《数字服务法》下的独立审计委托监管

欧洲人委员会 布鲁塞尔，20.10. 2023 C（2023）6807最 终 委员会授权规例(欧盟).../... of20.10.2023 补充欧洲议会和欧盟法规(EU)2022/2065 理事会，通过制定有关大型在线审计绩效的规则 平台和非常大的在线搜索引擎 ENEN 解释备忘录 1.授权法案的上下文 2022年11月16日，欧洲议会条例（EU）2022/2065理事会（《数字服务法》）1生效。该法规提供了统一的适用于联盟提供的所有在线中介服务的法律框架和 寻求创造一个更安全的数字空间，在这个空间中，所有数字用户的基本权利服务受到保护。 法规（EU）2022/2065包括对非常大的提供者的特殊义务在线平台和大型在线搜索引擎，与其特定角色相称 andsocietalimpactintheUnion.Itimposesseveralobligationsonsuchproviderstoincrease 他们的公共问责制，包括发布内容透明度报告的义务节制，维护公共广告存储库，提供特权访问 为经过审查的研究人员提供数据，并发布关于风险评估和风险的报告 缓法解规措（施E。U）2022/2065第37条要求非常大型在线平台的提供商 (“VLOP”)和非常大的在线搜索引擎(“VLOSE”)使自己服从年度独立审计，以评估其遵守义务条例（欧盟） 2022/2065强加给他们，并根据以下守则作出任何承诺 根据该条例第45、46和48条通过的行为和危机协议。独立审计在加强对 提供者通过向公众和监管机构提供对这些提供商遵守其在法规(EU)下的义务和承诺 2022/2065. 根据(EU)2022/2065号条例第37(7)条，委员会有权通过制定必要的规则来补充该法规 审计的绩效，特别是在程序步骤、审计方法和所执行审计的报告模板。 鉴于独立审计的重要性，以确保彻底和强有力的审查提供商VLOP和VLOSE遵守法规(EU)2022/2065， Commissionhasprioritizedissuingthisdelegatedact.Thisdelegatedactprovidesa 框架，以指导VLOP和VLOSE的提供者和审计组织编制和发布审计报告和审计实施报告。 此类报告的公布应带来透明度的逐步变化，并 此类提供者的问责制，并应为公众审查提供比较基础。审计报告也应该是委员会和数字的宝贵信息来源 法规框架下的服务协调员和其他主管当局 (EU)2022/2065. 本授权法案中规定的规则考虑到了方法的多样性，这些方法需要由审计组织根据每个被审计组织的具体情况进行部署 服务和法规（EU）2022/2065下的每种义务。这些规则允许并要求审计特别适应被审计的特定服务的性质，以及 它固有的风险，例如在网上销售非法商品 市场，在社交网络上传播不同类型的非法内容 1OJL277,27.10.2022,p.1 服务或搜索引擎的特定性质。这些规则应该提供足够的在执行精确测试和实质性测试方面发展良好做法的灵活性分析程序，同时确保审计程序的严谨性和准确性 从这些规则的应用开始。 此委托行为为受审计的提供者提供了与范围有关的必要规则审计，包括保证水平，以确保最高水平的严谨性和深度审计组织所做的分析，即合理的保证水平。它也奠定了 制定审计准备的程序规则，明确两者之间的关系 审计师和被审计的提供者，并促进审计师的适当选择。 为了确保在最合适的信息基础上进行审计，本委托行为指定经审计的提供者应提供给 审计师在审计开始时，在审计师开始调查和方法的设计。 迎合法规（EU）下合规审核的新颖性和创新性 2022/2065年，本授权法案规定了选择审计、程序和审计方法的选择。它为审计组织设置了一系列步骤 承担，从评估审计风险开始，然后为 为审计师的每个审计程序设计和选择适当的方法应适用于评估法规(欧盟)中个人义务的遵守情况 2022/2065和适用的行为准则，根据该条例第45和46条 和危机协议符合该条例第48条。这一委托行为 澄清审计报告中提出的评估的详细程度：审计师应对每项义务和承诺的遵守情况得出结论，并制定 关于遵守法规（EU）2022/2065的审计意见和审计意见遵守每个行为准则和危机协议。 应特别注意算法系统的审计方法， 根据条例(EU)2022/2065通过几项规定全面风险评估的披露要求，包括专门评估 在部署新功能之前。在这方面，审计组织应该建立评估技术绩效和社会绩效的必要专业知识和工具 快速发展的算法系统的设计和功能的含义。 评估风险评估和风险合规性时需要分析的重要因素缓解义务特别是算法系统，如广告系统， 内容审核技术、推荐系统和其他使用的功能 在线平台和搜索引擎依赖于生成模型等新技术。 鉴于对VLOP和VLOSE提供者施加的某些义务的重要性 条例(欧盟)2022/2065，以及为两位审计师承担的这些义务的新颖性以及这些提供者，这一授权法案为审计这些义务提供了指导， 包括风险评估和风险缓解义务。因为独立审计也 涵盖对遵守行为守则规定的自愿承诺的评估，以及危机协议，适当的做法是进一步规范审计 一旦行为准则和危机协议，组织就应该履行这些承诺根据法规（EU）2022/2065建立。 最后，这一委托行为旨在通过以下方式确保审计的完整性和可比性设置审计报告和审计实施报告的模板。 独立审计的某些方面没有受到规范 Thisdelegatedact,butareimportantelementsofsuchaudits.Inparticular,compliance 官员，VLOP和VLOSE的提供者必须任命这些官员作为其义务的一部分根据条例(EU)2022/2065第41条建立合规职能，发挥 在审计组织中特别重要的作用。为了正确执行他们的任务，合规官员应收到所有必要的文件和信息以进行评估 被审计的提供者是否适当地遵守了独立性要求在选择审计组织时。 VLOP和VLOSE提供者发布审计报告和审计的义务实施报告也不受此委托法案的约束，但在 特别是在(EU)2022/2065号条例第42(3)条中。将服务指定为VLOP或VLOSE应在一年内完成 向被审计提供者申请义务的日期。 审计报告完成后，审计组织应将其发送给被审计的 provider,togetherwithitsallannexes.Atthelatestonemonthafterithasreceivedthefinal 审计报告，被审计的提供商应将其传送给其数字服务协调员会员国的设立国和委员会不得无故拖延。 被审计的提供者应同时发布该报告和审计实施报告 符合(EU)2022/2065号条例第42条第4款要求的所有报告，最迟在自收到审计组织的审计报告之日起三个月， Aeasilyaccessiblesectionofitsonlineinterface.InaccordancewithArticle42(5)of 法规（EU）2022/2065，被审计的提供商可以从如果它认为发布该信息可能会导致 披露与其或其服务接收者有关的机密信息， 可能会对其服务的安全性造成重大漏洞，可能会破坏公共安全，或可能损害收件人。 虽然此委托行为的范围仅限于根据第37条进行的审计 条例（EU）2022/2065，委员会可以考虑其部分或全部规定适用于根据第72(1)或75(2)条要求的审计 条例，在不影响委员会酌情决定为 根据这些规定通过个人决定执行的审计。 根据(EU)2022/2065号条例第75(2)条进行的审计在任何情况下都应应按照该法规第37（3）和（4）条进行，因此 遵守本授权法案的规定，补充和进一步规定条款。 这项授权法案为执行独立审计和 可以在必要时通过关于流程、方法和模板，或者可以进一步伴随着第 （EU）2022/2065号法规的44（1）点（e）。欧盟委员会的其他指导可能是与审计师的绩效相关，例如通过直接参与或 针对法规(EU)2022/2065的具体规定发布的正式指南。 2.在通过该法案之前的协商 在过去几年，委员会组织了公众咨询，收集来自广泛的不同利益相关者，包括数字服务提供商，如在线平台提供商和其他中介服务提供商，企业交易 在线、媒体出版商、品牌所有者和其他企业、社会合作伙伴、数字服务，民间社会组织，国家当局，学者，技术 社区、国际组织和公众。磋商在 通过(EU)2022/2065号条例的准备步骤告知了这项授权法案的准备工作。 此外，委员会与专门的利益攸关方进行了有针对性的磋商 审计领域，以收集进一步的技术观点，并确定将受益的领域 fromfurtherclaricitythroughthisdelegatedact.Consultationstookplacewithexpertsfrom 审计服务、学者、民间社会行为者和中介服务提供商。咨询还涉及专门关注审计算法系统的专家。 此外，委员会公布了这项授权法案的草案，供公众反馈 2023年5月5日至2023年6月2日。收到了来自不同利益相关者的44份答复基地，包括审计组织、指定VLOP和VLOSE的提供商、业务 协会、民间社会和学术界。 受访者赞赏委员会对这一委托行为的优先次序。许多人提供了对授权法案草案中关于时间的选择的反馈，以及 审计中的技术方面。利益相关者也欢迎这一事实委员会在审计的细节上偏离了过于规范的方法应该进行。 Stakeholdersgenerallyagreedoncertainareasthatwouldbenefitfromclarifications.These 包括保证水平，其中咨询各方一致提出 “合理的保证水平”，还有利益相关者要求的审计意见 关于“积极”、“积极与评论”的实际和法律影响的信息 'negative'auditopinion.SomeauditingorganisationsandprovidersofdesignatedVLOP 和VLOSE在提交给公众的反馈意见中标记了 按照法规（EU）2022/2065要求的稳健性标准进行审计将很困难并由授权法案草案详细说明。他们强调了时间安排上的困难 要求，以合理的水平进行第一次审计的复杂性保证，或审计意见和结论的详细方法，表达偏爱总体意见。一些大型审计组织也表达了 preferenceforapplicationexistingauditstandards.SomeprovidersofdesignatedVLOPandVLOSEs要求进行“时间点”审计，而不是完整的审计。民间社会 组织指出，包括在初步咨询步骤中，稳健性，审计的完整性和粒度对于独立审计是重要的 强大的问责工具，符合欧盟(EU)2022/2065条例的要求。 有人提出建立遵约“基准”是为了进一步明确 wasneeded.Auditingorganisationsalsoflaggedthedifficultinestablishingindependently 审计标准，在供应商或第三方没有提供基准的情况下，强调对结果可比性的担忧和对独立性的可能妥协 审计组织。一些受访者表示，审计标准也可以建立独立于第三方，可能通过标准化行动。一些审计师 表达了他们希望不太详细的审计报告，而其他受访者则表示在出版之前没有广泛编辑的综合报告的重要性。 利益相关者还指出了潜在的侧翼措施，例如开发审计基础设施或标准。 这一委托行为解决了利益相关者提出的要点，同时保留了严格执行条例(EU)2022/2065要求的审计。 3.授权法案的法律要素 第一节规定了一般规定，即委托行为的主题 （第1条），关键术语的定义（第2条），以及审计的范围，包括保证水平(第3条)。 第二节载有与进行审计的组织有关的规定。它包括审计组织的选择过程(第4条)，并规定了 澄清被审计人员之间合作和协助条款的程序提供者和审计组织(第5条)。 第三节规定了执行审计的规则。它建立了 授权法案附件中规定的审计报告和审计执行报告 （第6条），并规定了准备审计的程序