个人信息处理合规审计是指个人信息处理合规审计机构及人员,对个人信息处理者的个人信息处理活动或个人信息处理制度体系是否遵循法律法规、国家标准等规范,加以监督、鉴证、评价、建议的过程。《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)在第一章第一条开宗明义地规定了立法目的及立法依据:为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。为了建立多层次的个人信息保护合规体系,《个人信息保护法》明确提出了个人信息处理者开展个人信息保护合规审计的要求。第五十四条规定,“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。”第六十四条规定,“履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。” 承接《个人信息保护法》的立法宗旨,个人信息处理者的合规审计是个人信息处理者的义务之一,有利于实现个人信息保护之目的,即强化个人信息权益保护与规范个人信息处理活动,并能够为预测、决策、责任追究提供依据。 开展个人信息处理合规审计的意义 从制度安排上看,《个人信息保护法》第四章、第五章分别规定了个人在个人信息处理活动中的权利、个人信息处理者的义务。至此,个人信息保护至关重要的权利义务配置体系得以构建。诚如法谚有云:没有无权利的义务,也没有无义务的权利。《个人信息保护法》第五章个人信息处理者的义务体系中,第五十一条、第五十二条及第五十三分别规定了个人信息处理者的基本义务、指定个人信息保护负责人及设立专门机构等。值得重视的是,第五十四条把个人信息处理者的合规审计义务作为个人信息处理者义务体系中的一项特殊义务单独加以规定,非并入第五十一条所列具体措施项下,更加凸显了其重要性和意义。 (一)强化个人信息权益保护 从个人信息处理合规审计与个人信息权益的关系来看,开展个人信息处理合规审计有助于强化个人信息权益保护。个人信息权之性质乃私权利,其保护的法益乃私法益,其主体乃自然人,若依客体物论则客体乃个人信息,若依客体行为论则客体为个人信息处理行为,个人信息权之内容乃对个人人格、身份等信息予以支配的权利义务关系。个人信息权不仅存在于个人与个人之间,而且存在于国家与个人之间;个人信息权存于国家与个人之间不影响其私权性,国家处理个人信息也必须依法进行,负有保护个人信息的义务。例如,《个人信息保护法》第三十五条规定,“国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务;有本法第十八条第一款规定的情形,或者告知将妨碍国家机关履行法定职责的除外。”此条规定不难理解:原则上,国家机关处理个人信息需履行告知义务以取得个人同意,而例外情形下才免除该告知义务。另外,值得阐明的是,国家与私人之间的法律关系为公法关系,而私人与私人之间的法律关系为私法关系,这是依据主体形式论所做的公私划分。在此基础上经过关系形式论修正后可得知,国家与私人之间纯粹建立在“意思自治”基础上的平等法律关系则为私法关系。至此,个人信息权的私权属性以及个人信息保护法的私法属性已不言自明。 阐明个人信息权益之性质、主体、客体及内容,有助于理解个人信息处理合规审计对该权益的强化保护意义。正如前文述及:个人信息处理行为乃个人信息权之客体,而对权利客体加以监督势必能够强化权益之保护,即开展个人信息处理合规审计监督势必强化个人信息权益保护。这是个人信息权益结构本身所包含的义理。 (二)规范个人信息处理活动 “受托责任是一种普遍的经济关系,也是一种普遍的、动态的社会关系。”依据审计学原理,受托责任是审计产生的客观基础。依循此理可推知,受托责任中的受托信息责任是个人信息处理合规审计的客观基础。基于受托责任关系,个人信息处理者对个人所提供的个人信息予以处理,而由于信息不对称等问题,个人为避免或减少由此带来的损失,对个人信息处理者之个人信息处理活动产生了监督需要,个人信息处理的合规审计正是满足该监督需要的核心方法之一。由此可得,个人信息处理活动需要相应的合规审计监督来加以规范。 个人信息处理合规审计通过鉴证个人信息处理活动与个人信息处理法律法规、国家标准等规范的一致程度,能够切实规范个人信息处理活动,查证、纠正个人信息处理中的不合规行为,避免带来个人信息上的财产、精神损害后果。 (三)为预测、决策、责任追究提供依据 个人是个人信息处理合规审计报告潜在使用者之一。个人选择是否同意将个人信息交付个人信息处理者加以处理时,产生了对个人信息处理者所声明的个人信息处理政策或指引,乃至个人信息处理者个人信息处理合规性的信任风险,基于个人信息处理是否合规的怀疑,信任风险产生了个人信息处理合规审计的需求。 个人信息处理合规审计如何优化预测、决策?个人信息处理合规审计优化相关者的预测、决策的主要方面依赖于审计报告的制作、披露与应用,而次要方面包括但不限于审计过程中的沟通等。个人信息处理合规审计报告应当包括但不限于以下要素:标题、接收者、审计意见、形成审计意见的基础、个人信息处理者的责任、个人信息处理合规审计机构及人员的责任、其他需要报告的事项、签名盖章及报告日期。对预测、决策尤为重要的当属个人信息处理合规审计报告中审计意见与形成审计意见的基础:当审计意见呈现消极表述时,审计报告接收者依据形成审计意见的基础找寻消极审计意见的原因,从而判断、分析个人信息处理合规制度体系所存在的问题,以及制定解决个人信息处理合规问题的方案。 一旦个人信息处理违反法律法规、国家标准、行业准则等,个人信息处理者则应承担相应的法律法规责任。在个人信息处理者内部,一旦个人信息处理主要负责人或分管负责人未能履行相应的合规控制义务,而产生个人信息处理不合规风险或损失,那么个人信息处理主要负责人或分管负责人应当承担相应的法律法规责任。个人信息处理合规审计报告能够作为责任追究的依据,从而提高履行个人信息保护职责的部门,以及个人信息处理者的责任追究准确性、时效性、公正性,从而避免追责的主观恣意。