估機制能夠突破前端防控的屬性限制，進而對個人信息的中端處理過程發(fā)揮持續(xù)監(jiān)測功能。

1.個人信息保護影響評估機制的風險識別功能

個人信息保護影響評估機制屬于合規(guī)預防程序，其主要發(fā)揮合規(guī)風險識別的制度功能。合規(guī)風險識別要求對企業(yè)經(jīng)營和管理行為中合規(guī)風險是否存在或者存在可能性進行判斷和定位，對合規(guī)風險的危害和影響進行評估和分析，對合規(guī)風險發(fā)生的原因進行查找和梳理，以進一步借助合規(guī)體系對合規(guī)風險進行管理和控制。精準識別合規(guī)風險是開展合規(guī)體系建設的前提和基礎[1]，因此，合規(guī)風險識別既是專項管控的首要機制，也對后續(xù)各項管控機制的全景運行具有長效指導作用。個人信息保護影響評估的內(nèi)容包括以下三個方面：一是個人信息處理行為的合規(guī)范性，即“個人信息的處理目的、處理方式等是否合法、正當、必要”，識別違反個人信息處理規(guī)范的風險行為[2]；二是個人信息處理行為對個人權益的影響，即“對個人權益的影響及安全風險”，從權利保護維度進一步考察實質(zhì)風險；三是合規(guī)管理義務的履行情況，即“所采取的保護措施是否合法、有效并與風險程度相適應”，檢查個人信息安全風險專項管控機制的建設和運行情況。

通過對個人信息處理行為和合規(guī)管理行為進行審查，個人信息保護影響評估可以實現(xiàn)基本的風險識別功能[3]。首先，個人信息保護影響評估必須在開展個人信息處理活動之前進行，作為個人信息安全風險的前端專項防范機制，其具有“合規(guī)準入”和“合規(guī)一票否決”等功能，可以有效過濾和阻止存在違法風險的個人信息處理行為[4]。其次，個人信息保護影響評估的對象涵蓋雙層防控機制，是對個人信息處理規(guī)則和個人信息合規(guī)義務的全體系、全流程的合規(guī)審查，這就要求個人信息處理者在開展處理活動之前要建立完善的個人信息保護合規(guī)體系。再次，風險識別功能并非僅僅發(fā)現(xiàn)和消除風險，還能對風險進行科學分級管控，只要合規(guī)保護措施與風險后果嚴重性、風險發(fā)生可能性等風險程度相匹配，個人信息安全風險得到專項管控，就不會影響個人信息處理活動的開展。最后，個人信息處理行為對個人權益的影響是評估的實質(zhì)標準，評估內(nèi)容不僅包括知情權、決定權、限制或者拒絕權、個人信息保護請求權等個人信息權益的保障情況[5]，還包括個人信息處理行為對名譽權、隱私權、健康權、財產(chǎn)權等個人人身財產(chǎn)權益的影響。

2.個人信息保護影響評估的基本原理與關鍵環(huán)節(jié)

個人信息保護影響評估機制風險識別功能的實現(xiàn)要依托科學的評估原理和方法，國家標準GB/T 39335—2020《信息安全技術個人信息安全影響評估指南》具有一定的參考性。概括而言，個人信息保護影響評估的基本原理是通過數(shù)據(jù)映射分析、梳理待評估的個人信息處理活動，進行個人權益影響分析和安全保護措施有效性分析，最終綜合評估個人權益影響程度和安全事件可能性程度后確定個人信息處理活動的風險級別及應對方式。

在此基礎上，個人信息保護影響評估需要遵循以下基本原則。一是場景化評估原則，即風險識別應依托個人信息處理和商業(yè)實踐的具體場景，評估處理敏感個人信息、利用個人信息進行自動化決策、委托處理個人信息等場景下的個人信息類型、處理目的、處理方式、關涉利益，避免脫離具體應用場景的抽象化判斷[1]。二是要素式評估原則，將法律規(guī)范、行業(yè)標準、自主實踐的要求加以要素化處理，如將利用個人信息進行自動化決策的評估要素設置為向用戶說明自動化決策原理和機制、定期對決策效果進行評價、對決策的數(shù)據(jù)源和算法持續(xù)優(yōu)化、向用戶提供針對性投訴渠道等要素，這有助于從面的籠統(tǒng)評估轉(zhuǎn)向點的精準評估。三是綜合性評估原則，通過對個人權益影響程度和安全事件發(fā)生可能性的等級判定，結(jié)合自身風險偏好和管控策略，得出綜合風險評估結(jié)論。例如，對于對個人權益影響程度嚴重而安全事件發(fā)生可能性低的個人信息處理行為，風險等級綜合評價一般為中級，此時風險追求型個人信息處理者可以在建立相適應的安全管控措施的同時實施個人信息處理行為。

個人信息保護影響評估的關鍵環(huán)節(jié)是評估個人權益影響程度和安全事件發(fā)生的可能性。個人權益影響評估應先分析個人信息敏感程度，敏感個人信息的泄露或者非法使用會對個人權益造成嚴重影響，對此需要有專門的處理規(guī)則和合規(guī)管理要求，并采用差異化的風險評估方式和內(nèi)容進行評估[2]。隨后應結(jié)合個人信息處理活動的場景和方式，以處理活動對個人信息自主權益和其他人身財產(chǎn)權益的影響為落腳點，對個人權益影響作出綜合分析。如處理活動限制了敏感個人信息自主決定權，可能使個人遭受重大的不可克服的人身和財產(chǎn)權益損害的，可以綜合認定其為對個人權益影響程度嚴重。安全事件發(fā)生可能性評估內(nèi)容主要是個人信息安全風險雙層防控機制的有效性，如果采取的措施不夠有效，個人信息處理行為極不規(guī)范，則安全事件的發(fā)生不可避免。個人權益影響程度和安全事件發(fā)生可能性的評估本質(zhì)上都是通過考察個人信息安全風險防控機制的運行情況及其帶來的影響，使個人信息處理者避免違反個人信息處理規(guī)則和怠于履行個人信息合規(guī)義務。

3.個人信息保護影響評估的功能延拓與機制完善

《個人信息保護法》規(guī)定個人信息保護影響評估報告和處理情況記錄應當至少保存三年，因此不能將影響評估等同于風險識別，而是要在風險識別和評估的基礎上進行風險處置和應對。首先，應將個人信息保護影響評估的效力范圍擴展至風險處置全流程。個人信息處理者對于嚴重違反處理規(guī)則、嚴重侵害個人權益的處理行為應采用風險規(guī)避策略，并主動放棄實施該處理行為；對于不違反處理規(guī)則，但有小概率會造成個人權益輕微損害的處理行為，可以選擇風險接受，并強化對處理行為的動態(tài)監(jiān)測；對于違反處理規(guī)則、具有侵害個人權益風險，但可以通過限縮處理范圍、改變處理方式、建立權利響應機制、完善合規(guī)管理體系等方式降低風險的處理行為，可以在有效改進的基礎上實施處理行為；對于存在上述風險，但自身能力不足以有效降低風險的處理行為，可以采用風險分擔策略，尋求與專業(yè)的第三方個人信息處理機構合作，并遵守委托處理個人信息的基本規(guī)則。

其次，應將個人信息保護影響評估的作用范圍輻射至個人信息處理全流程。有效合規(guī)計劃標準要求定期開展風險評估[3]，由于在個人信息處理者運營過程中業(yè)務條件、網(wǎng)絡環(huán)境、人員結(jié)構、政策法規(guī)等經(jīng)常發(fā)生變動，對于正在實施的個人信息處理行為也應定期進行風險評估，并持續(xù)修正安全風險管控措施，將個人信息保護影響評估從事前合規(guī)預防轉(zhuǎn)向事中合規(guī)監(jiān)測，使個人信息安全風險得到長效化防控。此外，個人信息保護影響評估報告在違規(guī)事件發(fā)生后的合規(guī)應對環(huán)節(jié)也扮演著重要角色，合規(guī)管控措施對違法責任具有減輕甚至免除的作用，發(fā)揮責任切割功能[1]。個人信息保護影響評估報告及處置記錄可以在合規(guī)事件發(fā)生后證明自身已善盡風險評估義務并采取有效安全保護措施，進而獲得從寬處罰或者無責任處理[2]。

最后，應將個人信息保護影響評估的功能范圍拓展至風險管控機制全流程?；陲L險的合規(guī)管理體系以有效防控合規(guī)風險為目的，所有合規(guī)政策、組織結(jié)構、流程都要圍繞合規(guī)風險展開。個人信息保護影響評估能夠有效識別個人信息處理者存在的合規(guī)風險點，在此基礎上才可以開展有效合規(guī)體系建設。例如，對相關業(yè)務進行去違法化改造、制定規(guī)范相關個人信息處理行為的員工手冊、向相關業(yè)務部門派駐合規(guī)官員、開展針對性的合規(guī)培訓和合規(guī)監(jiān)控、建立專門合規(guī)舉報機制等等。因此，個人信息保護領域的各項風險管控機制都應以影響評估內(nèi)容為依據(jù)和準繩。法律對個人信息保護義務的規(guī)定使風險合規(guī)管控機制本身也成為合規(guī)風險之一，個人信息保護影響評估不僅對風險控制和合規(guī)體系全流程具有指導作用，還能將合規(guī)體系的有效性納入評估內(nèi)容并對其產(chǎn)生直接的制約力。

四、個人信息安全風險的末端專項監(jiān)督：合規(guī)審計機制

個人信息保護合規(guī)審計同樣是法律明確規(guī)定的個人信息安全風險專項管控機制?！秱€人信息保護法》規(guī)定個人信息處理者應當定期對其處理個人信息全流程遵守法律、行政法規(guī)的情況進行合規(guī)審計。這種個人信息處理活動完成后的審計機制，發(fā)揮了個人信息安全風險的末端專項監(jiān)督功能，其監(jiān)督效果能夠輻射至個人信息處理全流程。

1.個人信息合規(guī)審計機制的風險監(jiān)測及調(diào)查功能

企業(yè)運行過程中的審計制度是對各項經(jīng)營管理活動進行獨立監(jiān)督的專項機制，合規(guī)審計在合規(guī)管理體系中屬于一種合規(guī)風險監(jiān)測機制，合規(guī)審計的對象是合規(guī)管理體系本身，合規(guī)審計的主題是合規(guī)管理體系的有效性，其旨在通過審計活動檢驗合規(guī)政策和各項合規(guī)流程是否得到有效設計和運行，進而發(fā)現(xiàn)合規(guī)管理的缺陷和漏洞，以便后續(xù)對合規(guī)體系進行針對性修復和完善[3]。一般認為，個人信息合規(guī)審計專指對個人信息保護合規(guī)體系的監(jiān)督，國家標準GB/T 35273—2020《信息安全技術個人信息安全規(guī)范》采用此觀點，認為個人信息處理者“應對個人信息保護政策、相關規(guī)程和安全措施的有效性進行審計”。然而，《個人信息保護法》規(guī)定合規(guī)審計的對象是個人信息處理者“處理個人信息遵守法律、行政法規(guī)的情況”，既包括個人信息合規(guī)義務的履行情況，也包括個人信息處理行為的合法性。

《個人信息保護法》將審計對象由個人信息合規(guī)體系延伸到個人信息處理者的全部個人信息處理和合規(guī)管理活動，從根本上改變了合規(guī)審計的合規(guī)管理流程性質(zhì)，使其成為一種涵蓋合規(guī)管理體系內(nèi)外的個人信息風險末端專項監(jiān)督機制，所以稱其為個人信息“合規(guī)性審計”更為恰當。既然個人信息合規(guī)審計是全面的合規(guī)性審計，其功能也就不限于監(jiān)測個人信息合規(guī)體系的有效性。一方面，個人信息處理者定期開展的合規(guī)審計作為個人信息安全風險的末端監(jiān)測機制，定期對個人信息處理行為合法性和合規(guī)管理體系有效性進行全面審查，可以及時發(fā)現(xiàn)具有違法違規(guī)風險的行為模式和管理方式。另一方面，《個人信息保護法》第64條還規(guī)定了在監(jiān)管部門要求下作為事后調(diào)查機制的合規(guī)審計的適用情形，也就是在監(jiān)管部門發(fā)現(xiàn)“個人信息處理活動存在較大風險或者發(fā)生個人信息安全事件”的情況下，個人信息安全風險已經(jīng)爆發(fā)，個人信息處理者采取事后應對措施，合規(guī)審計活動具有“內(nèi)部調(diào)查”的功能，目的在于查明違規(guī)行為、確定責任人員、識別合規(guī)漏洞[1]。

2.個人信息合規(guī)審計機制的核心流程與審計要點

我國法律賦予個人信息合規(guī)審計機制風險監(jiān)測和風險調(diào)查雙重功能，使合規(guī)審計有合規(guī)內(nèi)部調(diào)查的性質(zhì)和內(nèi)容，監(jiān)測與調(diào)查機制在核心流程方面有著相似的原理，都是對個人信息處理行為和合規(guī)管理行為的合法性和有效性進行審查。問題在于，如何通過審計組織建設、審計職能配置、審計標準制定和審計方法設計，對個人信息處理者的各項行為進行專業(yè)、全面、獨立、客觀、公正的審計審查[2]。針對此，2023年8月3日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《個人信息保護合規(guī)審計管理辦法（征求意見稿）》（以下簡稱《合規(guī)審計辦法》），不僅確定了審計專業(yè)組織的履職要求和職業(yè)倫理，還著重規(guī)范了審計組織的權限和個人信息處理者的配合義務，這些規(guī)定可以為機制運行提供有益參照。

首先，作為一種專項監(jiān)督機制，個人信息合規(guī)審計的首要條件是確保審計機構的獨立性，在此基礎上審計工作才具有客觀性，審計人員才能公正客觀地作出職業(yè)判斷。在合規(guī)風險爆發(fā)時，個人信息處理者應在監(jiān)管部門要求下委托專業(yè)機構開展個人信息保護合規(guī)審計，此時需要重點審查審計機構及其成員與個人信息處理者及其股東之間是否存在利益關聯(lián)?！逗弦?guī)審計辦法》要求專業(yè)機構連續(xù)為同一審計對象開展個人信息保護合規(guī)審計不得超過三次，以阻斷審計雙方的利益交互。而在個人信息處理者自行開展日常性合規(guī)審計的場合，也應盡量聘請外部專業(yè)人員組成審計團隊，因為合規(guī)審計的對象既包括業(yè)務部門從事的個人信息處理行為，也包括合規(guī)部門搭建的個人信息保護合規(guī)體系，僅由合規(guī)部門負責合規(guī)審計可能難以發(fā)現(xiàn)合規(guī)管理漏洞。因此，《個人信息保護法》明確要求大型網(wǎng)絡平臺應當成立主要由外部成員組成的獨立機構對個人信息保護情況進行監(jiān)督。

其次，相較于專業(yè)化程度較高的財務審計，個人信息合規(guī)審計在方法上較不成熟?！逗弦?guī)審計辦法》第8條規(guī)定了審計機構的權限，包括要求提供文件資料、觀察個人信息處理活動、調(diào)查信息系統(tǒng)、檢查設備設施、調(diào)取數(shù)據(jù)信息、訪談人員、調(diào)查質(zhì)詢等，對此個人信息處理者需要履行配合義務。上述規(guī)定對合規(guī)審計的實際開展具有一定指導意義，個人信息合規(guī)審計方法可以分為審計調(diào)查方法和審計技術方法兩大類，合規(guī)審計調(diào)查方法主要是傳統(tǒng)的審閱、觀察、檢查、詢問、測試、分析等，目的在于提取個人信息處理和合規(guī)管理行為，并進行合法性和有效性評價。然而面對海量個人信息處理行為，傳統(tǒng)審計調(diào)查方法明顯力有不逮，此時需要引入數(shù)字化審計技術方法進行自動化輔助，這在自然語義處理和知識圖譜構建等人工智能科技不斷成熟的時代背景下不存在技術障礙[3]，只要向機器準確輸入類型化的合規(guī)審計標準和要點，就能保證自動化審計結(jié)果輸出的穩(wěn)定性和科學性[4]。

最后，《合規(guī)審計辦法》附件中的“個人信息保護合規(guī)審計參考要點”具有合規(guī)審計基本標準的功能，其中既包括個人信息處理活動的合法性基礎條件、履行告知義務、與他人共同處理個人信息、委托處理個人信息、轉(zhuǎn)移個人信息、利用自動化決策處理個人信息、在公共場所安裝圖像采集個人信息、處理敏感個人信息等個人信息處理全場景的審查要點，還包括對個人信息保護內(nèi)部管理制度、操作規(guī)程、技術措施等安全風險專項管控機制的重點審計事項。參考要點的規(guī)范形式符合要素式合規(guī)審計標準的基本要求，其本質(zhì)是將法律法規(guī)對個人信息處理者的安全風險管控要求進行類型化提煉，并以審計視角對規(guī)范要求進行細化。目前，合規(guī)審計標準只有兩個指標層級，一級指標是對規(guī)范要求的簡單提煉，如在合規(guī)培訓方面，要求審查是否制定實施個人信息保護的安全教育和培訓計劃。二級指標則是對一級指標的要素細化，其一，是否按計劃對管理、技術、操作等各類人員開展相應的安全教育和培訓；其二，是否對相應人員的個人信息保護意識和技能進行考核；其三，培訓內(nèi)容、培訓方式、培訓對象、培訓頻率等能否滿足個人信息保護需要。合規(guī)審計機構在具體開展工作時需要針對特定審計對象進一步細化標準，構建三級審計指標體系。

3.個人信息合規(guī)審計機制的全流程風險管控路徑

個人信息合規(guī)管理體系作為合規(guī)風險專項管控機制，主要通過事前預防、事中監(jiān)測、事后應對的機制建設和運行實現(xiàn)對個人信息安全風險的全流程防控[1]。合規(guī)培訓、合規(guī)舉報、合規(guī)報告等大部分合規(guī)體系要素只能在風險防控中的一個環(huán)節(jié)發(fā)揮作用[2]，而個人信息合規(guī)審計機制能夠發(fā)揮安全風險全流程防范功能?！秱€人信息保護法》規(guī)定的合規(guī)審計機制突破了傳統(tǒng)審計制度的局限性：一是將審計范圍由個人信息合規(guī)體系擴展至個人信息處理行為；二是將審計功能由事中監(jiān)測擴展至事后應對，同時承擔合規(guī)審計和合規(guī)內(nèi)部調(diào)查兩項職能，個人信息合規(guī)審計足以為個人信息處理行為和合規(guī)管理行為提供有效的事中和事后風險防控[3]。此外，其還具有個人信息安全風險的事前預防效果，因為定期開展合規(guī)審計是個人信息處理者的法定義務。《合規(guī)審計辦法》要求處理超過100萬人個人信息的個人信息處理者，應當每年至少開展一次合規(guī)審計，其他個人信息處理者也應當每二年至少開展一次合規(guī)審計。通過這種日常性合規(guī)審計，可以及時發(fā)現(xiàn)并消除上一審計年度存在的個人信息處理風險和合規(guī)管理缺陷，有效預防下一審計年度可能發(fā)生的個人信息安全風險。

個人信息合規(guī)審計不僅應具有獨立的風險管控功能，還應與個人信息保護影響評估等合規(guī)體系的有機組成部分形成管控合力。首先，個人信息安全風險專項管控機制應遵循“先評估、后審計”的設計和運行邏輯，個人信息保護影響評估是開展后續(xù)合規(guī)體系建設的前提和基礎，有效識別潛在的個人信息安全風險，便于后續(xù)針對性構建個人信息處理和合規(guī)管理的基本規(guī)范和流程體系，其是安全風險的第一道專項防線；末端合規(guī)審計則是面向個人信息處理和合規(guī)管理行為的全面監(jiān)督機制，可以用來識別和應對個人信息處理者的規(guī)范和流程偏離情況，審查合規(guī)管理機制的運行實效，其是安全風險的最后一道專項防線。兩項制度合力保障個人信息處理全流程的信息安全秩序和個人權益。其次，個人信息保護影響評估報告和處置情況記錄作為審計對象和審計材料，在日常性合規(guī)審計和內(nèi)部調(diào)查型合規(guī)審計中都扮演著重要角色，既可以幫助審計人員快速了解個人信息處理行為的規(guī)范性和合規(guī)管理體系的有效性，也可以作為認定違法違規(guī)責任，尤其是區(qū)分單位責任與自然人責任的關鍵依據(jù)[4]。反之，合規(guī)審計機制的有效建設本身也是個人信息保護影響評估的內(nèi)容之一。最后，個人信息保護影響評估和合規(guī)審計除了自身能夠發(fā)揮風險防控功能，還能通過“以評促建”“以審促建”的方式督促個人信息保護合規(guī)體系建設。行政監(jiān)管機關應在判斷影響評估和合規(guī)審計機制有效性的同時，著重檢查個人信息處理者是否建立完善的評估和審計響應制度，能否對評估和審計中發(fā)現(xiàn)的風險防控漏洞進行針對性填補和修復。憑借完善的個人信息保護影響評估和合規(guī)審計機制，個人信息處理者能夠及時發(fā)現(xiàn)合規(guī)風險，并在此基礎上針對性建立要素完備、運行有效的個人信息安全風險全流程專項管控體系。

〔責任編輯：玉水〕

[1]毛逸瀟：《數(shù)據(jù)保護合規(guī)體系研究》，《國家檢察官學院學報》2022年第2期。

[1]王洪亮、李依怡：《個人信息處理中“同意規(guī)則”的法教義學構造》，《江蘇社會科學》2022年第3期。

[2]劉艷紅：《涉案企業(yè)合規(guī)建設的有效性標準研究——以刑事涉案企業(yè)合規(guī)的犯罪預防為視角》，《東方法學》2022年第4期。

[3]陳瑞華：《論企業(yè)合規(guī)的性質(zhì)》，《浙江工商大學學報》2021年第1期。

[1]陳瑞華：《有效合規(guī)管理的兩種模式》，《法制與社會發(fā)展》2022年第1期。

[2]王鵬：《數(shù)據(jù)平臺個人信息保護的合規(guī)義務與路徑實施》，《江蘇社會科學》2023年第3期。

[3]王融：《〈歐盟數(shù)據(jù)保護通用條例〉詳解》，《大數(shù)據(jù)》2016年第4期。

[1]劉艷紅：《我國刑法的再法典化：模式選擇與方案改革》，《法制與社會發(fā)展》2023年第3期。

[2]陳瑞華：《企業(yè)合規(guī)整改中的專項合規(guī)計劃》，《政法論壇》2023年第1期。

[1]李勇：《涉罪企業(yè)合規(guī)有效性標準研究——以A公司串通投標案為例》，《政法論壇》2022年第1期。

[2]馮愷、楊潤宇：《人臉識別信息處理中“合法、正當、必要”原則的區(qū)分審查》，歐陽本祺主編：《東南法學》第5輯，東南大學出版社2022年版，第18頁。

[3]劉權：《論個人信息保護影響評估——以〈個人信息保護法〉第55、56條為中心》，《上海交通大學學報（哲學社會科學版）》2022年第5期。

[4]周佑勇：《大變局下中國式民主的制度優(yōu)勢與憲法保障》，《中國法學》2023年第1期。

[5]王苑：《私法視域下的個人信息權益論》，《法治研究》2022年第5期。

[1]H. Nissenbaum， \"Privacy as Contextual Integrit\"， Washington Law Review， 2004， 79（1）， p.119.

[2]高景峰：《涉案企業(yè)合規(guī)適用刑事訴訟全流程的相關問題研究》，《中國刑事法雜志》2023年第4期。

[3]黎宏：《合規(guī)計劃與企業(yè)刑事責任》，《法學雜志》2019年第9期。

[1]劉艷紅：《企業(yè)合規(guī)責任論之提倡——兼論刑事一體化的合規(guī)出罪機制》，《法律科學》2023年第3期。

[2]王志遠：《刑事合規(guī)的體系化觀察及制度建構展望》，《當代法學》2023年第4期。

[3]劉艷紅：《企業(yè)合規(guī)不起訴改革的刑法教義學根基》，《中國刑事法雜志》2022年第1期。

[1]李奮飛：《論涉案企業(yè)合規(guī)的全流程從寬》，《中國法學》2023年第4期。

[2]李世剛、屈然：《論敏感個人信息的合理使用》，《江蘇社會科學》2022年第6期。

[3]王祿生：《ChatGPT類技術：法律人工智能的改進者還是顛覆者？》，《政法論壇》2023年第4期。

[4]馬明亮：《合規(guī)科技在企業(yè)整改中的價值與實現(xiàn)路徑》，《蘇州大學學報（哲學社會科學版）》2022年第4期。

[1]毛逸瀟：《“行檢協(xié)同式”個人信息合規(guī)行刑銜接激勵新模式研究》，《法學論壇》2022年第6期。

[2]周佑勇：《契約行政理念下的企業(yè)合規(guī)協(xié)議制度構建——以工程建設領域為視角》，《法學論壇》2021年第3期。

[3]閆夏秋：《企業(yè)合規(guī)視角下的內(nèi)部審計：現(xiàn)實挑戰(zhàn)與應對》，《財會月刊》2023年第18期。

[4]王志遠：《企業(yè)合規(guī)改革視野下單位犯罪主體分離論與歸咎責任論之提倡》，《比較法研究》2022年第5期。