2022年我国数字经济规模为50.2万亿元,占GDP的比重达到41.5%①。数字经济在创造巨大经济价值的同时,也带来了日益严峻的数据安全问题,引发了全社会的广泛关注。为保护个人信息权益,促进个人信息的合法合规使用,我国于2021年8月20日审议通过了《个人信息保护法》,自2021年11月1日起实施。《个人信息保护法》第54条和第64条均明确提出对个人信息处理者②开展个人信息保护合规审计的要求,以评价和监督个人信息处理活动,降低个人信息保护合规风险。本文以《个人信息保护法》实施为背景,对我国个人信息保护合规审计的研究现状进行梳理,分析个人信息保护合规审计的重点内容和程序。同时针对个人信息保护合规审计在实务开展中面临的困境,提出相应的建议。 一、文献回顾 个人信息保护属于跨学科研究问题,学者主要从法学和计算机科学等视角对其展开广泛探讨,但对个人信息保护合规审计的研究还比较少。本文拟从个人信息保护和个人信息保护合规审计两个方面进行文献回顾。 (一)个人信息保护研究 本文在CNKI中国学术期刊网络出版总库(CAJD)中以“个人信息保护”为关键词,对1997~2022年收录于北大核心、CSSCI和CSCD的期刊进行检索,共获得文献资料1574篇。对个人信息保护的研究总体分为三个阶段。 第一个阶段为探索期(1997~2002年)。这一阶段表现出两个趋势。一是不断加强对国外个人隐私保护政策的介绍。例如:贝内特(1997)在对加拿大《魁北克68号法案》和《电子通讯法案》进行介绍的基础上,对加拿大个人隐私保护政策的要点进行了总结;周建(2001)对美国《隐私权法(1974)》中政府机构采集、使用、公开个人记录的规定进行了详细介绍,认为《隐私权法(1974)》更多的是以限制政府公开个人记录的方式来保护个人信息。二是开始对个人信息隐私保护技术进行探索。例如,孔令飞和王义刚(2000)对用于个人信息保护的密钥算法进行探索,形成了一种便于记忆、具有容错性的个人信息保护方案。第二个阶段为发展期(2003~2020年)。随着网上购物带来的消费者个人隐私泄露事件的频繁发生,学者开始关注消费者隐私泄露的法律保护问题。以郑成思(2003)为代表的法学学者基于21世纪初我国信息网络发展趋势及电子商务中面临的隐私保护问题,呼吁对个人信息保护进行立法。此后学者对个人信息保护的立法模式(杨佶,2012;侯富强,2015)、立法路径(姬蕾蕾,2017;李美艳,2018)等问题进行了深入研究。经过多年的立法探索,我国于2020年发布《个人信息保护法(草案)》,并向社会公开征求意见。但在个人信息保护的立法实践上欧美走在前列。美国于2015年发布《消费者隐私权利法案(草案)》,欧盟于2016年颁布《通用数据保护条例》。第三个阶段为繁荣期(2021年至今)。随着2021年《个人信息保护法》在我国正式实施,学者对《个人信息保护法》的解读(彭桂兵和丁奕雯,2021;王利明和丁晓东,2021)及其在实践应用中的具体法律问题(周光权,2021;朱荣荣,2022)展开广泛探讨,这助推我国的个人信息保护研究进入繁荣阶段。 (二)个人信息保护合规审计研究 现有文献较少对个人信息保护合规审计进行专门研究,相关研究大多集中在与个人信息保护相关的数据合规审计领域。在立法层面,目前国内外均对数据合规审计做出相关要求。欧盟于2016年正式颁布《通用数据保护条例》,英国信息专员办公室于2021年发布《数据审计指南》,法国数据保护局于2020年发布《审计程序指南》,均对数据合规审计提出具体要求。我国除2021年正式实施的《个人信息保护法》外,国家网信办于2023年8月发布《个人信息保护合规审计管理办法(征求意见稿)》,以指导个人信息保护合规审计的有效开展。 从审计需求来看,陈智敏(2022)认为推进个人信息保护合规审计不仅是保障个人信息安全的需要,也是维护社会安全稳定和推进数字中国建设的需要。从审计主体来看,传统领域的合规审计主体更多的是政府审计和内部审计(郑石桥等,2019),而与个人信息保护相关的数据合规审计,由于直接涉及社会公众的个人信息权益,除政府审计和内部审计发挥作用外,还需要市场化程度更高的社会审计参与其中,以发挥其第三方独立评价职能(闫夏秋,2023)。从审计内容来看,敬力嘉(2022)认为个人信息保护合规审计不仅要审查个人信息保护合规体系的完整性,也要关注企业是否具备应对违法违规处理个人信息行为的能力,同时不能忽略对员工行为合规性的审查。从审计程序来看,贾丹等(2022)认为个人信息保护合规审计除包括传统审计程序外,还应增加审计跟踪阶段,以形成有效的闭环管理。 (三)研究述评 综上所述,为有效保障个人信息权益,学者从多学科视角对个人信息保护进行了有益的探索,推动我国《个人信息保护法》实现立法,促进我国个人信息保护进入新的阶段。但鲜有文献对个人信息保护合规审计进行系统研究,这与《个人信息保护法》对个人信息保护合规审计的要求存在较大差距。因此,本文拟结合《个人信息保护法》的具体规定系统分析个人信息保护合规审计的重点内容,在参考合规审计一般要求和个人信息保护特殊性的基础上分析个人信息保护合规审计的程序,并在深入分析个人信息保护合规审计困境的基础上提出应对策略。 二、个人信息保护合规审计的内容 (一)个人信息保护合规审计的概念界定 2022年8月国务院国资委发布《中央企业合规管理办法》,对“合规”提出三个层面的要求:一是在企业规章层面,要求企业经营管理行为及员工履职行为要符合企业章程和规章制度的要求;二是在行业监管层面,要求企业经营管理行为及员工履职行为要符合法律法规、监管规定和行业准则的要求;三是在国际公约层面,要求企业经营管理行为及员工履职行为要符合国际条约和国际规则的要求。个人信息保护的合规管理同样要遵循上述三个层面的合规要求。