个人信息保护合规审计制度建设思考

作 者:

作者简介:
胡耘通,西南政法大学法务会计与财税合规研究中心,教授,博士生导师。

原文出处:
财会月刊

内容提要:

02


期刊代号:V3
分类名称:审计文摘
复印期号:2023 年 12 期

关 键 词:

字号:

      伴随着数字经济的迅猛发展、数字社会的积极建立,数据逐渐成为一种新型生产要素,数据安全也越发重要,而个人信息的数据保护已然成为整个数据安全体系的核心和基础。在持续推进数字中国建设的战略背景之下,《个人信息保护法》首次以法律形式明确了个人信息保护合规审计,具有非常重大的现实意义(陈智敏,2022)。但奇安信行业安全研究中心等单位联合发布的《中国政企机构数据安全风险分析报告》显示,个人信息数据被泄露的案件最多,2022年3~9月,全国约有868.8亿条个人信息数据被泄露,相当于平均每人有62条个人信息数据被以各种方式盗取、泄露,个人信息的数据安全保障情况堪忧。为回应现实的紧迫情势,我国近年来陆续颁布《数据安全法》《个人信息保护法》等专门法律法规,为数据安全以及合规管理工作的依法开展提供了法定依据。与此同时,合规审计也成为一种新型的数据(信息)安全治理手段。《个人信息保护法》第54、64条分别明确了个人信息处理的自主审计及监管要求审计①;《网络数据安全管理条例(征求意见稿)》第53、58条分别明确了年度审计及国家建立数据安全审计制度②。可见,在全面依法治国背景下,数据(信息)安全合规审计制度的建立完善是良法善治的必然要求。未来,个人信息保护合规审计将是一项常态化、持续性的制度工作。2023年8月,《个人信息保护合规审计管理办法(征求意见稿)》(简称《征求意见稿》)具体落实了《个人信息保护法》第54、64条关于个人信息保护合规审计的条款,为合规审计工作制定了具体的执行规则,将填补自《个人信息保护法》规定合规审计机制以来相关下位规范的空白。

      一、《征求意见稿》的积极意义

      《个人信息保护法》自2021年11月施行以来,针对个人信息保护的监管力度不断加大,公民个人的信息保护意识也显著提升,滥用个人信息、侵犯个人信息权益等问题得到较大改善。《征求意见稿》从立法目的、审计定义、审计对象、审计机构、审计启动、审计时限、独立性要求等方面进行了全面的规范,并发布了《合规审计参考要点》,为实际工作提供了操作指南。而加强个人信息保护,除强化法治宣传以厘清个人在信息处理活动中的权利、明确个人信息处理者的义务外,合规审计不失为一件防范和控制个人信息处理风险的“利器”。《征求意见稿》发布的目的就在于通过合规审计“提高个人信息处理活动合规水平,保护个人信息权益”。美国会计学家梅格斯曾言,我们正生活在一个履行受托责任的伟大时期。受托责任不仅是一种普遍的经济关系,更是一种非静止的社会活动关系。基于受托责任关系,个人信息处理者处理个人信息,但源于信息非对称等矛盾,个人为避免或减少由此带来的损害,会对个人信息处理活动产生监督需求,合规审计恰是对个人信息处理活动监督需求的回应方式之一。个人信息保护合规审计通过审查、评价个人信息处理活动与法律法规、国家规定等相关标准的一致程度,揭示个人信息处理者的不合规或者违规情形,并按照相关规定予以披露、问责。由此不仅能提高个人信息处理活动的质量和保障水平,而且有助于减轻个人信息权益上的损害(陈炎,2022)。目前,个人信息保护合规审计仅处于探索阶段,个人信息处理者对合规性、审计流程的理解判断不一。总体而言,合规审计不仅是个人信息处理者实施自我治理、自我监督的必要工具,也是监管部门监督个人信息处理者行为的重要方式。本质上,个人信息保护合规审计被视为对个人信息处理者针对个人信息处理、保护情形的功能性“体检”,对个人信息处理者开展合规审计、建立多层次的个人信息保护体系、提升个人信息保护能力具有显著效果。

      二、扩充合规审计的评价依据

      评价依据是合规审计工作的前提,要想通过合规审计工作得出适当的结论意见,就必须遵循科学、合理的评价依据。《征求意见稿》第3条指出,“本办法所称个人信息保护合规审计,是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动”。该条规定除明确合规审计定义外,还提出了审查和评价的依据——“法律、行政法规”。《个人信息保护法》第51条要求“个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定……”;第54条指出,“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计”。可见《个人信息保护法》仅明确了个人信息处理活动遵守、符合“法律、行政法规”的要求,但《征求意见稿》的审计评价依据是否限于“法律、行政法规”,评价标准的范围是否较窄?值得进一步考量。

      与此近似,《审计法》第3条规定“审计机关依据有关财政收支、财务收支的法律、法规和国家其他有关规定进行审计评价”;《中国注册会计师审计准则第150号——对财务报表形成审计意见和出具审计报告》第11条明确指出“注册会计师应当就财务报表是否在所有重大方面按照适用的财务报告编制基础的规定编制并实现公允反映形成审计意见”,此处的“财务报告编制基础”就是评价依据。“法律、行政法规”是否能够涵盖所有个人信息处理活动的全部标准?换句话说,其他法规或者国家规定是否会对个人信息处理活动进行规定?例如,《儿童个人信息网络保护规定》属于部门规章,当涉及儿童个人信息处理活动时,审计评价是否需要遵循?另外,《信息安全技术个人信息安全规范》(GB/T 35273-2020)、《信息安全技术个人信息安全影响评估指南》(GB/T 39335-2020)等国家标准,是否属于合规审计的评价依据?实际上,随着数据信息保护的纵深发展,医疗、金融、汽车等不同行业的监管部门亦会制定相关准则,合规审计也应当遵从行业准则中设置的关于个人信息保护义务、责任方面的标准规定。按照循序渐进的原理,地方性法规、地方规章及其他国家规定应当成为审计评价依据。因此,建议将《审计法》第3条修改为“本办法所称个人信息保护合规审计,是指对个人信息处理者的个人信息处理活动是否遵守法律、法规和国家其他有关规定的情况进行审查和评价的监督活动”。当然,国家其他规定还应当涵盖行业标准、地方标准等,具体适用于某个行业、某个区域的个人信息保护合规审计工作。

相关文章: