《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 其他 > 設(shè)計(jì)應(yīng)用 > 個(gè)人信息保護(hù)合規(guī)審計(jì)的理論邏輯與制度構(gòu)建
個(gè)人信息保護(hù)合規(guī)審計(jì)的理論邏輯與制度構(gòu)建
網(wǎng)絡(luò)安全與數(shù)據(jù)治理
王沖
清華大學(xué)法學(xué)院,北京100084
摘要: 個(gè)人信息保護(hù)合規(guī)審計(jì)制度不僅是個(gè)人信息處理者的法定義務(wù),同時(shí)其預(yù)防型免責(zé)的功能也有助于激勵(lì)個(gè)人信息處理者合理規(guī)避法律風(fēng)險(xiǎn)、主動(dòng)提升個(gè)人信息保護(hù)能力、推動(dòng)監(jiān)管模式轉(zhuǎn)型背景下政府監(jiān)管與企業(yè)自律協(xié)同進(jìn)行?!秱€(gè)人信息保護(hù)法》規(guī)定了“自主審計(jì)+強(qiáng)制審計(jì)”雙層審計(jì)模式,《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法(征求意見稿)》為合規(guī)審計(jì)的落地提供了重要依據(jù),但仍在制度銜接、法律效力、審計(jì)工作開展等方面留有空白。個(gè)人信息保護(hù)合規(guī)審計(jì)在風(fēng)險(xiǎn)內(nèi)涵上應(yīng)兼顧個(gè)人信息保護(hù)風(fēng)險(xiǎn)和合規(guī)風(fēng)險(xiǎn),并與個(gè)人信息保護(hù)影響評(píng)估、算法審計(jì)等制度在適用情形、目的、內(nèi)容等方面明確區(qū)分。為個(gè)人信息保護(hù)合規(guī)審計(jì)的有效性,審計(jì)制度既需要關(guān)注審計(jì)原則、審計(jì)準(zhǔn)備、審計(jì)依據(jù)、審計(jì)方式、審計(jì)內(nèi)容、審計(jì)結(jié)論等體系化的制度建設(shè),同時(shí)也需要考慮審計(jì)活動(dòng)實(shí)際開展過程中,審計(jì)原則的落實(shí)、審計(jì)清單的制定、審計(jì)依據(jù)的選擇、審計(jì)結(jié)論的應(yīng)用等關(guān)鍵事項(xiàng)。
中圖分類號(hào):D922 16;F239.6文獻(xiàn)標(biāo)識(shí)碼:ADOI:10.19358/j.issn.2097-1788.2024.01.009
引用格式:王沖.個(gè)人信息保護(hù)合規(guī)審計(jì)的理論邏輯與制度構(gòu)建[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2024,43(1):65-72,
Theoretical logic and system construction of personal information protection compliance audit
Wang Chong
School of Law, Tsinghua University, Beijing 100084, China
Abstract: Personal information protection compliance audit is not only a legal obligation for personal information processors, but also its preventive exemption function helps to incentivize personal information processors to reasonably avoid legal risks, improve personal information protection capabilities proactively, and promote the synergy between government supervision and enterprise selfdiscipline in the context of regulatory model transformation. The Personal Information Protection Law provides for a twotier audit model of "autonomous audit+mandatory audit", and the Administrative Measures for Personal Information Protection Compliance Audit (Draft for Comments) provides an important basis for the implementation of compliance audit, but there are still gaps in terms of system connection, legal effect, and the conduct of audit.
Key words : personal information protection compliance audit; risk assessment; autonomous audit; mandatory audit

個(gè)人信息保護(hù)合規(guī)審計(jì)的內(nèi)涵個(gè)人信息保護(hù)合規(guī)審計(jì)是指基于審計(jì)材料對(duì)個(gè)人信息處理者遵守法律、行政法規(guī)等規(guī)范的情況進(jìn)行評(píng)估審查的活動(dòng)。11風(fēng)險(xiǎn)內(nèi)涵《個(gè)人信息保護(hù)法》中“風(fēng)險(xiǎn)”一詞出現(xiàn)了多次,但并未明確其概念屬于個(gè)人信息保護(hù)風(fēng)險(xiǎn)還是合規(guī)風(fēng)險(xiǎn)。個(gè)人信息保護(hù)風(fēng)險(xiǎn)是指?jìng)€(gè)人信息處理可能具有的屬性(如處理范圍、處理性質(zhì)、處理類型等)對(duì)數(shù)據(jù)主體造成損害的可能性。這一風(fēng)險(xiǎn)概念在美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)2017年提出的隱私管理框架(Privacy Engineering and Risk Management, NIST 8062)中也有所體現(xiàn),該框架規(guī)定其目標(biāo)是以“能夠設(shè)置適當(dāng)?shù)目刂拼胧┮詼p輕潛在問題”,即關(guān)注數(shù)據(jù)處理對(duì)數(shù)據(jù)主體造成的損害[1]。相比于個(gè)人信息保護(hù)風(fēng)險(xiǎn),合規(guī)風(fēng)險(xiǎn)則指?jìng)€(gè)人信息處理者遵守個(gè)人信息保護(hù)相關(guān)的法律法規(guī)可能存在的風(fēng)險(xiǎn)。


作者信息:

王沖 (清華大學(xué)法學(xué)院,北京100084)


文章下載地址:http://ihrv.cn/resource/share/2000005893


weidian.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。