個人信息保護合規審計的理論邏輯與制度構建
網絡安全與數據治理
王沖
清華大學法學院,北京100084
摘要: 個人信息保護合規審計制度不僅是個人信息處理者的法定義務,同時其預防型免責的功能也有助于激勵個人信息處理者合理規避法律風險、主動提升個人信息保護能力、推動監管模式轉型背景下政府監管與企業自律協同進行。《個人信息保護法》規定了“自主審計+強制審計”雙層審計模式,《個人信息保護合規審計管理辦法(征求意見稿)》為合規審計的落地提供了重要依據,但仍在制度銜接、法律效力、審計工作開展等方面留有空白。個人信息保護合規審計在風險內涵上應兼顧個人信息保護風險和合規風險,并與個人信息保護影響評估、算法審計等制度在適用情形、目的、內容等方面明確區分。為個人信息保護合規審計的有效性,審計制度既需要關注審計原則、審計準備、審計依據、審計方式、審計內容、審計結論等體系化的制度建設,同時也需要考慮審計活動實際開展過程中,審計原則的落實、審計清單的制定、審計依據的選擇、審計結論的應用等關鍵事項。
中圖分類號:D922 16;F239.6文獻標識碼:ADOI:10.19358/j.issn.2097-1788.2024.01.009
引用格式:王沖.個人信息保護合規審計的理論邏輯與制度構建[J].網絡安全與數據治理,2024,43(1):65-72,
引用格式:王沖.個人信息保護合規審計的理論邏輯與制度構建[J].網絡安全與數據治理,2024,43(1):65-72,
Theoretical logic and system construction of personal information protection compliance audit
Wang Chong
School of Law, Tsinghua University, Beijing 100084, China
Abstract: Personal information protection compliance audit is not only a legal obligation for personal information processors, but also its preventive exemption function helps to incentivize personal information processors to reasonably avoid legal risks, improve personal information protection capabilities proactively, and promote the synergy between government supervision and enterprise selfdiscipline in the context of regulatory model transformation. The Personal Information Protection Law provides for a twotier audit model of "autonomous audit+mandatory audit", and the Administrative Measures for Personal Information Protection Compliance Audit (Draft for Comments) provides an important basis for the implementation of compliance audit, but there are still gaps in terms of system connection, legal effect, and the conduct of audit.
Key words : personal information protection compliance audit; risk assessment; autonomous audit; mandatory audit
個人信息保護合規審計的內涵個人信息保護合規審計是指基于審計材料對個人信息處理者遵守法律、行政法規等規范的情況進行評估審查的活動。11風險內涵《個人信息保護法》中“風險”一詞出現了多次,但并未明確其概念屬于個人信息保護風險還是合規風險。個人信息保護風險是指個人信息處理可能具有的屬性(如處理范圍、處理性質、處理類型等)對數據主體造成損害的可能性。這一風險概念在美國國家標準與技術研究院(NIST)2017年提出的隱私管理框架(Privacy Engineering and Risk Management, NIST 8062)中也有所體現,該框架規定其目標是以“能夠設置適當的控制措施以減輕潛在問題”,即關注數據處理對數據主體造成的損害[1]。相比于個人信息保護風險,合規風險則指個人信息處理者遵守個人信息保護相關的法律法規可能存在的風險。
作者信息:
王沖 (清華大學法學院,北京100084)
文章下載地址:http://www.jysgc.com/resource/share/2000005893
此內容為AET網站原創,未經授權禁止轉載。