互联网出海实战指南之DPO系列：数据安全官的风险及应对措施

文/ 魏彤 数据合规顾问

      王捷 资深出海法律顾问

前文中说到，虽然GDPR明文禁止DPO因为履行职责而被免职或惩罚（art 38（3）），但是除了被所服务的机构免职或惩罚之外，DPO的特殊职业性质，明显会给任职的个人或组织带来一些其他的法律风险。

由于GDPR并没有明文规定有关数据保护专员的个人责任的事项，所以此处所说的风险一般指向所属国私法可能加之其上的刑事民事和行政处罚。下面我们举例列举几个国家是如何在其数据保护法条文中明确规定数据保护官的法律责任的：

这份数据法令直接规定了刑事处罚同时面向企业和个人，不过数据保护官的风险在爱尔兰主要集中在罚款上，具体如下：

当关于个人数据的保护要求遭到违反，而该违反得到了公司主管或数据保护官员的同意或默许，或是又主管或数据保护官员的疏忽大意导致，此时对于可以适用于简易程序的罪行处以最高三千欧元的罚款，当情形更加严重可提起公诉时处罚最高十万欧元罚金。

比如在罚金方面，英国直接规定，未能遵守执法通知或故意提供错误信息，那罚金就就不是三五千欧的事情了，注意一下，上不封顶了嘿。

更可怕的是，这个上不封顶，并不是仅仅针对于公司，如果此处违规的是公司，满足某些条件（该违反得到了公司主管或数据保护官员的同意或默许，或是由主管或数据保护官员的疏忽大意导致）的情况下，此处的涉事管理层就有可能惹火上身，恭喜获得一份个人刑事责任。啧啧，同样上不封顶。

看下来上面两个欧洲国家有一个共同点，就是数据保护官仅仅需要担心不要在刑事上惹祸上身就好，即便搞出问题，罚些（此处是虚指，其实是很多钱）钱也可以了事，怎么讲，亚洲就不太一样了，民事刑事损害赔偿加监禁套餐了解一下吗亲。

刑事罚金和上述两个差别不大，也是公司犯错，数据保护官可能承担转承责任。具体到数额上是：如果违反的是“谢绝来电”的要求，最高处以一万块新币；如果违反的一般数据保护责任，那罚金的上限就立刻飙升至一百万新币。

除了罚金，在刑事方面，数据保护官如果某些违反事项，此时还会伴随着一到三年的监禁处罚。

再如果引起了私人诉讼，损害赔偿也可能紧接着产生。

上述行为会导致被国家隐私委员会罚款十万比索到五百万比索（合十万美金差不多），伴随六个月到七年不等的监禁。

对数据安全官的个人责任指向方式也和上述国家差不多，即：如果公司是违法主体，同时负责人参与了／因为疏忽大意导致了导致了该违反的发生，那么，knock knock，DPO开下门，查水表了。

在民事赔偿方面，毋庸置疑，保险先行。各位数据安全官朋友，签合同入职的时候，如果雇主没有给上错误与疏漏保险（E&O insurance），建议大家评估风险，谨慎决定。具体的各E&O保险的条款和侧重也是各不相同，还是要仔细阅读。对于聘用外部DPO时候，外部DPO该怎么保护自己，可否也提一下？外部的就不提了，一个是区别不大，一个是这么写其实不方便我们获客（吧？）

刑事责任上，鉴于大部分的E&O保险都把刑事部分排除在覆盖范围外，建议大家把更多的注意力集中在公司的网络责任政策上。至少在数据泄露事件会是被覆盖在这份网络责任政策中的（大多数情况下）。

通过者五篇dpo系列文章，我们已经了解和掌握了关于DPO是什么？为什么要设立DPO？什么公司需要有DPO？没有的话会有哪些结果？DPO在实际业务过程中的具体工作内容什么？企业需要对DPO提供哪些支持？DPO由谁来担任？是否可以外包？和数据安全官的工作有什么责任风险？等等知识点，还蹭了一下科罗娜病毒的热点，以著名的不存在考研网站pornhub为例，从DPO的角度分析了他们的隐私政策。到了该系列收尾的时刻，我们从理论和实务的角度给出海企业提出以下建议。

1. 出海企业需要首先对自己在出海地数据法律框架下是否有设立DPO的法定义务进行评估，并对违反义务不设立DPO而需要承担的法律责任与后果进行清楚的了解，例如印度个人数据保护法案明确要求，对于重要数据受托者必须任命DPO，否则需要承担最高五千万卢比或上一财年全球营收2%的罚款，以较高者为准。

2. 如果企业决定设立DPO，则需要根据自身情况和需求选择专业背景的内部人员或聘用专业的外部律师担任DPO的职责，在跨国集团企业设立统一的数据保护官员或部门的情况下，要尤为关注集团内部都可被该数据保护官触达，包括考量集团DPO对当地语言和法律的熟悉程度。并为DPO履行其职责提供所需的足够的支持，赋予充分的决策权和独立开展工作的权力，让DPO可以充分参与企业数据保护和隐私设计的全过程，及时获得与监管机构的必要信息（详见第四篇内容）。

3. 如果企业决定不设立DPO，也需要记录与该决定有关的内部评估以证明其已考虑过所有关相关因素。

1. DPO是一个对专业性、职业性素养以及实务工作能力要求非常高的角色，涉及各类的具体要求，一旦被任命为DPO，责任是非常重大的，不仅要尽职履行好应有的职责和义务，专注于为企业解决实际的商业需求，而且也需要时刻提高自己专业技能，以及自己不熟悉领域中的相应技能，通过采用简单高效的方式和措施，与企业内部人员进行交流，实现DPO的职责目标以及为企业提供切实可行的数据保护目的。

2. 当数据控制者决定不采纳DPO的建议时候，DPO需要记录与该决定有关的内部评估以证明其已考虑过所有关相关因素。

3. 在为企业避免数据合规风险的同时，关注该职位特有的个人风险，提前关注错误与疏漏保险的覆盖范围，消除后顾之忧

DPO制度不是为了企业外在镀金，更不是一个纸上谈兵的设置，DPO的设立应成为互联网企业需要重点考虑的数据保护关键制度之一。

DPO之路，任重而道远。

【声明】本文内容可能会因法律法规修改而变更，司法实践中依个案实际情况来处理。本文仅代表作者目前所持的理论观点，不代表作者供职机构或其他相关机构的意见。本文仅为交流之用，所有内容不构成对任何个案的意见、建议或观点。作者和发布平台明示不对任何根据本文任何内容的作为或不作为所导致的后果承担责任。