您的公司有数据保护官了吗？

数据隐私和网络安全

专栏

作者：冯坚坚 胡科 蒋昕妍 

本文首发于威科先行法律信息库

在大数据产业和分享经济繁荣发展的今天，万物互联。在人们享受着技术飞速变革带来的便利的同时，个人信息滥用事件却频频发生，多家国内外大型企业爆出信息安全、数据泄露等问题，信息类犯罪数量也在飙升。数据保护和个人信息安全问题已经引起各界广泛关注，许多国家和地区也相继出台相关法律、规定予以应对。

面对用户乃至全球社会的关注，国内外层出不穷的行政和法律监督，做好信息保护工作对于当今企业的重要性不言而喻。您的公司是否已经开始未雨绸缪了呢？特别是您的公司有数据保护官（Data Protection Officer，简称DPO）了吗？

为什么要设置DPO

中国虽然暂时还没有个人信息保护方面的专门立法，但已经公布实施的《网络安全法》，和即将于今年5月1日正式实施的国家标准GB/T 35273-2017《信息安全技术个人信息安全规范》（简称“《个人信息安全规范》”），分别提出了设置“网络安全负责人”、“个人信息保护负责人”的要求。[1]

国外立法中，最值得关注的是将于今年5月25日正式实施的欧盟《一般数据保护条例》（General Data Protection Regulation，简称GDPR），其中提出了设置DPO的要求。[2]切不要以为欧盟GDPR和中国企业没有什么关系——即使企业不在欧盟内，如果在向欧盟的个人提供商品和服务的过程中处理了欧盟居民的个人数据，或监测了在欧盟实施的个人行为，企业就受到GDPR的管制。[3]这一范围其实是相当宽泛的，涵盖各类互联网服务、消费电子、航空等产业的许多中国企业。GDPR强制要求核心工作包括系统性地监控大规模数据主体或处理大规模特殊类别数据的企业必须任命DPO[4]，第29条数据保护工作组（由所有欧盟数据保护机构的代表组成）则建议不确定的企业“最好”都任命DPO。

如果违反《网络安全法》的相关规定，侵害个人信息相关权利，企业将面临从警告到吊销执照的法律责任，而罚款数额最高可达一百万元；而违反欧盟GDPR相关规定的成本更加高昂，最高罚款可达2000万欧元或者前一财年全球收入的4%。

除合规风险之外，从企业经营管理的角度，要维系企业与消费者、客户、员工的良好关系，确保企业自身的经济健康，都很大程度取决于企业在个人信息保护方面是否遵循“最佳做法”（Best Practice）或者至少是“良好做法”（Good Practice）。在个人隐私意识已经大大增强的环境下，不合格的数据保护工作很有可能造成消费者、客户、员工对企业失去信任、企业无法应对激烈的市场竞争、收入锐减、商誉扫地等严峻的不利后果，而这些都是企业承担不起的。

能干的数据保护官可以有效地领导企业的数据安全保护工作，为企业保护个人信息、数据的机密性、完整性和可用性（confidentiality, integrity and availability, CIA）的整体战略提供有力支持，确保企业活动合规，帮助在理解法律法规和商业要求的前提下，做好数据保护工作。

DPO究竟做什么

从字面上理解，DPO是企业的数据保护官，负责企业的数据保护和个人信息安全方面的工作。一般而言，DPO的具体职责可以包括设定、修改、执行企业个人信息安全和数据保护制度、组织员工培训、负责安全审计和合规事务等。

《个人信息安全规范》规定个人信息保护负责人和个人信息保护工作机构的应履行的职责包括但不限于：全面统筹实施组织内部的个人信息安全工作，对个人信息安全负直接责任；指定、签发、实施、定期更新隐私政策和相关规程；应建立、维护和更新组织所持有的个人信息清单（包括个人信息的类型数量、来源、接收方等）和授权访问策略；开展个人信息安全影响评估；组织开展个人信息安全培训；在产品或服务上线发布前进行监测，避免未知的个人信息收集、使用共享等处理行为；进行安全审计。[5]

根据欧盟GDPR第39条和欧盟第29条数据保护工作组2016年12月的《数据保护官指引》（简称《指引》），DPO任务和职责包括：向数据控制者、处理者及负责数据处理的员工作出有关通知和建议；确保、监控企业活动的合规性；提出建议并监控数据保护影响评估；协助监管机构的工作，并担任指定联络人；负责风险管控工作等。

值得注意的是，中国的《个人信息安全规范》和欧盟的GDPR对于DPO的角色定位存在差异，尤其体现在“独立性”方面。欧盟第29条数据保护工作组在《指引》中指出，某些公司虽设有隐私官员或其他负责数据保护工作的岗位，但他们并不一定能符合GDPR对于DPO的要求。当他们无法保证工作的独立性时，他们就不能被认为是GDPR下的DPO。[6]GDPR要求DPO行使其职责时能有足够的自主权，除有权监管机关之外，不得有任何人指令、控制DPO的工作。也可以说GDPR下的DPO需要向上汇报和负责，但不被“领导”。但《个人信息安全规范》要求企业要明确“法定代表人或主要负责人对个人信息安全负全面领导责任”，这种意义上的DPO是应当接受上级领导的。此外，DPO如果同时承担其他工作，必须确保没有利益冲突，例如DPO不得决定处理个人信息的目的和方式。因此，如果企业需要按照GDPR的要求任命DPO，需要特别注意GDPR的特殊规定。

什么人可以做DPO

观察上述DPO的职责，一个合格的DPO可能需要具备以下技能和特征：

1. DPO需要具备专业知识和技能

DPO必须有理解数据保护和信息安全方面的法律知识，且有能力指导企业在整个信息生命周期（information life cycle）应该如何处理，包括收集、使用、存储、清理等方面的具体问题。GDPR第37条明确要求DPO需要有“数据保护法律与实践的专业知识，且有能力完成第39条项下的职责”。获得国际隐私专家协会（International Association of Privacy Professionals，IAPP）资质认证的隐私专家也许会是一个很好的选择。

2. DPO需要有良好的沟通能力

在企业内部，向上，DPO需要对管理层负责，需要提升董事会和高管的信息安全意识，使其真正理解和体会企业面临的隐私挑战，且能够清晰地说明有待解决的问题。向下，DPO需要教育全体员工，组织培训，传达法律法规的要求，使隐私政策得到真正贯彻。对于外部，DPO则需要和监管机构、消费者、客户乃至大众进行有效交流。

3. DPO需要有管理者的风度和领导力

DPO不能是一个只会听从命令按部就班的人。从最基本的角度，DPO需要带领团队处理工作。不仅如此，成功的DPO还需要向外投射解决困难棘手情况的信心，建立自上而下的信任感，领导整个企业配合数据保护工作。

4. DPO需要对企业的经营有足够深刻的理解

DPO需要对企业的经营有足够深刻的理解，并从企业的各个部门汲取有价值的信息，例如法务、IT、人力、风控、市场等，从而准确把握企业对于隐私工作的需求，设计有效的工作方案。

5. DPO需要能够制定战略和计划

大至整个企业的隐私政策、数据保护政策，小至个别问题的特殊处理，都需要DPO作为主心骨指出工作方向，并制定合理的战术和方案。

如何设置DPO

以下几种方案可供企业参考：

1. 设置专职的数据保护官

这是许多国外大型公司的做法，中国企业固然可以借鉴和学习。由谁来出任DPO的职位通常有两种选择：一是从企业已有的管理层或员工中挑选；二是从外部招聘专家。内部选任的优点在于其对企业的经营管理较为熟悉，而外部招聘的优点则是专家有可能具备更加扎实的专业知识和能力。

2. 设立数据保护委员会

数据保护委员会由各个与个人信息和数据保护工作密切相关的部门的代表组成。设置委员会有利于听取不同的声音，但也很可能因内部分歧影响决策和行动的效率以及责任意识。就这一挑战，企业高级管理层需要最终拍板和决策；也可以考虑设置委员会主席，兼任DPO的角色。

3. 外聘顾问

律师事务所、会计师事务所以及陆续出现的隐私咨询机构有数据保护方面的专业人员，可以向企业提供服务，比如帮助建立隐私制度、向管理层和员工提供培训、就具体问题提出专业意见等。企业可以通过签订服务合同，外包工作。GDPR也明确允许企业的DPO可以是外部顾问。[7]

当然，上述方式并不是互相排斥的。企业完全可以选择多种方式相结合，以最好实现自身的目的。

你们准备好了吗

欧美国家从2000年开始，已有至少百家公司设有DPO的职位，如花旗集团、美国运通、惠普、微软、Facebook等。安永的一份调查数据显示，欧盟GDPR根本性地改变了全球范围内隐私保护的管理模式。75%的欧盟公司以及50%的美国公司声称GDPR合规要求是驱动其隐私工作的主要原因。在培训方面的投入、隐私岗位聘用人数都在近几年大幅增长。[8]

而国内企业在个人信息安全合规方面的准备仍比较滞后。相信中国政府对企业的数据保护工作会提出更高要求，更多行政约谈、合规调查、违规制裁行动将会落地。对很多中国企业来说，个人信息安全合规现状审查和改进已经是刻不容缓，而任命DPO协调数据保护工作是至关重要的第一步。

注释：

[1] 《网络安全法》第21条明确了网络运营者“确定网络安全负责人”的义务，第34条规定了关键信息基础设施的运营者应当“设置专门安全管理机构和安全管理负责人”。《个人信息安全规范》第10.1条规定了个人信息控制者“应明确其法定代表人或主要负责人对个人信息安全负全面领导责任”且“应任命个人信息保护负责人和个人信息保护工作机构”。《个人信息安全规范》还要求主要业务涉及个人信息处理，且从业人员规模大于200人，以及处理超过50万人的个人信息，或在12个月内预计处理超过50万人的个人信息的组织，应设立专职的个人信息保护负责人和个人信息保护工作机构，负责个人信息安全工作。

[2] GDPR第37-39条。

[3] GDPR第3条。

[4] GDPR第37（1）条。

[5] 《个人信息安全规范》第10.1（d）条。

[6] 《指引》脚注11: This is also relevant for chief privacy officers (‘CPOs’) or other privacy professionals already in place today in some companies, who may not always meet the GDPR criteria, for instance, in terms of available resources or guarantees for independence, and, if they do not, they cannot be considered and referred to as DPOs.

[7] GDPR第37（6）条。

[8] IAPP-EY Annual Privacy Governance Report 2017。

合伙人

021-2613 6221

feng.jianjian@jingtian.com

竞天公诚律师事务所合伙人。

冯坚坚律师的执业领域主要专注于网络安全合规、反垄断调查及反垄断合规咨询。冯律师是上海市律师协会互联网业务研究委员会委员，曾任阿里巴巴特色中国训练营讲师，长期为众多大型跨国企业、大型互联网科技企业提供法律服务，对于互联网新技术与商业模式有独到而深刻的理解。

自2016年开始，冯律师及其团队为大量客户提供了有关网络安全法相关的合规咨询服务，并从2017年网络安全法生效实施后，协助客户应对与网络安全合规有关的政府检查和调查，在公司的网络安全合规和调查应对上积累了丰富的经验。

合伙人

010-5809 1182

hu.ke@jingtian.com

胡科律师毕业于北京大学和加州大学伯克利分校，分别获得法学学士和法学硕士学位，具有中华人民共和国和美国纽约州律师资格。 

胡科律师是竞天公诚律师事务所争议解决部合伙人。其执业领域为商事争议解决，尤其擅长跨境商事和知识产权争议的诉讼和仲裁。胡律师经常代理客户处理在中国法院的重大涉外诉讼以及在CIETAC、BAC、HKIAC、ICC、SCC、SIAC等中外仲裁机构进行的商事仲裁案件，涉及公司、股权、中外合资、PE/VC投资、金融、贸易、工程、能源、文化娱乐、技术许可以及外国仲裁裁决或法院判决的司法审查和执行。2018年，他被《法律名人录》认可为国际仲裁领域的"未来领袖"之一。

胡律师是国际商事仲裁理事会（ICCA）-清华大学中国仲裁法律与实践联合工作组成员，国际律师协会（IBA）仲裁委员会成员和IBA ARB 40协调委员会的中国国家代表，中国青年仲裁小组组织委员会成员和YSIAC领导委员会成员。

胡律师的工作语言是中文和英文。

律师

010-5809 1059

jiang.xinyan@jingtian.com

蒋昕妍是竞天公诚律师事务所争议解决部律师，执业领域为商事争议解决、数据隐私与网络安全。

蒋律师2013年毕业于中南财经政法大学，取得法学学士学位；2016年毕业于美国本杰明卡多佐法学院，取得法律博士学位（Juris Doctor）。在加入竞天公诚之前，蒋律师曾在美国纽约州司法部任职。

蒋律师已取得美国纽约州律师资格和中国法律职业资格。蒋律师的工作语言是中文和英文。