个人信息保护合规审计的理论逻辑与制度构建
网络安全与数据治理
王冲
清华大学法学院,北京100084
摘要: 个人信息保护合规审计制度不仅是个人信息处理者的法定义务,同时其预防型免责的功能也有助于激励个人信息处理者合理规避法律风险、主动提升个人信息保护能力、推动监管模式转型背景下政府监管与企业自律协同进行。《个人信息保护法》规定了“自主审计+强制审计”双层审计模式,《个人信息保护合规审计管理办法(征求意见稿)》为合规审计的落地提供了重要依据,但仍在制度衔接、法律效力、审计工作开展等方面留有空白。个人信息保护合规审计在风险内涵上应兼顾个人信息保护风险和合规风险,并与个人信息保护影响评估、算法审计等制度在适用情形、目的、内容等方面明确区分。为个人信息保护合规审计的有效性,审计制度既需要关注审计原则、审计准备、审计依据、审计方式、审计内容、审计结论等体系化的制度建设,同时也需要考虑审计活动实际开展过程中,审计原则的落实、审计清单的制定、审计依据的选择、审计结论的应用等关键事项。
中图分类号:D922 16;F239.6文献标识码:ADOI:10.19358/j.issn.2097-1788.2024.01.009
引用格式:王冲.个人信息保护合规审计的理论逻辑与制度构建[J].网络安全与数据治理,2024,43(1):65-72,
引用格式:王冲.个人信息保护合规审计的理论逻辑与制度构建[J].网络安全与数据治理,2024,43(1):65-72,
Theoretical logic and system construction of personal information protection compliance audit
Wang Chong
School of Law, Tsinghua University, Beijing 100084, China
Abstract: Personal information protection compliance audit is not only a legal obligation for personal information processors, but also its preventive exemption function helps to incentivize personal information processors to reasonably avoid legal risks, improve personal information protection capabilities proactively, and promote the synergy between government supervision and enterprise selfdiscipline in the context of regulatory model transformation. The Personal Information Protection Law provides for a twotier audit model of "autonomous audit+mandatory audit", and the Administrative Measures for Personal Information Protection Compliance Audit (Draft for Comments) provides an important basis for the implementation of compliance audit, but there are still gaps in terms of system connection, legal effect, and the conduct of audit.
Key words : personal information protection compliance audit; risk assessment; autonomous audit; mandatory audit
个人信息保护合规审计的内涵个人信息保护合规审计是指基于审计材料对个人信息处理者遵守法律、行政法规等规范的情况进行评估审查的活动。11风险内涵《个人信息保护法》中“风险”一词出现了多次,但并未明确其概念属于个人信息保护风险还是合规风险。个人信息保护风险是指个人信息处理可能具有的属性(如处理范围、处理性质、处理类型等)对数据主体造成损害的可能性。这一风险概念在美国国家标准与技术研究院(NIST)2017年提出的隐私管理框架(Privacy Engineering and Risk Management, NIST 8062)中也有所体现,该框架规定其目标是以“能够设置适当的控制措施以减轻潜在问题”,即关注数据处理对数据主体造成的损害[1]。相比于个人信息保护风险,合规风险则指个人信息处理者遵守个人信息保护相关的法律法规可能存在的风险。
作者信息:
王冲 (清华大学法学院,北京100084)
文章下载地址:https://www.chinaaet.com/resource/share/2000005893
此内容为AET网站原创,未经授权禁止转载。