刘爱龙、俞雪：平台处理未成年人个人信息的合规审计分析

本文发表于《人权法学》2024年第2期，因篇幅限制，注释省略。作者身份信息为发文时信息。

众所周知，因技术不对等和信息不对称等原因，互联网平台在数字空间中具有强势地位，进而形成了平台与用户在数字社会中的不平等地位，用户在享受数字便利的同时也面临着数字风险，个体更是无法制衡平台对个人信息的不当使用。此外，基于数字技术的复杂性和互联网用户数量的不断增多，数字平台日益获取了巨大的控制力，用户对平台的依赖又进一步加剧了这种权力的控制性，放大了它对经济社会构成的特殊风险。在此情形下，数字平台的行为风险变得更加突出，数字生态中个人权益受侵害的风险也随之增加。与此同时，互联网呈现出用户低龄化趋势。据统计，截至2023年6月，我国未成年网民人数已突破1.91 亿，未成年人业已成为互联网企业的重要用户群。由此，在强大的平台控制力与弱势且数量庞大的未成年互联网用户相互交织的背景下，大型互联网平台的有效治理尤为迫切。

近年来，国家不断加强对未成年人个人信息的立法保护，除《中华人民共和国个人信息保护法》（以下简称《个保法》）、《儿童个人信息网络保护规定》（以下简称《规定》）之外，众望所归的《未成年人网络保护条例》更是进一步健全了未成年人个人信息保护规则，要求拥有大量未成年用户或具有重要影响力的平台在履行普遍性保护义务的基础上，还需进一步履行特殊保护义务，以督促大型平台企业切实承担社会责任，统筹好平台经济健康发展和未成年人网络保护之间的关系。

作为兼具内部监督与外部监管双重属性的合规审计，不仅是平台实施自我治理、自我监督的必要工具，也是监管部门规制平台个人信息处理行为的重要方式。因此，个人信息保护合规审计已经成为当前国际上的一种常规做法，其对个人信息治理和未成年人权益保护具有重要价值。根据《个保法》第 54 条和第 64 条规定，合规审计分为定期审计和监管审计，审计的依据明确为“法律、行政法规”。《个人信息保护合规审计管理办法（征求意见稿）》第 3 条也对个人信息保护合规审计给出了清晰界定，其指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。在中国数字化进程加快和《个保法》实施、《中华人民共和国未成年人保护法》（以下简称《未成年人保护法》）修订的多重背景之下，个人信息保护合规审计的审计重点内容和审计程序，在考虑合规审计一般要求的同时，还应突出未成年人个人信息保护的特殊性，进一步开展平台处理未成年人个人信息的合规审计研究，提高未成年人信息安全保护水平。

一、个人信息合规审计的法律图景

（一）域外法律对未成年人个人信息合规审计的法律规定

合规审计作为平台自我治理与监管部门规制个人信息处理行为的手段，在不同国家或司法辖区已有适用的先例。同时，针对未成年人个人信息保护的特殊需要，各国也进行了不同的立法尝试。

欧盟《通用数据保护条例》（General Data Protection Regulation，以下简称 “GDPR”）较早地提出了数据保护审计（Data Protection Audit）的概念 , 并将数据保护审计作为核查、判断数据处理者，以及数据控制者是否遵循 GDPR 处理个人信息的手段。在 GDPR 的规范体系下，相关企业可以通过合规审计证明其个人信息处理活动的合法合规性。

相较于欧盟，美国虽然不具有类似 GDPR 可以统一适用于联邦层面的个人信息保护立法，但其拥有立法权的各州也对个人信息保护提出了不同的审计义务。其中最具有代表性的是加利福尼亚州的《加州隐私权法案》（California Privacy Rights Act，CPRA），该法案要求对“消费者隐私或者安全构成重大风险”的企业应当进行年度网络安全审计。为了加强对未成年人的个人信息保护，美国于1988 年就制定了《儿童在线隐私保护法案》（Children's Online Privacy Protection Act，COPPA），并于 2014 年对其予以修订。法案中的重点条款就包括父母的同意制度、儿童个人信息的范围界定、保护对象的年龄划定等。

除欧美国家外，英国在个人信息合规审计方面也进行了相应的制度创新，于 2022 年 5 月发布了《数据审计指南》（A Guide to ICO Audits），设置了自愿申请审计制度。2020 年韩国在《个人信息保护法》（The Personal Information Protection Act，PIPA）修订时，也在未成年人个人信息合规审计方面进一步进行规范。该修正案对企业处理未成年人个人信息的行为采取宽进严出的方式，放宽了收集法律规定最低限度的个人信息的事前要求，但引入了评价制度，通过加强个人信息处理活动的事后控制，实现对个人权利的有效保护，防止“知情同意制”僵化。

（二）我国未成年人个人信息合规审计的立法现状

2021 年 11 月 1 日，我国个人信息保护领域的第一部专项立法《个保法》正式实施，对个人在个人信息处理活动中享有的权利，以及个人信息处理者在个人信息处理活动中应遵守的处理规则、履行的义务等做出了系统全面的规定，其中就包含了个人信息处理者所要履行的合规审计义务与强制合规要求，并赋予大型互联网平台个人信息保护的特别义务。互联网平台是未成年人使用和接触网络的重要防线，也是保护未成年人个人信息安全的重要“守门人”，平台治理具有先天资源和技术优势。《未成年人网络保护条例》第 20 条针对拥有数量巨大的未成年人用户和对未成年人具有显著影响的网络平台服务提供者作出相应的责任义务规定，要求其建立健全未成年人网络保护合规制度体系，并履行个人信息处理合规审计义务。至此，相关法律、法规部门规章及规范性文件共同初步建构起我国未成年人个人信息保护合规审计框架（见表 1）。

（三）《个人信息保护法》对个人信息合规审计的总体要求

《个保法》规定了个人信息合规审计的义务主体。第 54 条明确规定由个人信息处理者主动履行定期合规审计义务，第 64 条则规定由个人信息处理者委托专业机构进行强制外部审计。与此同时，第 54 条和第 64 条还分别提出了对个人信息处理者履行个人信息保护合规审计义务不同层面的要求。其中，第 54 条要求企业定期履行个人信息保护合规审计义务，明确审计内容是个人信息处理活动是否遵守“法律、行政法规”的要求，为个人信息的合规审计提供了依据，允许个人信息处理者可以根据自身情况和需要确定合规审计的时间、频次和方式。第 64 条则明确规定，当个人信息处理活动存在风险情况时，除可以进行约谈外，相关履职部门还可以要求个人信息处理者委托专业机构进行合规审计，利用外部审计机构的独立地位与专业知识对个人信息处理者的合规审计情况进行评估、审查，为职责部门提供监管依据和方案。这一立法设计有助于监管者对个人信息处理活动的合法性进行持续关注，且有利于提升个人信息处理者的合法合规水平与个人信息保护能力。然而，我国个人信息保护合规审计制度的具体要求尚未明确，平台落实个人信息合规审计的针对性、完整性和有效性也缺乏更为细致的要求。

此外，《个保法》第 58 条还规定了“守门人规则”，明确要求大型平台承担更为积极的信息安全责任，具体包括：（1）成立主要由外部成员组成的独立机构对个人信息保护情况予以监督；（2）制定平台规则，合理确定双方的权利义务和责任，并通过平台规则明确监督平台内部处理个人信息的规范和保护个人信息的义务；（3）发挥监督作用，对严重违反法律法规处理个人信息的平台内的产品或者服务提供者，停止提供服务；（4）定期发布个人信息保护社会责任报告，接受社会监督。

（四）《未成年人网络保护条例》对个人信息合规审计的主要诉求

《未成年人网络保护条例》第 20 条以《个保法》第 58 条为上位法依据，要求平台经营者承担特殊的“守门人”义务，即超大型的互联网平台应当充分考虑未成年人身心健康发展特点，定期开展未成年人网络保护影响评估，提供青少年模式或者未成年人专区等，并按照国家规定建立健全未成年人网络保护合规制度体系。此外，对严重侵犯未成年人合法权益的平台内产品或者服务提供者，其还要求平台及时停止提供服务，并定期发布未成年人网络保护社会责任报告。同时，《未成年人网络保护条例》第 37 条要求个人信息处理者定期履行处理未成年人个人信息活动的合规审计义务，并将审计情况及时报告网信等部门。《未成年人网络保护条例》从未成年人这一特殊主体的角度出发对个人信息保护合规审计进行了补充，但其主要通过列举的方式规定平台的义务，这种封闭式的规定也限制了监管主体和司法部门不能“个案地”扩张平台的责任种类。

（五）相关规范性文件对个人信息合规审计的具体规定

为指导、规范个人信息保护合规审计活动，国家互联网信息办公室于 2023 年 8 月 3 日发布了《个人信息保护合规审计管理办法（征求意见稿）》，对个人信息保护合规审计相关内容加以补充和延伸，重点体现在两个方面：一是细化了《个人信息保护法》中的自我合规评估和强制合规评估的相关要求；二是配套制定《个人信息保护合规审计参考要点》，落实个人信息保护合规审计开展的业务指引和核心要求。

2021 年 11 月 14 日，国家互联网信息办公室就《网络数据安全管理条例（征求意见稿）》征求意见，在《个保法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律规范构成的框架下对数据安全、数据分级分类、数据处理者境外上市、数据出境等方面提出了详细且有针对性的监管措施，并对数据处理者在数据安全方面的义务提出了明确要求。《网络数据安全管理条例（征求意见稿）》第 53 条明确要求大型互联网平台运营者履行年度审计义务，并对第三方审计结果进行披露。其第 58 条则对数据安全审计制度进行了规定。

此外，国家标准《信息安全技术 个人信息安全规范》要求个人信息控制者进行个人信息保护的有效性审计。中国科学技术法学会团体标准《个人信息处理法律合规性评估指南》则详细阐述了个人信息处理法律合规性评估的各项内容，但其缺乏可操作性，难以直接适用于个人信息保护合规审计实践。

二、平台履行未成年人个人信息保护合规审计义务的正当性理据

个人信息保护立法的关键在于通过利益衡量实现个人对其信息保护的私人利益、信息业者对个人信息利用的商业利益和国家管理社会的公共利益之间的适当平衡。《个保法》和《未成年人网络保护条例》都不同程度地课与了平台履行未成年人个人信息保护合规审计的义务，立法设计中对不同利益关系的平衡即是平台履行义务的正当性依据所在。

（一）实现《个人信息保护法》的立法宗旨

在数字经济发展和法治社会建设相互助力的进程中，《个保法》及相关配套法律规范为我国个人信息保护提供了有力的制度保障。《个保法》明确将“保护个人信息权益，规范个人信息处理活动，促进个人信息合理使用”作为立法目的。个人信息处理的合规审计能够强化个人信息权益保护与规范个人信息处理活动，并为预测、决策、责任追究提供依据，有利于实现个人信息保护之目的。

个人信息保护合规的法理依据是比例原则在个人信息处理中潜在风险分配的体现，即对公民、平台与国家公权力机关处理个人信息自由的合理限制。着眼于个人信息的实际流动过程，澄清个人信息保护责任主体的界定误区，应当由个人信息控制者承担个人信息保护的责任，而不是由公民个人承担。互联网平台作为个人信息保护的关键环节，对平台内的个人信息处理活动具有强大的控制力和支配力，因此，《个保法》第 58 条对超大型互联网平台提出了更高的注意义务标准。

此外，如果超大型互联网平台内部的算法使用存在侵害未成年人利益的行为，其经营者没有积极履行安全义务采取必要措施的，还可能违反《中华人民共和国民法典》（以下简称《民法典》） 第 1197 条的规定，与网络用户共同承担连带责任。

（二）设置特别义务的法理：“守门人”与控制者义务理论

1.“守门人”理论

“守门人”理论认为“守门人”能够自主决定商品服务、信息等是否被允许进入渠道。平台的功能恰恰符合这一点，它拥有特殊的技术优势可以控制信息的流动，对个人信息有着更强的处理能力。“守门人”在互联网平台有三种类型：一是应用程序分发平台；二是移动终端操作系统；三是平台型应用程序。其本质上都是处理个人信息的互联网信息控制方。故而，平台就像一个把守“信息枢纽” 大门的“守门人”，是个人信息流动的控制者。

因而，由互联网平台来充任外部合规协调者和内部合规落实者的重要角色，已成为互联网平台的实然所需。网络虚拟空间助长了个人信息监管对象及其行为的模糊性，构筑起“无知之幕”，加剧了政府与个人信息处理主体之间的信息不对称，加上信息处理目的的多样性、信息处理过程的复杂性和信息最小适用边界的难辨别性，加剧了个人信息安全风险及其潜在危害的高度不确定性。但面对个人信息安全监管的高需求，政府等外部监管主体缺乏常态化融入平台日常经营监管的能力。此时，作为“守门人”的平台进行个人信息保护合规审计，能有效缓解监管资源的紧张，对政府监管进行有效补充。

当然，尽管我国的《个保法》和欧盟的《数字市场法案》都引入了“守门人”规则，但其功能有所不同。相比之下，我国的《个保法》要求平台承担更为积极的责任，以形成全社会共同参与的个人信息保护机制。

2. 控制者义务理论

确立个人信息保护中平台的“守门人”角色，促使平台积极履行社会责任，其法理在于“控制者义务理论”，其内核在于收益与风险相一致、收益与控制危险源能力相匹配的原理，即任何主体对其所控制的场所都应负有相应的安全保障责任。平台掌握着个人信息的存储空间、个人信息处理系统的运行环境、依赖平台算力的用户群等，又具备信息处理优势与相对稳定的经济能力，实为个人信息处理的“控制者”。

正所谓每一种社会交往都会对他人产生影响，其中潜在的风险也会对他人产生危害。而“不伤害他人”是法律和司法实践中所公认的基本原则，也是社会行为的基本规范之一。这一原则就要求个人在行为中应当尊重他人的权利和尊严，以确保他人免受任何不必要的伤害。因此，法治的一般原理认为任何个人都有责任对其所控制的场所等负有相应的安全保障义务。《民法典》中的安全保障义务和网络侵权责任的相关规定就吸收了“控制者义务”理论，要求平台承担相应的管理和注意义务。根据侵权法的一般原理，平台创设了用户无法控制的且具有一定风险的虚拟场所，就应当对防范该领域中的风险履行特殊义务。

“控制者义务”理论的内核在于收益与风险相一致的原理。具体而言，在个人信息保护领域，一方面，平台作为个人信息的控制者，获得利益就要承担风险。互联网平台经营的目的当然是为了收益，如果没有利益可以获取，平台就不会存在，但由此产生的负外部性效应就应当由收益方承担，平台应当负起保护个人信息免受侵害的监管义务；另一方面，平台控制潜在危险的义务也来源于其对危险源的控制能力。平台作为个人信息的管理者，其拥有着对信息流动实际上的控制能力，技术、资源上的优势使得其对个人信息具有更强的控制和处理能力，对个人信息面临的风险有着更敏锐的预见能力，可以提供更有力的保护措施。根据科斯定理 , 由防范成本较低的一方即网络平台采取防范措施，承担个人信息保护的主要责任，这也是符合效益的理想选择。

（三）基于特别保护的依据：最有利于未成年人原则的内在要求

个人信息保护合规的制度功能在于调整信息处理者相较于个人的优势地位，从而实现对个人信息处理各方利益的平衡与保障。未成年人因其自身认知能力与行为控制能力的局限，在应对平台技术优势时就显得愈发劣势，《个保法》理应对其进行倾斜型保护。

在个人信息保护情境中，优先承认了未成年人利益的重要性。不仅因为国家始终倡导未成年人利益的保护，还因为未成年人利益具备升级为公共利益进行保护的潜力。最有利于未成年人原则在《未成年人保护法》中正式确立，2021 年修订时又细化了具体要求，明确指出要给予未成年人特殊保护、优先保护。在个人信息保护合规审计中给予未成年特别保护和优先保护，即是最有利于未成年人原则在未成年人网络个人信息权益保护中的应然要求。

三、平台开展未成年人个人信息合规审计的现状及障碍

保障公民个人信息权益，推动个人信息数据在合法合理的前提下得到有效利用，已经成为政府推动数字经济持续健康发展的重要任务。然而，2021 年 11 月，我国才开始施行《个保法》，实施时间短，尚未形成全面的司法解释和最佳实践。与之对应 , 审计工作与平台的合规实践也处于同步摸索阶段。

（一）平台开展未成年人个人信息合规审计的现状

近年来，在法律规制和行政监管的双重作用下，未成年人个人信息保护受到高度重视，互联网平台企业的个人信息保护合规水平有所提升。根据未成年人网络活动类型和频率的相关统计，选取使用频率较高且各个使用场景中具有代表性的五个互联网平台进行考察可以发现，以微信为代表的互联网平台在告知内容和告知方式上都作了相应的合规处理（见表 2），但平台在告知个人信息保存期限时往往只使用“进行个人信息处理所需要的时间”之类的模糊表达，并不对具体期限予以告知，提供的行权方式也多缺乏便捷性，具有操作上的难度。

从未成年人个人信息保护的特殊需求出发进行考察，却可以发现平台未成年人个人信息保护合规仍与立法旨趣存在较大差距（见表 3）。要实现平台经济和未成年人网络保护的统筹发展，还需压紧压实大型网络平台主体责任，进一步推动相关规范落地落实。

各平台虽都设置有青少年模式，制定《儿童隐私政策》，但仍未改变隐私政策文本冗长难懂的特点，未成年人及其监护人难以理解和阅读，即或在使用应用程序后也不便再次查阅和同意，而且各平台并未提供便捷的行权受理方法。可以看出，平台进行未成年人个人信息保护合规审计并未充分考虑不同年龄段未成年人的差异和需求。究其原因，主要在于以下三个方面：未成年人个人信息保护合规审计的立法设计存在缺憾、平台自身开展个人信息合规审计的内生动力不足、外部监管不力。

（二）平台开展未成年人个人信息合规审计的障碍

1. 未成年人个人信息保护合规审计的立法设计存在缺憾

个人信息保护合规审计的立法设计在未成年人保护领域内存在清晰性、体系性、针对性、实操性不足的状况，掣肘未成年人个人信息权利保护的发展。

首先，未成年人个人信息保护合规审计的清晰性不足。“清晰性要求是合法性的一项最基本的要素。一种徒有其表的清晰可能比一种诚实的、开放性的模糊更有害。”用含糊或宽泛的方式表达的立法往往在实践中会出现操作变形的情况。例如，《个保法》第 58 条规定，大型互联网平台需履行个人信息保护方面的特别义务，其中之一就是成立主要由外部成员组成的独立监督机构。但此条义务性规范却没有匹配具有可实施性的操作规范，缺少设置独立监督机构的程序性法律规定。该条文中的“主要”概念模糊，“外部人员”的资格要求、职责范围界定不明。而且无论是在外部成员的选任上，还是独立机构的组织架构上，平台均具有较大的自由空间，如果没有相应的规定作为指导，就极易出现无从下手、实施成效差距大的棘况。赋予法律义务的规定以较大的弹性空间，虽然一定程度上保证了平台自我监管的自由度，但也容易造成不同平台对社会责任的基本内涵、法律规范的内在要求产生认知偏差，甚至会导致平台合规审计实践操作变形，出现履责的碎片化和不平衡，进而产生互联网平台的合规审计危机。

其次，未成年人个人信息保护合规审计的针对性和可操作性不强。以“告知同意机制”为例，《个保法》第 14 条第 2 款规定，如果处理个人信息的目的、方式或类型发生变更，必须重新获得个人的同意。这意味着 , 在“告知同意机制” 之下，当场景变化引发个人信息处理目的、方式和个人信息种类的变化时，用户则需要同步、反复进行同意确认，这容易导致用户陷入“同意疲劳”，大大增加了平台的运营成本。对未成年人个人信息保护而言，监护人同意制的内在缺陷还会引发平台告知不充分、用户同意缺乏真实性和自主性、过度处理用户个人信息的合规问题。即使信息主体是在充分知晓个人信息处理情况的前提下自主决定“同意”与否，“理性信息主体”的假设也实难成立。更何况对监护人“理性人” 身份的假设本身就是一种不合理的期待，且监护人同意制度的执行机制也一直为诸多学者所诟病。有关调查统计结果显示，大部分用户很少或从未阅读隐私政策，而“文本冗长，不想看”是用户很少或从未阅读隐私政策的主要原因，占比高达 96.44%。可见，平台虽基于规避合规审计风险不断扩容隐私政策，但未成年人个人信息权利保护的实效却难以同步提升。究其深层原因，告知同意机制与个人信息保护合规审计的制度衔接的科学性仍需进一步提升，未成年人个人信息保护合规审计也应加强主体针对性和可操作性，化解平台履行合规审计义务的疑惑。

再次，在课以平台较大合规义务的同时，应匹配相应的操作指南和参考范式，加强个人信息保护合规审计的体系性与实操性。为使个人信息保护合规审计的执行更具有实操性，建议将《个人信息保护合规审计管理办法（征求意见稿）》中所附的《个人信息保护合规审计参考要点》条文顺序按照个人信息保护合规审计流程（见图 1）重新整合，使之更符合个人信息保护合规审计的内在运行逻辑（见表 4），也便于在更大程度上发挥《个人信息保护合规审计参考要点》的参考指引价值。

最后，立法设计的体系性有待补正还体现在下位规范与上位法的衔接问题上。比如，《儿童个人信息网络保护规定》所规定的“网络运营者”是否等同于《个保法》第 58 条规定的“提供重要互联网平台服务、用户数量巨大、业务类型复杂” 的个人信息处理者，又是否等同于《未成年人网络保护条例》中的“网络平台服务提供者”？又如，《个保法》第 61 条要求个人信息保护职能部门组织测评应用程序等个人信息保护的情况，并将测评结果公开。《个人信息保护合规审计管理办法（征求意见稿）》第 10 条却并未对此进行落实，其既未确定是否要公布该审计结果，又未明确“报送”之后如何运用该审计结果。基于目前未成年人个人信息保护的分散立法模式，加强现有规范的体系性尤为重要。

2. 平台自身开展个人信息合规审计的内生动力不足

平台自身开展个人信息合规审计存在经济效益和保护用户信息安全的价值冲突，既包括个人信息利用带来的收益与个人信息安全之间的矛盾，也包括个人信息保护合规审计成本与收益之间的矛盾。平台合规审计之所以内生动力不足，其根本原因在于平台对未成年人个人信息合规审计价值的认知偏差。固有认知源于一种传统观念，这种传统观念把社会效益和经济效益、合规审计与自由市场相互对立，认为强化社会责任就会弱化企业经济效益，强调合规审计就必然增加平台成本。这种观点只看到了“对立”，没看到“统一”，失之偏颇。若从对立统一关系的内在机理出发，立足于互惠视角重新审视，会获得不一样的答案：强化平台保护未成年人个人信息的社会责任未必就会减损企业经济利益，完善合规审计也并不必然牺牲平台经济利益。

例如，平台为了不断优化自身各项功能，提高其在未成年人群体中的市场占有率，就需要充分掌握未成年人的个人信息、兴趣偏好和价值倾向。平台如果忠实履行了控制者的义务和社会责任，定会获得用户（未成年人及其监护人）的信赖，从而增加平台的市场认同度，扩大潜在用户群。这与平台的利益趋于一致，有利于构建可持续的数字经济生态环境，促进平台个人信息合规审计与用户个人信息保护形成良性循环。相反，如果双方互惠关系被打破，重新取得用户的信任就需要花费比承担个人信息合规审计义务大得多的成本。与此同时，对违反《个保法》关于个人信息合规审计相关规定的网络平台，不仅可能被处以高额罚款，还可能面临暂停相关业务、吊销相关业务许可证等行政处罚措施。因此，根据社会责任的内涵要求，在未成年人个人信息保护方面，平台不仅仅应该致力于逐利性的满足，还要站在用户的立场，关注保障未成年人的合法权益。

此外，合规审计相关复合型人才的缺乏也是平台自身开展未成年人个人信息合规审计内生动力不足的原因之一。互联网平台内部业务类型复杂、部门数量较多且流动性大。个人信息保护合规审计涉及企业内部较多流程，合规审计工作既需要对企业内部深入了解，掌握信息审计涉及的专业知识，又需要熟知未成年人保护相关法律法规等，合规审计相关复合型人才的缺乏则会导致未成年人个人信息合规审计工作难以全面、深入地开展。

3. 平台个人信息合规审计的外部监管不力

监管者的监管水平受到各种因素的影响，包括监管者的职权范围、风险识别的敏锐程度，以及对风险反应的速度等。同时，个人信息处理又具有相关利益繁杂、风险覆盖面广、危害潜伏性高、数据溯源难等特点， 较一般的监管对象而言，对平台个人信息合规审计的监管难度远远超过预期，增加了监管的复杂性。

首先，个人信息处理者既可以单独参与某一项个人信息处理活动，也可以与其他处理者合作共同完成信息处理，在个人信息处理活动中可以不断变换身份角色。监管者难以识别个人信息处理者实际从事哪些个人信息处理活动与具体情形，为监管又披上另一层面纱。其次，法律规范的清晰性不足也容易引发监管者履责互相推诿的惰化效应。最后，源头监管与过程取证的艰难也在很大程度上降低了预防性监管的效果，强制力往往只能在事后救济环节发挥作用。我国总体上过多依赖政府监管，市场自我监管和技术平台监管相对运用不够，难以形成法律、政策、市场、技术协同监管的长效机制。

四、完善未成年人个人信息合规审计的对策建议

网络信息技术的发展与未成年人个人信息权益保护之间的矛盾依然存在，为了避免法律中不经意的冲突，进行立法设计时仍需十分谨慎。作为立法者，其应对政策中现存的笼统模糊的规定进行明确说明，提高政策的透明度和可操作性，在各个维度上构建规范化的政策框架和操作标准，为个人信息保护合规审计提供清晰指引。除此之外，基于顺利开展未成年人个人信息保护合规审计的目的与需要，更需加强未成年人权利保护的针对性，在激活平台合规审计动力，提高监管效率，建立政企共振共律、协同治理的长效机制上进一步努力。

（一）加强未成年人权利保护针对性

个人信息保护法的制度起源于公平信息实践。一方面，公平信息实践对个人进行了信息赋权，规定了个体享有的一系列信息权利；另一方面，也对信息收集者、处理者施加了一系列义务。个人信息合规审计就是对义务履行的法律审查与监督。可见，未成年人信息权利保护与个人信息合规审计本就是一体两面。未成年人是有自我身份和尊严的个体，是其自己生活中的主体，而非被关心和保护的客体。故此，在完善未成年人个人信息合规审计的过程中，势必要强调未成年人的权利主体地位，突出未成年人个人信息合规审计的特殊性，尊重未成年人的合理需求，并加以特别保护。

《儿童权利公约》（Convention on the Rights of the Child）第 43 条设立了儿童权利委员会以审查缔约国在履行或承担公约义务方面取得的进展。儿童权利委员会特别强调建立一个独立的儿童权利保护机构的重要意义。基于公约要求与现实需求，或可在履行个人信息保护职责的部门增设未成年人监察专员，专职审查平台进行未成年人个人信息合规审计的情况，以及配合平台内部进行常态化监管，提出有针对性的改进措施，指导、督促平台开展个人信息保护合规审计活动，以实现独立有效的监督、增进和保护未成年人权利。

针对未成年人个人信息保护合规审计的特殊需要，还可以在《个人信息保护合规审计管理办法（征求意见稿）》第 16 条（“处理不满十四周岁的未成年人个人信息的审计”）基础上设置“对未成年人个人信息的审计”小节，补充对十四至十八周岁未成年人个人信息的保护。

（二）建立健全平台个人信息保护合规激励机制

个人信息处理的治理本属行政机关的职责，但由于行政资源短缺、评估指标僵化与日常规制缺位等原因，行政监管难以全面应对日新月异的技术发展与不断变化的个人信息权益侵害方式。故此，行政机关亟待创新治理模式，在治理节点中引入新的主体，在治理方式中运用新的工具，调动信息控制者维护信息安全的积极性是事半功倍的做法。

《未成年人保护法》第 14 条和《未成年人网络保护条例》第 12 条都规定了对未成年人网络保护工作中作出突出贡献的组织和个人，按照国家有关规定给予表彰和奖励。《规定》第 6 条为加强行业自律，亦积极鼓励互联网行业组织采取相关措施加强指导，促进网络平台运营者制定未成年人个人信息保护的行业规范。这些激励机制在引导相关主体履行社会责任上具有积极效应，所以互联网行业组织要进一步推进激励机制的落实和完善，对优先完成合规建设的平台实施正向激励型监管，形成合规蓝本，激发示范效应。由此，相关域外经验则值得借鉴。

日本推行个人信息保护标识认证机制，通过个人信息保护认证机构赋予一些认证合格的企业及行业代表组织信息保护合格赋予权，再由这些组织协助进行资格认证工作。日本在个人信息保护领域的因应措施可以为我国探寻个人信息网络保护与利用的平衡提供着手点。例如，建立“未成年人个人信息保护合规审计白名单”，或者为中小型互联网平台提供市场准入优先权、合规补贴等奖励政策。还可以给予主动开展未成年人个人信息保护相关技术研发和共享的企业社会荣誉，认证其为“未成年人个人信息保护友好型”平台，方便政府机构精确匹配和实施科学合理的监管手段和措施，实现个人信息合规利用与个人信息妥善保护的权责统一。

（三）合作监管模式赋能政企协同监管

只有多元社会治理主体在合作意愿下共同进行社会治理才能有效解决社会问题。政府与企业的合作不是零和博弈，公权力部门与个人信息处理者并非只有对立关系。个人信息保护的合作监管主张控制并非塑造公共价值的唯一路径，合作同样能够增进公共利益。通过各主体间的协同监管，以凝聚监管资源、共享监管信息、共用监管线索等方式提高监管主体间的协调配合能力，实现对个人信息保护主体赋能，从而更好地回应个人信息处理的风险治理问题。

监管资源的稀缺性是监管部门面临的永恒难题，由于个人信息处理者掌握个人信息处理的全过程，国家公权力机关和平台用户等外部人很难打破信息不对称导致的障碍，系统、全面、及时地了解动态变化中的监管信息。这种“数字鸿沟” 也成为个人信息保护偏重事后救济、监管控制力不足、难以落实事前预防理念的重要原因，因此，借鉴市场配置资源的效率机制不失为一种大有裨益的探索。个人信息处理者在监管方面具有巨大的信息和技术优势，合作监管模式之下充分利用个人信息处理者的先天优势，推动个人信息处理者提升自我监管能力，有利于提高监管效率、降低监管成本。

（四）后设监管机制保障有效性审查

虽然合规本位的协作治理将平台的专门知识及数字资源引入数字治理之中，以弥补政府监管的局限性，但此举也意味着将部分监管职责转移给了被监管实体。因此，为防止政府监管退化为平台自我监管，敦促平台切实遵照自我监管的规则行事，后设监管显得尤为必要。后设监管即指由政府监管市场主体的自我监管。后设监管与事前预防相辅相成，事前预防可以减少后设监管的频率和强度，后设监管则是对事前预防的补充。通过强调两者的有效结合，减少对事后补救的依赖，可以降低高额的监管成本，将政府监管的重心从偏重事后补救转向合理配置政府监管力量，均衡事前、事中、事后的风险控制，且有余力对个人信息处理主体合规体系建设及其运行进行指导。

后设监管有利于对监管过程进行动态审视和自我纠错，保障个人信息处理合规审计的有效性审查。一方面，后设监管有助于强化审计整改。个人信息保护合规审计的关键在于对合规审计完成后的报告和审计结果的运用，问题整改作为审计监督的最后一个环节，直接决定了审计成效。同时，后设监管通过对平台自我监管的监督、跟踪审计，可以发现问题并保障审计意见的执行。另一方面，后设监管有助于充分发挥合规审计的评价与建议功能，为预测、决策、责任追究提供依据。如此，有利于进一步落实《个保法》第 64 条的立法要求，即对企业个人信息保护合规计划的有效性审查。

（五）提升平台内部治理能力

针对平台内部的合规审计治理问题，有必要规范平台所依赖的数字生态系统，强化平台内部治理，不断提升内部信息处理运作程序的合规性与安全性，使个人信息保护各项要求内嵌到主体的业务流程当中。

一方面，调整审计相关流程，明确审计重点。企业的总体资源是有限的，在管理、财务和技术各方资源需求量较大的情况下，很难保障资源投入的充足性。且不同业务部门收集的信息内容不同，处理信息的方式也不同。因此，企业在调整合规审计工作的过程中应当考虑到不同业务部门的特点。合规审计对象的确定应具有场景面向与风险导向性。同时，企业应当对审计结果和日常合规整改情况予以重视，及时反馈给各部门以确保合规审计计划更具针对性。

另一方面，有机结合平台个人信息活动全生命周期的处理情况、平台保障个人信息主体权利实现情况及平台履行个人信息处理者主体义务的情况等，定期开展未成年人个人信息保护专项审计，进行常态化监管。为此，可以建立平台个人信息保护规则中心，增加个人信息合规性技术方面的研发投入，进一步增强平台处理个人信息不当行为的快速发现、辨认、处置和整改能力。