个人信息处理者的合规审计义务

钟 晨

一、引言

《个人信息保护法》第54条和第64条从内部和外部两个方面对合规审计义务作出规定，这表明对个人信息处理者的监管已经从过去的事后监管转变到深入算法层面的事中或事前监管，同时这也是我国第一次以法律的形式确定个人信息处理者应当承担合规审计义务。遗憾的是虽然出台了一些关于个人信息保护的标准和法律法规，但学界更多的是关注于个人信息权[1]、算法解释权[2]、数据跨境流动[3]、目的限制原则[4]等问题，对合规审计义务的专题分析几乎没有，对《个人信息保护法》第54条和第64条的解读也是付之阙如。本文尝试填补关于合规审计义务的空白，以《个人信息保护法》第54条和第64条为切入点，从合规审计义务的义务来源、现实困境等多个方面进行分析，初步构建合规审计义务的制度框架。

二、合规审计义务的现实困境

合规审计义务的效力范围从个人信息的收集阶段、个人信息的处理阶段到个人信息的应用阶段，包括了个人信息活动的全过程，可以在多个阶段发挥作用。但在现实的应用中，仍然存在一些问题亟待解决。

(一)概括性描述的合规审计义务执行困难

合规审计义务在具体的实践中，包括中国内审协会、审计署在内的学术组织和政府机构都没有对合规审计作出相应的制度设计，缺少对合规审计的重视使得除了《个人信息保护法》外没有其他规范性文件对合规审计进行支撑，这不仅为执法者、司法者带来理解上的困扰，导致适用上的偏差，而且会让企业在操作性较差或者遵守相关规则需要承担较高成本的情况下，更倾向于选择逃避法律。但是在国外，尤其是西方国家已经对合规审计义务进行了详细的设计。以英国在2021年6月发布的《信息专员(ICO)审计指南》为例，目的是为了对英国2018年发布的《数据保护法》第146条(赋予信息专员强制审计进行调查的权力)作出进一步详细的规定。我国也需要对合规审计义务进行详细的规定，出台相应的解释性文件或国家标准。

(二)制度设计上的缺失难以发挥应有的作用

除上述问题以外，合规审计义务在制度设计上也存在一定的缺陷。由于政府很难准确和及时获得平台组织内的网络企业是否滥用个人信息的相关信息以及平台个人信息处理活动行为的正当性[5]，公权力机构想要了解平台合规审计的相关情况，只能在事后进行强制性介入或委托第三方机构参与，这与设立合规审计义务进行前置性监管的立法目的相悖，需要完善合规审计义务的制度设计，使合规审计义务能够起到事中监管的作用。在完善的方式上应当选择对平台影响较小的方式，不增设过多的义务，算法备案可以很好地解决这个问题。算法备案是行政机关作出的一种存档备查的行为，其目的在于获取平台设计部署的具有潜在危害和风险的算法系统的相关资讯，以固定问责点为今后的行政监管提供信息基础。[6]平台在进行合规审计后将审计的报告通过备案的方式交由监管机构，使合规审计的内容通过算法备案的方式固定下来。通过以上的分析可以发现，合规审计义务在应用层面还面临着不小的困难，需要对其进行更多的理论探讨。

三、合规审计义务的内涵阐释

我国在2021年正式通过了《个人信息保护法》，加上之前发布的《数据安全法》，初步在法律层面上建立起了对个人信息保护、数据跨境流动等问题的规制。那么在此背景下我国法律对平台增加合规审计义务是出于什么目的？想达到怎样的效果？要回答这些问题，必须从合规审计义务的内涵来看待。

从《个人信息保护法》第54条和第64条来看，目前的合规审计从条文上来看，包括内、外两部分：内部审计要求平台定期对其个人信息处理行为进行合规审计，外部审计要求如果平台个人信息处理活动存在重大风险，要接受由监管机构启动的外部强制性合规审计。相应地，合规审计义务的内涵也可以分为两方面，分别是：附随性义务与救济性义务。附随性义务主要是指《个人信息保护法》第54条的规定，该条要求个人信息处理平台在个人信息处理过程中，要定期地履行合规审计，也就是说为个人信息处理平台增设了合规审计的义务。该义务的产生有赖于个人信息处理活动的实施，不进行个人信息处理的网络平台并没有被施加该义务，合规审计义务随着个人信息处理的产生而产生，更多是一种附随性的义务，因此，从该角度来看合规审计义务是一种附随性的义务。救济性义务则是指，《个人信息保护法》第64条所规定的当出现个人信息处理事故或者个人信息处理活动存在重大风险时，个人信息处理者将有可能面临由外部监管机构强制启动的合规审计以保证个人信息处理活动的合法合规，此时个人信息处理者需要履行配合外部强制审计的义务。从当前的条文规定来看，救济性义务针对不同的风险会产生不同的义务，虽然条文中没有明确的告知，但是就实践来看，约谈的严重程度是小于外部强制合规审计的，以“滴滴打车赴美上市案”为例，在国家互联网信息办公室进驻滴滴内部之前，已经多次约谈过滴滴负责人，但是都没有取得理想的效果，使得网信办不得不通过外部的强制介入手段来保证滴滴平台运作的合规性与合法性。

四、合规审计义务的履行机制与制度框架架构

根据前文所述，针对当前法律规定下合规审计义务存在的两方面问题，分别提出相应的对策，力求架构合规审计义务的理论原则与制度衔接。

(一)合规审计义务构建的指导原则

如何确定合规审计义务的期间、范围等程序性细节是一个技术难题，面临着技术和伦理的诘问，这需要监管机构结合技术和法律进行制定，本文试图通过原理性的分析为监管机构制定相关标准提供理论性的引导。

比例原则。对平台的监管与个人信息的保护要处在平衡之中，应明确行政监管的基本理念仍是要发展数字经济促进平台发展，而非打压平台发展。监管机构在制定相关标准时应当充分考虑平台的实际能力、付出的成本与收益等进行综合考虑，如果规定不合理会给平台带来巨大的压力。如最近四部门联合发布的《算法推荐管理规定》中的第24条规定的算法备案制就引发了较大的争议，由于算法备案制没有说明备案的算法所需要达到的标准，很可能使平台陷入过重的压力之中。因此，在《个人信息保护法》实施过程中，既应当正确评估行政规制的功能与作用，处理好外部监管和平台义务的关系，同时也应结合我国实际情况，做出符合实际情况的制度设计，提升外部监管的质量。

公开原则。由于算法本身的技术特征，“算法黑箱”是不可避免的。[7]尽管对算法是否应当公开仍存在争议，但为了解决“算法黑箱”所带来的算法歧视等问题，通过构建算法公开制度来对部分算法进行公开和解释也是必要的。[8]平台在数字时代具有双重身份，相对于公众来说其处在强势的地位，公众与平台并不平等，通过公开平台个人信息处理的过程和结果有利于加强对平台的监管，并维护个人主体的个人信息权。而对合规审计义务来说，通过算法备案将审计的内容进行公开，可以确定平台的问责节点，既能破解“算法黑箱”的难题，也能够帮助认定平台的主观责任，填补当前法律规定下合规审计义务缺少外部介入手段的制度缺陷，因此，有必要探讨将算法备案制度与合规审计义务进行衔接的可能性。

公平信息实践原则。“公平信息实践原则”作为个人信息保护领域的理论基石，对各国的个人信息保护法产生了不同程度的影响。该原则主要内容包括：合理使用与流通，平台可以出于商业目的正当地使用收集的个人信息，但是不得妨碍个人信息的流通，那么进行合规审计时需要重点审查个人信息流动的情况，不得有限制性的算法设计，不得将个人信息用于收集时未告知个人主体的其他用途等；公共利益优先，将个人信息运用于商业时要避免无限度地压榨式使用，当商业活动与公共利益产生冲突时，应当首先考虑公共利益，对合规审计来说可以作为评估的基石标准，公共利益应当放在首位来考虑；风险预防，个人信息处理者要采取合理合法的方式来防范个人信息活动可能出现的影响，要明确个人信息处理活动所要遵守的法律法规，在算法设计时就要审核有无违背法律的设计，从源头上预防风险。

(二)履行机制的现实对策

针对合规审计义务在实践应用层面没有相关规定的问题，在这里通过对时序分布和技术标准的探讨，力图从实务层面建立起能够施行的制度，填补制度构建上的空白。

1.合规审计义务的技术标准

如何判断平台个人信息处理活动是否合规，这是合规审计必须要面对的问题；但这却又是个尚未明确的问题。合规审计首先要考虑如下因素：一是个人信息处理活动本身的技术性，二是技术运用的正当性。

(1)正当性标准。《民法典》虽然对个人信息权的保护作出了规定，但直接将《民法典》作为个人信息保护的标准并不妥当。有学者提出个人信息保护与民法人格权中的隐私权相比具有保护客体的特殊性、义务主体的特殊性、权利性质的特殊性，因此，个人信息保护具有独立于民法的特殊性，是一项不同于隐私权的独立的法律制度。[9]因此，以《个人信息保护法》内容作为算法合规审计标准是恰当的。《个人信息保护法》第55条规定了事前风险评估制度，这在事实上就与第54条的定期合规审计合成了一条合规审计链。虽然事前合规审计在时间上具有提前性，但与事中和事后合规审计所追求的目标具有一致性，故将第55条作为第54条的正当性标准，也具有合理性和可操作性。

(2)制度性标准。即如何判断平台内部的合规审计制度是否建立和健全。这主要包括三个方面：第一，制度的内容要规范化，包括审计原则、审计方法、审计内容、审计程序和审计评价等内容，平台行为都要有相应的内部规定或法律、法规作为依据，合规的标准和要求都要在平台内控制度中以规范性文件形式予以体现。第二，制度的内容要体系化。要完整地涵盖内控的要素内容，包括审计的本质、审计的目标、审计的内容、审计的主体等，都应包含在平台审计制度之中。第三，制度的内容要合法化，平台内控制度内容除了要规范化、体系化外，实质上还必须遵守法律、法规和《中国内部审计准则》等强制性规定，这也是制度性标准中最为重要的方面。

(三)与算法备案制度的衔接

算法备案制度属于近年来学界讨论较多的一种新型制度，在这里尝试论述在合规审计义务中嵌入算法备案制度的必要性，完善现有的合规审计义务。

1.合规审计义务与算法备案的相同之处

第一，针对主体相同。《算法推荐规定》第8条规定算法服务提供者要定期进行审核、评估以保证算法模型的安全性,《个人信息保护法》要求个人信息处理者定期进行合规审计，算法备案的主体是算法服务推荐者而不包括算法设计者、算法研发者，合规审计的主体包括算法设计、使用、研发等多个主体，范围上合规审计的主体要更广泛，但个人信息处理者尤其是巨型网络平台往往也是算法服务的提供者，也就是说二者所针对的主体几乎相同，这在一定程度上为二者制度上的衔接奠定了基础。第二，设立目的相同。并且从设立两种制度的目的来看，都是为了进一步厘清平台责任，因此,从设立的目的上来讲也具有一致性。

2.算法备案制度与合规审计义务的衔接

合规审计义务之所以要衔接算法备案制度是因为单纯的内部义务很难起到监管的作用，如“国家网信办进驻豆瓣开展网络治理”案件，网信办在进驻之前已对豆瓣进行了多次的约谈和处罚，但是仍然没有成效。[10]仅仅依靠平台自己进行内部的合规审计显然已经无法满足数字时代的要求，需要一种手段能刺破平台外部直接穿入至算法的运行，算法备案制度则符合这一要求。当平台履行了定期合规审计的义务之后，将审计的内容通过备案的方式移交监管机构，监管机构既可以在日常的监管过程中对审计内容进行审查，实现在不影响平台运行的情况下对平台算法层面的监管，同时当发生个人信息事故之后，审计的内容还能够作为对平台主观过错的认定依据，完善对平台责任的事中认定机制。将二者进行衔接，补全了合规审计义务外部监管的缺陷，有利于合规审计义务的现实应用，并且算法备案无需平台承担过重的行政成本，对于平台来说也处于可以接受的范围。