落实安全岗位责任制 保障数据管理依法合规

从国内外相关法律法规对数据保护官等数据管理工作的职责描述分析，欧盟《通用数据保护条例》强制要求任命数据保护官以确保“合规”的规定，成为基于问责制合规框架的重要“基石”，美国、德国、新加坡、印度等国也有类似制度。《中华人民共和国网络安全法》规定的网络安全负责人以及国家标准《信息安全技术 个人信息安全规范》规定的个人信息保护负责人等制度，虽然在表述上与欧盟的规定不同，但是，其所发挥的岗位功能与前者相似，成为保护企业信息安全和保障数据依法合规的重要角色。

一、DPO法律制度的历史演进

诚如WP29发布的《数据保护官指引》中所言，DPO并非是一个全新的概念，实则颇有历史渊源。

在GDPR出台之前，于1978年发布的《德国联邦数据保护法案》（Bundesdatenschutzgesetz，BDSG）中就已经出现了关于DPO的强制性要求。德国BDSG要求雇佣不少于9名员工长期从事自动化数据处理或雇佣不少于20名员工从事非自动化数据处理的公司必须任命数据保护官（Datenschutzbeauftragter，DSB）。根据BDSG，DSB必须具备适当的资格，除严重违反职责外，不得予以解雇；DSB应当在业务开始后的1个月内以书面形式任命；若DSB还想担任其他职务，则不应与其应履行的DSB职责发生冲突；DSB岗位应直接位于管理层之下；不遵守DSB强制性规定可能导致巨额罚款。事实上，德国BDSG提出的这一强制性制度在现实中受到许多公司的欢迎，因为这是一个“自我监督”的机制，客观上大大减轻了履行数据相关行政手续的负担。

欧洲1995年的《数据保护指令》（Directive 95/46/EC，95指令）中也引入了DPO概念。根据95指令，当数据控制者根据所在国法律规定任命个人数据保护官，以确保内部合规、数据处理活动登记、数据主体的权利与自由受到保护等，成员国可以简化或免除数据控制者的通知和登记的义务；在数据处理活动开始前，应当由监督机关或数据保护官进行先期检查。然而，由于95指令的法律效力问题，需经由欧盟成员国转化为国内法之后方可实施，其关于DPO的制度并不是强制性的。2011年，欧洲委员会重新审视了95指令的相关条款，并提出考虑施行强制性的数据保护官制度，要求所有数据处理组织都任命数据保护官。这一想法引起了广泛争论，有人认为，强制性的DPO制度目的在于减轻企业的行政负担，但是，对能否实现存疑；95指令的规定已经放宽了任命DPO实体的通知和登记的义务，也只有包括德国、法国在内的少数几个欧盟成员国采用这一模式。也有人认为，这样的强制性要求会给中小型企业带来沉重负担。还有人认为，这有可能有助于企业提升DPO的重视程度，毕竟DPO在欧洲仍是中低阶层的管理岗位，与美国的首席隐私官（Chief Privacy Officer）的中心战略地位大有不同；公司管理者关于数据治理的意识觉醒确实是个挑战，DPO的角色应当向美式首席隐私官的方向发展。

2001年发布的第45/2001号条例（Regulation No. 45/2001，2001条例）要求所有的欧洲共同体机构（European Community Institutions and Bodies）都必须任命DPO。2001条例要求，DPO确保共同体机构正确执行条例的规定，并确保数据主体以及数据控制者均了解他们的权利和义务；DPO还应负责响应并配合欧洲数据保护监督员（European Data Protection Supervisor，EDPS）的要求；对DPO履行职责的独立性作出规定，并要求确保向DPO提供必需的人力和资源；在数据处理活动开始前应当通知DPO，而DPO应当将收到通知的处理活动做好登记。

多年来，任命DPO的实践已在许多国家得到发展，助力公司管理者对于数据管理的意识觉醒，帮助各实体更好地履行法律法规规定的义务，而2001条例下的DPO与EDPS协同机制也颇具成效。虽然在GDPR出台之前，私人部门尚未普及DPO岗位设置，但是，对于所有欧洲共同体机构而言，无论大小几何，无论核心业务为何，任命DPO作为一项强制性的法律规定，已经超过15年的时间。2018年5月正式施行的GDPR，将强制性的DPO制度推及所有的公共机关和众多的私营组织，成为实现GDPR问责制、促进企业合规的重要工具，也成为企业的商业竞争优势。

二、DPO法律制度的国际比较

GDPR下的DPO制度有可能是目前全球范围内最系统化的DPO制度，而GDPR也允许各成员国在GDPR的规定之上提出更为详细或更为严格的要求，因此，各欧盟成员国的DPO制度也存在差异。此外，除了GDPR下DPO制度之外，亦有欧盟以外的其他国家/地区规定了或相似或不同的DPO制定或负责人制度。

根据GDPR，若数据控制者或处理者为公共机关，核心活动需要定期地、系统化地、大规模地对数据主体进行监控，或核心活动包括大规模的敏感个人数据的处理，则其必须任命DPO。GDPR允许企业集团任命一名DPO负责多个法律实体，条件是各机构可以轻松接触该DPO。GDPR要求DPO具有数据保护法律和实践方面的专业知识，因而也允许将DPO职务外包给外部服务提供商。数据控制者和数据处理者应当确保DPO及时介入与数据保护有关的所有问题；DPO应当向最高管理层负责，且在履行职务时不应被领导，也不应因履行职务而被解雇或处罚。GDPR规定的DPO职责包括：就遵守GDPR和其他欧盟或成员国法律提供咨询意见；监督组织的法律、内部制度的合规，包括分派职责、提高认识、员工培训等；在有需要时对数据保护影响评估提出建议、进行监督；作为联系人并与监督机关合作等。

GDPR下的DPO制度实际上是“开放式条款”，允许各成员国作出进一步规定，其中，最具代表性的是德国的新BDSG。德国新BDSG与GDPR在同一天正式实施，旨在配合GDPR的施行。德国新BDSG要求必须任命DPO的“准入门槛”比GDPR低许多——若公司长期雇佣至少10名员工进行自动化数据处理，若公司进行的数据处理需要经过数据保护影响评估，若公司商业上处理数据的目的是为了转让（即便是匿名化的转让）或为了市场或舆论调研，则公司都必须任命DPO。除德国之外，比利时法律也对应当任命DPO的场景作出规定；奥地利法律则规定了DPO及其下属负担保持特定数据主体身份秘密的义务，同时享有一定的沉默权。

在亚太地区，菲律宾、新加坡、印度有较为成型的DPO制度。菲律宾2012年的《数据隐私法》要求个人信息控制者（personal information controllers，PICs）和处理者（personal information processors，PIPs）任命DPO，负责确保PIC或PIP的行为符合《数据隐私法》的规定。菲律宾隐私委员会（National Privacy Commission of Philippines，NPC）指出，DPO必须是PIC或PIP的雇员，但是，也允许法律另有规定或NPC许可的例外情况。例如，相关公司可以任命或指定特定成员公司的DPO主要负责整个集团的数据保护合规，但是，这需要经过NPC的许可，而其他成员公司则应当有隐私合规专员（compliance officer for privacy，COP）作为DPO的助手。DPO或COP的职责允许外包，但是，DPO或COP应当在可行范围内监督第三方服务提供商职责履行的情况，且DPO或COP仍然应作为PIC或PIP与菲律宾NPC的联络人。与GDPR类似，菲律宾的DPO制度要求，若DPO任有其他职位，不应与DPO的职责存在冲突，DPO不应决定个人数据处理的目的和方式；DPO应当具备数据隐私方面的专业知识，且充分了解PIC或PIP的数据处理活动；PIC或PIP应确保DPO“相当程度的自治”以确保其履行职务的独立性。

新加坡2012年《个人数据保护法》要求每个组织必须任命一名或多名DPO，负责确保组织遵守个人数据保护法。一旦任命，DPO可以对外授权特定的职责，包括向非雇员授权。DPO的联络方式应当公开，但是，没有要求DPO必须是新加坡公民或居民。若组织没有任命DPO，个人数据保护委员会将展开调查，不配合调查的组织或自然人将构成犯罪，自然人可能被处以罚款或监禁，组织可能被处以罚款。

印度则要求所有收集敏感个人信息的公司任命投诉专员（Grievance Officer）处理相关投诉，响应数据主体的访问、修正等请求。印度对DPO是否是公民或居民并无要求，对未依法任命DPO的公司也未有强制措施或处罚。

在美国，虽然大型企业任命首席隐私官和IT安全官是行业内的最佳实践，除了美国健康保险流通与责任法案（Health Insurance Portability and Accountability Act，HIPPA）规制的实体外，并没有要求任命DPO的有关规定，这与欧盟GDPR的体例大不相同。

三、结语