【按语】数据保护官(DPO)在数据治理和企业架构中具有特殊的生态地位,如何在遵从法律的基础上契合企业的发展愿景和运营逻辑是重大的现实使命。感谢中兴通讯全球法律政策研究院授权,展示全球语境下的DPO规则与实践。—— 吴沈括,北京师范大学互联网发展研究院院长助理、博导、中国互联网协会研究中心副主任。
引言
法律法规只有能够有效施行和进行执行监管才能称之为有效,但是监管和执法并不能仅依靠监管机构、法院等公权力机关,市场、自我约束机制、消费者等也很重要。在欧盟《通用数据保护条例》(General
Data Protection Regulation,以下简称“GDPR”)中,“Data Protection
Officer”(数据保护官)就被认为是自我约束机制中的重要一环。本研究项目不仅仅局限于GDPR,而是放眼全球,根据客观的业务需要和相关法律规定的详略程度,选取了数十个重点地区和国家,围绕数据保护官的任命义务及程度、任职资格及履行保障、变更及解雇等角度切入进行研究。
纵观全球重点国家和地区的数据保护法,对于数据保护方面的主要负责人的称谓有Data
Protection Officer、Delegado de Protección de Datos 、Grievance
Officer、Chief Privacy Officer、Information officer、个人信息保护负责人等几种说法。1.Data Protection OfficerData
Protection
Officer,中文翻译为“数据保护官”,简称“DPO”,是最为常见的表达。这个概念最早由WP29提出时首次在指引中出现,后被GDPR吸纳,正式成为一个有约束力的概念。欧盟绝大多数成员国在其本国的数据保护立法中也沿用了此种说法,如德国、意大利、比利时、奥地利等。已经脱欧的英国亦是如此。除欧洲国家外,巴西、俄罗斯、菲律宾、泰国、埃及、阿联酋等国家亦是使用此种表达。2.Delegado de Protección de Datos 西班牙数据保护法规定的数据保护官在原文中称为“Delegado de Protección de Datos” ,由于翻译的原因,英文表述为Data Protection Delegate,中文翻译为“数据保护代表人 ”。印度数据保护法规定的数据保护官在原文中称为“Grievance Officer”[1] ,直译为申诉专员,其职责为“负责处理与个人信息处理相关的投诉,响应数据主体的访问权和更正权等权利行使”一些意见、指南、建议会提倡企业宜任命特定主管或员工负责管理个人信息,例如首席隐私保护官。乌克兰数据保护法规定,国家权力机关或地方自治机关、实体等应成立有关责任部门或负责人统筹个人信息保护和处理有关工作[2]。中国的网络安全与个人信息保护立法也是类似的表述,例如《中华人民共和国个人信息保护法》(“《个人信息保护法》”)规定,处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督,个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。[3]落入《个人信息保护法》适用范围的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。[4]除个人信息保护负责人之外,我国《网络安全法》、《数据安全法》、《网络安全等级保护条例(征求意见稿)》、《数据安全管理办法(征求意见稿)》以及《信息安全技术个人信息安全规范(GB/T
35273-2020)》均对网络安全与数据保护的负责人或责任人的设置做出了明确规定,包括,个人信息保护负责人、数据安全负责人和机构、网络安全负责管理人等。南非个人信息保护法设定的information officer角色可理解为“信息保护专员”。信息保护专员的含义根据其所属机构性质的不同而存在差异。[5]公共机构的信息保护专员是指《个人信息保护法》相关法条[6]规定的信息保护专员或副专员,而私人机构的信息保护专员则是依据《促进获取信息法》相关法条[7]所述的私人机构负责人。数据保护官被认为是数据保护法律所要求的技术和组织措施中的重要一环,承担着数据保护合规中的关键角色。其主要的角色有以下四种:数据保护官最重要的角色之一就是保持和监管机构的密切沟通。一方面在监管机构有任何调查和询问时,数据保护官应当积极进行配合,保持协作;另一方面当控制者或处理者需要主动寻求咨询时,应当充当与监管机构进行联络的桥梁。[8]如在数据保护影响评估中的得出的结论为高风险时,应当主动与监管机构进行事先咨询,寻求相关建议。[9]数据保护官某种程度上被认为是监管机构在控制者/处理者自我约束层面的延伸,担负着监督控制者/处理者数据保护合规实施的角色。主要的任务是:对数据处理活动进行建议、评估;对进行数据处理的雇员进行培训;参与相关审计等。[10]数据保护官可以作为控制者/处理者和数据主体之间的联络点[11]是基于其作为监督者,有一定的独立性,实践中大部分控制者/处理者也是在隐私政策或隐私通知书中披露其数据保护官的联络方式以供数据主体行使其权利或者咨询相关问题。此外也有国家强制规定数据保护官必须作为接收数据主体投诉的渠道,如巴西[12]、印度[13]。还有一类特殊的数据保护负责人,是由数据保护法规定,境外数据控制者或处理者应在境内设立的专门机构或者指定代表人,负责处理个人信息保护相关事务。例如,GDPR第27条,《个人信息保护法》第53条等。
鉴于跨国企业在不同司法管辖区有子公司,各司法管辖区数据保护立法可能对于数据保护官的设置规定不尽相同,且有的司法管辖区因其政治体制的不同,不仅要关注所在区域/国家的规定,也要关注所在州/地方的规定。同时还应注意到各数据保护监管机构制定的具体的指引,因此分析跨国企业是否有义务设置DPO以及如何进行设置从最广的意义上来讲有三个标准:(1)所在区域/国家的数据保护立法规定;(2)所在州/地方的数据保护立法规定;(3)数据保护监管机构的具体要求。
按照企业用工的逻辑,数据保护官的设置问题不仅仅是是不是需要任命这一个静止的步骤,而是需要综合考虑法律义务、违法成本、人力成本、管理难度等维度,设计一套选任、履职、变更、解雇的方法和流程。因此下文也按照此逻辑进行展开。
任命了数据保护官的组织体一般认为是达到了数据保护合规较高标准的状态,并非是一种基本的要求。一般来讲,各国立法对于数据保护官的任命是会根据数据处理活动本身的性质、进行数据处理活动的组织体的性质等条件来赋予积极义务。在极少数立法比较严格的国家,也会不区分数据处理的性质等因素,无差别地赋予控制者和处理者以任命数据保护官的义务,例如菲律宾[14]、新加坡、埃及[15]等国的数据保护法。GDPR第37条第1款(a)项规定“除了法院在其司法职能内的行为,当数据处理是由行政机关或公共团体实施时,控制者和处理者应指定一名数据保护官”。鉴于企业不属于行政机关或公共团体,此情形就不再赘述。也有的国家对于需要任命数据保护官的组织以不完全列举的方式进行了要求,如意大利数据保护监管机构(Garante
per la protezione dei dati
personali)规定:除GDPR对于任命DPO的要求外,包括但不限于以下情况应任命DPO:信贷机构;保险公司;信用信息系统;金融公司;商业信息公司;审计公司;收债公司;监视机构;政党;工会;非营利性税务和社会公益事业咨询及服务机构;在“公用事业”部门(电信,电力或天然气分配)运营的公司;工作管理公司;在卫生保健,健康预防/诊断部门经营的公司(如私家医院,水疗中心,医学分析实验室和康复中心);呼叫中心公司;提供IT服务的公司。西班牙的《关于保护个人数据和保障数据保护的组织法》(2018年第3号法令,Ley
Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
garantía de los derechos digitales)第34条[16]中也有类似的列举。典型的例子是GDPR第37条第1款规定控制者和处理者应指定一名数据保护官的情况(b)和(c)。对于(b)款的情况企业是否适用取决于“核心业务是由数据处理组成”以及"定期的、系统化的大规模监控"的解释。根据WP243
Guidelines on Data Protection
Officers(‘DPOs’)(以下简称’WP243’),“核心业务”可以被解释为实现控制者或处理者目标的关键操作。“定期”可以解释为以下的一项或多项:在某一特定时期内,以特定的间隔时间持续或发生;在固定时间重复或出现;持续地或周期性地进行。“系统的”可以解释为以下的一项或多项:根据某个系统发生、预先安排、有组织或有条理地发生;作为数据收集总计划的一部分发生或作为战略的一部分实施。同时WP243在例子中列举了运营电信网络,提供电信服务、数据驱动的营销活动、位置追踪(如通过手机APP进行)、通过可穿戴设备监测健康、健身和保健数据等活动作为“系统的”监控之代表。“大规模”从相关数据主体的数量(不论是绝对还是相对),数据的体量、类型,数据处理活动持续的时间等进行考虑。因此是否属于(b)款的情况,需要进行多种要素的考虑。对于(c)款的适用就比较明晰,结合“核心业务”和处理的个人数据本身是否属于特殊类型数据或者与犯罪和违法行为有关的数据即可进行判断。一般来讲医疗企业、使用与人的特征相关技术的高科技企业很有可能落入此种情况。泰国PDPA第41条第1款第(2)、(3)项同样规定了数据控制者或数据处理者的核心业务是收集、使用或披露个人数据的,应指定一名数据保护官。对于第(2)项所指的“大量个人数据”,PDPA附属法草案指出“大量”是指数据控制者或数据处理者在任何12个月内持有(1)50,000个数据主体以上的个人数据;或(2)涉及敏感数据处理的情况下,则为5,000个数据主体以上的个人数据。此外,PDPA附属法草案还规定了一些被视为大量个人数据处理的特定情况,尽管数据主体数量未达到上述规定,但仍需要任命
DPO。特定情况包括但不限于搜索引擎提供商或社交媒体平台为进行行为定向广告而处理的个人数据,以及保险公司、商业银行或其他类似机构在正常业务经营中签订合同或提供相关服务之前对客户进行风险评估而处理的个人数据。阿联酋迪拜《2020年数据保护法》第16条规定,系统性或定期进行高风险数据处理活动的控制者或处理者必须指定一名数据保护官。一般来讲,数据处理活动中有三个角色:控制者、处理者和数据主体。控制者和处理者是数据处理活动中各类义务的承担者,特别是作为决定数据处理目的和方式的控制者相比于处理者会承担更多的义务。但需要注意的是,控制者和处理者的角色不是固定的,企业在不同的数据处理活动中可能承担不同的角色,在同种数据处理活动中也有可能随着情况的变化而发生角色的变化。巴西《通用数据保护条例》(Lei
Geral de Proteção de Dados
Pessoais,以下简称’LGPD’)第41条规定“控制者应当任命数据保护官”。鉴于暂无进一步立法解释,单从该条的文义解释出发,对于在数据处理活动中承担控制者角色的企业都应当任命数据保护官。而企业在员工数据处理活动中承担的是控制者角色,员工数据处理是企业数据处理活动中一个最为基本的场景,在这个意义上对于LGPD第41条而言,实际上是赋予了所有企业以任命数据保护官的义务,属于比较严格的要求。同样规定的还有奥地利和比利时。《关于个人数据保护的联邦法案》(Datenschutzgesetz,
简称“DSG”)第57节规定“控制者应任命一名数据保护官”。《关于保护自然人个人数据处理的法案》(Act on the protection
of natural persons with regard to the processing of personal
data)第63条规定“控制者应指定一名或多名数据保护官”。
韩国《个人信息保护法》(Personal
Information Protection
Act)第31条(1)规定所有个人信息控制者都应指定一名隐私官总体负责个人信息处理。在《个人信息保护法(执行令)》第32条(2)中也对于个人信息控制者指定隐私官的方式和要求进行了详细规定。当然对于数据保护官强制任命义务不适用的企业,也可以根据自己数据保护组织架构建设的需求自愿任命。英国信息专员办公室(Information
Commissioner’s
Office,以下简称“ICO”)规定:在达到GDPR强制要求的前提下,公司才必须任命DPO。GDPR未强制要求任命DPO的公司,也可自愿任命DPO。在GDPR中,违反数据保护官的任命义务属于行政罚款的第一档[17],即最高1千万欧元或者上一财政年度全球营业总额的2%。LGPD没有区分针对不同违法行为的处罚档次,根据LGPD第52条,LGPD下有5种处罚形式,分别是:警告、总计罚款、每日罚款、公布违规行为、冻结违规所涉及个人数据、删除违规所涉及个人数据。5种处罚形式并不互相竞合。总计罚款最高是上一财政年度巴西境内私法人主体、集团或大型企业集团收入的2%(不含税),单次罚款最高可达5千万雷亚尔(折合人民币约为8千多万元)。对于企业违反数据保护官任命义务的情形,比较有可能适用的处罚形式有警告、总计罚款和公布违规行为。
新加坡《个人数据保护法》规定对于未能指定数据保护官的组织,个人数据保护委员会可以要求该组织支付不超过1百万新加坡币的罚金,2022年2月1日生效的修正案授权个人数据保护委员会罚处该组织最高上一财政年度新加坡营业总额的10%。泰国PDPA罚则部分规定了未履行数据保护官任命义务的数据控制者,处以不超过100万泰铢(折合人民币约为20万元)的行政罚款。在埃及,企业违反《个人数据保护法》第8条对数据保护官的强制任命义务,将被处以不低于20万且不超过200万埃及镑(折合人民币约83万元)的罚款。埃及《个人数据保护法》并没有对违反强制任命义务的企业设置除了罚款之外的其他处罚,也未针对不同规模的企业设置不同档次的罚款金额,所有违规企业均将在20万至200万埃及镑区间适用罚则。根据GDPR第37条第5款的规定“数据保护官的指定应当基于其专业素质,其需要具有对数据保护法律和实践的专业知识,以及完成第39条[18]规定的任务的能力。”其他国家也有类似的表述,如希腊《个人数据保护局执行有关GDPR、欧洲议会第2016/680号指令以及其他条文的措施》第6条规:数据保护官的职业水准以及对数据保护法的专业知识应作为选择标准。大体上对于数据保护官的任职资格要求分为:数据保护法律知识、履行数据保护官角色所必备的其他知识。作为数据保护官数据保护法律知识是必备的,但是法律或者其他细节没有对这方面的职业资格证书有相关的强制要求,比如法律执业资格、CIPP-E等相关证书。根据WP243,虽然对于专业技术水平没有严格限定,应当与该组织处理数据的敏感性、复杂性和数据处理量相适应,同时,也与该组织向欧盟外传输数据的频率有关。西班牙数据保护监管机构认为“数据保护官不必是法律专家,但必须具有有关数据保护的专业法律知识。”法国数据保护监管机构CNIL(Commission
Nationale de l'Informatique et des
Libertés)设置了数据保护官认证项目,由认证机构认证DPO的专业能力,但进行认证不是成为数据保护官的前提条件。如第一部分介绍的数据保护官的角色,作为和监管机构/数据主体的联络点,需要与监管机构/数据主体保持密切的沟通。德国北莱茵数据保护和信息自由专员(Landesbeauftragte
für Datenschutz und
InformationsfreiheitNordruhein-Westfalen)在其官网对于有关数据保护官任命常见问题解答中提到“数据保护官需要能够以与监管机构和受影响主体通信所需的语言进行交流”。单从这句话的描述来看数据保护官似乎是要具备德语能力,但是考虑到该常见问答的效力以及根据欧盟第29条数据保护工作组发布的《数据保护官(DPO)指南》“在必要的情况下,数据保护官可以在团队的帮助下进行有效的交流”,可以解释为数据保护官本人不一定需要掌握监管机构/数据主体使用的语言,只要有团队保障有效的交流即可。WP243指出,数据保护官应当对该组织所在的业务领域和业务运营情况有一定程度的理解,如果该组织是公共机关或机构,数据保护官应当对其行政规则和程序有充分的了解。除了作为联络点,数据保护官还要作为企业数据保护合规工作的监督者,从这个意义上讲,可能也需要具备一定的网络安全/信息安全方面的知识。通常情况下,数据保护官的身份或国籍并不会影响其任命,只要其知识背景能够胜任相应的数据保护职责即可,例如泰国则并未对数据保护官的身份进行限制,个人数据保护官员可以是数据控制者或数据处理者的工作人员,或与数据控制者或数据处理者签订合同的服务提供商。阿联酋阿布扎比《2021数据保护法》规定,数据保护官不需要一定是控制者或处理者的员工,但必须要具备能够履行法律要求的数据保护官相关职责的专业知识和能力,且数据保护官可以不在阿布扎比居住。但部分国家对于数据保护官的身份要求作出了明确规定。韩国《个人信息保护法(执行令)》第32条第2款对于公共机构、非公共机构的隐私官的任职身份要求比较细致,以非公共机构为例,隐私官需要由以下人员担任:a.
企业经营者或法定代表;或b.
董事和公司管理人员(在缺失董事或公司管理人员的情况下,由从事个人信息处理相关工作的部门负责人担任)。阿联酋迪拜《2020数据保护法》规定,数据保护官可以是控制者或处理者的员工,也可以根据服务合同由第三方人员担任,但数据保护官必须居住在迪拜境内。部分国家对数据保护官的身份进行了相应限制,如埃及《个人数据保护法》第8条要求企业任命一名员工担任数据保护官,这意味着如果企业选择自身实体以外的个人担任数据保护官将不会被监管机构所认可。欧盟对于数据保护官的所在位置没有硬性要求,然而根据GDPR的要求,数据保护官应当易于联系。基于此,WP29建议,无论数据控制者或处理者是否位于欧盟境内,数据保护官都应当在欧盟境内设计。但WP243同时提到,不排除某些情况下,当控制者或处理者位于欧盟之外时,DPO如果位于欧盟之外反而能更高效地展开工作。[19]
[1] 印度《个人数据保护法》第30条
[2] 乌克兰《数据保护法》第24条
[3] 《中华人民共和国个人信息保护法》第52条
[4] 《中华人民共和国个人信息保护法》第53条
[5] 南非2013年《个人信息保护法》第1条。
[6] 南非2013年《个人信息保护法》第1条、第17条。
[7] 南非《促进获取信息法》第1条。
[8] GDPR第39条第1款(d)、(e)
[9] GDPR第36条第1款
[10] GDPR第39条第1款(a)、(b)
[11] GDPR第38条第4款
[12] LGPD第 第2款(1)
[13] 印度《个人数据保护法》第30条
[14]
菲律宾《2012年数据隐私法》第26条:在适当情况下,个人信息控制者和个人信息处理者应遵守以下组织安全准则:a.任何参与处理自然人个人数据的法人或其他机构应指定一人或多人担任数据保护官、合规官或其他负责人,确保组织遵守适用的数据隐私和安全法律法规。
[15] 埃及《个人数据保护法》第8条第2款规定,对于任何作为控制者或处理者的企业,其法定代表人均应任命一名合格的员工作为数据保护官,并向数据保护中心报送注册。
[16]
《关于保护个人数据和保障数据保护的组织法》(2018年第3号法令,Ley Orgánica 3/2018, de 5 de
diciembre, de Protección de Datos Personales y garantía de los derechos
digitales)第34条:(1)以下实体,无论是作为数据控制者还是数据处理者,都必须任命DPO:(a)专业协会及其理事会;(b)提供法定的有关受教育权的任何水平的教学中心,以及公立和私立大学;(c)经常和系统地处理大规模个人数据,并且按照特定法律的规定运营网络并提供电子通信服务的实体;(d)大规模准备服务用户档案的信息社会的服务提供者;(e)涉及组织、监督和偿付能力的信贷机构;(f)金融信贷机构;(g)保险和再保险实体;(h)受证券市场法规管制的投资服务公司;(i)电力分销商和营销商以及天然气分销商和营销商;(j)负责评估资本偿付能力和信贷的通用文件或负责管理和防止欺诈的通用文件的实体,包括负责反洗钱监管的文件的实体;(k)进行广告和商业推销活动包括商业和市场研究的实体;(l)有法律义务维护患者的病历的保健中心,但卫生专业人员被排除在外;(m)以发布可能涉及自然人的商业报告为目的之一的实体;(n)根据游戏规则,通过计算机等远程信息处理和交互式渠道开展游戏活动的运营商;(o)私人保安公司;(p)在处理未成年人数据时的体育联合会;(2)上一款中未包括的组织可以任命一名DPO。
[17] GDPR第83条第4款
[18] GDPR第39条
[19] 2.4 Accessibility and localisation of the DPO,WP243 Guidelines on Data Protection Officers