第八部分：數(shù)據(jù)保護(hù)官（DPO/個(gè)人信息保護(hù)負(fù)責(zé)人）任命要求

　　數(shù)據(jù)保護(hù)官，Data Protection Officer（DPO），作為一個(gè)GDPR明確要求承擔(dān)企業(yè)數(shù)據(jù)合規(guī)保護(hù)職責(zé)的職能角色，主要是指在適用的情況下所指定的幫助遵守 GDPR 規(guī)定的專業(yè)人員。GDPR 規(guī)定了必須指定數(shù)據(jù)保護(hù)官的情況和條件。

　　與此相關(guān)的另一個(gè)角色是歐盟代表，它主要是指歐盟地區(qū)以外的客戶在適用的情況下所指定的代表，負(fù)責(zé)處理 GDPR 規(guī)定的義務(wù)。兩者定位與角色不一樣，需要注意區(qū)分。

　　對(duì)內(nèi)，數(shù)據(jù)保護(hù)官作為組織治理架構(gòu)中重要的角色，負(fù)責(zé)著各類與個(gè)人信息相關(guān)的合規(guī)工作；對(duì)外，數(shù)據(jù)合規(guī)官需要協(xié)助處理各種與個(gè)人信息保護(hù)相關(guān)的事項(xiàng)，是數(shù)據(jù)保護(hù)責(zé)任框架中的利益相關(guān)人。

　　（一）我國個(gè)人信息保護(hù)法解讀：

　　在我國個(gè)保法的語境下，個(gè)人信息保護(hù)負(fù)責(zé)人，是指全面統(tǒng)籌與實(shí)施企業(yè)關(guān)于個(gè)人信息保護(hù)的工作，并對(duì)個(gè)人信息安全負(fù)直接責(zé)任的專業(yè)人員，個(gè)人信息保護(hù)負(fù)責(zé)人是一個(gè)需要負(fù)責(zé)對(duì)個(gè)人信息處理活動(dòng)以及采取的保護(hù)措施等行為進(jìn)行監(jiān)督的角色。

　　本次個(gè)保法通過立法的形式，明確規(guī)定了應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人的具體情況。結(jié)合2020年10月1日生效的《信息安全技術(shù) 個(gè)人信息安全規(guī)范》（簡稱“35273-2020規(guī)范”）中關(guān)于個(gè)人信息保護(hù)負(fù)責(zé)人的規(guī)定，我們進(jìn)行扼要分析如下：

　　1.  需要設(shè)立個(gè)人信息保護(hù)負(fù)責(zé)人的情況

　　根據(jù)個(gè)保法的規(guī)定，當(dāng)處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者，應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人。

　　而關(guān)于何謂達(dá)到“國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者”，如前所述，可以參考2021年7月份網(wǎng)信辦發(fā)布的《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）》，以及2017年網(wǎng)信辦發(fā)布的《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）》中的規(guī)定。

　　而在35273-2020規(guī)范中，也有關(guān)于應(yīng)對(duì)設(shè)立個(gè)人信息保護(hù)負(fù)責(zé)人的具體規(guī)定。根據(jù)該規(guī)范中的要求，當(dāng)企業(yè)滿足以下條件之一，則應(yīng)設(shè)置專職的個(gè)人信息保護(hù)負(fù)責(zé)人和個(gè)人信息保護(hù)工作機(jī)構(gòu)：

　　01

　　主要業(yè)務(wù)涉及個(gè)人信息處理，且從業(yè)人員規(guī)模大于200人；

　　02

　　或處理超過100萬人的個(gè)人信息，或預(yù)計(jì)在12個(gè)月內(nèi)處理超過100萬人的個(gè)人信息；

　　03

　　或處理超過10萬人的個(gè)人敏感信息的；

　　2.  個(gè)人信息保護(hù)負(fù)責(zé)人的主要職責(zé)

　　我國個(gè)保法在關(guān)于個(gè)人信息保護(hù)負(fù)責(zé)人的主要職責(zé)方面以比較宏觀的方式進(jìn)行了表述，即其需要“負(fù)責(zé)對(duì)個(gè)人信息處理活動(dòng)以及采取的保護(hù)措施等進(jìn)行監(jiān)督”，體現(xiàn)出的是，以期希望通過個(gè)人信息保護(hù)負(fù)責(zé)人的動(dòng)態(tài)合規(guī)動(dòng)作，來推動(dòng)靜態(tài)的個(gè)人信息保護(hù)制度的執(zhí)行與落實(shí)，并進(jìn)行持續(xù)性的監(jiān)督。

　　同時(shí)，對(duì)于個(gè)人信息保護(hù)負(fù)責(zé)人的身份方面的信息披露有明確的法律要求，即：

　　A

　　公開身份；

　　明確要求了個(gè)人信息處理者應(yīng)當(dāng)將個(gè)人信息保護(hù)負(fù)責(zé)人的聯(lián)系方式進(jìn)行公開（常見的通過隱私政策、隱私聲明條款、公司官網(wǎng)等方式進(jìn)行）；以及

　　B

　　報(bào)送監(jiān)管部門

　　明確要求個(gè)人信息處理者應(yīng)將該負(fù)責(zé)個(gè)人信息保護(hù)的負(fù)責(zé)人員的姓名、聯(lián)系方式等向履行個(gè)人信息保護(hù)職責(zé)的部門進(jìn)行報(bào)送。

　　而在35273-2020規(guī)范中，除了監(jiān)督的職責(zé)外，我們還看到關(guān)于個(gè)人信息保護(hù)負(fù)責(zé)人更為具體的職責(zé)內(nèi)容要求，并采取了“包括但不限于”的寬泛性表達(dá)，以期更能滿足后續(xù)不斷發(fā)展的個(gè)人信息保護(hù)立法與執(zhí)法的變化。對(duì)于個(gè)人信息保護(hù)負(fù)責(zé)人和個(gè)人信息保護(hù)工作機(jī)構(gòu)的主要職責(zé)，我們主要?dú)w納為：

　　01

　　統(tǒng)籌：

　　全面統(tǒng)籌實(shí)施組織內(nèi)部的個(gè)人信息安全工作， 對(duì)個(gè)人信息安全負(fù)直接責(zé)任；

　　02

　　計(jì)劃的制定與落實(shí)：

　　組織制定個(gè)人信息保護(hù)工作計(jì)劃并督促落實(shí)；

　　03

　　政策+制度的創(chuàng)建與維護(hù)：

　　制定、簽發(fā)、實(shí)施、定期更新個(gè)人信息保護(hù)政策和相關(guān)規(guī)程；

　　04

　　權(quán)限管理：

　　建立、維護(hù)和更新組織所持有的個(gè)人信息清單（包括個(gè)人信息的類型、數(shù)量、來源、接收方等）和授權(quán)訪問策略；

　　05

　　DPIA：

　　開展個(gè)人信息安全影響評(píng)估，提出個(gè)人信息保護(hù)的對(duì)策建議，督促整改安全隱患；

　　06

　　培訓(xùn)：

　　組織開展個(gè)人信息安全培訓(xùn)；

　　07

　　事前檢測：

　　在產(chǎn)品或服務(wù)上線發(fā)布前進(jìn)行檢測，避免未知的個(gè)人信息收集、使用、共享等處理行為；

　　08

　　處理投訴：

　　公布投訴、舉報(bào)方式等信息并及時(shí)受理投訴舉報(bào)；

　　09

　　合規(guī)審計(jì)：

　　進(jìn)行安全審計(jì)；

　　10

　　監(jiān)督與溝通：

　　與監(jiān)督、管理部門保持溝通，通報(bào)或報(bào)告?zhèn)€人信息保護(hù)和事件處置等情況。

　　3.  關(guān)于個(gè)人信息保護(hù)負(fù)責(zé)人的資質(zhì)和角色定位要求

　　個(gè)保法中暫未見對(duì)個(gè)人信息保護(hù)負(fù)責(zé)人在資質(zhì)要求上的特殊規(guī)定，但從實(shí)踐中來看，也只有具備熟悉個(gè)人信息保護(hù)法律法規(guī)、具備法律專業(yè)背景的，以及能真正理解和處理與個(gè)人信息保護(hù)、數(shù)據(jù)安全的專業(yè)人士才能夠勝任。

　　而在35273-2020規(guī)范中，則對(duì)個(gè)人信息保護(hù)負(fù)責(zé)人和個(gè)人信息保護(hù)工作機(jī)構(gòu)提出了在資質(zhì)和角色定位上的要求：

　　01

　　專業(yè)背景要求：

　　由具有相關(guān)管理工作經(jīng)歷和個(gè)人信息保護(hù)專業(yè)知識(shí)的人員擔(dān)任；

　　02

　　向管理層直接匯報(bào)

　　參與有關(guān)個(gè)人信息處理活動(dòng)的重要決策直接向組織主要負(fù)責(zé)人匯報(bào)工作。

　　03

　　保障獨(dú)立履行職責(zé)

　　為其提供必要的資源，保障其獨(dú)立履行職責(zé)。

　　需要提醒注意的是，與歐盟GDPR中提及的“歐盟代表”類似，個(gè)保法中也有相似的規(guī)定，需要注意與“個(gè)人信息保護(hù)負(fù)責(zé)人”的角色進(jìn)行區(qū)別。根據(jù)我國個(gè)保法中，對(duì)于適用中國個(gè)人信息保護(hù)的境外個(gè)人信息處理者，應(yīng)當(dāng)在境內(nèi)設(shè)立專門的機(jī)構(gòu)或通過指定境內(nèi)代表，來負(fù)責(zé)處理個(gè)人信息保護(hù)相關(guān)的事務(wù)。同時(shí)，要求該等境外的個(gè)人信息處理者向履行個(gè)人信息保護(hù)職責(zé)的部門報(bào)送關(guān)于境內(nèi)的專門機(jī)構(gòu)或境內(nèi)指定代表的姓名及聯(lián)系方式。對(duì)于可能落入我國個(gè)保法管轄范圍的境外個(gè)人信息處理者，應(yīng)注意做好設(shè)立中國境內(nèi)機(jī)構(gòu)或指定代表的準(zhǔn)備及對(duì)應(yīng)的報(bào)送工作。

　　可見，指定和任命個(gè)人信息保護(hù)負(fù)責(zé)人，是企業(yè)做好個(gè)人信息合規(guī)保護(hù)工作的有力保障，也是企業(yè)將一系列的數(shù)據(jù)保護(hù)制度進(jìn)行有效落地的不可或缺的關(guān)鍵一環(huán)。

　　從企業(yè)個(gè)人信息合規(guī)的角度來看，一方面，需要任命合格的個(gè)人信息負(fù)責(zé)人，來幫助企業(yè)更好地遵守個(gè)人信息保護(hù)法規(guī)的要求；另一方面，通過設(shè)立個(gè)人信息保護(hù)工作部門，來提高企業(yè)在個(gè)人信息風(fēng)險(xiǎn)上的抵御能力，例如通過設(shè)立數(shù)據(jù)保護(hù)委員會(huì)以協(xié)調(diào)各部門在個(gè)人信息保護(hù)與數(shù)據(jù)安全保護(hù)方面的工作開展，并在發(fā)生安全事件時(shí)可以進(jìn)行及時(shí)快速的反饋與響應(yīng)處理；同時(shí)，還在注意通過制度來確保個(gè)人信息保護(hù)負(fù)責(zé)人的獨(dú)立性和獨(dú)立地位，以確保其可以獨(dú)立地、專業(yè)地履行個(gè)人信息保護(hù)的職責(zé)，作出全面、準(zhǔn)確且合理的決策。

　?。ǘ?海外主要個(gè)人信息保護(hù)法律對(duì)比：

　　總體來說

　　除歐盟外，越來越多的國家和地區(qū)也不斷通過立法要求其管轄下的公司企業(yè)必須設(shè)立數(shù)據(jù)保護(hù)官，雖然名稱、職能、適用情況和條件等各有不同，但其都是通過設(shè)立專職的人員或?qū)ｉT的部門，來幫助和保證企業(yè)遵守屬地國的數(shù)據(jù)保護(hù)法律的規(guī)定和要求來處理個(gè)人信息和相關(guān)的數(shù)據(jù)。