干货 | 互联网企业如何设置数据安全责任岗位

早在1995年，欧盟《数据保护指令》（Directive95/46/EC，“95 指令”）就引入了“数据保护官”制度（Data Protection Officer，“DPO”），但95指令对成员国并不具有强制性。2016年4月，欧盟通过《通用数据保护条例》（GDPR），其中第4章第37条至39条强制规定公共机构或主要业务涉及大量个人数据处理和主要业务场景涉及大量处理个人敏感信息的机构或实体必须设立数据保护官。

随后，数据保护岗位在全球范围内引起各国及企业的高度重视，借鉴GDPR制定国内个人信息保护法律制度的国家也纷纷规定了与DPO相类似的岗位，如亚太地区的菲律宾、新加坡和印度个人数据保护法律规定了相应DPO制度。

与此同时，与GDPR的DPO相类似的是，我国2016年11月颁布《网络安全法》第21条规定网络运营者要确定网络安全负责人，落实网络安全保护责任，34条规定关键信息基础设施运营者应设立专门的安全管理机构和安全管理负责人。

不仅如此，自《网络安全法》生效后，相关配套的行政法法规、部门规章和国家技术标准也相继出台，这些规范规定了数据和个人信息保护岗位，如数据安全责任人、个人信息保护负责人、儿童个人信息保护专员（如非特指特定岗位，下文称数据安全责任岗位）。

企业是否有必要设置数据安全责任相关岗位？如需要，该如何安排相关数据安全责任岗位？

结合现行法律规定和实践情况，笔者提供初步分析意见和建议供参考。

网络安全负责人

《网络安全法》第21条规定网络运营者要确定网络安全负责人，落实网络安全保护责任。对此，问题在于企业是否属于网络运营者，《网络安全法》规定的网络运营者是指网络的所有者、管理者和网络服务提供者。其中，目前我国相关法律法规暂未对“网络服务提供者”作出明确的定义。

2019年10月21日，两高发布《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》（下称“《非法利用、帮助信息网络犯罪若干问题解释》”）列举了三种类型网络服务提供者，（1）网络接入、域名注册解析等信息网络接入、计算、存储、传输服务；（2）信息发布、搜索引擎、即时通讯、网络支付、网络预约、网络购物、网络游戏、网络直播、网站建设、安全防护、广告推广、应用商店等信息网络应用服务；（3）利用信息网络提供的电子政务、通信、能源、交通、水利、金融、教育、医疗等公共服务。由此可见，网络服务提供者涵盖范围很广，基本上与网络有关的都可能是网络运营者。

从《网络安全法》出台的背景和上述规定来看，以提供网络服务的互联网企业来说，网络安全负责人岗位设置是法律强制规定的义务，任何运营、管理和网络服务提供者都应该设置网络安全负责人，否则，根据《网络安全法》第59条规定，网络运营者不履行本法第21条义务的，由有关主管部门责令改正，给予警告、罚款等。

安全管理负责人

《网络安全法》第34条规定，关键信息基础设施的运营者要设置专门安全管理机构和安全管理负责人，该条突出的“专门”，应该理解为常设机构。而何谓“关键信息基础设施运营者”的界定关系到企业是否要安排专门的安全管理机构并设立负责人。

根据网信办制定的《关键信息基础设施安全保护条例（征求意见稿）》（下称“《关键信息基础设施保护条例（征）》”）规定关键信息基础设施运营者包括：（1）政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位；（2）电信网、广播电视网、互联网等信息网络，以及提供云计算、大数据和其他大型公共信息网络服务的单位；（3）国防科工、大型装备、化工、食品药品等行业领域科研生产单位；（4）广播电台、电视台、通讯社等新闻单位；（5）其他重点单位”。

由此，除了国防科工等科研单位和电视台等国家企事业单位等明确为关键信息基础设置运营者要设置网络安全管理机构和安全管理负责人外，普通企业若涉及提供金融、交通、教育等公共事业服务，或者本身是大型网络服务提供者，如用户数量多微信、微博等应用运营者，要设置专门的网络安全管理机构和安全管理负责人。

此外，企业或单位还要评估自身网络设施和信息系统，是否一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益。若是，则也是属于关键信息基础设置运营者，也要设置上述岗位。否则，根据《网络安全法》第59条网络运营者不履行本法第34条义务的，由有关主管部门责令改正，给予警告、罚款等。

数据安全责任人

2019年5月，网信办制定的《数据安全管理办法（征求意见稿）》（下称“《网络安全法（征）》”）17条规定，“网络运营者以经营为目的收集重要数据或个人敏感信息的，应当明确数据安全责任人。”。

对此，企业要判断自身是否要设置数据安全责任人的标准有三个，第一个判断自身是否为网络运营者，第二，是否以经营为目的，第三，是否收集重要数据或收集个人敏感信息。

网络运营者和是否以经营为目的比较好明确，而重要数据则难以直接判断，根据《网络安全法（征）》规定，“重要数据也是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据，如未公开的政府信息，大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。”

个人敏感信息目前比较统一的认识是包括个人身份信息（身份证、军官证、护照、驾驶证、工作证、社保卡、居住证）、个人生物识别信息（个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等）、个人健康生理信息（个人因生病医治等产生的相关记录）、个人财产信息（银行账号、存款信息、房产信息、信贷记录、征信信息等），十四岁以下（含）儿童个人信息。

《信息安全技术个人信息安全规范》（下称“《个人信息安全规范》”）对个人敏感信息有个兜底规定，即一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息属于个人敏感信息。

因此，企业可以根据自身业务范围和场景看是否在日常经营过程中收集《网络安全法（征）》规定的重要数据，同时，判断自身业务是否以收集用户的个人敏感信息为支撑。若有，就需要设置数据安全责任人。

个人信息保护负责人

《个人信息安全规范》第10条规定对个人信息控制者的要求包括应当任命个人信息保护负责人和个人信息保护工作机构。

企业是否要设置个人信息保护负责人和工作机构有三个判断标准：

如上述三个标准同时满足，则需要设置个人信息保护负责人和个人信息保护机构，虽然《个人信息安全规范》只是推荐性国家标准，但其定位是我国个人信息保护工作的基础性标准文件，监管层明确其作为指导的标准，监管机构执法以《个人信息安全规范》作为企业合规与否的重要判断标准。

儿童个人信息保护专员

2019年10月1日生效的《儿童个人信息网络保护规定》第8条“网络运营者应当设置专门的儿童个人信息保护规则和用户协议，并指定专人负责儿童个人信息保护。”

显然，不是所有企业都要设置儿童个人信息保护负责人，同样是有具体业务场景要求的，根据《儿童个人信息网络保护规定》规定，在我国境内通过网络从事收集、存储、使用、转移、披露儿童个人信息等活动的网络运营者要指定专人负责个人信息保护。

DPO岗位

众所周知，欧盟的GDPR具有域外效力，若我国企业开展的业务场景受到GDPR规制的，如“（a）发生在向欧盟内的数据主体提供商品或服务的过程中，无论此项商品或服务是否需要数据主体支付费用；或（b）对欧盟数据主体发生在欧盟境内行为的监控。”（具体见探讨｜《数据经济时代，互联网企业开拓海外业务时合规风险》一文），并且，上述业务场景涉及大量欧盟境内用户数据处理的，则需要设置DPO处理欧盟GDPR的合规事务。

综上可知，几乎所有互联网企业都是网络运营者，都必须设置网络安全负责人，其他5种数据安全责任岗位是否设置需要企业根据自身经营范围和所开展不同业务场景等进行判断，企业可以对照上述分析判断自身是否需要设置上述相应岗位。

根据不同的经营范围和业务场景，对照上述规定后，企业可能负有设置不同的岗位的合规义务，有些企业可能要设置1到2个，有些企业可能要同时设置6个岗位的人员。问题在于，若需要设置多个岗位合规义务，企业是否一定要安排不同的员工分别担任，由同一人兼任是否可行？

笔者认为，《网络安全法》规定的网络安全负责人或者是关键信息基础运营者安全管理负责人工作内容基本相同，该岗位的工作主要围绕网络安全技术、网络系统安全建设和防护，网络安全事件应急处理等，在网络运营者同时也是关键信息基础设置运营者的情况下，网络安全负责人也可以是安全管理负责人，同一人担任没有问题。例如，国内各大金融机构通常设置的信息安全业务线来负责，由首席安全官向金融机构主要负责人报告。

对于中小或初创互联网企业，并非一定需要和金融机构一样设置独立的安全部门和专门人员，网络安全负责人可以由企业的高级管理人员或高级技术人员兼任，但必须明确且落实相应的工作职责，这是我国网络安全战略部署的一个基础安排。

相对而言，数据安全责任人、个人信息保护负责人、儿童个人信息保护专员和DPO涉及的场景都涵盖数据的收集、存储、使用、处理等数据生命周期全过程，岗位的共同点在于数据保护、数据安全建议、与监管机构对接、与数据主体的沟通、风险评估等内容。

因此，以上4类信息保护岗位的人员工作内容有交叉，如《个人信息安全规范》规定14岁以下儿童的个人信息属于个人敏感信息，儿童个人信息保护专员可以同时是数据安全责任人，而个人信息又包括个人敏感信息（儿童个人信息），因此，上述4个岗位可以由同一人兼任。

需要注意的是，这4类岗位与网络安全负责人和安全管理责任人工作侧重点不同，工作内容有较大区别，笔者建议企业最好分开设置网络安全负责人与其他4类数据安全岗位，由不同专业的人员负责，当然若企业聘任到能同时胜任6个岗位的专业人员，6个岗位也可以同时由一人兼任。

需要注意DPO和其他三个数据和个人信息保护岗位相比，可以由企业外部人员担任，需要较高数据保护法律法规相关知识，对接监管机构和个人数据主体，DPO具有相对独立性，需要承担监管机构要求的义务，对DPO要求更高。

如前述，不履行相应的岗位设置的合规义务，根据《网络安全法》和相关法律法规，企业可能需要承担相应的行政责任，如约谈责任人、整改、罚款等，经监管部门责令采取改正措施而拒不改正的，可能构成拒不履行信息安全管理义务等相关刑事责任。

考虑到不同业务场景对企业设置岗位有很多详细的合规要求，合规落地还要根据企业实际进行调整，无法一一详述，故本文仅从企业应做到的基本合规义务角度出发，为企业梳理和分析相应数据安全相关岗位的合规义务，供有意长远发展壮大的企业设置相关岗位时参考。