钟梓洛

引言

2021年10月23日新通过的《中华人民共和国审计法》第16条规定，“审计机关和审计人员对在执行职务中知悉的国家秘密、工作秘密、商业秘密、个人隐私和个人信息，应当予以保密，不得泄露或者向他人非法提供。”这对于促进审计机关依法审计，规范审计监督行为具有重大意义。由于信息化的飞速发展，审计机关获知和掌握的个人信息越来越多，尤其在审计数据综合利用的大环境下，个人信息泄露的风险将大幅上升。研究信息化环境下审计活动中个人信息保护的现状，探索防范审计风险的有效途径，是审计机关不可回避的课题。

一、建立个人信息保护审计制度的必要性

新修订的《审计法》规定了审计机构和审计人员负有保守个人信息的法定义务，其原由不仅是为了与《个人信息保护法》、《民法典》等法律规范相衔接，也是审计人员在审计活动中防范法律风险的内在要求。

（一）与《个人信息保护法》等法律相衔接的制度要求

当前针对公民个人信息的盗取、泄露等不法行为越来越普遍，并日益突显出纵深性和普遍性等特征。我国正在逐步完善关于个人信息保护的法律法规。《个人信息保护法》于2021年11月1日生效，其中规定国家机关在法定情形下处理个人信息，要按照法律、行政法规规定的权限、程序进行，不能超过法定职责的范围和限度。

2021年新修订的审计法明确了审计机构和审计人员在履行职责时所掌握的国家秘密、个人信息等应当严格保密，不得泄露或向他人非法提供。既增设了审计机关这一新的义务主体，又要求审计机关和审计人员对个人信息保护提高认识和加强保护，是对《个人信息保护法》和《民法典》的立法回应，有利于维护法律秩序的统一性。

（二）审计人员防范法律风险的现实需要

目前，在刑事法律领域，因收集、利用个人信息资料而可能涉嫌犯罪的，主要涉及刑法第二百五十三条中的侵犯公民个人信息罪和第二百八十六条中的拒不履行信息网络安全管理义务罪。这两条对泄露个人信息达到的数量进行了量化，并通过司法解释加强了构成犯罪的条件。在审计活动中，审计机关或审计人员在履职过程中泄露公民个人信息，情节严重的，可能会触犯侵犯公民个人信息罪。

已经出台的《中华人民共和国民法典》从总则编层面上规范了个人信息的合法使用，要求尊重和保护个人信息是最基本的道德原则。另外，民法典还在人格权编之下单设一章对个人隐私和个人信息保护进行了特别规定。在信息化社会，国家审计机关依据法律规定取得被审计单位含有个人信息的数据后，采取保护个人信息的措施，不仅是审计机关依法履行法定义务，保护被审计单位和人员相关权益的体现，也是审计人员自我防范，规避法律风险的现实需要。

二、审计领域中对个人信息保护的现状

（一）规范体系尚未形成

我国在审计过程中获取的个人信息以电子数据的形式存在，因此国家审计对个人信息保护的规范也主要包括在对电子数据管理的相关制度中，其内容大致包含如下。

1.《审计署关于印发审计项目电子数据保密管理办法（试行）的通知》

该办法的适用对象为审计署机关及其派出机构开展审计、专项审计调查、核查社会审计机构相关审计报告等项目。该办法中规定，审计项目电子数据的保密实行责任制。“在审计项目实施过程中，实行审计组组长负责制，审计组组长可以指定专人具体负责；在审计项目结束后，实行审计项目对应管理部门的部门负责人负责制，同时业务部门负责人可以指定专人具体负责管理。”

2.《中华人民共和国审计法实施条例》。该条例第55条规定:“审计人员滥用职权、徇私舞弊、玩忽职守，或者泄露所知悉的国家秘密、商业秘密的，依法给予处分；构成犯罪的，依法追究刑事责任。”不难看出执法人员在执法过程中对国家、商业秘密具有保密义务和责任，未明确审计机关及审计工作中取得的个人信息进行保密的义务。

3.《中华人民共和国国家审计准则》。该准则对执法人员执法过程中的行为规范进行了详细的说明，在执行审计业务过程中的职责和执业标准。该准则第15条规定；“审计人员应当恪守严格依法、正直坦诚、客观公正、勤勉尽责、保守秘密的基本审计职业道德。”

4.地方《审计业务电子数据管理办法》。通过检索可以发现，不少地级市建立了适用于本地区的《审计业务电子数据管理办法》。例如，深圳市政府根据《中华人民共和国审计法》及其实施条例、及《广东省关于完善审计制度若干重大问题的实施意见》等有关规定，制定了《深圳市审计局审计业务电子数据管理办法》。

（二）具体操作性规范不明确

最新修订的《审计法》中只是明确了审计机关和审计人员负有保守在执行职务的过程中获取的个人信息的法定义务，在涉及个人信息保护的个别地方政府规章中也只是对个人信息保护作出了原则性的要求，缺乏明确具体的操作规范。

以《特派办审计数据综合利用指南》为例，“在该文件中强调了对审计项目所获取的所有电子数据要安全存储，并建立规范的数据授权管理使用办法，制定完善的数据访问权限规则，但是具体的数据访问规则、授权使用办法等尚未出台。”特别是在数据使用上，侧重加强分析、充分利用，忽视个人信息具有隐私的特征，造成含有个人信息的电子资料可能在审计机关资源共享的过程中面临巨大的泄露风险。因此，需要制定诸如《计算机审计数据采集及保密负责制》类的制度文件，全面规范审计数据采集，明确从主审到审计组成员的具体责任。

（三）审计活动中的任意性

审计项目实施中，审计人员采集、处理含有个人信息的电子数据时存在随意性。例如，由于对含有个人信息的电子数据要件没有特别规定，审计人员为便于开展审计，往往自行决定数据采集的范围、方式等，甚至仅口头沟通后，就从被审计单位信息库中下载数据，从而形成不同形式的个人信息载体，并分散在不同的审计人员手中。

实践中也存在部分审计机关收集个人信息超限的情况，即收集超过审计需求的个人信息量，这也导致对个人信息被过多的进行收集。如何界定这一收集标准？就目前的行为准则或是刚性规范都还没有一定明确的定义，但就个人信息收集而言，无论任何单位在收集个人信息的时候，都应本着保护个人信息，尽量最低限度的去获取个人信息的原则去收集个人信息，这样对被收集个人信息的公民才能最大限度的保护。

三、完善审计机关保护个人信息的配套制度

（一）修订完善审计准则

我国已经进入大数据时代，就目前已经出台的《审计署关于计算机审计的暂定规定》、《审计机关计算机辅助审计方法》等文件，在大数据时代的推动下，大数据作为新兴技术，暂时没有审计相关法律法规明确要求大数据时代下审计的详细规定。《国家审计准则》中增加运用大数据等新技术进行审计全覆盖工作的条款，将会引导和解决现有的大数据信息安全问题。一是解决审计人员运用大数据进行审计工作的依据条款，使审计人员在进行相应的审计工作手段中有法可依；二是大数据审计中数据的采集中对于可能涉及国家、商业秘密的信息收集中，在法律法规中明确提出相关要求，规范数据信息采集、使用，并形成一体化系统建设。

（二）完善大数据审计工作模式下的审计业务规范要求

在完善修订审计准则后，需要进一步细化大数据审计工作模式下的审计业务规范。一是在法律的强制性要求下建立相关行政主管部门、被审计单位定期报送相关电子数据主体责任、职责的工作机制。二是在工作机制建立后，需要制定大数据环境下审计业务规范要求、大数据环境下审计业务开展操作指南等相关制度规定，明确数据采集、移交、恢复、存储、分析、运用和保密等方面的要求。三是提高大数据环境下审计数据安全性和效率性。首先要着重加强数据访问权限控制，对电子数据使用进行授权管理，防止数据滥用；其次，在保证安全和保密的条件下，设定数据使用授权规则，将大数据按权限向审计组开放，提高大数据审计工作水平。

（三）设立针对个人信息审计行为的监管机构

根据目前的规定，审计项目电子数据的保密管理实行责任制管理。在审计项目实施过程中，实行审计组组长负责制，审计组长可以指定专人具体负责。在审计项目结束后，由实行审计项目归口管理的业务部门负责人负责。可以看出，现行制度中个人信息的电子数据监管主体不明确，更重要的是缺乏独立于电子数据使用者的部门对电子数据情况进行监督。审计机关应借鉴相关国家个人信息保护的做法，设立专门的电子数据个人信息保护机构，或将该职能明确赋予相关部门，对审计机关或审计人员使用含有个人信息的电子数据情况进行监督，确保使用含有个人信息电子数据的行为处于可控、可管状态。

四、落实审计活动中个人信息保护的实践举措

徒法不足以自行。加强审计领域的个人信息保护，不仅需要更加完备的法律顶层设计，也需要通过一系列实践举措让制度落地生根，构筑起从理论到实践对个人信息全方位保驾护航的坚强壁垒。

（一）构建大数据安全审计框架

在大数据环境下，安全审计的重点是大数据的操作和数据的处理。通过相关文献研究发现，大数据安全参考架构和云计算环境下的安全审计架构有不少学者进行了探讨。其中大数据安全审计框架被江茜提出，这是一种在先前学者研究的基础上进行的深入探索，主要从用户角色和数据生命周期两方面展开。

在用户维度方面，一共有五个参与主体，分别是数据系统的总管协调者、数据参数的来源提供方、应用系统的框架构造者和终端的数据消费主体。系统协调员主要负责对大数据系统的运营进行管理与协调，并对其进行全面的保密保障。在整个数据价值链中，数据提供者都是由数据提供商决定的。数据生命周期的特定行为是通过大型数据应用程序提供者来完成的，这些服务包括系统协调者、数据提供者或者数据使用者。大数据架构提供商负责数据的加工。大数据应用分析的成果是数据使用者的应用，而数据使用者则是数据价值链的终端，是数据价值的集中体现。

数据的生命周期审计包括数据采集、传输、存储、处理、交换和销毁六大环节。数据的获取是数据价值链的基础。在数据存储阶段，安全审计要求具有分布式存取安全审计的功能。在信息安全审计中，数据交换流程是关键环节。在数据销毁过程中，安全审核的重点在于对存储媒体的存取和利用行为进行记录。

（二）建立个人数据隐私泄露的溯源机制

数据溯源是对数据来源信息的记录,安全审计是对数据流转过程的记录,将安全审计和数据溯源技术结合起来，可以在发现敏感信息或个人信息泄漏的情况下，对泄漏源进行追踪，确定安全责任人。

在大数据安全审计过程中,应当结合可追溯数据开展审计工作。建立个人数据、重要数据等关键数据的登记备案制度,由数据提供方提供数据备案信息,包括数据来源、数据用途等，并由大数据应用提供者对数据生命周期各阶段处理过程形成记录日志。针对关键的数据处理活动制定有效的数据溯源机制,确保溯源数据能重现数据处理过程,追溯操作的发起者及操作时间。

（三）加强对个人信息的“匿名化”和“脱敏化”处理保护

加强对个人信息的脱敏处理，是避免审计活动中隐私泄露的一种行之有效的方法。匿名化、模糊化处理和数据加密都是典型的信息脱敏处理措施,其基本原理就是通过对信息的脱敏，对个体的特征和内容进行科学的处理，去除特定的信息与具体的身份的关联，通过变形、变换等方式来减少数据的敏感性，从而降低对数据的采集、传输、使用过程中的敏感信息的泄露。

根据《个人信息安全规范》的相关规定，当用户的个人信息被审计机关采集后，应立即解除身份认证，并通过一定的技术手段，将能够二次识别的个人信息与已解除身份特征的信息分离，并加强对其进行存取和利用的监管。《数据安全法》也指出，为了强化数据安全，特定的手段是必要的；在使用线上平台进行数据分析和加工时，必须依托平台的基本安保运营制度，对数据进行保护。

（四）建立大数据审计信用体系

国家最高行政机关发布了要求全面加强社会诚信机制建设，完善国家机关内部监督和外部监督的总体要求，这就要求审计机关在履行职责过程中，既要重视自身诚信机制建设，强化审计公信力和影响力，也要拓展对自身的信用监督方式方法。目前，可以利用大数据平台，构建审计人员的诚信档案，将个人有关事项的报告、年度考核结果、相关违约情况等信息录入系统。坚持从严治审原则，对照审计工作岗位责任，将审计诚信建设相关事项层层分解到各区局、各内设机构以及审计工作的各个环节，结合审计质量管理，推行审计诚信终身负责制，审计人员对其参与的审计项目的信息失真问题终身负责。这将有利于切实提高审计人员的诚信意识和信用水平，绷紧“个人信息保护”这根弦。

结语

在审计全覆盖的要求下，大数据平台的发展不仅提供了技术支撑，也造成了潜在的数据安全风险。保护以个人信息为代表的数据安全是事关审计成果是否可靠、审计目的能否实现。因此，审计机关要牢固树立网络安全红线意识，健全完善制度、增强系统防护，多措并举防范信息泄露风险，加强审计信息安全。总之，需要在法治轨道上推进国家审计，要将依法依规的审计理念贯穿到审计活动的全过程，切实提高审计效能，促进国家审计事业行稳致远。