《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 其他 > 設(shè)計應(yīng)用 > 個人信息保護合規(guī)審計的理論邏輯與制度構(gòu)建
個人信息保護合規(guī)審計的理論邏輯與制度構(gòu)建
網(wǎng)絡(luò)安全與數(shù)據(jù)治理
王沖
清華大學(xué)法學(xué)院,北京100084
摘要: 個人信息保護合規(guī)審計制度不僅是個人信息處理者的法定義務(wù),同時其預(yù)防型免責(zé)的功能也有助于激勵個人信息處理者合理規(guī)避法律風(fēng)險、主動提升個人信息保護能力、推動監(jiān)管模式轉(zhuǎn)型背景下政府監(jiān)管與企業(yè)自律協(xié)同進行?!秱€人信息保護法》規(guī)定了“自主審計+強制審計”雙層審計模式,《個人信息保護合規(guī)審計管理辦法(征求意見稿)》為合規(guī)審計的落地提供了重要依據(jù),但仍在制度銜接、法律效力、審計工作開展等方面留有空白。個人信息保護合規(guī)審計在風(fēng)險內(nèi)涵上應(yīng)兼顧個人信息保護風(fēng)險和合規(guī)風(fēng)險,并與個人信息保護影響評估、算法審計等制度在適用情形、目的、內(nèi)容等方面明確區(qū)分。為個人信息保護合規(guī)審計的有效性,審計制度既需要關(guān)注審計原則、審計準(zhǔn)備、審計依據(jù)、審計方式、審計內(nèi)容、審計結(jié)論等體系化的制度建設(shè),同時也需要考慮審計活動實際開展過程中,審計原則的落實、審計清單的制定、審計依據(jù)的選擇、審計結(jié)論的應(yīng)用等關(guān)鍵事項。
中圖分類號:D922 16;F239.6文獻標(biāo)識碼:ADOI:10.19358/j.issn.2097-1788.2024.01.009
引用格式:王沖.個人信息保護合規(guī)審計的理論邏輯與制度構(gòu)建[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2024,43(1):65-72,
Theoretical logic and system construction of personal information protection compliance audit
Wang Chong
School of Law, Tsinghua University, Beijing 100084, China
Abstract: Personal information protection compliance audit is not only a legal obligation for personal information processors, but also its preventive exemption function helps to incentivize personal information processors to reasonably avoid legal risks, improve personal information protection capabilities proactively, and promote the synergy between government supervision and enterprise selfdiscipline in the context of regulatory model transformation. The Personal Information Protection Law provides for a twotier audit model of "autonomous audit+mandatory audit", and the Administrative Measures for Personal Information Protection Compliance Audit (Draft for Comments) provides an important basis for the implementation of compliance audit, but there are still gaps in terms of system connection, legal effect, and the conduct of audit.
Key words : personal information protection compliance audit; risk assessment; autonomous audit; mandatory audit

個人信息保護合規(guī)審計的內(nèi)涵個人信息保護合規(guī)審計是指基于審計材料對個人信息處理者遵守法律、行政法規(guī)等規(guī)范的情況進行評估審查的活動。11風(fēng)險內(nèi)涵《個人信息保護法》中“風(fēng)險”一詞出現(xiàn)了多次,但并未明確其概念屬于個人信息保護風(fēng)險還是合規(guī)風(fēng)險。個人信息保護風(fēng)險是指個人信息處理可能具有的屬性(如處理范圍、處理性質(zhì)、處理類型等)對數(shù)據(jù)主體造成損害的可能性。這一風(fēng)險概念在美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)2017年提出的隱私管理框架(Privacy Engineering and Risk Management, NIST 8062)中也有所體現(xiàn),該框架規(guī)定其目標(biāo)是以“能夠設(shè)置適當(dāng)?shù)目刂拼胧┮詼p輕潛在問題”,即關(guān)注數(shù)據(jù)處理對數(shù)據(jù)主體造成的損害[1]。相比于個人信息保護風(fēng)險,合規(guī)風(fēng)險則指個人信息處理者遵守個人信息保護相關(guān)的法律法規(guī)可能存在的風(fēng)險。


作者信息:

王沖 (清華大學(xué)法學(xué)院,北京100084)


文章下載地址:http://ihrv.cn/resource/share/2000005893


weidian.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。