论独立审计准则在判断注册会计师过错中的法律地位

肖义方

独立审计准则又称独立审计标准，是规范注册会计师执行审计业务，获取审计证据，形成审计结论，出具审计报告的专业标准。[1] 独立审计准则、职业道德规则、职业后续教育规则和针对会计师事务所的质量控制规则一起，构成注册会计师执业规范体系，其中独立审计准则处于核心地位。会计界普遍认为，既然独立审计准则是行业标准，注册会计师遵循了独立审计准则，即使是审计失败也不应负法律责任；[2] 法律界则认为独立审计准则仅是行业内部标准，不能作为认定注册会计师损害赔偿责任的唯一法定依据。[3] 这种认识上的严重分歧，直接影响注册会计师行业的健康发展，如何看待独立审计准则的法律地位，成为独立审计经济法责任理论的焦点。下面我们从独立审计的社会化契约关系出发，明确独立审计准则的法律性质，比较违反独立审计准则与注册会计师过错之间的关系，探讨独立审计准则是否可以作为注册会计师过错的认定标准。
一、独立审计准则的法律性质
独立审计准则是现代市场经济的产物。从1844年英国颁布《公司法》确立审计制度起，到20世纪中叶以前，注册会计师行业并无独立审计准则。有观点认为，会计职业是一个自由的职业，审计是一门艺术，注册会计师在审计过程中，需要根据具体情况，运用职业技能和经验去判断和决策，审计准则会扼杀注册会计师们的自由和创新精神，妨碍注册会计师职业水平的提高。但是，正当注册会计师职业蒸蒸日上，注册会计师地位显著提高时，在1938年，美国暴发了麦克森·罗宾斯（McKesson & Robbins）公司破产事件，暴露了审计程序与内部控制的严重缺陷，注册会计师职业社会声誉受到巨大的冲击，引发了社会公众对注册会计师职业的热烈讨论和证券交易委员会（SEC）的严重关注。SEC根据专家的意见，对审计程序进行了修正，增加了对应收账款的询证、对存货实地盘点和对被审计人内部控制的详细评价等程序要求。美国会计师协会（AIA）也很快对罗宾斯公司案件作出了积极反应，任命了—个小型委员会负责“根据当前公众的讨论，研究审计程序和相关问题”。1939年1月30日， AIA正式建立了审计程序特别委员会(the Committee on Auditing Procedures)，提出了《审计程序扩展》，对存货实地盘点、应收账款查证、注册会计师的聘任和审计报告格式作了补充规定，并在行业内外发起了制定审计准则的广泛讨论。美国注册会计师协会(AICPA)审计程序委员会根据讨论的观点，于1947年l0月发表了题为《审计准则说明草案——其公认的意义和范围》的专题报告。该报告将审计程序定义为“应执行的审计行为”，而将审计准则界定为“衡量这些应执行的审计行为质量的尺度，是在办理审计手续时应达到的目标”。这样，就将“审计程序”和“审计准则”这两个极易混淆的概念区分开来，同时，该报告进一步从审计人员资格和审计执行与报告标准两大方面提出了九项公认审计准则，这九条和不久后增加的一条报告准则一直沿用到现在，成为美国一般公认审计准则(GAAS)中的主体，这就标志着独立审计准则的正式产生。[4] 此后，日本于l964年也制定了审计准则；国际会计师联合会(IFAC)下属的国际审计实务委员会于1980年起制定和颁布了国际审计准则；澳大利亚、加拿大、英国等主要西方国家目前也都已基本形成了各自的独立审计准则体系。
从独立审计准则的产生过程我们可以看出，独立审计准则是司法推动、公众参与、代表公众利益的政府部门SEC干预和注册会计师协会担纲综合作用的产物，是控制和衡量注册会计师审计服务质量的标准，其实质是社会公众（利益相关者）与注册会计师达成的社会化契约条款，是独立审计社会化契约的组成部分。 注册会计师提供的审计服务是一种无形商品，其质量和公众公司公开的会计信息一样，其质量并非一目了然，会计信息和审计鉴证都是高度复杂和专业化的产品，利益相关者与注册会计师掌握的审计质量信息处于严重不对称的状态，那么怎样才在供需双方约定审计服务的质量呢？人们通过总结历史的经验教训发现，一方面，通过制定审计程序规则，对注册会计师的审计行为，对审计过程进行控制，另一方面通过制定审计准则，确定衡量审计行为的标准，是约定审计服务质量切实可行的办法。因此，独立审计准则在性质上是一份约定注册会计师审计服务质量的契约条款。前面我们已经分析了，注册会计师独立审计是一个社会化契约，对独立审计质量的约定当然应该是这个社会化契约中的质量条款，这个质量条款从形式上看是注册会计师行业内部自己制定的，实质上是作为社会公众的利益相关者与注册会计师行业共同谈判的结果。首先，独立审计准则是在产生审计失败的典型事件后，在社会公众的广泛讨论中，司法推动下产生的，其内容本身就包含了社会公众的意志和要求；其次，独立审计准则是在代表公众利益的政府的干预下产生的，其内容体现了公众整体的要求，在实施的过程中随时受到政府有关部门的监督。第三，独立审计准则不断完善的过程是社会公众积极参与的过程，只有社会公众不断产生需求，推动政府加强对注册会计师行业的管制，才有独立审计准则的补充和完善，并逐渐走向标准化；注册会计师行业协会为了取得社会公众的信任，争取行业的发展空间，才不断完善独立审计准则。正是由于社会公众日益广泛和强化的参与，才极大地推动了注册会计师独立审计准则的发展，可以说，注册会计师独立审计准则的每一次补充，都是对社会公众参与的回应，是独立审计社会化契约质量条款的重签。
二、过错与违约
上面我们分析了独立审计准则的法律性质，认为独立审计准则是独立审计社会化契约中的质量条款，那么注册会计师违反独立审计准则，属于违反社会化契约的行为，这种违约行为是不是一定就有过错呢？相应地，是不是遵循了独立审计准则，注册会计师就一定没有过错呢？回答这些问题，必须分析过错与违约之间的关系。
传统民法中关于侵权责任的过错认定有主观过错说与客观过错说，[5] 对认定社会化契约责任的过错要素具有启发性，我们对此做一定理论借鉴，借此展开下面的论述。主观过错说认为，过错是指行为人所具有的一种应受非难的心理状态，也就是说行为人在心理上本应注意而不注意，以至于在伦理上道德上具有可受非难性。针对独立审计来说，过错是指注册会计师本来应该尽到职业合理的谨慎，而故意或者疏忽大意而没有尽到职业谨慎。主观过错说是基于人类具有善恶、是非判断和辨认能力的哲学思想而形成的，认为过错反映的是人的主观状态，与违约行为不同，后者是指人的行为，因此，过错与违约行为是构成违约责任的两个不同的要件。客观过错说是以某种行为标准来判定行为人有无过错，过错并非在于行为人的主观心理态度是否具备应受非难性，而在于其行为具有应受非难性，至于什么样的行为是过错，法学上假设了一个“合理人”，这个合理人基于一定的职业和一定的年龄应该具备相应的勤勉与谨慎，如果这个合理人违反了他应具有的勤勉谨慎的注意义务，所作的行为即为过错，显然客观过错说中含有法学中通称的严格责任或绝对责任的内容。
过错的主观说和客观说都失之偏颇，任何过错都是行为人的主观意志支配下的行为的过错，是主观心理的非难性与客观行为的违反的统一。只考虑人的外部行为，而不关注其主观状态，不但无法探知行为人的过错本质，而且将不适当的扩大行为人的责任；而人的主观状态只有通过行为表现出来，才能被外界所认识。因此，过错是行为人不但为了法律和道德上不被认可的行为，而且其行为在法律和道德上应受非难，应受到否定性的社会评价和法律价值判断。
从以上分析可以看出，注册会计师违反社会化契约的行为与注册会计师过错是两个既有密切联系，又不同质的概念，判断注册会计师的过错需要衡量其行为的规范性，但注册会计师行为的规范性不是判断注册会计师过错的唯一因素，还要根据具体状况，判断其行为是否应受社会道德和法律的非难。
而就独立审计准则的性质而言，单纯根据独立审计准则，既不能判定注册会计师违约也不能判定注册会计师过错。独立审计准则作为独立审计社会化契约的质量条款，是通过对注册会计师行为过程的控制来控制审计质量的，审计的过程并不等同于审计的结果，由于多方面的原因，即使注册会计师严格执行审计准则，也不能完全保证审计结果与实际状况没有差错。因此，是否遵循独立审计准则，是认定注册会计师是否遵守社会化契约约定的质量条款，既不能认定注册会计师是否遵守了社会化契约的所有条款而不构成违约，更不能认定注册会计师是否存在主观过错。要判断注册会计师违约和过错，必须把独立审计准则与其他相关条件结合起来。
三、独立审计准则作为法定过错判定标准的消极后果
把行为的正当性与行为人的主观过错挂钩，将过错作为确定违约行为的因素对待的，是英美法追究违约责任的通常做法，实质上是主张实行严格责任的归责原则。[6] 会计界坚持这种观点，在当前看似可以减轻注册会计师的责任负担，但从本质上看，是加重了注册会计师的责任。一般来讲，采用严格责任的归责原则比采用过错责任的归责原则，责任所承担的责任范围要大一些，而根据独立审计的法律关系，从法理上分析，注册会计师理应承担过错责任。我国的注册会计师行业恢复时间较短，行业的建设还处于审计服务的“初级阶段”，政府和社会公众对具有强烈专业背景的独立审计还不了解，在这些因素的综合下，我国的独立审计准则可能还比较落后，行业自律监管也不甚严格，于是给会计界产生一种幻觉，觉得如果把独立审计准则争取为判定注册会计师过错的法定标准，就可以减轻审计失败的责任，其实，我国的这种初级状况不可能也不允许保持太久，一方面，以注册会计师行业等中介服务为保证的现代经济，全球化趋向来势凶猛，我国已经加入WTO几年了，我国经济正迅速的溶入全球经济之中，作为经济鉴证行业，是不可能长期由国家提供壁垒保护的，注册会计师审计必须迅速与国际接轨，否则就只有遭淘汰的命运。注册会计师行业要与国际接轨，首先就要求独立审计准则达到国际水平。一旦我国的独立审计准则国际化后，我国现有注册会计师的水平很难达到“严格遵循独立审计准则”的标准，等着他们的是无穷无尽的诉讼，到那时才真正是注册会计师行业的灾难。另外，注册会计师行业监管也有加强的趋势。美国在安然、世通案后，颁布了Sarbanes-Oxley Act of 2002，法案规定成立独立于注册会计师协会的“公众公司会计监察委员会（PCAOB）”，负责监管执行公众公司审计的会计，该法案适用于为在美国上市的公司提供服务的外国会计师事务所及注册会计师。这个法案必将与美国许多相关制度一样，深刻影响世界各国，包括中国。
另一方面，我国独立审计准则国际化以后，经济发展水平并不能随之国际化，市场经济完善的程度不可能一夜之间也“国际化”了。面对千奇百怪的潜规则凌驾在规范的游戏规则之上的经济环境，即使是有能力遵循国际化独立审计准则的注册会计师，自己尽到了勤勉尽职的注意义务，也很难按照独立审计准则的要求，圆满完成独立审计业务；或者，完成一个独立审计业务需要付出委托人根本不愿承担的巨额审计成本。为了实现利害关系人可以接受的审计成果，面对两难困境，注册会计师往往会在超前的独立审计准则与实际经济环境中艰难地平衡和选择，以求达到各方都可以接受的次优解。这种次优解如果以“独立审计准则作为法定认定过错的标准”来衡量，勤勉尽责的注册会计师仍然会有“过错”，应当承担法律责任，势必造成注册会计师的“法律灾难”。

参考文献：

[1] 中华会计网校：《我国独立审计准则体系已经基本形成》( 2003-12-5 )，http://www.chinaacc.com/ new/2003_12%5C3120509572972.htm。
[2] 参见颜延：《从注册会计师的注意义务看独立审计准则的法律地位》，《会计研究》2003年第6期。
[3] 参见刘正峰：《独立审计准则的法律地位研究》，《中国法学》2002年第4期。
[4] 参见余玉苗等：《以史为镜——注册会计师职业发展史》，中国经济出版社1997年版，第52页。
[5] 王利明：《民商法研究》（第3辑），法律出版社2002年版，第681页。
[6] 王利明：《民商法研究》（第5辑），法律出版社2001年版，第453-454页。


欢迎联系：yifangxiao@hotmail.com

刍议我国网络隐私权的法律保护

廖善康


摘要：网络隐私权是随着网络时代的来临而兴起的一个新概念。但是由于我国在法律上对隐私权规定的较少，加之我国用户保护隐私权的意识淡薄，实践中用户网络隐私权被侵犯的现象越来越严重。侵权主体既有网络个人用户，也有网络经营商，还有设备供应商。其法律保护的途径就是完善关于隐私权保护的相关立法：一是在未来的民法典中明确隐私权的法律地位；二是制定单独的网络隐私权法；三是处理好与国际间的合作。

关键词：隐私权；个人信息数据；网络隐私权


Abstract: network privacy is with the advent of network and the rise of a new concept. But because of the provisions on privacy laws in China, and less of user privacy of users in practice, consciousness of network privacy invasion phenomenon is more and more serious. Tort subject both network individual users, also have the network operators, equipment suppliers. The legal protection of privacy protection is the perfect way about the relevant legislation: one is the future of the civil code in the legal status of privacy, Two separate network privacy is formulated, Three is to deal well with the international co-operation.

Keywords: Privacy; personal information data; network privacy


　　网络隐私权一般是指公民在网上享有私人信息和网上行踪依法受到保护，不被他人非法侵犯、知悉、搜集、复制、利用和公开的一种人格权。

一、我国法律对网络隐私权保护的现状

　　我国在上世纪的七十年代末八十年代初,才将隐私权和与之相关的一系列权利逐步开始规定在我国的宪法和其它的法律部门里。但至今为此，一直未将隐私权作为公民的一项独立的人格权予以保护，而只是简单地规定了与公民的隐私权有关的肖像权、名誉权。因此，我国对隐私权的保护采取的间接保护模式，这样所带来的结果是法律保护隐私权的实际效力减少，隐私权寻求法律保障的实际可诉性、可操作性大大降低，不利于受害者请求司法救济。涉及网络隐私权保护的相关规定过于笼统不便操作，根本无法为网络隐私权提供足够的保护。具体体现如下：1997年的《计算机信息网络国际联网安全保护管理办法》第7条规定：“用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定，利用国际联网便犯用户的通信自由和通信秘密。”该办法还列举了各种危害计算机信息网络安全的行为：未经允许，进入计算机信息网络或者使用计算机信息网络资源；未经允许，对计算机信息网络功能进行删除、修改或者增加；未经允许，对计算机信息网络中存储、处理或者传输的数据和应用程序进行侧除、修改或者增加；故意制作、传播计算机病毒等破坏性程序；其他危害计算机信息网络安全的行为。1998年的《计算机信息网络国际联网管理暂行规定实施办法》第18条规定：“不得擅自进入未经许可的计算机系统，篡改他人信息；不得在网络上散发恶意信息，利用他人名义发出信息，侵犯他人隐私。”2000年的《全国人大常委关于维护互联网安全的决定》规定：利用互联网侮辱他人或捏造事实诽谤他人及非法截获、篡改、删除他人的电子邮件或者其他数据资料，侵犯公民通信自由和通信秘密的，可以构成犯罪，依刑法追究刑事责任。2000年《互联网电子公告服务管理规定》规定：“电子公告服务提供者应当对上网用户的个人信息保密，未经上网用户同意，不得向他人泄露。”
　　上述这些规定只为网络隐私权提供了笼统地保护，不便于实际操作，因此，现实生活中也无法对公民的网络隐私权提供充分的保护，我国目前主要是通过行业自律的模式来保护网络隐私权。但是，这种模式在我国的效果并不理想，加之我国公民对于个人隐私权的保护意识不强，致使公民网络隐私权被侵犯的现象越来越严重，具体体现在如下三方面：

（一）用户个人侵犯网络隐私权的表现

1、在网络上擅自公布、传播他人隐私。隐私权人对自己的隐私享有隐瞒权，同时也享有维护权。在网络上擅自公布、传播他人隐私的实质侵犯了公民的网络隐私权。在网络上公布、传播他人隐私比起传统的电视、广播、报纸、杂志等大众媒体不但成本低廉，而且传播面更广，传播速度更快，造成的后果也更为严重。如，2008年年初在互联网上炒得沸沸扬扬的“艳照门事件”就是一例典型的擅自公布他人隐私的恶性事件。好事之徒将他人的不雅照片上传到网络，致使成千上万的网民可以通过下载和在线的方式浏览。这一做法给当事人造成了巨大的身心痛苦，严重侵害了当事人的隐私权。

2、个人未经授权进入他人系统收集他人的个人信息数据。这类“侵权者”大多是黑客（hacker），他们可以利用各种技术手段窃取和篡改网络用户的私人信息，被侵权者几乎无法发现或知道黑客身份。当前黑客(hacker)侵入他人电脑,攻击他人网站,窃取、传播和篡改个人信息数据的事例屡见不鲜,对公民个人的网络隐私权构成极大的威胁。其侵权行为具体表现在破坏他人通信内容的安全(如偷偷打开用户发送的邮件，浏览个人信息)、个人数据资料的安全(侵入系统进行破坏，致使系统瘫痪、数据丢失)。黑客行为不但是对网络用户个人信息数据的侵犯,也对储存在政府或私人机构数据库中的个人数据构成威胁。

（二）网络经营者侵犯网络隐私权的表现

1、滥用Cookie非法获取、利用他人的隐私。几乎所有的大型网站为协助网络用户能更方便地浏览网站内容，并了解网络用户利用该网站的基本资讯，都会利用一种称为Cookie的技术，以便准确而及时的收集网络用户的信息。
　　Cookie为互联网带来极大便利的同时，也严重威胁着网络用户的隐私权。网络用户在浏览网页时可能并不希望他人知晓自己的兴趣、爱好等，但是网络用户却很少有选择的权利。如果在电脑中设置禁止使用Cookie，就无法享有网站的个性化服务，有些网站甚至无法登陆。大多数网站在收集个人信息时并不履行告知义务，网络用户无法得知个人信息数据正在被收集。个人信息数据经整理分析后，具有巨大的商业价值，网站可以用于推销自己的产品，或与其它商家进行数据交换，但是如果是未经同意的，这些做法就侵犯了用户的网络隐私权。
2、利用搜索引擎侵犯网络隐私权。对于大多数的用户来说，搜索引擎已成为网上冲浪不可或缺的工具，它使用户与任何问题的答案之间的距离变得只有单击一下鼠标那么近。中国互联网络信息中心(CNNIC)发布的《2008年中国搜索用户行为研究报告》显示，截至2008年底，中国搜索引擎用户规模达到2.03亿人，年增长率达33.6%。95%以上的搜索用户在搜索时都会有习惯使用的关键词类型。但是，搜索引擎同样存在着侵害用户网络隐私权的问题。以Google为例，Google也向所有登录其网页的用户发送Cookie文件，它还记录每一个网民在其上面搜索时提交的“关键词”。除此之外，Google还利用工具条对网民浏览过的每一个页面进行监视，而且当Google发布工具条的新版本时，它会悄悄地进入用户的电脑，直接对Google工具条进行升级。[5]这些行为都是对公民网络隐私权的侵害。

（三）设备供应商侵犯网络隐私权的表现

　　部分软硬件设备供应商在自己销售的产品中埋下伏笔，对消费者的个人信息数据进行收集。据报道，微软的Windows98系统在办公软件word和Excel文件上生成包含用户计算机信息的唯一的确认号码，通过这个“后门程序”，导致用户信息在不知不觉中进入了微软数据库。Intel公司则在其奔腾m处理器芯片上加上可进行远程识别的序列码，使用户私人信息可能受到不适当的跟踪。设备供应商开发出的各种互联网跟踪工具已经得到普遍应用，使得人们在网上的各种活动处于“网络侦探”的窥探之下，根本毫无隐私可言。如2008年广州和深圳发生的“资料门事件”。据报道，众为公司开发的一款名叫“亿家通”的物业管理软件，从2007年3、4月开始在广州各大楼盘“免费试用”。这种软件只要一连通到物业的信息库，所有存档的业主资料就会自动地“输出”到众为公司。而在这些资料中，包括业主的具体住址、手机号码，甚至身份证号码以及拥有几套房产等内容。按照报料人提供的资料显示，众为公司的内部数据库已经记录了包括北京、上海、广州和深圳四地886个小区近150万户业主的家庭和个人资料，其中广州、深圳有上百万业主资料。

二、保护公民网络隐私权的法律途径

　　由于网络信息传输的速度快，公民的个人隐私一旦被发布在网络上，可能在短短几个小时的时间内，世界各地的人们都会知晓。即使删除了，人们也可以通过转载的方式在短时间内把信息发布到世界各地，当事人即使采取了有效的措施也可能无法控制侵害的扩大。如，2008年发生的“艳照门”事件。虽然我国香港地区的有关部门已经采取措施制止事态的进一步恶化，但是照片已经被转载数次，有些已发布在世界各地的网站上。我国香港地区的有关部门可以采取要求在港注册的网站撤下照片、视屏等信息，禁止转载等措施，但是很多在国外注册的网站也刊载了相关内容，有关“艳照门”的私人信息已经无法避免的被公众知晓。因此，侵犯网络隐私权造成的后果比侵犯传统隐私权的后果更为严重，网络侵权问题不仅涉及到对网络用户隐私权等诸多权益的保护，而且关系到网络业界和整个信息产业的发展。因此，在我国提出构建社会主义和谐社会及“消费发展”的倡议下，从完善立法的角度对用户的网络隐私权予以确认，并制定、完善网络空间法律制度，对用户的网络隐私权予以有力、有效的保护则显得尤为迫切。

（一）在未来的民法典中明确隐私权的法律地位

　　如前所述，由于我国民法并未承认隐私权的独立人格权的法律地位，这就造成了网络隐私权保护的底气不足，对网络隐私权的立法依据也不足。参照国际上对隐私权进行直接保护的通行做法，我国在对网络隐私权的保护进行立法规制之前，应当首先在民法中明确隐私权的应有地位，对隐私权定义、内容、侵权、行为、责任构成及责任承担明确规定。这一方面既可以化解目前隐私权所处的尴尬境地，另一方面又有利于增强公民对一般隐私权保护的意识。

（二）制定相关的网络隐私权保护法

　　由于《民法典》涉及的内容较多，不可能对网络隐私权的保护详加规定，为此需要制定一部专门的保护网络隐私权的法律。有的学者倾向于在不同的法规中对网络个人隐私权进行保护的分散立法体系，[7]从国外的情况来看，在网络空间这一具体领域如何对隐私权加以保护在理论上尚未形成统一的观点，在立法及实践中，有的国家通过扩大对隐私权保护的司法解释和创设判例对网上隐私权加以保护；有的国家则通过制定单行特别法的方式对网上隐私权加以保护，如英国的《数据保护法》，瑞士的《数据保护法》，瑞典的《数据法》。借鉴西方国家的一些立法实践，我国也应在《民法典》之下，制定专门的保护网络隐私权的单行特别法—《个人信息数据保护法》或《网络隐私权保护法》。