個人信息保護合規(guī)審計的理論邏輯與制度構建
網(wǎng)絡安全與數(shù)據(jù)治理
王沖
清華大學法學院,北京100084
摘要: 個人信息保護合規(guī)審計制度不僅是個人信息處理者的法定義務,同時其預防型免責的功能也有助于激勵個人信息處理者合理規(guī)避法律風險、主動提升個人信息保護能力、推動監(jiān)管模式轉型背景下政府監(jiān)管與企業(yè)自律協(xié)同進行。《個人信息保護法》規(guī)定了“自主審計+強制審計”雙層審計模式,《個人信息保護合規(guī)審計管理辦法(征求意見稿)》為合規(guī)審計的落地提供了重要依據(jù),但仍在制度銜接、法律效力、審計工作開展等方面留有空白。個人信息保護合規(guī)審計在風險內(nèi)涵上應兼顧個人信息保護風險和合規(guī)風險,并與個人信息保護影響評估、算法審計等制度在適用情形、目的、內(nèi)容等方面明確區(qū)分。為個人信息保護合規(guī)審計的有效性,審計制度既需要關注審計原則、審計準備、審計依據(jù)、審計方式、審計內(nèi)容、審計結論等體系化的制度建設,同時也需要考慮審計活動實際開展過程中,審計原則的落實、審計清單的制定、審計依據(jù)的選擇、審計結論的應用等關鍵事項。
中圖分類號:D922 16;F239.6文獻標識碼:ADOI:10.19358/j.issn.2097-1788.2024.01.009
引用格式:王沖.個人信息保護合規(guī)審計的理論邏輯與制度構建[J].網(wǎng)絡安全與數(shù)據(jù)治理,2024,43(1):65-72,
引用格式:王沖.個人信息保護合規(guī)審計的理論邏輯與制度構建[J].網(wǎng)絡安全與數(shù)據(jù)治理,2024,43(1):65-72,
Theoretical logic and system construction of personal information protection compliance audit
Wang Chong
School of Law, Tsinghua University, Beijing 100084, China
Abstract: Personal information protection compliance audit is not only a legal obligation for personal information processors, but also its preventive exemption function helps to incentivize personal information processors to reasonably avoid legal risks, improve personal information protection capabilities proactively, and promote the synergy between government supervision and enterprise selfdiscipline in the context of regulatory model transformation. The Personal Information Protection Law provides for a twotier audit model of "autonomous audit+mandatory audit", and the Administrative Measures for Personal Information Protection Compliance Audit (Draft for Comments) provides an important basis for the implementation of compliance audit, but there are still gaps in terms of system connection, legal effect, and the conduct of audit.
Key words : personal information protection compliance audit; risk assessment; autonomous audit; mandatory audit
個人信息保護合規(guī)審計的內(nèi)涵個人信息保護合規(guī)審計是指基于審計材料對個人信息處理者遵守法律、行政法規(guī)等規(guī)范的情況進行評估審查的活動。11風險內(nèi)涵《個人信息保護法》中“風險”一詞出現(xiàn)了多次,但并未明確其概念屬于個人信息保護風險還是合規(guī)風險。個人信息保護風險是指個人信息處理可能具有的屬性(如處理范圍、處理性質、處理類型等)對數(shù)據(jù)主體造成損害的可能性。這一風險概念在美國國家標準與技術研究院(NIST)2017年提出的隱私管理框架(Privacy Engineering and Risk Management, NIST 8062)中也有所體現(xiàn),該框架規(guī)定其目標是以“能夠設置適當?shù)目刂拼胧┮詼p輕潛在問題”,即關注數(shù)據(jù)處理對數(shù)據(jù)主體造成的損害[1]。相比于個人信息保護風險,合規(guī)風險則指個人信息處理者遵守個人信息保護相關的法律法規(guī)可能存在的風險。
作者信息:
王沖 (清華大學法學院,北京100084)
文章下載地址:http://m.viuna.cn/resource/share/2000005893
此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權禁止轉載。