历史和国际比较视角DPO法律制度探源(DPO社群成员观点)
编者按:
本公号在刊登DPO沙龙和相关社群活动的同时,还将刊登DPO社群成员的精彩文章。众所周知,《中国信息安全》是国家在网络安全领域非常权威的期刊杂志。DPO沙龙成员在《中国信息安全》2019年2月这一期中,发表了DPO制度的见解,介绍了DPO的前世今生、方方面面。本公号将陆续刊发。本篇作者为腾讯公司的赵冉冉。
正文:
落实安全岗位责任制 保障数据管理依法合规
从国内外相关法律法规对数据保护官等数据管理工作的职责描述分析,欧盟《通用数据保护条例》强制要求任命数据保护官以确保“合规”的规定,成为基于问责制合规框架的重要“基石”,美国、德国、新加坡、印度等国也有类似制度。《中华人民共和国网络安全法》规定的网络安全负责人以及国家标准《信息安全技术 个人信息安全规范》规定的个人信息保护负责人等制度,虽然在表述上与欧盟的规定不同,但是,其所发挥的岗位功能与前者相似,成为保护企业信息安全和保障数据依法合规的重要角色。
于2018年5月25日正式实施的欧盟《通用数据保护条例》(GDPR)给全球隐私实践带来巨大震动。GDPR规定的诸多制度都对各国企业产生了不同程度的影响,其中,值得关注的一项是数据保护官(Data Protection Officer,DPO)制度。GDPR强制要求欧盟的所有公共机关以及核心工作,包括系统性地监控大规模数据主体或处理大规模特殊类别数据的私营组织,必须任命DPO以确保GDPR合规。第29条工作组(Article 29 Working Party,WP29)也在其《数据保护官指引》(Guidelines on Data Protection Officers, WP243)中建议,无论是否有法律要求,“最好”都要任命DPO。简言之,DPO制度是GDPR基于问责制合规框架的重要基石。除了确保组织GDPR合规之外,DPO也充当各利益相关人之间的中间人角色(包括监督机构、数据主体和组织内的业务部门等)。实际上,GDPR中的DPO制度并非首家,也并非独此一家。正是由于这一要求,全球范围的DPO岗位需求指数性增长,相关人才储备呈现巨大缺口。
一、DPO法律制度的历史演进
诚如WP29发布的《数据保护官指引》中所言,DPO并非是一个全新的概念,实则颇有历史渊源。
在GDPR出台之前,于1978年发布的《德国联邦数据保护法案》(Bundesdatenschutzgesetz,BDSG)中就已经出现了关于DPO的强制性要求。德国BDSG要求雇佣不少于9名员工长期从事自动化数据处理或雇佣不少于20名员工从事非自动化数据处理的公司必须任命数据保护官(Datenschutzbeauftragter,DSB)。根据BDSG,DSB必须具备适当的资格,除严重违反职责外,不得予以解雇;DSB应当在业务开始后的1个月内以书面形式任命;若DSB还想担任其他职务,则不应与其应履行的DSB职责发生冲突;DSB岗位应直接位于管理层之下;不遵守DSB强制性规定可能导致巨额罚款。事实上,德国BDSG提出的这一强制性制度在现实中受到许多公司的欢迎,因为这是一个“自我监督”的机制,客观上大大减轻了履行数据相关行政手续的负担。
欧洲1995年的《数据保护指令》(Directive 95/46/EC,95指令)中也引入了DPO概念。根据95指令,当数据控制者根据所在国法律规定任命个人数据保护官,以确保内部合规、数据处理活动登记、数据主体的权利与自由受到保护等,成员国可以简化或免除数据控制者的通知和登记的义务;在数据处理活动开始前,应当由监督机关或数据保护官进行先期检查。然而,由于95指令的法律效力问题,需经由欧盟成员国转化为国内法之后方可实施,其关于DPO的制度并不是强制性的。2011年,欧洲委员会重新审视了95指令的相关条款,并提出考虑施行强制性的数据保护官制度,要求所有数据处理组织都任命数据保护官。这一想法引起了广泛争论,有人认为,强制性的DPO制度目的在于减轻企业的行政负担,但是,对能否实现存疑;95指令的规定已经放宽了任命DPO实体的通知和登记的义务,也只有包括德国、法国在内的少数几个欧盟成员国采用这一模式。也有人认为,这样的强制性要求会给中小型企业带来沉重负担。还有人认为,这有可能有助于企业提升DPO的重视程度,毕竟DPO在欧洲仍是中低阶层的管理岗位,与美国的首席隐私官(Chief Privacy Officer)的中心战略地位大有不同;公司管理者关于数据治理的意识觉醒确实是个挑战,DPO的角色应当向美式首席隐私官的方向发展。
2001年发布的第45/2001号条例(Regulation No. 45/2001,2001条例)要求所有的欧洲共同体机构(European Community Institutions and Bodies)都必须任命DPO。2001条例要求,DPO确保共同体机构正确执行条例的规定,并确保数据主体以及数据控制者均了解他们的权利和义务;DPO还应负责响应并配合欧洲数据保护监督员(European Data Protection Supervisor,EDPS)的要求;对DPO履行职责的独立性作出规定,并要求确保向DPO提供必需的人力和资源;在数据处理活动开始前应当通知DPO,而DPO应当将收到通知的处理活动做好登记。
多年来,任命DPO的实践已在许多国家得到发展,助力公司管理者对于数据管理的意识觉醒,帮助各实体更好地履行法律法规规定的义务,而2001条例下的DPO与EDPS协同机制也颇具成效。虽然在GDPR出台之前,私人部门尚未普及DPO岗位设置,但是,对于所有欧洲共同体机构而言,无论大小几何,无论核心业务为何,任命DPO作为一项强制性的法律规定,已经超过15年的时间。2018年5月正式施行的GDPR,将强制性的DPO制度推及所有的公共机关和众多的私营组织,成为实现GDPR问责制、促进企业合规的重要工具,也成为企业的商业竞争优势。
二、DPO法律制度的国际比较
GDPR下的DPO制度有可能是目前全球范围内最系统化的DPO制度,而GDPR也允许各成员国在GDPR的规定之上提出更为详细或更为严格的要求,因此,各欧盟成员国的DPO制度也存在差异。此外,除了GDPR下DPO制度之外,亦有欧盟以外的其他国家/地区规定了或相似或不同的DPO制定或负责人制度。
根据GDPR,若数据控制者或处理者为公共机关,核心活动需要定期地、系统化地、大规模地对数据主体进行监控,或核心活动包括大规模的敏感个人数据的处理,则其必须任命DPO。GDPR允许企业集团任命一名DPO负责多个法律实体,条件是各机构可以轻松接触该DPO。GDPR要求DPO具有数据保护法律和实践方面的专业知识,因而也允许将DPO职务外包给外部服务提供商。数据控制者和数据处理者应当确保DPO及时介入与数据保护有关的所有问题;DPO应当向最高管理层负责,且在履行职务时不应被领导,也不应因履行职务而被解雇或处罚。GDPR规定的DPO职责包括:就遵守GDPR和其他欧盟或成员国法律提供咨询意见;监督组织的法律、内部制度的合规,包括分派职责、提高认识、员工培训等;在有需要时对数据保护影响评估提出建议、进行监督;作为联系人并与监督机关合作等。
GDPR下的DPO制度实际上是“开放式条款”,允许各成员国作出进一步规定,其中,最具代表性的是德国的新BDSG。德国新BDSG与GDPR在同一天正式实施,旨在配合GDPR的施行。德国新BDSG要求必须任命DPO的“准入门槛”比GDPR低许多——若公司长期雇佣至少10名员工进行自动化数据处理,若公司进行的数据处理需要经过数据保护影响评估,若公司商业上处理数据的目的是为了转让(即便是匿名化的转让)或为了市场或舆论调研,则公司都必须任命DPO。除德国之外,比利时法律也对应当任命DPO的场景作出规定;奥地利法律则规定了DPO及其下属负担保持特定数据主体身份秘密的义务,同时享有一定的沉默权。
在亚太地区,菲律宾、新加坡、印度有较为成型的DPO制度。菲律宾2012年的《数据隐私法》要求个人信息控制者(personal information controllers,PICs)和处理者(personal information processors,PIPs)任命DPO,负责确保PIC或PIP的行为符合《数据隐私法》的规定。菲律宾隐私委员会(National Privacy Commission of Philippines,NPC)指出,DPO必须是PIC或PIP的雇员,但是,也允许法律另有规定或NPC许可的例外情况。例如,相关公司可以任命或指定特定成员公司的DPO主要负责整个集团的数据保护合规,但是,这需要经过NPC的许可,而其他成员公司则应当有隐私合规专员(compliance officer for privacy,COP)作为DPO的助手。DPO或COP的职责允许外包,但是,DPO或COP应当在可行范围内监督第三方服务提供商职责履行的情况,且DPO或COP仍然应作为PIC或PIP与菲律宾NPC的联络人。与GDPR类似,菲律宾的DPO制度要求,若DPO任有其他职位,不应与DPO的职责存在冲突,DPO不应决定个人数据处理的目的和方式;DPO应当具备数据隐私方面的专业知识,且充分了解PIC或PIP的数据处理活动;PIC或PIP应确保DPO“相当程度的自治”以确保其履行职务的独立性。
新加坡2012年《个人数据保护法》要求每个组织必须任命一名或多名DPO,负责确保组织遵守个人数据保护法。一旦任命,DPO可以对外授权特定的职责,包括向非雇员授权。DPO的联络方式应当公开,但是,没有要求DPO必须是新加坡公民或居民。若组织没有任命DPO,个人数据保护委员会将展开调查,不配合调查的组织或自然人将构成犯罪,自然人可能被处以罚款或监禁,组织可能被处以罚款。
印度则要求所有收集敏感个人信息的公司任命投诉专员(Grievance Officer)处理相关投诉,响应数据主体的访问、修正等请求。印度对DPO是否是公民或居民并无要求,对未依法任命DPO的公司也未有强制措施或处罚。
在美国,虽然大型企业任命首席隐私官和IT安全官是行业内的最佳实践,除了美国健康保险流通与责任法案(Health Insurance Portability and Accountability Act,HIPPA)规制的实体外,并没有要求任命DPO的有关规定,这与欧盟GDPR的体例大不相同。
三、结语
通过以上时间和空间维度的比较分析,不难发现,DPO制度从形成至今,背后的立法主旨都是将个人信息的部分监管职能和相应责任由监管部门转移至企业内部,这种安排有显而易见的合理性:一方面,个人信息使用情况一般都能够揭示核心商业逻辑和价值创造机制,因此,企业是最不愿意将相关信息对外披露的;另一方面,相较于日益普遍的个人信息使用行为,监管部门的行政资源极其有限,仅靠政府规制这些行为,不可避免地会出现选择执法等问题。正是因为DPO制度来源于现实的需要,才使其在美国以外被广泛采用。
但是,要实现DPO制度的初衷,在制度设计上仍需着力解决两个难题,这也是各国DPO制度差异的根源所在:
第一,DPO的独立性与内部性之间的矛盾。DPO是设置在企业内部的一个岗位,其作用是对企业的数据处理行为进行相对独立的监督,在一定程度上扮演监管部门的角色。如何在岗位设计上确保DPO可以不受层级领导的影响作出独立判断和决策,同时又能与企业保持一般意义上的内部关系,从而使其能够深入到企业的业务中去,是各国在制度设计中都着力解决的一个难题。
第二,DPO制度所节约的合规成本和DPO制度本身所带来的合规成本之间的矛盾。如前所述,DPO制度设立的初衷绝不是为企业增负,而是通过将外部合规转化为内部合规降低企业的合规负担。但是,DPO制度本身也是有成本的,这种成本的大小取决于DPO适用范围、DPO选任的资质要求等重要因素,而这些因素也决定了DPO制度是否可以在何种程度上实现相应的监管目的。换言之,各国在制定DPO制度时,需要权衡制度给企业带来的用人成本与其帮助企业节约的合规成本之间的关系,过重的成本将阻碍企业的发展,这有违DPO制度的初衷。
(本文刊登于《中国信息安全》杂志2019年第2期)
关于DPO沙龙活动的有关情况,请见:
DPO社群成果
线下沙龙实录见:
线上沙龙见:
时评见:
DPO社群成员观点