查看原文
其他

历史和国际比较视角DPO法律制度探源(DPO社群成员观点)

赵冉冉 网安寻路人 2020-02-26

编者按:


本公号在刊登DPO沙龙和相关社群活动的同时,还将刊登DPO社群成员的精彩文章。众所周知,《中国信息安全》是国家在网络安全领域非常权威的期刊杂志。DPO沙龙成员在《中国信息安全》2019年2月这一期中,发表了DPO制度的见解,介绍了DPO的前世今生、方方面面。本公号将陆续刊发。本篇作者为腾讯公司的赵冉冉


正文:


落实安全岗位责任制 保障数据管理依法合规

从国内外相关法律法规对数据保护官等数据管理工作的职责描述分析,欧盟《通用数据保护条例》强制要求任命数据保护官以确保“合规”的规定,成为基于问责制合规框架的重要“基石”,美国、德国、新加坡、印度等国也有类似制度。《中华人民共和国网络安全法》规定的网络安全负责人以及国家标准《信息安全技术 个人信息安全规范》规定的个人信息保护负责人等制度,虽然在表述上与欧盟的规定不同,但是,其所发挥的岗位功能与前者相似,成为保护企业信息安全和保障数据依法合规的重要角色。


于2018年5月25日正式实施的欧盟《通用数据保护条例》(GDPR)给全球隐私实践带来巨大震动。GDPR规定的诸多制度都对各国企业产生了不同程度的影响,其中,值得关注的一项是数据保护官(Data Protection Officer,DPO)制度。GDPR强制要求欧盟的所有公共机关以及核心工作,包括系统性地监控大规模数据主体或处理大规模特殊类别数据的私营组织,必须任命DPO以确保GDPR合规。第29条工作组(Article 29 Working Party,WP29)也在其《数据保护官指引》(Guidelines on Data Protection Officers, WP243)中建议,无论是否有法律要求,“最好”都要任命DPO。简言之,DPO制度是GDPR基于问责制合规框架的重要基石。除了确保组织GDPR合规之外,DPO也充当各利益相关人之间的中间人角色(包括监督机构、数据主体和组织内的业务部门等)。实际上,GDPR中的DPO制度并非首家,也并非独此一家。正是由于这一要求,全球范围的DPO岗位需求指数性增长,相关人才储备呈现巨大缺口。


一、DPO法律制度的历史演进

诚如WP29发布的《数据保护官指引》中所言,DPO并非是一个全新的概念,实则颇有历史渊源。

在GDPR出台之前,于1978年发布的《德国联邦数据保护法案》(Bundesdatenschutzgesetz,BDSG)中就已经出现了关于DPO的强制性要求。德国BDSG要求雇佣不少于9名员工长期从事自动化数据处理或雇佣不少于20名员工从事非自动化数据处理的公司必须任命数据保护官(Datenschutzbeauftragter,DSB)。根据BDSG,DSB必须具备适当的资格,除严重违反职责外,不得予以解雇;DSB应当在业务开始后的1个月内以书面形式任命;若DSB还想担任其他职务,则不应与其应履行的DSB职责发生冲突;DSB岗位应直接位于管理层之下;不遵守DSB强制性规定可能导致巨额罚款。事实上,德国BDSG提出的这一强制性制度在现实中受到许多公司的欢迎,因为这是一个“自我监督”的机制,客观上大大减轻了履行数据相关行政手续的负担。

欧洲1995年的《数据保护指令》(Directive 95/46/EC,95指令)中也引入了DPO概念。根据95指令,当数据控制者根据所在国法律规定任命个人数据保护官,以确保内部合规、数据处理活动登记、数据主体的权利与自由受到保护等,成员国可以简化或免除数据控制者的通知和登记的义务;在数据处理活动开始前,应当由监督机关或数据保护官进行先期检查。然而,由于95指令的法律效力问题,需经由欧盟成员国转化为国内法之后方可实施,其关于DPO的制度并不是强制性的。2011年,欧洲委员会重新审视了95指令的相关条款,并提出考虑施行强制性的数据保护官制度,要求所有数据处理组织都任命数据保护官。这一想法引起了广泛争论,有人认为,强制性的DPO制度目的在于减轻企业的行政负担,但是,对能否实现存疑;95指令的规定已经放宽了任命DPO实体的通知和登记的义务,也只有包括德国、法国在内的少数几个欧盟成员国采用这一模式。也有人认为,这样的强制性要求会给中小型企业带来沉重负担。还有人认为,这有可能有助于企业提升DPO的重视程度,毕竟DPO在欧洲仍是中低阶层的管理岗位,与美国的首席隐私官(Chief Privacy Officer)的中心战略地位大有不同;公司管理者关于数据治理的意识觉醒确实是个挑战,DPO的角色应当向美式首席隐私官的方向发展。

2001年发布的第45/2001号条例(Regulation No. 45/2001,2001条例)要求所有的欧洲共同体机构(European Community Institutions and Bodies)都必须任命DPO。2001条例要求,DPO确保共同体机构正确执行条例的规定,并确保数据主体以及数据控制者均了解他们的权利和义务;DPO还应负责响应并配合欧洲数据保护监督员(European Data Protection Supervisor,EDPS)的要求;对DPO履行职责的独立性作出规定,并要求确保向DPO提供必需的人力和资源;在数据处理活动开始前应当通知DPO,而DPO应当将收到通知的处理活动做好登记。

多年来,任命DPO的实践已在许多国家得到发展,助力公司管理者对于数据管理的意识觉醒,帮助各实体更好地履行法律法规规定的义务,而2001条例下的DPO与EDPS协同机制也颇具成效。虽然在GDPR出台之前,私人部门尚未普及DPO岗位设置,但是,对于所有欧洲共同体机构而言,无论大小几何,无论核心业务为何,任命DPO作为一项强制性的法律规定,已经超过15年的时间。2018年5月正式施行的GDPR,将强制性的DPO制度推及所有的公共机关和众多的私营组织,成为实现GDPR问责制、促进企业合规的重要工具,也成为企业的商业竞争优势。


二、DPO法律制度的国际比较

GDPR下的DPO制度有可能是目前全球范围内最系统化的DPO制度,而GDPR也允许各成员国在GDPR的规定之上提出更为详细或更为严格的要求,因此,各欧盟成员国的DPO制度也存在差异。此外,除了GDPR下DPO制度之外,亦有欧盟以外的其他国家/地区规定了或相似或不同的DPO制定或负责人制度。

根据GDPR,若数据控制者或处理者为公共机关,核心活动需要定期地、系统化地、大规模地对数据主体进行监控,或核心活动包括大规模的敏感个人数据的处理,则其必须任命DPO。GDPR允许企业集团任命一名DPO负责多个法律实体,条件是各机构可以轻松接触该DPO。GDPR要求DPO具有数据保护法律和实践方面的专业知识,因而也允许将DPO职务外包给外部服务提供商。数据控制者和数据处理者应当确保DPO及时介入与数据保护有关的所有问题;DPO应当向最高管理层负责,且在履行职务时不应被领导,也不应因履行职务而被解雇或处罚。GDPR规定的DPO职责包括:就遵守GDPR和其他欧盟或成员国法律提供咨询意见;监督组织的法律、内部制度的合规,包括分派职责、提高认识、员工培训等;在有需要时对数据保护影响评估提出建议、进行监督;作为联系人并与监督机关合作等。

GDPR下的DPO制度实际上是“开放式条款”,允许各成员国作出进一步规定,其中,最具代表性的是德国的新BDSG。德国新BDSG与GDPR在同一天正式实施,旨在配合GDPR的施行。德国新BDSG要求必须任命DPO的“准入门槛”比GDPR低许多——若公司长期雇佣至少10名员工进行自动化数据处理,若公司进行的数据处理需要经过数据保护影响评估,若公司商业上处理数据的目的是为了转让(即便是匿名化的转让)或为了市场或舆论调研,则公司都必须任命DPO。除德国之外,比利时法律也对应当任命DPO的场景作出规定;奥地利法律则规定了DPO及其下属负担保持特定数据主体身份秘密的义务,同时享有一定的沉默权。

在亚太地区,菲律宾、新加坡、印度有较为成型的DPO制度。菲律宾2012年的《数据隐私法》要求个人信息控制者(personal information controllers,PICs)和处理者(personal information processors,PIPs)任命DPO,负责确保PIC或PIP的行为符合《数据隐私法》的规定。菲律宾隐私委员会(National Privacy Commission of Philippines,NPC)指出,DPO必须是PIC或PIP的雇员,但是,也允许法律另有规定或NPC许可的例外情况。例如,相关公司可以任命或指定特定成员公司的DPO主要负责整个集团的数据保护合规,但是,这需要经过NPC的许可,而其他成员公司则应当有隐私合规专员(compliance officer for privacy,COP)作为DPO的助手。DPO或COP的职责允许外包,但是,DPO或COP应当在可行范围内监督第三方服务提供商职责履行的情况,且DPO或COP仍然应作为PIC或PIP与菲律宾NPC的联络人。与GDPR类似,菲律宾的DPO制度要求,若DPO任有其他职位,不应与DPO的职责存在冲突,DPO不应决定个人数据处理的目的和方式;DPO应当具备数据隐私方面的专业知识,且充分了解PIC或PIP的数据处理活动;PIC或PIP应确保DPO“相当程度的自治”以确保其履行职务的独立性。

新加坡2012年《个人数据保护法》要求每个组织必须任命一名或多名DPO,负责确保组织遵守个人数据保护法。一旦任命,DPO可以对外授权特定的职责,包括向非雇员授权。DPO的联络方式应当公开,但是,没有要求DPO必须是新加坡公民或居民。若组织没有任命DPO,个人数据保护委员会将展开调查,不配合调查的组织或自然人将构成犯罪,自然人可能被处以罚款或监禁,组织可能被处以罚款。

印度则要求所有收集敏感个人信息的公司任命投诉专员(Grievance Officer)处理相关投诉,响应数据主体的访问、修正等请求。印度对DPO是否是公民或居民并无要求,对未依法任命DPO的公司也未有强制措施或处罚。

在美国,虽然大型企业任命首席隐私官和IT安全官是行业内的最佳实践,除了美国健康保险流通与责任法案(Health Insurance Portability and Accountability Act,HIPPA)规制的实体外,并没有要求任命DPO的有关规定,这与欧盟GDPR的体例大不相同。


三、结语

通过以上时间和空间维度的比较分析,不难发现,DPO制度从形成至今,背后的立法主旨都是将个人信息的部分监管职能和相应责任由监管部门转移至企业内部,这种安排有显而易见的合理性:一方面,个人信息使用情况一般都能够揭示核心商业逻辑和价值创造机制,因此,企业是最不愿意将相关信息对外披露的;另一方面,相较于日益普遍的个人信息使用行为,监管部门的行政资源极其有限,仅靠政府规制这些行为,不可避免地会出现选择执法等问题。正是因为DPO制度来源于现实的需要,才使其在美国以外被广泛采用。

但是,要实现DPO制度的初衷,在制度设计上仍需着力解决两个难题,这也是各国DPO制度差异的根源所在:

第一,DPO的独立性与内部性之间的矛盾。DPO是设置在企业内部的一个岗位,其作用是对企业的数据处理行为进行相对独立的监督,在一定程度上扮演监管部门的角色。如何在岗位设计上确保DPO可以不受层级领导的影响作出独立判断和决策,同时又能与企业保持一般意义上的内部关系,从而使其能够深入到企业的业务中去,是各国在制度设计中都着力解决的一个难题。

第二,DPO制度所节约的合规成本和DPO制度本身所带来的合规成本之间的矛盾。如前所述,DPO制度设立的初衷绝不是为企业增负,而是通过将外部合规转化为内部合规降低企业的合规负担。但是,DPO制度本身也是有成本的,这种成本的大小取决于DPO适用范围、DPO选任的资质要求等重要因素,而这些因素也决定了DPO制度是否可以在何种程度上实现相应的监管目的。换言之,各国在制定DPO制度时,需要权衡制度给企业带来的用人成本与其帮助企业节约的合规成本之间的关系,过重的成本将阻碍企业的发展,这有违DPO制度的初衷。

(本文刊登于《中国信息安全》杂志2019年第2期)



关于DPO沙龙活动的有关情况,请见:


DPO社群成果

  1. 印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)

  2. 巴西《通用数据保护法》全文中文翻译(DPO沙龙出品)

  3. 美国联邦隐私立法重要文件编译第一辑(DPO沙龙出品)

  4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译(DPO沙龙出品)

  5. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)

  6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)

  7. 第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)

  8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译(DPO沙龙出品)

  9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)

  10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

  11. 第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)

  12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制(DPO沙龙出品)

  13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况(DPO沙龙出品)

  14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译(DPO沙龙出品)

  15. 第29条工作组关于GDPR《透明度准则的指引》全文翻译(DPO沙龙出品)


线下沙龙实录见:

  1. 数据保护官(DPO)沙龙第一期纪实

  2. 第二期数据保护官沙龙纪实:个人信息安全影响评估指南 

  3. 第三期数据保护官沙龙纪实:数据出境安全评估

  4. 第四期数据保护官沙龙纪实:网络爬虫的法律规制 

  5. 第四期数据保护官沙龙纪实之二:当爬虫遇上法律会有什么风险

  6. 第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论

  7. 数据保护官(DPO)沙龙走进燕园系列活动第一期

  8. 第六期数据保护官沙龙纪实:2018年隐私条款评审工作

  9. 第八期数据保护官沙龙纪实:重点行业数据、隐私及网络安全

  10. 第十期数据保护官沙龙纪实:数据融合可给企业赋能,但不能不问西东


线上沙龙见:

  1. DPO社群对数据堂事件的精彩点评

  2. DPO社群线上讨论第二期:“出售 & 提供” 个人信息之法律与实务对话

  3. 用户授权第三方获取自己在平台的数据,可以吗?不可以吗?(DPO沙龙线上讨论第三期)


时评见:

  1. 数据安全事件时评第一期

  2. 数据安全事件时评第二期

  3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目:数据可移植性的开源计划

  4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

  5. 【时事七】美国通过《NIST小企业网络安全法》

  6. 【时事八】国际数据流动:欧盟委员会启动对日本的充分性决定流程

  7. 【时评九】加州IoT设备网络安全法对物联网法律之影响(附法案翻译)

  8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

  9. 【时评十一】社交网络平台,需要多点爱还是多点管?

  10. 日本拟效仿德国:对IT巨头非法收集个人信息适用“反垄断法”

  11. 扎克伯格最新愿景:将Facebook打造成“关注隐私的社交网络“


DPO社群成员观点

  1. 个人信息委托处理是否需要个人授权?(DPO社群成员观点)

  2. 企业如何告知与保护用户的个人信息主体权利(DPO社群成员观点)

  3. GDPR“首张”执行通知盯上AlQ公司的前期后后(DPO社群成员观点)

  4. 隐私条款撰写调研报告(DPO社群成员观点)

  5. 我看到的数据安全(DPO社群成员观点)

  6. 数据爬取的法律风险综述(DPO社群成员观点)

  7. 银行业金融数据出境的监管框架与脉络(DPO社群成员观点)

  8. 解析公安机关《互联网个人信息安全保护指引(征求意见稿)》(DPO社群成员观点)

  9. 详解GDPR向Google亮剑缘由(DPO社群成员观点)

  10. 从生产安全体系视角看数据安全(DPO社群成员观点)

  11. 从Android Q看安卓系统的授权机制的三次重大演进(DPO社群成员观点)

  12. APP安全认证公告和实施规则解读:治理思路的创新与多样化(DPO社群成员观点)

  13. 从数据融合角度分析CNIL处罚谷歌案(DPO社群成员观点)



Modified on

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存