個人信息安全風險全流程專項管控機制

內容提要 《中華人民共和國個人信息保護法》創設了從處理規則到合規義務的個人信息安全風險雙層防控機制，以有效合規體系為基本架構的第二層次防控機制涵蓋個人信息處理和企業治理全流程，具有安全風險全流程專項管控機制的性質，但存在紙面化有余實效化不足的缺陷。完善機制建設的關鍵在于充分激活個人信息保護影響評估和合規審計制度。個人信息保護影響評估作為前端與中端專項防范機制，通過評估個人信息處理行為的個人權益影響程度和安全事件發生可能性識別全流程安全風險。個人信息合規審計作為末端專項監督機制，兼具事中風險監測和事后風險調查雙重功能，須從審計組織、審計方法、審計標準等方面對其進行機制優化。個人信息保護影響評估和合規審計機制在發揮風險防控功能的同時，還能通過“以評促建”“以審促建”等方式督促個人信息合規建設，使個人信息處理者建立要素完備、運行有效的安全風險全流程專項管控機制體系。

關鍵詞 個人信息 風險管控 個人信息保護影響評估 合規審計

毛逸瀟，博士，中國政法大學刑事司法學院師資博士后

本文為國家社會科學基金重大招標課題“數字經濟的刑事安全風險防范體系建構研究”（21ZD209）的階段性成果。

我國法律為個人信息領域設置了獨特的安全風險雙層防控機制。根據《中華人民共和國個人信息保護法》（簡稱《個人信息保護法》）、《中華人民共和國數據安全法》、《中華人民共和國網絡安全法》等法律的規定，個人信息處理者既需要遵守以“告知-同意”為核心的個人信息處理規則，還需要履行一系列個人信息合規義務[1]?！?br>