个人信息安全风险全流程专项管控机制

《中华人民共和国个人信息保护法》创设了从处理规则到合规义务的个人信息安全风险双层防控机制,以有效合规体系为基本架构的第二层次防控机制涵盖个人信息处理和企业治理全流程,具有安全风险全流程专项管控机制的性质,但存在纸面化有余实效化不足的缺陷。完善机制建设的关键在于充分激活个人信息保护影响评估和合规审计制度。个人信息保护影响评估作为前端与中端专项防范机制,通过评估个人信息处理行为的个人权益影响程度和安全事件发生可能性识别全流程安全风险。个人信息合规审计作为末端专项监督机制,兼具事中风险监测和事后风险调查双重功能,须从审计组织、审计方法、审计标准等方面对其进行机制优化。个人信息保护影响评估和合规审计机制在发挥风险防控功能的同时,还能通过“以评促建”“以审促建”等方式督促个人信息合规建设,使个人信息处理者建立要素完备、运行有效的安全风险全流程专项管控机制体系。