劉愛龍 俞雪

文章編號：2097-0749（2024）02-0059-19

摘要：個人信息合規(guī)審計制度是信息時代運用審計法治推進人權保障事業(yè)的重要制度設計，未成年人個人信息保護合規(guī)審計是保護未成年人個人信息權益的重要舉措。目前實踐中尚未形成體系化的互聯(lián)網(wǎng)平臺治理規(guī)范，落實平臺履行個人信息合規(guī)審計義務的針對性、完整性和有效性規(guī)定均存在明顯瑕疵，且平臺自身開展個人信息合規(guī)審計的內(nèi)生動力不足，外部監(jiān)管也施力有限。為發(fā)揮審計法律規(guī)制效力，切實保護未成年人個人信息權益，未成年人個人信息合規(guī)審計需堅持最有利于未成年人原則。平臺開展個人信息合規(guī)審計須凸顯未成年人保護的特殊性，強化平臺內(nèi)部治理，建立健全平臺個人信息保護合規(guī)激勵機制，以合作監(jiān)管模式賦能政企協(xié)同監(jiān)管，形成全社會共同參與的未成年人個人信息保護機制。

關鍵詞：個人信息保護 合規(guī)審計 未成年人權益 大型互聯(lián)網(wǎng)平臺

中圖分類號：D9 文獻標志碼：A

DOI：10.3969/j.issn. 2097-0749.2024.02.03 開放科學（資源服務）標識碼（OSID）：

眾所周知，因技術不對等和信息不對稱等原因，互聯(lián)網(wǎng)平臺在數(shù)字空間中具有強勢地位，進而形成了平臺與用戶在數(shù)字社會中的不平等地位，用戶在享受數(shù)字便利的同時也面臨著數(shù)字風險，個體更是無法制衡平臺對個人信息的不當使用。此外，基于數(shù)字技術的復雜性和互聯(lián)網(wǎng)用戶數(shù)量的不斷增多，數(shù)字平臺日益獲取了巨大的控制力，用戶對平臺的依賴又進一步加劇了這種權力的控制性，放大了它對經(jīng)濟社會構成的特殊風險。在此情形下，數(shù)字平臺的行為風險變得更加突出，數(shù)字生態(tài)中個人權益受侵害的風險也隨之增加?！?〕與此同時，互聯(lián)網(wǎng)呈現(xiàn)出用戶低齡化趨勢。據(jù)統(tǒng)計，截至2023年6月，我國未成年網(wǎng)民人數(shù)已突破1.91億〔2〕，未成年人業(yè)已成為互聯(lián)網(wǎng)企業(yè)的重要用戶群?！?〕由此，在強大的平臺控制力與弱勢且數(shù)量龐大的未成年互聯(lián)網(wǎng)用戶相互交織的背景下，大型互聯(lián)網(wǎng)平臺的有效治理尤為迫切。

近年來，國家不斷加強對未成年人個人信息的立法保護，除《中華人民共和國個人信息保護法》（以下簡稱《個保法》）、《兒童個人信息網(wǎng)絡保護規(guī)定》（以下簡稱《規(guī)定》）之外，眾望所歸的《未成年人網(wǎng)絡保護條例》更是進一步健全了未成年人個人信息保護規(guī)則，要求擁有大量未成年用戶或具有重要影響力的平臺在履行普遍性保護義務的基礎上，還需進一步履行特殊保護義務，以督促大型平臺企業(yè)切實承擔社會責任，統(tǒng)籌好平臺經(jīng)濟健康發(fā)展和未成年人網(wǎng)絡保護之間的關系。

作為兼具內(nèi)部監(jiān)督與外部監(jiān)管雙重屬性的合規(guī)審計，不僅是平臺實施自我治理、自我監(jiān)督的必要工具，也是監(jiān)管部門規(guī)制平臺個人信息處理行為的重要方式。〔4〕因此，個人信息保護合規(guī)審計已經(jīng)成為當前國際上的一種常規(guī)做法，其對個人信息治理和未成年人權益保護具有重要價值。根據(jù)《個保法》第54條和第64條規(guī)定，合規(guī)審計分為定期審計和監(jiān)管審計，審計的依據(jù)明確為“法律、行政法規(guī)”?！秱€人信息保護合規(guī)審計管理辦法（征求意見稿）》第3條也對個人信息保護合規(guī)審計給出了清晰界定，其指對個人信息處理者的個人信息處理活動是否遵守法律、行政法規(guī)的情況進行審查和評價的監(jiān)督活動?！?〕在中國數(shù)字化進程加快和《個保法》實施、《中華人民共和國未成年人保護法》（以下簡稱《未成年人保護法》）修訂的多重背景之下，個人信息保護合規(guī)審計的審計重點內(nèi)容和審計程序，在考慮合規(guī)審計一般要求的同時，還應突出未成年人個人信息保護的特殊性，進一步開展平臺處理未成年人個人信息的合規(guī)審計研究，提高未成年人信息安全保護水平。

一、個人信息合規(guī)審計的法律圖景

（一）域外法律對未成年人個人信息合規(guī)審計的法律規(guī)定

合規(guī)審計作為平臺自我治理與監(jiān)管部門規(guī)制個人信息處理行為的手段，在不同國家或司法轄區(qū)已有適用的先例。同時，針對未成年人個人信息保護的特殊需要，各國也進行了不同的立法嘗試。

歐盟《通用數(shù)據(jù)保護條例》（General Data Protection Regulation，以下簡稱“GDPR”）較早地提出了數(shù)據(jù)保護審計（Data Protection Audit）的概念，并將數(shù)據(jù)保護審計作為核查、判斷數(shù)據(jù)處理者，以及數(shù)據(jù)控制者是否遵循GDPR處理個人信息的手段?！?〕在GDPR的規(guī)范體系下，相關企業(yè)可以通過合規(guī)審計證明其個人信息處理活動的合法合規(guī)性。

相較于歐盟，美國雖然不具有類似GDPR可以統(tǒng)一適用于聯(lián)邦層面的個人信息保護立法，但其擁有立法權的各州也對個人信息保護提出了不同的審計義務。其中最具有代表性的是加利福尼亞州的《加州隱私權法案》（California Privacy Rights Act，CPRA），該法案要求對“消費者隱私或者安全構成重大風險”的企業(yè)應當進行年度網(wǎng)絡安全審計。為了加強對未成年人的個人信息保護，美國于1988年就制定了《兒童在線隱私保護法案》（Children's Online Privacy Protection Act，COPPA），并于2014年對其予以修訂。法案中的重點條款就包括父母的同意制度、兒童個人信息的范圍界定、保護對象的年齡劃定等。

除歐美國家外，英國在個人信息合規(guī)審計方面也進行了相應的制度創(chuàng)新，于2022年5月發(fā)布了《數(shù)據(jù)審計指南》（A Guide to ICO Audits），設置了自愿申請審計制度。2020年韓國在《個人信息保護法》（The Personal Information Protection Act，PIPA）修訂時，也在未成年人個人信息合規(guī)審計方面進一步進行規(guī)范。該修正案對企業(yè)處理未成年人個人信息的行為采取寬進嚴出的方式，放寬了收集法律規(guī)定最低限度的個人信息的事前要求，但引入了評價制度，通過加強個人信息處理活動的事后控制，實現(xiàn)對個人權利的有效保護，防止“知情同意制”僵化。

（二）我國未成年人個人信息合規(guī)審計的立法現(xiàn)狀

2021年 11月1日，我國個人信息保護領域的第一部專項立法《個保法》正式實施，對個人在個人信息處理活動中享有的權利，以及個人信息處理者在個人信息處理活動中應遵守的處理規(guī)則、履行的義務等做出了系統(tǒng)全面的規(guī)定，其中就包含了個人信息處理者所要履行的合規(guī)審計義務與強制合規(guī)要求，并賦予大型互聯(lián)網(wǎng)平臺個人信息保護的特別義務?；ヂ?lián)網(wǎng)平臺是未成年人使用和接觸網(wǎng)絡的重要防線，也是保護未成年人個人信息安全的重要“守門人”，平臺治理具有先天資源和技術優(yōu)勢?！段闯赡耆司W(wǎng)絡保護條例》第20條針對擁有數(shù)量巨大的未成年人用戶和對未成年人具有顯著影響的網(wǎng)絡平臺服務提供者作出相應的責任義務規(guī)定，要求其建立健全未成年人網(wǎng)絡保護合規(guī)制度體系，并履行個人信息處理合規(guī)審計義務。至此，相關法律、法規(guī)部門規(guī)章及規(guī)范性文件共同初步建構起我國未成年人個人信息保護合規(guī)審計框架（見表1）。

細化落實了個人信息處理者合規(guī)審計要求，明確了個人信息保護合規(guī)審計觸發(fā)條件、頻次、流程、審計機構、審計活動規(guī)范等。并以附件形式詳細列明了“個人信息保護合規(guī)審計參考要點”，為個人信息處理者開展合規(guī)審計工作提供指引。

（三）《個人信息保護法》對個人信息合規(guī)審計的總體要求

《個保法》規(guī)定了個人信息合規(guī)審計的義務主體。第54條明確規(guī)定由個人信息處理者主動履行定期合規(guī)審計義務，第64條則規(guī)定由個人信息處理者委托專業(yè)機構進行強制外部審計。與此同時，第54條和第64條還分別提出了對個人信息處理者履行個人信息保護合規(guī)審計義務不同層面的要求。其中，第54條要求企業(yè)定期履行個人信息保護合規(guī)審計義務，明確審計內(nèi)容是個人信息處理活動是否遵守“法律、行政法規(guī)”的要求，為個人信息的合規(guī)審計提供了依據(jù)，允許個人信息處理者可以根據(jù)自身情況和需要確定合規(guī)審計的時間、頻次和方式。〔7〕第64條則明確規(guī)定，當個人信息處理活動存在風險情況時，除可以進行約談外，相關履職部門還可以要求個人信息處理者委托專業(yè)機構進行合規(guī)審計，利用外部審計機構的獨立地位與專業(yè)知識對個人信息處理者的合規(guī)審計情況進行評估、審查，為職責部門提供監(jiān)管依據(jù)和方案。這一立法設計有助于監(jiān)管者對個人信息處理活動的合法性進行持續(xù)關注，且有利于提升個人信息處理者的合法合規(guī)水平與個人信息保護能力。然而，我國個人信息保護合規(guī)審計制度的具體要求尚未明確，平臺落實個人信息合規(guī)審計的針對性、完整性和有效性也缺乏更為細致的要求?！?〕

此外，《個保法》第58條還規(guī)定了“守門人規(guī)則”，明確要求大型平臺承擔更為積極的信息安全責任，具體包括：（1）成立主要由外部成員組成的獨立機構對個人信息保護情況予以監(jiān)督；（2）制定平臺規(guī)則，合理確定雙方的權利義務和責任，并通過平臺規(guī)則明確監(jiān)督平臺內(nèi)部處理個人信息的規(guī)范和保護個人信息的義務；（3）發(fā)揮監(jiān)督作用，對嚴重違反法律法規(guī)處理個人信息的平臺內(nèi)的產(chǎn)品或者服務提供者，停止提供服務；（4）定期發(fā)布個人信息保護社會責任報告，接受社會監(jiān)督?！?〕

（四）《未成年人網(wǎng)絡保護條例》對個人信息合規(guī)審計的主要訴求

《未成年人網(wǎng)絡保護條例》第20條以《個保法》第58條為上位法依據(jù)，要求平臺經(jīng)營者承擔特殊的“守門人”義務，即超大型的互聯(lián)網(wǎng)平臺應當充分考慮未成年人身心健康發(fā)展特點，定期開展未成年人網(wǎng)絡保護影響評估，提供青少年模式或者未成年人專區(qū)等，并按照國家規(guī)定建立健全未成年人網(wǎng)絡保護合規(guī)制度體系。此外，對嚴重侵犯未成年人合法權益的平臺內(nèi)產(chǎn)品或者服務提供者，其還要求平臺及時停止提供服務，并定期發(fā)布未成年人網(wǎng)絡保護社會責任報告。同時，《未成年人網(wǎng)絡保護條例》第37條要求個人信息處理者定期履行處理未成年人個人信息活動的合規(guī)審計義務，并將審計情況及時報告網(wǎng)信等部門?！段闯赡耆司W(wǎng)絡保護條例》從未成年人這一特殊主體的角度出發(fā)對個人信息保護合規(guī)審計進行了補充，但其主要通過列舉的方式規(guī)定平臺的義務，這種封閉式的規(guī)定也限制了監(jiān)管主體和司法部門不能“個案地”擴張平臺的責任種類。

（五）相關規(guī)范性文件對個人信息合規(guī)審計的具體規(guī)定

為指導、規(guī)范個人信息保護合規(guī)審計活動，國家互聯(lián)網(wǎng)信息辦公室于2023年8月3日發(fā)布了《個人信息保護合規(guī)審計管理辦法（征求意見稿）》，對個人信息保護合規(guī)審計相關內(nèi)容加以補充和延伸，重點體現(xiàn)在兩個方面：一是細化了《個人信息保護法》中的自我合規(guī)評估和強制合規(guī)評估的相關要求；二是配套制定《個人信息保護合規(guī)審計參考要點》，落實個人信息保護合規(guī)審計開展的業(yè)務指引和核心要求。

2021年11月14日，國家互聯(lián)網(wǎng)信息辦公室就《網(wǎng)絡數(shù)據(jù)安全管理條例（征求意見稿）》征求意見，在《個保法》《中華人民共和國網(wǎng)絡安全法》《中華人民共和國數(shù)據(jù)安全法》等法律規(guī)范構成的框架下對數(shù)據(jù)安全、數(shù)據(jù)分級分類、數(shù)據(jù)處理者境外上市、數(shù)據(jù)出境等方面提出了詳細且有針對性的監(jiān)管措施，并對數(shù)據(jù)處理者在數(shù)據(jù)安全方面的義務提出了明確要求。《網(wǎng)絡數(shù)據(jù)安全管理條例（征求意見稿）》第53條明確要求大型互聯(lián)網(wǎng)平臺運營者履行年度審計義務，并對第三方審計結果進行披露。其第58條則對數(shù)據(jù)安全審計制度進行了規(guī)定。

此外，國家標準《信息安全技術 個人信息安全規(guī)范》要求個人信息控制者進行個人信息保護的有效性審計。中國科學技術法學會團體標準《個人信息處理法律合規(guī)性評估指南》則詳細闡述了個人信息處理法律合規(guī)性評估的各項內(nèi)容，但其缺乏可操作性，難以直接適用于個人信息保護合規(guī)審計實踐。

二、平臺履行未成年人個人信息保護合規(guī)審計義務的正當性理據(jù)

個人信息保護立法的關鍵在于通過利益衡量實現(xiàn)個人對其信息保護的私人利益、信息業(yè)者對個人信息利用的商業(yè)利益和國家管理社會的公共利益之間的適當平衡?！?0〕《個保法》和《未成年人網(wǎng)絡保護條例》都不同程度地課與了平臺履行未成年人個人信息保護合規(guī)審計的義務，立法設計中對不同利益關系的平衡即是平臺履行義務的正當性依據(jù)所在。

（一）實現(xiàn)《個人信息保護法》的立法宗旨

在數(shù)字經(jīng)濟發(fā)展和法治社會建設相互助力的進程中，《個保法》及相關配套法律規(guī)范為我國個人信息保護提供了有力的制度保障?！秱€保法》明確將“保護個人信息權益，規(guī)范個人信息處理活動，促進個人信息合理使用”作為立法目的。個人信息處理的合規(guī)審計能夠強化個人信息權益保護與規(guī)范個人信息處理活動，并為預測、決策、責任追究提供依據(jù)，有利于實現(xiàn)個人信息保護之目的。

個人信息保護合規(guī)的法理依據(jù)是比例原則在個人信息處理中潛在風險分配的體現(xiàn)，即對公民、平臺與國家公權力機關處理個人信息自由的合理限制。著眼于個人信息的實際流動過程，澄清個人信息保護責任主體的界定誤區(qū)，應當由個人信息控制者承擔個人信息保護的責任，而不是由公民個人承擔?！?1〕互聯(lián)網(wǎng)平臺作為個人信息保護的關鍵環(huán)節(jié)，對平臺內(nèi)的個人信息處理活動具有強大的控制力和支配力，因此，《個保法》第58條對超大型互聯(lián)網(wǎng)平臺提出了更高的注意義務標準。

此外，如果超大型互聯(lián)網(wǎng)平臺內(nèi)部的算法使用存在侵害未成年人利益的行為，其經(jīng)營者沒有積極履行安全義務采取必要措施的，還可能違反《中華人民共和國民法典》（以下簡稱《民法典》） 第1197條的規(guī)定，與網(wǎng)絡用戶共同承擔連帶責任?！?2〕

（二）設置特別義務的法理：“守門人”與控制者義務理論

1.“守門人”理論

“守門人”理論認為“守門人”能夠自主決定商品服務、信息等是否被允許進入渠道。平臺的功能恰恰符合這一點，它擁有特殊的技術優(yōu)勢可以控制信息的流動，對個人信息有著更強的處理能力。“守門人”在互聯(lián)網(wǎng)平臺有三種類型：一是應用程序分發(fā)平臺；二是移動終端操作系統(tǒng)；三是平臺型應用程序。其本質(zhì)上都是處理個人信息的互聯(lián)網(wǎng)信息控制方。故而，平臺就像一個把守“信息樞紐”大門的“守門人”，是個人信息流動的控制者。

因而，由互聯(lián)網(wǎng)平臺來充任外部合規(guī)協(xié)調(diào)者和內(nèi)部合規(guī)落實者的重要角色，已成為互聯(lián)網(wǎng)平臺的實然所需?！?3〕網(wǎng)絡虛擬空間助長了個人信息監(jiān)管對象及其行為的模糊性，構筑起“無知之幕”，加劇了政府與個人信息處理主體之間的信息不對稱，加上信息處理目的的多樣性、信息處理過程的復雜性和信息最小適用邊界的難辨別性，加劇了個人信息安全風險及其潛在危害的高度不確定性?！?4〕但面對個人信息安全監(jiān)管的高需求，政府等外部監(jiān)管主體缺乏常態(tài)化融入平臺日常經(jīng)營監(jiān)管的能力。此時，作為“守門人”的平臺進行個人信息保護合規(guī)審計，能有效緩解監(jiān)管資源的緊張，對政府監(jiān)管進行有效補充。

當然，盡管我國的《個保法》和歐盟的《數(shù)字市場法案》都引入了“守門人”規(guī)則，但其功能有所不同。相比之下，我國的《個保法》要求平臺承擔更為積極的責任，以形成全社會共同參與的個人信息保護機制?！?5〕

2.控制者義務理論

確立個人信息保護中平臺的“守門人”角色，促使平臺積極履行社會責任，其法理在于“控制者義務理論”，其內(nèi)核在于收益與風險相一致、收益與控制危險源能力相匹配的原理，即任何主體對其所控制的場所都應負有相應的安全保障責任。平臺掌握著個人信息的存儲空間、個人信息處理系統(tǒng)的運行環(huán)境、依賴平臺算力的用戶群等，又具備信息處理優(yōu)勢與相對穩(wěn)定的經(jīng)濟能力，實為個人信息處理的“控制者”?！?6〕

正所謂每一種社會交往都會對他人產(chǎn)生影響，其中潛在的風險也會對他人產(chǎn)生危害?！?7〕而“不傷害他人”是法律和司法實踐中所公認的基本原則，也是社會行為的基本規(guī)范之一。這一原則就要求個人在行為中應當尊重他人的權利和尊嚴，以確保他人免受任何不必要的傷害。因此，法治的一般原理認為任何個人都有責任對其所控制的場所等負有相應的安全保障義務?！?8〕《民法典》中的安全保障義務〔19〕和網(wǎng)絡侵權責任〔20〕的相關規(guī)定就吸收了“控制者義務”理論，要求平臺承擔相應的管理和注意義務。根據(jù)侵權法的一般原理，平臺創(chuàng)設了用戶無法控制的且具有一定風險的虛擬場所，就應當對防范該領域中的風險履行特殊義務?！?1〕

“控制者義務”理論的內(nèi)核在于收益與風險相一致的原理。具體而言，在個人信息保護領域，一方面，平臺作為個人信息的控制者，獲得利益就要承擔風險。互聯(lián)網(wǎng)平臺經(jīng)營的目的當然是為了收益，如果沒有利益可以獲取，平臺就不會存在，但由此產(chǎn)生的負外部性效應就應當由收益方承擔，平臺應當負起保護個人信息免受侵害的監(jiān)管義務；另一方面，平臺控制潛在危險的義務也來源于其對危險源的控制能力。平臺作為個人信息的管理者，其擁有著對信息流動實際上的控制能力，技術、資源上的優(yōu)勢使得其對個人信息具有更強的控制和處理能力，對個人信息面臨的風險有著更敏銳的預見能力，可以提供更有力的保護措施。根據(jù)科斯定理，由防范成本較低的一方即網(wǎng)絡平臺采取防范措施，承擔個人信息保護的主要責任，這也是符合效益的理想選擇?！?2〕

（三）基于特別保護的依據(jù)：最有利于未成年人原則的內(nèi)在要求

個人信息保護合規(guī)的制度功能在于調(diào)整信息處理者相較于個人的優(yōu)勢地位，從而實現(xiàn)對個人信息處理各方利益的平衡與保障?！?3〕未成年人因其自身認知能力與行為控制能力的局限，在應對平臺技術優(yōu)勢時就顯得愈發(fā)劣勢，《個保法》理應對其進行傾斜型保護。

在個人信息保護情境中，優(yōu)先承認了未成年人利益的重要性。不僅因為國家始終倡導未成年人利益的保護，還因為未成年人利益具備升級為公共利益進行保護的潛力。〔24〕最有利于未成年人原則在《未成年人保護法》中正式確立，2021年修訂時又細化了具體要求，明確指出要給予未成年人特殊保護、優(yōu)先保護。在個人信息保護合規(guī)審計中給予未成年特別保護和優(yōu)先保護，即是最有利于未成年人原則在未成年人網(wǎng)絡個人信息權益保護中的應然要求。

三、平臺開展未成年人個人信息合規(guī)審計的現(xiàn)狀及障礙

保障公民個人信息權益，推動個人信息數(shù)據(jù)在合法合理的前提下得到有效利用，已經(jīng)成為政府推動數(shù)字經(jīng)濟持續(xù)健康發(fā)展的重要任務。然而，2021年11月，我國才開始施行《個保法》，實施時間短，尚未形成全面的司法解釋和最佳實踐。與之對應，審計工作與平臺的合規(guī)實踐也處于同步摸索階段。

（一）平臺開展未成年人個人信息合規(guī)審計的現(xiàn)狀

近年來，在法律規(guī)制和行政監(jiān)管的雙重作用下，未成年人個人信息保護受到高度重視，互聯(lián)網(wǎng)平臺企業(yè)的個人信息保護合規(guī)水平有所提升?！?5〕根據(jù)未成年人網(wǎng)絡活動類型和頻率的相關統(tǒng)計，選取使用頻率較高且各個使用場景中具有代表性的五個互聯(lián)網(wǎng)平臺進行考察可以發(fā)現(xiàn)〔26〕，以微信為代表的互聯(lián)網(wǎng)平臺在告知內(nèi)容和告知方式上都作了相應的合規(guī)處理（見表2），但平臺在告知個人信息保存期限時往往只使用“進行個人信息處理所需要的時間”之類的模糊表達，并不對具體期限予以告知，提供的行權方式也多缺乏便捷性，具有操作上的難度。

從未成年人個人信息保護的特殊需求出發(fā)進行考察，卻可以發(fā)現(xiàn)平臺未成年人個人信息保護合規(guī)仍與立法旨趣存在較大差距（見表3）。要實現(xiàn)平臺經(jīng)濟和未成年人網(wǎng)絡保護的統(tǒng)籌發(fā)展，還需壓緊壓實大型網(wǎng)絡平臺主體責任，進一步推動相關規(guī)范落地落實。

各平臺雖都設置有青少年模式，制定《兒童隱私政策》，但仍未改變隱私政策文本冗長難懂的特點，未成年人及其監(jiān)護人難以理解和閱讀，即或在使用應用程序后也不便再次查閱和同意，而且各平臺并未提供便捷的行權受理方法。可以看出，平臺進行未成年人個人信息保護合規(guī)審計并未充分考慮不同年齡段未成年人的差異和需求。究其原因，主要在于以下三個方面：未成年人個人信息保護合規(guī)審計的立法設計存在缺憾、平臺自身開展個人信息合規(guī)審計的內(nèi)生動力不足、外部監(jiān)管不力。

（二）平臺開展未成年人個人信息合規(guī)審計的障礙

1.未成年人個人信息保護合規(guī)審計的立法設計存在缺憾

個人信息保護合規(guī)審計的立法設計在未成年人保護領域內(nèi)存在清晰性、體系性、針對性、實操性不足的狀況，掣肘未成年人個人信息權利保護的發(fā)展。

首先，未成年人個人信息保護合規(guī)審計的清晰性不足。“清晰性要求是合法性的一項最基本的要素。一種徒有其表的清晰可能比一種誠實的、開放性的模糊更有害。”〔29〕用含糊或?qū)挿旱姆绞奖磉_的立法往往在實踐中會出現(xiàn)操作變形的情況。例如，《個保法》第58條規(guī)定，大型互聯(lián)網(wǎng)平臺需履行個人信息保護方面的特別義務，其中之一就是成立主要由外部成員組成的獨立監(jiān)督機構。但此條義務性規(guī)范卻沒有匹配具有可實施性的操作規(guī)范，缺少設置獨立監(jiān)督機構的程序性法律規(guī)定。該條文中的“主要”概念模糊，“外部人員”的資格要求、職責范圍界定不明。而且無論是在外部成員的選任上，還是獨立機構的組織架構上，平臺均具有較大的自由空間，如果沒有相應的規(guī)定作為指導，就極易出現(xiàn)無從下手、實施成效差距大的棘況。賦予法律義務的規(guī)定以較大的彈性空間，雖然一定程度上保證了平臺自我監(jiān)管的自由度，但也容易造成不同平臺對社會責任的基本內(nèi)涵、法律規(guī)范的內(nèi)在要求產(chǎn)生認知偏差，甚至會導致平臺合規(guī)審計實踐操作變形，出現(xiàn)履責的碎片化和不平衡，進而產(chǎn)生互聯(lián)網(wǎng)平臺的合規(guī)審計危機。

其次，未成年人個人信息保護合規(guī)審計的針對性和可操作性不強。以“告知同意機制”為例，《個保法》第14條第2款規(guī)定，如果處理個人信息的目的、方式或類型發(fā)生變更，必須重新獲得個人的同意。這意味著， 在“告知同意機制”之下，當場景變化引發(fā)個人信息處理目的、方式和個人信息種類的變化時，用戶則需要同步、反復進行同意確認，這容易導致用戶陷入“同意疲勞”，大大增加了平臺的運營成本。對未成年人個人信息保護而言，監(jiān)護人同意制的內(nèi)在缺陷還會引發(fā)平臺告知不充分、用戶同意缺乏真實性和自主性、過度處理用戶個人信息的合規(guī)問題。即使信息主體是在充分知曉個人信息處理情況的前提下自主決定“同意”與否，“理性信息主體”的假設也實難成立?！?0〕更何況對監(jiān)護人“理性人”身份的假設本身就是一種不合理的期待，且監(jiān)護人同意制度的執(zhí)行機制也一直為諸多學者所詬病。有關調(diào)查統(tǒng)計結果顯示，大部分用戶很少或從未閱讀隱私政策，而“文本冗長，不想看”是用戶很少或從未閱讀隱私政策的主要原因，占比高達96.44%。〔31〕可見，平臺雖基于規(guī)避合規(guī)審計風險不斷擴容隱私政策，但未成年人個人信息權利保護的實效卻難以同步提升。究其深層原因，告知同意機制與個人信息保護合規(guī)審計的制度銜接的科學性仍需進一步提升，未成年人個人信息保護合規(guī)審計也應加強主體針對性和可操作性，化解平臺履行合規(guī)審計義務的疑惑。

再次，在課以平臺較大合規(guī)義務的同時，應匹配相應的操作指南和參考范式，加強個人信息保護合規(guī)審計的體系性與實操性。為使個人信息保護合規(guī)審計的執(zhí)行更具有實操性，建議將《個人信息保護合規(guī)審計管理辦法（征求意見稿）》中所附的《個人信息保護合規(guī)審計參考要點》條文順序按照個人信息保護合規(guī)審計流程（見圖1）重新整合，使之更符合個人信息保護合規(guī)審計的內(nèi)在運行邏輯（見表4），也便于在更大程度上發(fā)揮《個人信息保護合規(guī)審計參考要點》的參考指引價值。

二、對個人信息主體權利實現(xiàn)的審計

第五條：個人行使個人信息權益的權利保障情況審計

第六條：個人信息處理規(guī)則解釋說明義務審計

三、對個人信息處理活動的審計

一般個人信息處理活動

第七條：對公共場所安裝圖像采集、個人信息識別設備行為的審計

第八條：利用自動化決策處理個人信息的審計

第九條：提供個人信息的審計

第十條：向境外提供個人信息的審計

第十一條：向境外提供個人信息采取必要措施的審計

第十二條：公開個人信息的審計

第十三條：個人信息刪除權保障情況審計

特殊個人信息處理活動

第十四條：處理已公開個人信息的審計

第十五條：處理敏感個人信息的審計

第十六條：處理不滿十四周歲的未成年人個人信息的審計

為第三方機構的其他情形

第十七條：共同處理個人信息的審計

第十八條：委托處理個人信息的審計

第十九條：轉移個人信息的審計

四、對個人信息處理者主體義務的審計（與原條款內(nèi)容、順序一致）

一般個人信息處理者主體義務：第二十條至二十七條

大型互聯(lián)網(wǎng)平臺個人信息保護特別義務：第二十八條至三十一條

最后，立法設計的體系性有待補正還體現(xiàn)在下位規(guī)范與上位法的銜接問題上。比如，《兒童個人信息網(wǎng)絡保護規(guī)定》所規(guī)定的“網(wǎng)絡運營者”是否等同于《個保法》第58條規(guī)定的“提供重要互聯(lián)網(wǎng)平臺服務、用戶數(shù)量巨大、業(yè)務類型復雜”的個人信息處理者，又是否等同于《未成年人網(wǎng)絡保護條例》中的“網(wǎng)絡平臺服務提供者”？又如，《個保法》第61條要求個人信息保護職能部門組織測評應用程序等個人信息保護的情況，并將測評結果公開。《個人信息保護合規(guī)審計管理辦法（征求意見稿）》第10條卻并未對此進行落實，其既未確定是否要公布該審計結果，又未明確“報送”之后如何運用該審計結果。基于目前未成年人個人信息保護的分散立法模式，加強現(xiàn)有規(guī)范的體系性尤為重要。

2.平臺自身開展個人信息合規(guī)審計的內(nèi)生動力不足

平臺自身開展個人信息合規(guī)審計存在經(jīng)濟效益和保護用戶信息安全的價值沖突，既包括個人信息利用帶來的收益與個人信息安全之間的矛盾，也包括個人信息保護合規(guī)審計成本與收益之間的矛盾。平臺合規(guī)審計之所以內(nèi)生動力不足，其根本原因在于平臺對未成年人個人信息合規(guī)審計價值的認知偏差。固有認知源于一種傳統(tǒng)觀念，這種傳統(tǒng)觀念把社會效益和經(jīng)濟效益、合規(guī)審計與自由市場相互對立，認為強化社會責任就會弱化企業(yè)經(jīng)濟效益，強調(diào)合規(guī)審計就必然增加平臺成本。這種觀點只看到了“對立”，沒看到“統(tǒng)一”，失之偏頗。若從對立統(tǒng)一關系的內(nèi)在機理出發(fā)，立足于互惠視角重新審視，會獲得不一樣的答案：強化平臺保護未成年人個人信息的社會責任未必就會減損企業(yè)經(jīng)濟利益，完善合規(guī)審計也并不必然犧牲平臺經(jīng)濟利益。

例如，平臺為了不斷優(yōu)化自身各項功能，提高其在未成年人群體中的市場占有率，就需要充分掌握未成年人的個人信息、興趣偏好和價值傾向。平臺如果忠實履行了控制者的義務和社會責任，定會獲得用戶（未成年人及其監(jiān)護人）的信賴，從而增加平臺的市場認同度，擴大潛在用戶群。這與平臺的利益趨于一致，有利于構建可持續(xù)的數(shù)字經(jīng)濟生態(tài)環(huán)境，促進平臺個人信息合規(guī)審計與用戶個人信息保護形成良性循環(huán)。相反，如果雙方互惠關系被打破，重新取得用戶的信任就需要花費比承擔個人信息合規(guī)審計義務大得多的成本。與此同時，對違反《個保法》關于個人信息合規(guī)審計相關規(guī)定的網(wǎng)絡平臺，不僅可能被處以高額罰款，還可能面臨暫停相關業(yè)務、吊銷相關業(yè)務許可證等行政處罰措施。因此，根據(jù)社會責任的內(nèi)涵要求，在未成年人個人信息保護方面，平臺不僅僅應該致力于逐利性的滿足，還要站在用戶的立場，關注保障未成年人的合法權益?！?2〕

此外，合規(guī)審計相關復合型人才的缺乏也是平臺自身開展未成年人個人信息合規(guī)審計內(nèi)生動力不足的原因之一。互聯(lián)網(wǎng)平臺內(nèi)部業(yè)務類型復雜、部門數(shù)量較多且流動性大。個人信息保護合規(guī)審計涉及企業(yè)內(nèi)部較多流程，合規(guī)審計工作既需要對企業(yè)內(nèi)部深入了解，掌握信息審計涉及的專業(yè)知識，又需要熟知未成年人保護相關法律法規(guī)等，合規(guī)審計相關復合型人才的缺乏則會導致未成年人個人信息合規(guī)審計工作難以全面、深入地開展。

3.平臺個人信息合規(guī)審計的外部監(jiān)管不力

監(jiān)管者的監(jiān)管水平受到各種因素的影響，包括監(jiān)管者的職權范圍、風險識別的敏銳程度，以及對風險反應的速度等?！?3〕同時，個人信息處理又具有相關利益繁雜、風險覆蓋面廣、危害潛伏性高、數(shù)據(jù)溯源難等特點， 較一般的監(jiān)管對象而言，對平臺個人信息合規(guī)審計的監(jiān)管難度遠遠超過預期，增加了監(jiān)管的復雜性。

首先，個人信息處理者既可以單獨參與某一項個人信息處理活動，也可以與其他處理者合作共同完成信息處理，在個人信息處理活動中可以不斷變換身份角色。監(jiān)管者難以識別個人信息處理者實際從事哪些個人信息處理活動與具體情形，為監(jiān)管又披上另一層面紗。其次，法律規(guī)范的清晰性不足也容易引發(fā)監(jiān)管者履責互相推諉的惰化效應。最后，源頭監(jiān)管與過程取證的艱難也在很大程度上降低了預防性監(jiān)管的效果，強制力往往只能在事后救濟環(huán)節(jié)發(fā)揮作用。我國總體上過多依賴政府監(jiān)管，市場自我監(jiān)管和技術平臺監(jiān)管相對運用不夠，難以形成法律、政策、市場、技術協(xié)同監(jiān)管的長效機制。〔34〕

四、完善未成年人個人信息合規(guī)審計的對策建議

網(wǎng)絡信息技術的發(fā)展與未成年人個人信息權益保護之間的矛盾依然存在，為了避免法律中不經(jīng)意的沖突，進行立法設計時仍需十分謹慎。作為立法者，其應對政策中現(xiàn)存的籠統(tǒng)模糊的規(guī)定進行明確說明，提高政策的透明度和可操作性，在各個維度上構建規(guī)范化的政策框架和操作標準，為個人信息保護合規(guī)審計提供清晰指引。除此之外，基于順利開展未成年人個人信息保護合規(guī)審計的目的與需要，更需加強未成年人權利保護的針對性，在激活平臺合規(guī)審計動力，提高監(jiān)管效率，建立政企共振共律、協(xié)同治理的長效機制上進一步努力。

（一）加強未成年人權利保護針對性

個人信息保護法的制度起源于公平信息實踐。一方面，公平信息實踐對個人進行了信息賦權，規(guī)定了個體享有的一系列信息權利；另一方面，也對信息收集者、處理者施加了一系列義務?！?5〕個人信息合規(guī)審計就是對義務履行的法律審查與監(jiān)督。可見，未成年人信息權利保護與個人信息合規(guī)審計本就是一體兩面。未成年人是有自我身份和尊嚴的個體，是其自己生活中的主體，而非被關心和保護的客體?！?6〕故此，在完善未成年人個人信息合規(guī)審計的過程中，勢必要強調(diào)未成年人的權利主體地位，突出未成年人個人信息合規(guī)審計的特殊性，尊重未成年人的合理需求，并加以特別保護。

《兒童權利公約》（Convention on the Rights of the Child）第43條設立了兒童權利委員會以審查締約國在履行或承擔公約義務方面取得的進展。兒童權利委員會特別強調(diào)建立一個獨立的兒童權利保護機構的重要意義。〔37〕基于公約要求與現(xiàn)實需求，或可在履行個人信息保護職責的部門增設未成年人監(jiān)察專員，專職審查平臺進行未成年人個人信息合規(guī)審計的情況，以及配合平臺內(nèi)部進行常態(tài)化監(jiān)管，提出有針對性的改進措施，指導、督促平臺開展個人信息保護合規(guī)審計活動，以實現(xiàn)獨立有效的監(jiān)督、增進和保護未成年人權利。

針對未成年人個人信息保護合規(guī)審計的特殊需要，還可以在《個人信息保護合規(guī)審計管理辦法（征求意見稿）》第16條（“處理不滿十四周歲的未成年人個人信息的審計”）基礎上設置“對未成年人個人信息的審計”小節(jié)，補充對十四至十八周歲未成年人個人信息的保護。

（二）建立健全平臺個人信息保護合規(guī)激勵機制

個人信息處理的治理本屬行政機關的職責，但由于行政資源短缺、評估指標僵化與日常規(guī)制缺位等原因，行政監(jiān)管難以全面應對日新月異的技術發(fā)展與不斷變化的個人信息權益侵害方式。故此，行政機關亟待創(chuàng)新治理模式，在治理節(jié)點中引入新的主體，在治理方式中運用新的工具，調(diào)動信息控制者維護信息安全的積極性是事半功倍的做法?！?8〕

《未成年人保護法》第14條和《未成年人網(wǎng)絡保護條例》第12條都規(guī)定了對未成年人網(wǎng)絡保護工作中作出突出貢獻的組織和個人，按照國家有關規(guī)定給予表彰和獎勵?！兑?guī)定》第6條為加強行業(yè)自律，亦積極鼓勵互聯(lián)網(wǎng)行業(yè)組織采取相關措施加強指導，促進網(wǎng)絡平臺運營者制定未成年人個人信息保護的行業(yè)規(guī)范。這些激勵機制在引導相關主體履行社會責任上具有積極效應，所以互聯(lián)網(wǎng)行業(yè)組織要進一步推進激勵機制的落實和完善，對優(yōu)先完成合規(guī)建設的平臺實施正向激勵型監(jiān)管，形成合規(guī)藍本，激發(fā)示范效應。由此，相關域外經(jīng)驗則值得借鑒。

日本推行個人信息保護標識認證機制，通過個人信息保護認證機構賦予一些認證合格的企業(yè)及行業(yè)代表組織信息保護合格賦予權，再由這些組織協(xié)助進行資格認證工作。日本在個人信息保護領域的因應措施可以為我國探尋個人信息網(wǎng)絡保護與利用的平衡提供著手點?！?9〕例如，建立“未成年人個人信息保護合規(guī)審計白名單”，或者為中小型互聯(lián)網(wǎng)平臺提供市場準入優(yōu)先權、合規(guī)補貼等獎勵政策。還可以給予主動開展未成年人個人信息保護相關技術研發(fā)和共享的企業(yè)社會榮譽，認證其為“未成年人個人信息保護友好型”平臺，方便政府機構精確匹配和實施科學合理的監(jiān)管手段和措施，實現(xiàn)個人信息合規(guī)利用與個人信息妥善保護的權責統(tǒng)一。

（三）合作監(jiān)管模式賦能政企協(xié)同監(jiān)管

只有多元社會治理主體在合作意愿下共同進行社會治理才能有效解決社會問題?！?0〕政府與企業(yè)的合作不是零和博弈，公權力部門與個人信息處理者并非只有對立關系。個人信息保護的合作監(jiān)管主張控制并非塑造公共價值的唯一路徑，合作同樣能夠增進公共利益。通過各主體間的協(xié)同監(jiān)管，以凝聚監(jiān)管資源、共享監(jiān)管信息、共用監(jiān)管線索等方式提高監(jiān)管主體間的協(xié)調(diào)配合能力，實現(xiàn)對個人信息保護主體賦能，從而更好地回應個人信息處理的風險治理問題。

監(jiān)管資源的稀缺性是監(jiān)管部門面臨的永恒難題，由于個人信息處理者掌握個人信息處理的全過程，國家公權力機關和平臺用戶等外部人很難打破信息不對稱導致的障礙，系統(tǒng)、全面、及時地了解動態(tài)變化中的監(jiān)管信息。這種“數(shù)字鴻溝”也成為個人信息保護偏重事后救濟、監(jiān)管控制力不足、難以落實事前預防理念的重要原因，因此，借鑒市場配置資源的效率機制不失為一種大有裨益的探索。個人信息處理者在監(jiān)管方面具有巨大的信息和技術優(yōu)勢，合作監(jiān)管模式之下充分利用個人信息處理者的先天優(yōu)勢，推動個人信息處理者提升自我監(jiān)管能力，有利于提高監(jiān)管效率、降低監(jiān)管成本。

（四）后設監(jiān)管機制保障有效性審查

雖然合規(guī)本位的協(xié)作治理將平臺的專門知識及數(shù)字資源引入數(shù)字治理之中，以彌補政府監(jiān)管的局限性，但此舉也意味著將部分監(jiān)管職責轉移給了被監(jiān)管實體。因此，為防止政府監(jiān)管退化為平臺自我監(jiān)管，敦促平臺切實遵照自我監(jiān)管的規(guī)則行事，后設監(jiān)管顯得尤為必要。后設監(jiān)管即指由政府監(jiān)管市場主體的自我監(jiān)管。后設監(jiān)管與事前預防相輔相成，事前預防可以減少后設監(jiān)管的頻率和強度，后設監(jiān)管則是對事前預防的補充。通過強調(diào)兩者的有效結合，減少對事后補救的依賴，可以降低高額的監(jiān)管成本，將政府監(jiān)管的重心從偏重事后補救轉向合理配置政府監(jiān)管力量，均衡事前、事中、事后的風險控制，且有余力對個人信息處理主體合規(guī)體系建設及其運行進行指導?！?1〕

后設監(jiān)管有利于對監(jiān)管過程進行動態(tài)審視和自我糾錯，保障個人信息處理合規(guī)審計的有效性審查。一方面，后設監(jiān)管有助于強化審計整改。個人信息保護合規(guī)審計的關鍵在于對合規(guī)審計完成后的報告和審計結果的運用，問題整改作為審計監(jiān)督的最后一個環(huán)節(jié)，直接決定了審計成效。同時，后設監(jiān)管通過對平臺自我監(jiān)管的監(jiān)督、跟蹤審計，可以發(fā)現(xiàn)問題并保障審計意見的執(zhí)行。另一方面，后設監(jiān)管有助于充分發(fā)揮合規(guī)審計的評價與建議功能，為預測、決策、責任追究提供依據(jù)。如此，有利于進一步落實《個保法》第64條的立法要求，即對企業(yè)個人信息保護合規(guī)計劃的有效性審查。

（五）提升平臺內(nèi)部治理能力

針對平臺內(nèi)部的合規(guī)審計治理問題，有必要規(guī)范平臺所依賴的數(shù)字生態(tài)系統(tǒng)，強化平臺內(nèi)部治理，不斷提升內(nèi)部信息處理運作程序的合規(guī)性與安全性，使個人信息保護各項要求內(nèi)嵌到主體的業(yè)務流程當中。

一方面，調(diào)整審計相關流程，明確審計重點。企業(yè)的總體資源是有限的，在管理、財務和技術各方資源需求量較大的情況下，很難保障資源投入的充足性。且不同業(yè)務部門收集的信息內(nèi)容不同，處理信息的方式也不同。因此，企業(yè)在調(diào)整合規(guī)審計工作的過程中應當考慮到不同業(yè)務部門的特點。合規(guī)審計對象的確定應具有場景面向與風險導向性。同時，企業(yè)應當對審計結果和日常合規(guī)整改情況予以重視，及時反饋給各部門以確保合規(guī)審計計劃更具針對性。

另一方面，有機結合平臺個人信息活動全生命周期的處理情況、平臺保障個人信息主體權利實現(xiàn)情況及平臺履行個人信息處理者主體義務的情況等，定期開展未成年人個人信息保護專項審計，進行常態(tài)化監(jiān)管。為此，可以建立平臺個人信息保護規(guī)則中心，增加個人信息合規(guī)性技術方面的研發(fā)投入，進一步增強平臺處理個人信息不當行為的快速發(fā)現(xiàn)、辨認、處置和整改能力。

（責任編輯：李 娟）

〔1〕 解正山：《約束數(shù)字守門人：超大型數(shù)字平臺加重義務研究》，載《比較法研究》2023年第4期。

〔2〕 《司法部、國家網(wǎng)信辦有關負責人就<未成年人網(wǎng)絡保護條例>答記者問》，載中華人民共和國司法部網(wǎng)站，http：//www.moj.gov.cn/pub/sfbgw/zcid/202310/t20231024 488321html。

〔3〕 王穎：《未成年人互聯(lián)網(wǎng)運用中個人信息保護狀況》，載方勇、季為民、沈杰等主編：《青少年藍皮書：中國未成年人互聯(lián)網(wǎng)運用報告（2023）》，社會科學文獻出版社2023年版，第250頁。

〔4〕 胡耘通：《個人信息保護合規(guī)審計制度建設思考》，載《財會月刊》2023年第20期。

〔5〕 《個人信息保護合規(guī)審計管理辦法（征求意見稿）》，載中華人民共和國國家互聯(lián)網(wǎng)信息辦公室網(wǎng)站，http：//www.cac.gov.cn/2023-08/03/c_1692628348448092.htm。

〔6〕 賈丹、張譽馨、王姍：《我國個人信息保護合規(guī)審計制度的路徑探討》，載《工業(yè)信息安全》2022年第4期。

〔7〕 高飛：《中華人民共和國個人信息保護法解讀》，中國法制出版社2022年版，第177頁。

〔8〕 王文華、姚津笙：《重要互聯(lián)網(wǎng)平臺個人信息保護合規(guī)體系研究——以個人信息保護法第五十八條為視角》，載《人民檢察》2022年第5期。

〔9〕 高飛：《中華人民共和國個人信息保護法解讀》，中國法制出版社2022年版，第177頁。

〔10〕 張新寶：《從隱私到個人信息：利益再衡量的理論與制度安排》，載《中國法學》2015年第3期。

〔11〕 敬力嘉：《個人信息保護合規(guī)的體系構建》，載《法學研究》2022年第4期。

〔12〕 林洹民：《算法“監(jiān)護”未成年人的規(guī)范應對》，載《當代法學》2023年第3期。

〔13〕 王鵬：《數(shù)據(jù)平臺個人信息保護的合規(guī)義務與路徑實施》，載《江蘇社會科學》2023年第3期。

〔14〕 葉嵐：《從控制到合作：個人信息保護策略優(yōu)化》，載《中共天津市委黨校學報》2023年第4期。

〔15〕 林洹民：《算法“監(jiān)護”未成年人的規(guī)范應對》，載《當代法學》2023年第3期。

〔16〕 王鵬：《數(shù)據(jù)平臺個人信息保護的合規(guī)義務與實施路徑》，載《江蘇社會科學》2023年第3期。

〔17〕 劉召成：《安全保障義務的擴展適用與違法性判斷標準的發(fā)展》，載《法學》2014年第5期。

〔18〕 張新寶：《互聯(lián)網(wǎng)生態(tài)“守門人”個人信息保護特別義務設置研究》，載《比較法研究》2021 年第3期。

〔19〕 《中華人民共和國民法典》第1198條。

〔20〕 《中華人民共和國民法典》第1194至第1197條。

〔21〕 解正山：《約束數(shù)字守門人：超大型數(shù)字平臺加重義務研究》，載《比較法研究》2023年第4期。

〔22〕 陳宇照：《網(wǎng)絡平臺個人信息保護責任的法律經(jīng)濟學分析》，載《北京社會科學》2022年第10期。

〔23〕 王錫鋅：《個人信息國家保護義務及展開》，載《中國法學》2021年第1期。

〔24〕 王婭：《未成年人個人信息保護的現(xiàn)實困境及路徑優(yōu)化》，載《時代法學》2022年第6期。

〔25〕 王穎：《未成年人互聯(lián)網(wǎng)運用中個人信息保護狀況》，載方勇、季為民、沈杰等主編：《青少年藍皮書：中國未成年人互聯(lián)網(wǎng)運用報告（2023）》，社會科學文獻出版社2023年版，第250頁。

〔26〕 復旦大學韓國研究中心：《2021-2022年中國未成年人數(shù)字生活與網(wǎng)絡保護報告》，載復旦大學韓國研究中心主編：《未成年人藍皮書：中國未成年人數(shù)字生活與網(wǎng)絡保護研究報告（2021～2022）》，社會科學文獻出版社2022年版，第8頁。

〔27〕 此表格內(nèi)容為個人統(tǒng)計所得，參考了復旦大學韓國研究中心主編的《未成年人藍皮書：中國未成年人數(shù)字生活與網(wǎng)絡保護研究報告（2021～2022）》有關數(shù)據(jù)，選取使用頻率較高且在各個使用場景中具有代表性的“微信”“微博”“抖音”“嗶哩嗶哩”和“網(wǎng)易云音樂”五個平臺作為分析對象進行考察。

〔28〕 此表格內(nèi)容為個人統(tǒng)計所得，參考了復旦大學韓國研究中心主編的《未成年人藍皮書：中國未成年人數(shù)字生活與網(wǎng)絡保護研究報告（2021～2022）》有關數(shù)據(jù)，選取使用頻率較高且在各個使用場景中具有代表性的“微信”“微博”“抖音”“嗶哩嗶哩”和“網(wǎng)易云音樂”五個平臺作為分析對象進行考察。

〔29〕 [美]富勒：《法律的道德性》，鄭戈譯，商務印書館2021年版，第75-76頁。

〔30〕 敬力嘉：《個人信息保護合規(guī)的體系構建》，載《法學研究》2022年第4期。

〔31〕 深圳大學法學院App個人信息保護課題組：《移動互聯(lián)網(wǎng)應用程序個人信息保護的法制路徑》，載羅思、李朝暉主編：《深圳藍皮書：深圳法治發(fā)展報告（2021）》，社會科學文獻出版社2021年版，第255～270頁。

〔32〕 王婭：《未成年人個人信息保護的現(xiàn)實困境及路徑優(yōu)化》，載《時代法學》2022年第6期。

〔33〕 葉嵐：《從控制到合作：個人信息保護策略優(yōu)化》，載《中共天津市委黨校學報》2023年第4期。

〔34〕 唐思慧：《大數(shù)據(jù)時代信息公平的保障研究：基于權利的視角》，中國政法大學出版社2017年版，第220頁。

〔35〕 丁曉東：《個人信息保護：原理與實踐》，法律出版社2021年版，第34-35頁。

〔36〕 王雪梅：《兒童權利論：一個初步的比較研究》，社會科學文獻出版社2005年版，第151頁。

〔37〕 參見王雪梅：《兒童權利論：一個初步的比較研究》，社會科學文獻出版社2005年版，第182～193頁。

〔38〕 張新寶：《大型互聯(lián)網(wǎng)平臺企業(yè)個人信息保護獨立監(jiān)督機構研究》，載《東方法學》2022年第4期。

〔39〕 池建新：《個人信息保護政策的國際比較研究》，東南大學出版社2021年版，第106頁。

〔40〕 張康之：《論主體多元化條件下的社會治理》，載《中國人民大學學報》2014 年第2期。

〔41〕 葉嵐：《從控制到合作：個人信息保護策略優(yōu)化》，載《中共天津市委黨校學報》2023年第4期。

基金項目：2022年江蘇省研究生科研創(chuàng)新項目“被遺忘權視角下《未成年人保護法》第 72 條實施研究”（KYCX22_2135）

作者簡介：劉愛龍，男，法學博士，南京審計大學法學院教授；俞雪，女，南京審計大學法學院碩士研究生。

The Compliance Audit Analysis of Internet Platforms Handling of Minors Personal Information

LIU Ailong， YU Xue

（School of Law， Nanjing Audit University）

Abstract： The information age has provided convenient Internet services and the “age of first contact” for minors has become significantly younger. Therefore， the protection of the rights and interests of minors， who have already constituted an important user group for Internet enterprises， has entered a new stage. Internet platform service is a significant feature of the digital economy that distinguishes it from the traditional economy. Compared with ordinary adults， minors， as Internet users， are facing greater digital risks while enjoying digital convenience. In fact， in the context of the increasingly prominent behavioral risks of digital platforms and the growing number of underage Internet users， effective governance of Internet platforms needs to be strengthened， and the protection of the rights and interests of minors is urgent. The illegal handling of personal information is currently the main source of risk that harms the security of minors personal information. In response to problems such as ineffective protection of minors personal information on the Internet， the establishment of a compliance audit system has thus become an important measure to safeguard the rights and interests of minors. Personal Information Protection Law of the Peoples Republic of China and Regulations to Protect Minors in Cyberspace have， to varying degrees， imposed on platforms the obligation to fulfill compliance audits on the protection of minors personal information， and Administrative Measures for Compliance Audits on the Protection of Personal Information（draft for comments）have also released relevant provisions. However， the existing practices have not yet resulted in systematic norms of Internet platform governance， and there are obvious flaws in the relevance， completeness and effectiveness of the provisions for the implementation of platforms obligations to conduct compliance audits on the handling of personal information. In addition， Internet platforms themselves also have insufficient endogenous incentives to conduct those compliance audits and the external supervision is also difficult to be imposed.

Against the backdrop of the formal implementation of Regulations to Protect Minors in Cyberspace， the compliance audit of Internet platforms handling of minors personal information should highlight the particularity of protecting minors and implement the principle of being most beneficial to minors and its related requirements. This means we need to further improve the systematicity and feasibility of legislative design， and build a standardized policy framework and operational standards in all dimensions to provide clear guidelines for compliance audits of personal information protection. Whats more， in order to highlight the special protection for minors and to ensure the smooth implementation of the compliance audits， it is even more necessary to establish a long-term mechanism of government-enterprise co-discipline and collaborative governance， so as to realize the targeted protection for the rights and interests of minors. On the one hand， from the perspective of the relative autonomy of platforms， we should establish a sound incentive mechanism for platforms compliance audits on personal information protection to motivate them to conduct compliance audits and improve their internal governance capabilities; on the other hand， from the perspective of external supervision， a cooperative supervision model should be employed to empower government-enterprise collaborative supervision so that effective audits would be ensured and supervisory efficiency be enhanced.

KEY WORDS： personal information protection; compliance audit; the rights and interests of minors; large internet platforms