《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 其他 > 设计应用 > 个人信息保护负责人履职困境和规制策略研究
个人信息保护负责人履职困境和规制策略研究
网络安全与数据治理
张冬阳,周晨宇
中国政法大学法学院
摘要: 个人信息保护负责人集监督、代表和信息功能为一体,但作为组织成员过度依赖企业组织设计且缺乏决策权限,导致上述功能无法得到发挥。为了保障个人信息保护负责人独立履职,使个人信息保护成为企业内生机制,国家应当进一步要求企业将组织义务转化为有约束力的实施方案提交给监管机关,后者可以据此对个人信息保护负责人的监督能力进行审查,必要时采取制裁措施。对于个人信息保护负责人行政法律责任的承担,应当根据个人信息保护负责人履职过程中的实际权限大小、是否穷尽可行手段防止违法行为进行综合判断。
中圖分類號:D922.16文獻(xiàn)標(biāo)識碼:ADOI:10.19358/j.issn.2097-1788.2024.12.014
引用格式:張冬陽,周晨宇. 個人信息保護(hù)負(fù)責(zé)人履職困境和規(guī)制策略研究[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2024,43(12):94-99.
The dilemma of duty performance and regulatory strategies for personal information protection officers
Zhang Dongyang, Zhou Chenyu
School of Law, China University of Political Science and Law
Abstract: The personal information protection officer (PIPO) integrates supervisory, representative, and informational functions. However, as a member of the organization, they are overly reliant on the corporate organizational structure and lack decision-making authority, which prevents these functions from being effectively fulfilled. To ensure that the PIPO can independently perform their duties and make personal information protection an intrinsic mechanism within the company, the state should further require enterprises to convert organizational obligations into binding implementation plans submitted to regulatory authorities. These authorities can then assess the supervisory capabilities of the PIPO and impose sanctions if necessary. As for the administrative legal responsibility of the PIPO, a comprehensive judgment should be made based on the actual authority of the PIPO during the performance of his duties and whether all feasible means have been exhausted to prevent illegal activities.
Key words : personal information protection officer; personal information protection compliance; meta-regulation; organizational obligations; supervisory responsibilities

引言

從事個人信息處理活動的各類組織是個人信息保護(hù)的第一責(zé)任人,有義務(wù)采取必要的措施保障個人信息安全。為了有助于這一主體責(zé)任的落實,《個人信息保護(hù)法》明確規(guī)定了個人信息處理者的合規(guī)管理和保障個人信息安全等義務(wù),要求其制定內(nèi)部管理制度和操作流程,指定個人信息保護(hù)負(fù)責(zé)人對其個人信息處理活動進(jìn)行監(jiān)督[1]。

根據(jù)《個人信息保護(hù)法》第52條,處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者應(yīng)當(dāng)指定個人信息保護(hù)負(fù)責(zé)人對組織內(nèi)部個人信息處理活動以及所采取的保護(hù)措施進(jìn)行監(jiān)督,并公開個人信息保護(hù)負(fù)責(zé)人相關(guān)信息。2023年8月,國家互聯(lián)網(wǎng)信息辦公室發(fā)布《個人信息保護(hù)合規(guī)審計管理辦法(征求意見稿)》,根據(jù)所附個人信息保護(hù)合規(guī)審計參考要點,個人信息保護(hù)負(fù)責(zé)人的設(shè)立和履職成為互聯(lián)網(wǎng)平臺個人信息保護(hù)合規(guī)的核心任務(wù)之一。個人信息保護(hù)負(fù)責(zé)人制度被認(rèn)為有助于從結(jié)構(gòu)上完善個人信息處理者的組織體系,進(jìn)而改變其思考和行為方式,使個人信息保護(hù)成為組織的內(nèi)生機(jī)制[2]。被寄予厚望的個人信息保護(hù)負(fù)責(zé)人制度是否能夠真正地發(fā)揮個人信息保護(hù)合規(guī)的效用,立法者又應(yīng)該作出怎樣的制度設(shè)計才能夠讓組織化的個人信息安全管理取得實效性,是一個值得繼續(xù)研究的問題。


本文詳細(xì)內(nèi)容請下載:

http://www.ihrv.cn/resource/share/2000006273


作者信息:

張冬陽,周晨宇

(中國政法大學(xué)法學(xué)院,北京100088)


Magazine.Subscription.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。

相關(guān)內(nèi)容