第八部分：數(shù)據(jù)保護官（DPO/個人信息保護負責人）任命要求

　　數(shù)據(jù)保護官，Data Protection Officer（DPO），作為一個GDPR明確要求承擔企業(yè)數(shù)據(jù)合規(guī)保護職責的職能角色，主要是指在適用的情況下所指定的幫助遵守 GDPR 規(guī)定的專業(yè)人員。GDPR 規(guī)定了必須指定數(shù)據(jù)保護官的情況和條件。

　　與此相關(guān)的另一個角色是歐盟代表，它主要是指歐盟地區(qū)以外的客戶在適用的情況下所指定的代表，負責處理 GDPR 規(guī)定的義務。兩者定位與角色不一樣，需要注意區(qū)分。

　　對內(nèi)，數(shù)據(jù)保護官作為組織治理架構(gòu)中重要的角色，負責著各類與個人信息相關(guān)的合規(guī)工作；對外，數(shù)據(jù)合規(guī)官需要協(xié)助處理各種與個人信息保護相關(guān)的事項，是數(shù)據(jù)保護責任框架中的利益相關(guān)人。

　?。ㄒ唬┪覈鴤€人信息保護法解讀：

　　在我國個保法的語境下，個人信息保護負責人，是指全面統(tǒng)籌與實施企業(yè)關(guān)于個人信息保護的工作，并對個人信息安全負直接責任的專業(yè)人員，個人信息保護負責人是一個需要負責對個人信息處理活動以及采取的保護措施等行為進行監(jiān)督的角色。

　　本次個保法通過立法的形式，明確規(guī)定了應當指定個人信息保護負責人的具體情況。結(jié)合2020年10月1日生效的《信息安全技術(shù) 個人信息安全規(guī)范》（簡稱“35273-2020規(guī)范”）中關(guān)于個人信息保護負責人的規(guī)定，我們進行扼要分析如下：

　　1.  需要設立個人信息保護負責人的情況

　　根據(jù)個保法的規(guī)定，當處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者，應當指定個人信息保護負責人。

　　而關(guān)于何謂達到“國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者”，如前所述，可以參考2021年7月份網(wǎng)信辦發(fā)布的《網(wǎng)絡安全審查辦法（修訂草案征求意見稿）》，以及2017年網(wǎng)信辦發(fā)布的《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》中的規(guī)定。

　　而在35273-2020規(guī)范中，也有關(guān)于應對設立個人信息保護負責人的具體規(guī)定。根據(jù)該規(guī)范中的要求，當企業(yè)滿足以下條件之一，則應設置專職的個人信息保護負責人和個人信息保護工作機構(gòu)：

　　01

　　主要業(yè)務涉及個人信息處理，且從業(yè)人員規(guī)模大于200人；

　　02

　　或處理超過100萬人的個人信息，或預計在12個月內(nèi)處理超過100萬人的個人信息；

　　03

　　或處理超過10萬人的個人敏感信息的；

　　2.  個人信息保護負責人的主要職責

　　我國個保法在關(guān)于個人信息保護負責人的主要職責方面以比較宏觀的方式進行了表述，即其需要“負責對個人信息處理活動以及采取的保護措施等進行監(jiān)督”，體現(xiàn)出的是，以期希望通過個人信息保護負責人的動態(tài)合規(guī)動作，來推動靜態(tài)的個人信息保護制度的執(zhí)行與落實，并進行持續(xù)性的監(jiān)督。

　　同時，對于個人信息保護負責人的身份方面的信息披露有明確的法律要求，即：

　　A

　　公開身份；

　　明確要求了個人信息處理者應當將個人信息保護負責人的聯(lián)系方式進行公開（常見的通過隱私政策、隱私聲明條款、公司官網(wǎng)等方式進行）；以及

　　B

　　報送監(jiān)管部門

　　明確要求個人信息處理者應將該負責個人信息保護的負責人員的姓名、聯(lián)系方式等向履行個人信息保護職責的部門進行報送。

　　而在35273-2020規(guī)范中，除了監(jiān)督的職責外，我們還看到關(guān)于個人信息保護負責人更為具體的職責內(nèi)容要求，并采取了“包括但不限于”的寬泛性表達，以期更能滿足后續(xù)不斷發(fā)展的個人信息保護立法與執(zhí)法的變化。對于個人信息保護負責人和個人信息保護工作機構(gòu)的主要職責，我們主要歸納為：

　　01

　　統(tǒng)籌：

　　全面統(tǒng)籌實施組織內(nèi)部的個人信息安全工作， 對個人信息安全負直接責任；

　　02

　　計劃的制定與落實：

　　組織制定個人信息保護工作計劃并督促落實；

　　03

　　政策+制度的創(chuàng)建與維護：

　　制定、簽發(fā)、實施、定期更新個人信息保護政策和相關(guān)規(guī)程；

　　04

　　權(quán)限管理：

　　建立、維護和更新組織所持有的個人信息清單（包括個人信息的類型、數(shù)量、來源、接收方等）和授權(quán)訪問策略；

　　05

　　DPIA：

　　開展個人信息安全影響評估，提出個人信息保護的對策建議，督促整改安全隱患；

　　06

　　培訓：

　　組織開展個人信息安全培訓；

　　07

　　事前檢測：

　　在產(chǎn)品或服務上線發(fā)布前進行檢測，避免未知的個人信息收集、使用、共享等處理行為；

　　08

　　處理投訴：

　　公布投訴、舉報方式等信息并及時受理投訴舉報；

　　09

　　合規(guī)審計：

　　進行安全審計；

　　10

　　監(jiān)督與溝通：

　　與監(jiān)督、管理部門保持溝通，通報或報告?zhèn)€人信息保護和事件處置等情況。

　　3.  關(guān)于個人信息保護負責人的資質(zhì)和角色定位要求

　　個保法中暫未見對個人信息保護負責人在資質(zhì)要求上的特殊規(guī)定，但從實踐中來看，也只有具備熟悉個人信息保護法律法規(guī)、具備法律專業(yè)背景的，以及能真正理解和處理與個人信息保護、數(shù)據(jù)安全的專業(yè)人士才能夠勝任。

　　而在35273-2020規(guī)范中，則對個人信息保護負責人和個人信息保護工作機構(gòu)提出了在資質(zhì)和角色定位上的要求：

　　01

　　專業(yè)背景要求：

　　由具有相關(guān)管理工作經(jīng)歷和個人信息保護專業(yè)知識的人員擔任；

　　02

　　向管理層直接匯報

　　參與有關(guān)個人信息處理活動的重要決策直接向組織主要負責人匯報工作。

　　03

　　保障獨立履行職責

　　為其提供必要的資源，保障其獨立履行職責。

　　需要提醒注意的是，與歐盟GDPR中提及的“歐盟代表”類似，個保法中也有相似的規(guī)定，需要注意與“個人信息保護負責人”的角色進行區(qū)別。根據(jù)我國個保法中，對于適用中國個人信息保護的境外個人信息處理者，應當在境內(nèi)設立專門的機構(gòu)或通過指定境內(nèi)代表，來負責處理個人信息保護相關(guān)的事務。同時，要求該等境外的個人信息處理者向履行個人信息保護職責的部門報送關(guān)于境內(nèi)的專門機構(gòu)或境內(nèi)指定代表的姓名及聯(lián)系方式。對于可能落入我國個保法管轄范圍的境外個人信息處理者，應注意做好設立中國境內(nèi)機構(gòu)或指定代表的準備及對應的報送工作。

　　可見，指定和任命個人信息保護負責人，是企業(yè)做好個人信息合規(guī)保護工作的有力保障，也是企業(yè)將一系列的數(shù)據(jù)保護制度進行有效落地的不可或缺的關(guān)鍵一環(huán)。

　　從企業(yè)個人信息合規(guī)的角度來看，一方面，需要任命合格的個人信息負責人，來幫助企業(yè)更好地遵守個人信息保護法規(guī)的要求；另一方面，通過設立個人信息保護工作部門，來提高企業(yè)在個人信息風險上的抵御能力，例如通過設立數(shù)據(jù)保護委員會以協(xié)調(diào)各部門在個人信息保護與數(shù)據(jù)安全保護方面的工作開展，并在發(fā)生安全事件時可以進行及時快速的反饋與響應處理；同時，還在注意通過制度來確保個人信息保護負責人的獨立性和獨立地位，以確保其可以獨立地、專業(yè)地履行個人信息保護的職責，作出全面、準確且合理的決策。

　?。ǘ?海外主要個人信息保護法律對比：

　　總體來說

　　除歐盟外，越來越多的國家和地區(qū)也不斷通過立法要求其管轄下的公司企業(yè)必須設立數(shù)據(jù)保護官，雖然名稱、職能、適用情況和條件等各有不同，但其都是通過設立專職的人員或?qū)ｉT的部門，來幫助和保證企業(yè)遵守屬地國的數(shù)據(jù)保護法律的規(guī)定和要求來處理個人信息和相關(guān)的數(shù)據(jù)。