123,123,123

个人信息保护合规审计的理论逻辑与制度构建

网络安全与数据治理

王冲

清华大学法学院，北京100084

摘要： 个人信息保护合规审计制度不仅是个人信息处理者的法定义务，同时其预防型免责的功能也有助于激励个人信息处理者合理规避法律风险、主动提升个人信息保护能力、推动监管模式转型背景下政府监管与企业自律协同进行。《个人信息保护法》规定了“自主审计+强制审计”双层审计模式，《个人信息保护合规审计管理办法（征求意见稿）》为合规审计的落地提供了重要依据，但仍在制度衔接、法律效力、审计工作开展等方面留有空白。个人信息保护合规审计在风险内涵上应兼顾个人信息保护风险和合规风险，并与个人信息保护影响评估、算法审计等制度在适用情形、目的、内容等方面明确区分。为个人信息保护合规审计的有效性，审计制度既需要关注审计原则、审计准备、审计依据、审计方式、审计内容、审计结论等体系化的制度建设，同时也需要考虑审计活动实际开展过程中，审计原则的落实、审计清单的制定、审计依据的选择、审计结论的应用等关键事项。

關(guān)鍵詞： 个人信息保护合规审计风险评估自主审计强制审计

中圖分類號(hào)：D922 16;F239.6文獻(xiàn)標(biāo)識(shí)碼：ADOI:10.19358/j.issn.2097-1788.2024.01.009
引用格式：王沖.個(gè)人信息保護(hù)合規(guī)審計(jì)的理論邏輯與制度構(gòu)建［J］.網(wǎng)絡(luò)安全與數(shù)據(jù)治理，2024，43（1）：65-72，

Theoretical logic and system construction of personal information protection compliance audit

Wang Chong

School of Law, Tsinghua University, Beijing 100084, China

Abstract： Personal information protection compliance audit is not only a legal obligation for personal information processors, but also its preventive exemption function helps to incentivize personal information processors to reasonably avoid legal risks, improve personal information protection capabilities proactively, and promote the synergy between government supervision and enterprise selfdiscipline in the context of regulatory model transformation. The Personal Information Protection Law provides for a twotier audit model of "autonomous audit+mandatory audit", and the Administrative Measures for Personal Information Protection Compliance Audit (Draft for Comments) provides an important basis for the implementation of compliance audit, but there are still gaps in terms of system connection, legal effect, and the conduct of audit.

Key words : personal information protection compliance audit; risk assessment; autonomous audit; mandatory audit

個(gè)人信息保護(hù)合規(guī)審計(jì)的內(nèi)涵個(gè)人信息保護(hù)合規(guī)審計(jì)是指基于審計(jì)材料對(duì)個(gè)人信息處理者遵守法律、行政法規(guī)等規(guī)范的情況進(jìn)行評(píng)估審查的活動(dòng)。11風(fēng)險(xiǎn)內(nèi)涵《個(gè)人信息保護(hù)法》中“風(fēng)險(xiǎn)”一詞出現(xiàn)了多次，但并未明確其概念屬于個(gè)人信息保護(hù)風(fēng)險(xiǎn)還是合規(guī)風(fēng)險(xiǎn)。個(gè)人信息保護(hù)風(fēng)險(xiǎn)是指?jìng)€(gè)人信息處理可能具有的屬性（如處理范圍、處理性質(zhì)、處理類型等）對(duì)數(shù)據(jù)主體造成損害的可能性。這一風(fēng)險(xiǎn)概念在美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）2017年提出的隱私管理框架（Privacy Engineering and Risk Management, NIST 8062）中也有所體現(xiàn)，該框架規(guī)定其目標(biāo)是以“能夠設(shè)置適當(dāng)?shù)目刂拼胧┮詼p輕潛在問題”，即關(guān)注數(shù)據(jù)處理對(duì)數(shù)據(jù)主體造成的損害［1］。相比于個(gè)人信息保護(hù)風(fēng)險(xiǎn)，合規(guī)風(fēng)險(xiǎn)則指?jìng)€(gè)人信息處理者遵守個(gè)人信息保護(hù)相關(guān)的法律法規(guī)可能存在的風(fēng)險(xiǎn)。

作者信息：

王沖（清華大學(xué)法學(xué)院，北京100084）

文章下載地址：http://www.ihrv.cn/resource/share/2000005893

原創(chuàng)聲明：此內(nèi)容為AET網(wǎng)站原創(chuàng)，未經(jīng)授權(quán)禁止轉(zhuǎn)載。

相關(guān)內(nèi)容