个人信息保护合规审计的理论逻辑与制度构建*

王 冲

(清华大学 法学院，北京 100084)

1 个人信息保护合规审计的内涵

个人信息保护合规审计是指基于审计材料对个人信息处理者遵守法律、行政法规等规范的情况进行评估审查的活动。

1.1 风险内涵

《个人信息保护法》中“风险”一词出现了多次，但并未明确其概念属于个人信息保护风险还是合规风险。个人信息保护风险是指个人信息处理可能具有的属性(如处理范围、处理性质、处理类型等)对数据主体造成损害的可能性。这一风险概念在美国国家标准与技术研究院(NIST)2017年提出的隐私管理框架(Privacy Engineering and Risk Management，NIST 8062)中也有所体现，该框架规定其目标是以“能够设置适当的控制措施以减轻潜在问题”，即关注数据处理对数据主体造成的损害[1]。相比于个人信息保护风险，合规风险则指个人信息处理者遵守个人信息保护相关的法律法规可能存在的风险。

本文认为，在应用风险评估方式开展个人信息保护审计活动时，既需要考虑合规风险，也需要考虑个人信息保护风险。例如在确定审计要求事项时，应采用以合规风险为内容的风险评估方式，即判断风险因素是否遵守《个人信息保护法》或其他法律法规、标准规范等对于个人信息保护相关的规定；在确定审计重点时，应采用以个人信息保护风险为内容的风险评估方式，即综合考虑业务场景、信息类型、处理环节、信息主体等审计对象在个人信息处理活动中存在的风险以确定审计重点。此外，《个人信息保护法》中审计的对象虽然指向“个人信息处理活动”，但并不是指仅对收集、使用、加工、传输、提供、公开、删除等处理活动的审计，从风险评估和审计目的出发，审计对象还应包括个人信息处理者的数据合规管理制度、安全技术措施、员工培训等构成个人信息保护的技术和管理制度及其有效性。

1.2 与个人信息保护影响评估的区分

明确个人信息保护合规审计的内涵，还应与个人信息保护影响评估进行区分。从适用情形来看，个人信息保护合规审计是个人信息处理者常态化的义务要求，要求定期开展。法定个人信息影响评估是针对特定情形开展的，如处理敏感信息、自动化决策、境外信息提供等。个人信息处理者自行定期开展的个人信息保护影响评估不具备法定情形，是个人信息处理者出于合规、审慎经营的考虑开展的尽责性风险评估。从侧重目的来看，两者的定义表明了各自侧重点与实施目的的不同。个人信息保护合规审计重点审查个人信息处理者个人信息保护合规义务的履行及相应技术保护、安全措施的落实情况。而个人信息保护影响评估旨在对特定个人信息处理活动进行风险识别与监控，以确保该处理活动不会侵害个人权益或对其影响在可控范围内。从审计/评估的内容来看，在进行个人信息保护审计时，应对个人信息保护影响评估的情况进行审计，以确保影响评估的合规性和有效性；但在进行个人信息保护影响评估时，需要评估的法定内容一般不涉及对审计活动的评估。

1.3 与算法审计的关系

算法决策的透明性、公平性构成了个人信息保护审计制度与算法审计制度的交叉点。数据与算法是数字经济时代的重要生产要素。随着算法不透明、算法歧视、算法共谋等问题日益严峻，针对算法的审计制度也相伴而生。2022年6月22日，中共中央全面深化改革委员会第26次会议通过的《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》强调建立“算法审查制度”。算法审计包括对“前端”输入数据的审计和“末端”算法影响评估[2]。无论是在制度内涵、还是在审计重点、审计方法等方面，两种审计制度均存在截然的区分，但是均强调对算法决策透明性、公平性的审计。在算法审计中，算法决策的透明性、公平性是审计的核心指标[3]；在个人信息保护合规审计中，对算法决策要求主要体现在《个人信息保护法》第二十四条对自动化决策的规定中。

2 个人信息保护合规审计的规范基础

2.1 法律层面依据

《个人信息保护法》第五十四条与第六十四条分别规定了个人信息处理者定期进行个人信息合规审计(简称“自主审计”)与特定情形下根据监管部门要求委托第三方专业机构进行个人信息合规审计(简称“强制审计”)的内容。就自主审计而言，自主审计是个人信息处理者履行保护个人信息权益的常态化义务，应依据法律、行政法规进行审计。但是自主审计采用内部审计还是外部审计、定期审计频次如何等内容，《个人信息保护法》未明确规定，《个人信息保护合规审计管理办法(征求意见稿)》(以下简称“《审计办法》”)明确了个人信息处理者“可根据实际情况”自行决定，实际情况可能涉及企业内容审计能力、待审计业务的特点、风险大小等因素。就强制审计而言，个人信息处理者经监管机构监管，存在较大风险或者发生个人信息安全事件的，应委托专业机构进行审计。《审计办法》则对强制审计的配合义务、时间要求、报送要求等进行了具体规定。

2.2 标准层面依据

标准层面，《信息安全技术 个人信息安全规范》(GB/T 35273—2020)、金融行业《个人金融信息保护技术规范》(JR/T 0171—2020)等均要求对个人信息进行审计，不过两标准中审计的内涵与《个人信息保护法》的规定存在差异。GB/T 35273—2020要求的审计重点为“个人信息保护政策、相关规程和安全措施的有效性”，即审计依据为个人信息处理者内部的管理规范；JR/T 0171—2020对个人金融信息的审计突出安全性，规定将个人金融信息保护纳入金融机构内部安全审计工作，定期开展安全审计。另外，中国科学技术法学会、中国法学交流基金会2021年4月28日发布了《个人信息处理法律合规性评估指引》团体标准，其中个人信息处理法律合规性评估与个人信息保护合规审计的内涵具有一致性。该标准围绕数据处理全流程给出了细致的审计方案，但由于标准在《个人信息保护法》发布前就已经生效，其中一些术语、审计依据、合规要求等与现行法律规定存在出入，可借鉴性有限。

2.3 立法趋势：差异化审计义务

目前，一些立法文件中对不同的个人信息处理者规定了不同的审计义务。《网络数据安全管理条例(征求意见稿)》根据日活用户数量区分了互联网平台运营者和大型互联网平台运营者，其中第五十三条对后者进行审计的方式、内容、频率以及审计结果披露义务作出了明确的要求。《互联网平台落实主体责任指南(征求意见稿)》对超大型平台经营者的审计报告出具方式、内容进行了细化，不过审计范围限于“对本指南所规定的主体责任遵守情况”，而非个人信息合规审计。类似地，《审计办法》也规定对于处理超过100万人个人信息的个人信息处理者，应至少每年开展一次个人信息保护合规审计；其他个人信息处理者则至少每两年开展一次。差异化审计义务符合比例原则的要求，即提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者负有守门人义务[4]，三个征求意见稿对大型互联网平台运营者或超大型平台经营者审计制度的细化要求正是对《个人信息保护法》第58条第1项和第4项的落实。

法律虽然明确规定了个人信息处理者负有个人信息合规审计的义务，但对于个人信息合规审计的具体流程与内容付之阙如。因此，有必要对当前国内外个人信息合规审计实践进行研究，为个人信息处理者履行该义务提供更完整的指引。

3 个人信息保护合规审计的治理效能

3.1 协同企业自律与政府规制

基于命令和控制的传统监管模式更专注于制定具体的规定并由监管机构事后介入，但随着监管领域的不断扩张，无论是监管规定的颗粒度、还是监管资源供给等方面均存在一定缺陷。在个人信息保护领域，处理活动的规模化、复杂化更加凸显了这些监管难题。在此背景下，一些领域的监管模式开始逐渐转向元监管模式(Meta Regulation)。元监管是指基于原则的监管，监管机关不再制定复杂的管理规定，而是制定监管目标，个人信息处理者实施监管行为(制定自身管理规定和实施相应保障措施)服务于监管目标的实现，监管机关对此进行审查[5]。这种监管模式将监管介入时点前置，为监管机构提供了更大的自由裁量权，同时也强化了个人信息处理者在监管活动中的主体作用，更加强调监管者与被监管者之间的协作性。

与算法审计制度类似，个人信息保护合规审计兼容自主审计和强制审计两种模式。其中，自主审计正是作为一种能够化解个人信息处理大规模、复杂化特征与传统监管模式滞后之间矛盾的一种制度。从实践角度来看，企业作为个人信息处理活动的实施者，能够自主构建个性化、针对性的自我规制手段，在自主审计时可以获取更为全面的决策信息、采用更适合其自身的审计手段，同时将监管介入时点间接前置，降低政府监管成本[6]。但这种审计方式并非是一劳永逸的，缺乏外部强制约束可能使企业难以落实个人信息保护合规审计活动，也可能使自主审计异化成为逃避监管、避免承担法律责任的工具[7]。因此，自主审计并不排除或限制监管机关的监管范围，监管机关仍可依职权通过强制审计或其他方式对个人信息处理者进行监管。综上，个人信息保护审计是协调企业自律与政府规制的重要工具，能够在二者并举的条件下实现个人信息保护的目标。

3.2 平衡个人与个人信息处理者之间非对称的权利结构

平衡个人信息的保护和数据利用是数字经济时代的共识[8]。一方面，个人对其个人信息保护的能力有限，个人信息保护合规审计制度可以在规范、限制处理者的维度增强对个人信息的保护。以告知同意为例，基于该制度在实践中的模糊性和存在的质疑，《个人信息处理中告知和同意的实施指南》从告知同意的原则、适用情形、实施方式等方面规定了清晰的操作指引，并在附录中列出13种常见场景的告知同意实施建议。同时，该标准也将作为个人信息保护合规审计的重要依据，这意味着告知同意将不仅仅作为个人信息权利而出现，在审计制度下还能够合理限制个人信息处理者处理个人信息的自由。另一方面，个人信息保护合规审计制度又能够在避免个人信息权益过度扩张、促进数据利用维度稳定企业对个人信息处理合规性的行为预期[9]。“信息不是为了保护而存于世间的，相反恰恰是为了利用。”[10]个人信息保护合规工作既是法律规定所要求，同时也能够进一步明确个人信息权益保护与企业利用数据自由的行为界限，从而促进数据更好地利用。

4 个人信息保护合规审计的实践现状

4.1 合规审计清单须提高科学性

实践中，合规审计清单是开展个人信息保护合规审计的重要工作文件，其形式上的科学性与内容上的合理性是保障审计有效的重要因素之一。目前，从公开渠道搜索到针对《个人信息保护法》的合规审计清单较少，且形式上一般表现为“审计项+选项(是/否)”，缺乏科学性。以下从一般性的合规审计清单和针对特殊处理活动的专项合规审计清单两个方面对域外一些合规审计清单的特点进行分析。

4.1.1 一般性的合规审计清单

一般性的合规审计清单的基本内容包括审计项(审计问题)、审计项的法律依据、审计结果分类/分级等。本文考察了域外多种个人信息合规审计清单(如表1所示)，以期为我国个人信息处理者或相关专业机构构建审计内容体系提供参考框架。

表1 合规审计清单特点总结

4.1.2 专项合规审计清单

个人信息类型、数据处理环节、应用场景等不同可能导致合规风险呈现差异化特征，因此在进行合规审计时需要对不同的审计对象确定合适的审计内容、审计频率，避免不必要的资源浪费。例如，在进行强制审计时，可以优先或突出对存在较大风险或与安全事件相关的处理活动的审计，以及时采取风控措施避免风险扩大。基于AI处理数据的缺乏可解释性、存在歧视等问题，2021年1月，西班牙数据保护局(AEPD)发布了《涉及AI的个人数据处理活动审计要求》(以下称“《要求》”)[15]，该要求提出对于涉及AI的个人数据处理活动，审计方法应考虑AI模型的特性，形成具有系统性、独立性、客观性、符合法律规定的审计过程，以进一步实现安全可控的评估，提高AI模型的透明度和公平性。《要求》中提出一系列针对AI相关的个人数据处理活动(如自动化决策、生成用户画像等)的控制措施/审计办法，并对这些措施如何实现GDPR规定进行分析。同时，《要求》与我国算法审计制度存在较大的耦合，也间接体现了个人信息保护审计制度与算法审计制度存在的交叉关系。

4.2 审计活动指引有待落地实施

个人信息合规审计清单可视为审计活动的核心，但围绕这一核心如何确定合规审计的审计项、如何进行审计工作、如何分析审计材料并应用审计结论等问题的解决方案是高效开展审计活动、实现审计目标的必然要求。

在域外方面，英国、法国等国家已根据立法进程和实践需要发布了合规审计活动指引。以英国为例，为遵守《数据保护法案》(Data Protection Act 1998，DPA 1998)，ICO在2001年就发布了《数据保护审计手册》(简称《手册》)[16]。该《手册》将审计分为两个阶段，第一阶段为充分性审计，即对个人信息保护政策、指南、程序等遵守《数据保护法》的要求进行审计；第二阶段为合规审计，即个人信息处理者是否按照制定的个人信息保护政策、指南、程序等进行运营。2015年，ICO发布了《ICO数据保护审计指南》(Auditing data protection：a guide to ICO data protection audits)，后为适应《数据保护法案》(Data Protection Act 2018，DPA 2018)的修订，ICO于2021年在此前审计指南的基础上又发布了新的《ICO审计指南》(A guide to ICO audit)。这两部审计指南均强调其主要适用于协商一致的审计活动(Consensual audits)。DPA 2018第129条规定了协商一致的审计方式，即ICO与个人信息处理者协商并取得同意后对其进行审计，将审计视为一种参与式、建设性的监管方法。ICO发布的审计指南已在实践中充分应用，截至2023年8月29日，ICO已经公开披露了35份数据保护审计报告[17]。这种审计模式为政府监管与企业合规开辟了新的路径，能够在缓和监管对立关系的基础上促进企业的个人信息保护工作。

2021年12月，中国信通院个人信息保护合规审计推进小组发布了《关于推进个人信息保护合规审计的若干建议》(简称“《建议》”)，这是我国目前较为完善的审计工作指引文件。《建议》梳理了个人信息处理者义务合规审计、个人权利实现方式合规审计、个人信息处理活动合规审计、个人信息跨境提供合规审计四个审计领域、六十余项风险点，同时从审计计划、准备、实施、报告以及后续追踪等多个阶段为企业进行合规审计提供指导。客观上，由于《建议》不具有法律效力，也不构成标准，在实践应用时缺乏影响力。

4.3 多主体处理情形下缺乏审计实践

数据互联互通是充分发挥数据价值，促进数据经济的基础。数据共享、委托处理、数据交易等数据流通利用情形下往往涉及多个个人信息处理者，对此类处理情形如何分配风险、构建审计制度有待进一步探索。有学者认为应构建协议风控体系，在明确不同处理者之间权限的基础上分配合规风险，进而确定各自审计内容[9]。其法理基础在于《个人信息保护法》规定在共同处理、委托处理等情形下，个人信息处理者之间应当约定各自的权利和义务，将数据处理风险通过合同约定进行分配，进而使不同处理者能够进行风险评估并考虑是否进行审计。

4.4 特殊主体的个人信息合规审计亟待规范

《个人信息保护法》并未限制义务主体的范围，第三章第三节还特别规定了国家机关处理个人信息条款。相比于企业，政府机构在基于行政权力获取公民个人信息往往具有强制性，因此对其个人信息保护能力应有更高的要求。政府机构数据泄露事件在全球范围内已是屡见不鲜，我国近些年也存在政府机构数据泄露事件。浙江某县级市政府部门委托开发运维信息管理系统造成数据泄露，公安机关根据《数据安全法》第四十五条的规定，对委托开发的公司及项目主管人员、直接责任人员分别作出罚款100万元、8万元、6万元的行政处罚。在此案件中，当地政府部门委托第三方提供技术服务，应对第三方的数据保护能力进行审查，在委托过程中也应做好监督工作。换言之，案涉政府部门亦应采用审计制度规范、加强自身对个人信息的保护。

5 个人信息保护合规审计的制度构建

5.1 审计模式

个人信息保护合规审计主体与审计的启动方式存在联系，如表2所示。在自主审计下，个人信息处理者可以自行开展内部审计，也可以委托第三方开展外部审计。在强制审计下，监管机构可要求个人信息处理者委托第三方专业机构开展外部审计。

表2 审计启动方式与审计主体的关系

5.1.1 内部审计

个人信息保护内部合规审计是个人信息处理者定期、主动开展的、审查与个人信息保护相关的管理措施、技术措施是否符合法律、行政法规的活动。当前个人信息处理活动复杂性特征愈加突出，外部审计可能难以深入了解内部信息(尤其在涉及商业秘密时)且需要较大沟通成本，难以全面评估个人信息处理活动中存在的风险。内部审计团队可由个人信息处理各流程的相关人员组成，也可以依审计需求仅由特定处理活动相关人员组成；审计时点可以在功能设计部署前，将个人信息保护审计要求嵌入产品与服务设计，也可针对既有的处理活动进行审计，具有较高的灵活性。目前，多家机构、企业致力于研发个人信息保护内部审计的制度框架和技术工具。例如，中国信通院主导开发并向企业提供的数据资产分类分级、API接口安全审计等技术工具，个人信息处理者可申请使用这些工具辅助审计活动、提高个人信息保护能力。用九智汇平台基于法条要旨梳理难、内控管理缺抓手、处理活动摸不清、合规自证清白难等合规痛点，提供了一系列个人信息保护工具，如数据合规评估、数据合规知识库、合规义务清单、应急响应管理等隐私合规套件，可实现设计隐私、数据可视化、在线管理隐私政策、智能推送法律法规清单等多种功能。整体而言，个人信息保护内部审计已存在一些可投入商用的审计辅助工具，能够满足较为个性化的审计需求。但当前仍缺乏共识性的内部审计标准，审计工作的实施情况与个人信息处理者自身的个人信息保护能力、保护意愿密切联系，审计活动的实质效果可能并不尽如人意甚至可能沦为应付监管的形式工具。

5.1.2 外部审计

与内部审计相比，外部审计既可以由个人信息处理者主动委托第三方专业机构进行，也可能因监管机构要求处理者委托第三方机构进行。对于第一种主动委托审计的情形，个人信息处理者可以基于自身需求委托第三方专业机构进行审计，并针对审计发现采取具有针对性的整改措施。对于第二种被动委托审计的情形(即强制审计)，审计重点与监管机构发现较大风险的个人信息处理活动或者个人信息安全事件存在密切联系，具有事后、临时、个案审计的特点，此时第三方专业机构具有辅助监管机关审计的作用。

为规范第三方专业机构的工作，《审计办法》提出网信部门将会同公安机关等国务院有关部门建立个人信息保护合规审计专业机构推荐目录，目录内容可能根据年度评估评价结果动态调整。就目前实践而言，推荐目录的评估对象应至少包括依法设立的律师事务所、认证机构、审计机构等机构。另外，推荐目录虽然并不具有强制性，但作为监管机关发布的官方文件，涉及的专业机构在个人信息保护审计市场中的认可度和竞争性将进一步增强。为了避免第三方专业机构畸形发展，防止权力寻租，需要进一步完善评估机制和监管制度。在评估机制方面，《审计办法》目前尚未明确评估的原则或具体要求。结合工信部、商务部等部门此前在企业、科技成果等领域的推荐目录评估工作，推荐目录的产生一般需要研究制定评价指标，通过试点或主动申报开展评审、监测和确认等工作，这将会新增额外的制度成本，因此推行推荐目录需要事先探索便捷高效的评估机制。在监管方面，《审计办法》目前已经就禁止专业机构转包委托、个人信息保护职责、数据安全义务、不得恶意干扰个人信息处理者的正常经营活动等作出了明确要求。

5.2 审计原则

个人信息保护审计聚焦于个人信息处理活动全生命周期，既遵循审计活动的一般性原则，也需要满足一些特定原则。首先，个人信息保护合规审计活动应具有独立性，既包括审计人员、审计机构的身份独立性，也包括审计工作开展的独立性。独立性是审计本身固有、基本的原则，是保障审计结论可靠性的基础[18]。其次，个人信息保护合规审计应具有保密性，严格遵循商业秘密的规定。审计工作中可能接触到用户个人信息、算法模型、训练数据集等多种重要信息，审计人员应与被审计的个人信息处理者签署保密协议，履行相关保密义务。最后，个人信息保护合规审计还应兼顾审计充分与审计效率。一方面，审计人员应充分获取审计证据、充分分析并得出审计结论；另一方面，为避免审计发现滞后无效，审计工作周期不宜过长，同时也应避免干扰个人信息处理者的正常经营活动。

此外，个人信息处理具有场景化、动态化的特质，个人信息保护合规审计还应遵循一些特殊的审计原则。一方面，审计活动应遵循定期审计、按需审计的动态审计原则；另一方面，个人信息保护合规审计还应遵循分类分级原则。审计工作分类分级的合理性与可操作性主要来源于个人信息处理的场景化、个人信息处理环节的区分、个人信息分类分级等内容。

5.3 审计依据

审计依据与个人信息保护合规审计的法律基础或合法性依据不同，主要指用于确定审计内容、判断合规现状的法律法规、技术标准等规范。虽然《个人信息保护法》第五十四条规定的审计依据限于“法律、行政法规”，但基于个人信息处理活动的复杂性、动态性、场景化等特征，依据法律、行政法规可能难以对合规审计工作提供较为具体的指引，因此在实践中有必要将技术标准、监管部门发布的规范性文件等作为合规审计的间接依据。《审计办法》的附件“个人信息保护合规审计参考要点”即体现了这一扩张性需求，明确将“国家标准的强制性要求”纳入审计要点。

但是，《审计办法》附件中的参考要点仍具有一定的抽象性，个人信息处理者在具体适用时仍需要根据所在领域相关规范进一步细化审计要点。以近些年重点规制的汽车行业为例，除了一般性的法律法规，其审计依据还应包括《汽车数据安全管理若干规定(试行)》《汽车采集数据处理安全指南》《信息安全技术 汽车数据处理安全要求》《网信汽车检查清单》《工业和信息化部关于加强智能网联汽车生产企业及产品准入管理的意见》等专门规定。

5.4 审计框架

科学合理的审计框架能够提高审计效率，降低企业合规成本，同时避免使合规陷入形式主义的困局。综合考察分析，本文认为构建审计框架一般可分为四个步骤。

5.4.1 确定审计对象与审计重点

不同行业的个人信息处理者、同一个人信息处理者的不同业务模块下，个人信息处理活动存在较大差异，因此需要首先明确审计对象与审计重点。确定审计重点时应以风险评估、风险控制为导向。在处理活动方面，敏感个人信息的处理、个人信息共享、自动化决策、告知同意等从不同维度体现了风险内涵，因此在进行风险评估时需要考虑信息类型、处理环节、处理方式、用户权利实现等多种风险来源，同时结合业务实际确定审计重点。在业务领域方面，互联网公司、金融、汽车、医疗健康等数据处理密集型行业之间的审计重点存在差异，但在各自领域内的审计重点又存在共性，因此在实践中应构建各行业领域内通用型审计问题清单、注重个人信息保护合规审计示范机构的作用，积极探索适合不同行业实际情况的审计要求，提高个人信息保护合规审计的效能和精准度。在企业个人信息保护制度构建与落实方面，个人信息保护合规审计内容的确定应兼顾管理控制和技术措施两个维度，前者如个人信息处理者的数据处理规范、员工培训情况、数据访问控制要求等，后者则面向法律法规、标准、企业内部管理规范的具体落实情况。

个人信息处理者内部员工的个人信息处理情况是否应纳入审计范围存在争议。从形式角度出发，个人信息保护合规审计是对个人信息处理活动遵守法律法规等情况的审查，理应包含对内部员工个人信息处理情况的审计。从实质角度分析，个人信息保护合规审计的最终目的在于保护个人信息，发现并降低风险至可控范围内。企业通常会在员工入职以及工作过程中收集大量个人信息，双方签订的保密协议一般也为格式条款且实质倾向于对企业利益的维护。实践方面，美国伊利诺伊州《生物信息隐私法》(Biometric Information Privacy Act，BIPA)近些年司法案例中超过一半的案例都与企业非法收集、使用员工生物识别信息相关。因此，在个人信息保护合规审计中纳入对内部员工个人信息保护的审计具有必要性。

5.4.2 建立体系化的审计清单

个人信息处理者或专业机构应根据审计重点、审计依据建立体系化的审计清单。审计清单的设计应科学合理，预审问卷、审计项的分类、审计问题的设问方式、审计项依据的具体规定内容及法律/标准效力层级、审计项涉及的审计人员及被审计方工作人员、审计结果分类分级、整改措施建议、备注信息等均为建立审计清单时应考量的因素。以法律/标准效力层级为例，不同效力层级的规范在内容上呈现出从一般到具体、在效力上呈现出从强制性到任意性的特点，进而对于审计项的设计、确定合规风险的存在与风险的大小、采取整改措施的优先级等均具有重要指引作用。

5.4.3 确定审计方式并开展审计工作

根据审计清单明确审计项、被审计人员等内容后，需要进一步确定合适的审计方式。常见的审计方式有访谈、文件检查、现场检查、日志分析、穿行测试等。

首先，审计方式的实施效果受审计人员与个人信息处理者内部成员之间配合情况的影响。对于审计人员，应遵从独立性、保密性等审计原则。审计原则需要通过细化的审计要求具体落实到审计活动中，如《手册》建议审计人员在提问时应避免封闭式提问、假设性问题、诱导性问题，并要求审计结果具有可重复性。同时，与主要以个人信息处理活动风险确定的审计对象、审计重点不同，在实际审计过程中审计人员面向的是不同的业务部门，这些业务部门的划分并不与处理活动一一对应，因此在进行审计时需要厘清不同的审计项应采取的审计方法、面向的业务部门，以兼顾审计充分与审计效率的原则。对于个人信息处理者内部成员，可通过内部培训、会议宣传等方式提高员工对审计活动的认可度，促进审计工作的开展，提高审计结果的可靠性。

其次，应关注自动化审计工具在审计工作中的使用，如中国信通院提供的数据资产分类分级工具、API接口安全审计工具、用九智汇提供的隐私合规套件等。自动化审计工具的使用不仅仅是为了提高审计效率，同时还能发现人工审计难以发现的问题。例如，某银行内审部门通过对平台用户行为的合理性进行自动化分析，发现某几家信用卡管理平台通过非法获取的客户身份验证信息登录客户手机银行并抓取其个人金融信息[19]。

5.5 审计结论分析与应用

在采用合理的审计方式对审计清单中的审计项一一审计之后，需要对审计结果进行分析并提出整改措施。整改措施可能涉及个人信息保护的各个方面，如优化个人信息处理的操作、访问、审批等内部流程，完善内部管理制度，修订合同协议等各个方面。

ICO要求被审计主体将审计结果对外披露并接受社会监督，以发挥警示与教育作用[20]。不过，我国目前尚未规定个人信息保护合规审计报告披露相关的要求，在《网络数据安全管理条例(征求意见稿)》中规定了大型互联网平台运营者对审计结果的披露义务。

6 个人信息保护合规审计的法律效力

在明确如何进行个人信息保护合规审计的基础上，还需要回应自主审计的效力、实施审计活动是否可以免责等问题。这些问题与个人信息保护合规审计法律效力相关，亦是促进个人信息处理者开展审计工作、提升个人信息保护能力的重点因素。

6.1 强制审计情形下重复审计的必要性

在强制审计的情形下，个人信息处理者若在监管机构要求前已经内部自主审计或委托第三方专业机构审计是否可以免除强制审计的义务？本文认为需要根据审计主体、监管机构所发现的风险或安全事件的始点等因素综合判断是否需要再次审计。若在风险或安全事件发生后个人信息处理者已经委托第三方机构进行合规审计，则没有必要重复审计，根据审计结果及时完成整改措施即可，避免审计资源浪费和整改延迟。若审计活动是在风险或安全事件发生前或企业内部自主审计，则需要再次审计，以确保审计结论的真实可靠性。若网信办等监管部门后续发布了个人信息保护合规审计专业机构推荐目录，则委托的专业机构是否在推荐目录内亦是企业是否需要再次审计的考虑因素。

6.2 个人信息保护合规审计的免责效力

个人信息保护合规审计是完善企业自身个人信息保护的重要工具，同时也是实现监管机构对个人信息保护问责的重要依据。实施个人信息合规审计是否可以免责亦是个人信息处理者重点关注的问题，对激励个人信息处理者合规具有重要意义。在监管政策方面，《法治中国建设规划(2020—2025)》将包容审慎监管作为新型监管方式之一，落地体现为各地监管部门发布的包容免罚、首违不罚等清单。在此背景下，《生成式人工智能服务管理暂行办法》亦将“包容审慎”作为监管原则之一，为包容免罚在该领域的落地实施提供了法律依据。

根据合规免责目的，合规免责可分为救济型免责和预防型免责[21]。救济型免责是指在企业发生违规事件后，监管机构以企业承诺在约定期限内采取符合要求的合规管理措施为条件，减轻或免除企业全部或部分违规责任。2021年发布的《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》可视为救济型免责在我国的立法雏形。该指导意见对于认罪认罚、能够正常生产经营、承诺建立或者完善企业合规制度、适用第三方审计的企业采取不起诉等激励措施。不过由于救济型免责的正当性问题，其适用范围十分有限，发生违规事件后将审计和整改措施作为免责事由可能较为困难[9]。与救济型免责相对应的，是预防型免责，指企业为预防合规风险的发生而事先建立的一套合规管理体系，在出现违规事件后，监管机构根据是否符合合规免责条件，在司法执法活动中适当免除或减轻处罚。我国目前虽然没有明确规定合规免责的法律法规，但是在执法活动、司法实践中通常会也会考虑企业开展合规管理情况。雀巢员工侵犯公民信息案被称为“中国合规无罪抗辩第一案”，本案中法院认为合规文件充分证明雀巢公司已尽到合规管理的义务，具有规避、防范合规风险的意识，并进行了合规培训，本案被告人违反雀巢公司的合规管理规定，应属个人行为，没有认定雀巢公司的单位犯罪((2016)甘0102刑初605号判决书)。综上，个人信息处理者进行个人信息合规审计既是法定义务，也是完善企业个人信息保护、合理规避法律风险的重要工作。

7 总结

作为《个人信息保护法》的重要制度之一，个人信息保护合规审计制度以个人信息保护风险、合规风险为导向，在监管模式转型的背景下，能够推动政府与企业协同监管、平衡个人与个人信息处理者之间非对称的权利结构。《个人信息保护法》规定了“自主审计+强制审计”双层审计模式，并有望在其他法律法规中进一步细化完善。基于对个人信息保护合规审计理论逻辑的梳理与国内外现有合规审计方案的研究，本文从审计制度的构建、审计原则的落实、确保审计活动的有效性等多个角度出发试图构建体系化、科学性的审计框架，其合理性和可用性仍有待实践进一步检验并完善。