個人信息保護負責人履職困境和規(guī)制策略研究
網(wǎng)絡安全與數(shù)據(jù)治理
張冬陽,周晨宇
中國政法大學法學院
摘要: 個人信息保護負責人集監(jiān)督、代表和信息功能為一體,但作為組織成員過度依賴企業(yè)組織設計且缺乏決策權(quán)限,導致上述功能無法得到發(fā)揮。為了保障個人信息保護負責人獨立履職,使個人信息保護成為企業(yè)內(nèi)生機制,國家應當進一步要求企業(yè)將組織義務轉(zhuǎn)化為有約束力的實施方案提交給監(jiān)管機關,后者可以據(jù)此對個人信息保護負責人的監(jiān)督能力進行審查,必要時采取制裁措施。對于個人信息保護負責人行政法律責任的承擔,應當根據(jù)個人信息保護負責人履職過程中的實際權(quán)限大小、是否窮盡可行手段防止違法行為進行綜合判斷。
中圖分類號:D922.16文獻標識碼:ADOI:10.19358/j.issn.2097-1788.2024.12.014
引用格式:張冬陽,周晨宇. 個人信息保護負責人履職困境和規(guī)制策略研究[J].網(wǎng)絡安全與數(shù)據(jù)治理,2024,43(12):94-99.
引用格式:張冬陽,周晨宇. 個人信息保護負責人履職困境和規(guī)制策略研究[J].網(wǎng)絡安全與數(shù)據(jù)治理,2024,43(12):94-99.
The dilemma of duty performance and regulatory strategies for personal information protection officers
Zhang Dongyang, Zhou Chenyu
School of Law, China University of Political Science and Law
Abstract: The personal information protection officer (PIPO) integrates supervisory, representative, and informational functions. However, as a member of the organization, they are overly reliant on the corporate organizational structure and lack decision-making authority, which prevents these functions from being effectively fulfilled. To ensure that the PIPO can independently perform their duties and make personal information protection an intrinsic mechanism within the company, the state should further require enterprises to convert organizational obligations into binding implementation plans submitted to regulatory authorities. These authorities can then assess the supervisory capabilities of the PIPO and impose sanctions if necessary. As for the administrative legal responsibility of the PIPO, a comprehensive judgment should be made based on the actual authority of the PIPO during the performance of his duties and whether all feasible means have been exhausted to prevent illegal activities.
Key words : personal information protection officer; personal information protection compliance; meta-regulation; organizational obligations; supervisory responsibilities
引言
從事個人信息處理活動的各類組織是個人信息保護的第一責任人,有義務采取必要的措施保障個人信息安全。為了有助于這一主體責任的落實,《個人信息保護法》明確規(guī)定了個人信息處理者的合規(guī)管理和保障個人信息安全等義務,要求其制定內(nèi)部管理制度和操作流程,指定個人信息保護負責人對其個人信息處理活動進行監(jiān)督[1]。
根據(jù)《個人信息保護法》第52條,處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者應當指定個人信息保護負責人對組織內(nèi)部個人信息處理活動以及所采取的保護措施進行監(jiān)督,并公開個人信息保護負責人相關信息。2023年8月,國家互聯(lián)網(wǎng)信息辦公室發(fā)布《個人信息保護合規(guī)審計管理辦法(征求意見稿)》,根據(jù)所附個人信息保護合規(guī)審計參考要點,個人信息保護負責人的設立和履職成為互聯(lián)網(wǎng)平臺個人信息保護合規(guī)的核心任務之一。個人信息保護負責人制度被認為有助于從結(jié)構(gòu)上完善個人信息處理者的組織體系,進而改變其思考和行為方式,使個人信息保護成為組織的內(nèi)生機制[2]。被寄予厚望的個人信息保護負責人制度是否能夠真正地發(fā)揮個人信息保護合規(guī)的效用,立法者又應該作出怎樣的制度設計才能夠讓組織化的個人信息安全管理取得實效性,是一個值得繼續(xù)研究的問題。
本文詳細內(nèi)容請下載:
http://m.xxav2194.com/resource/share/2000006273
作者信息:
張冬陽,周晨宇
(中國政法大學法學院,北京100088)
此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。