十国/地区数据保护法十大合规要点对比 | #8 数据保护官(DPO/个人信息保护负责人)任命要求
发布日期:2021-10-19
来源:数字科技说
第八部分:数据保护官(DPO/个人信息保护负责人)任命要求
数据保护官,Data Protection Officer(DPO),作为一个GDPR明确要求承担企业数据合规保护职责的职能角色,主要是指在适用的情况下所指定的帮助遵守 GDPR 规定的专业人员。GDPR 规定了必须指定数据保护官的情况和条件。
与此相关的另一个角色是欧盟代表,它主要是指欧盟地区以外的客户在适用的情况下所指定的代表,负责处理 GDPR 规定的义务。两者定位与角色不一样,需要注意区分。
对内,数据保护官作为组织治理架构中重要的角色,负责着各类与个人信息相关的合规工作;对外,数据合规官需要协助处理各种与个人信息保护相关的事项,是数据保护责任框架中的利益相关人。
(一)我国个人信息保护法解读:
在我国个保法的语境下,个人信息保护负责人,是指全面统筹与实施企业关于个人信息保护的工作,并对个人信息安全负直接责任的专业人员,个人信息保护负责人是一个需要负责对个人信息处理活动以及采取的保护措施等行为进行监督的角色。
本次个保法通过立法的形式,明确规定了应当指定个人信息保护负责人的具体情况。结合2020年10月1日生效的《信息安全技术 个人信息安全规范》(简称“35273-2020规范”)中关于个人信息保护负责人的规定,我们进行扼要分析如下:
1. 需要设立个人信息保护负责人的情况
根据个保法的规定,当处理个人信息达到国家网信部门规定数量的个人信息处理者,应当指定个人信息保护负责人。
而关于何谓达到“国家网信部门规定数量的个人信息处理者”,如前所述,可以参考2021年7月份网信办发布的《网络安全审查办法(修订草案征求意见稿)》,以及2017年网信办发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》中的规定。
而在35273-2020规范中,也有关于应对设立个人信息保护负责人的具体规定。根据该规范中的要求,当企业满足以下条件之一,则应设置专职的个人信息保护负责人和个人信息保护工作机构:
01
主要业务涉及个人信息处理,且从业人员规模大于200人;
02
或处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;
03
或处理超过10万人的个人敏感信息的;
2. 个人信息保护负责人的主要职责
我国个保法在关于个人信息保护负责人的主要职责方面以比较宏观的方式进行了表述,即其需要“负责对个人信息处理活动以及采取的保护措施等进行监督”,体现出的是,以期希望通过个人信息保护负责人的动态合规动作,来推动静态的个人信息保护制度的执行与落实,并进行持续性的监督。
同时,对于个人信息保护负责人的身份方面的信息披露有明确的法律要求,即:
A
公开身份;
明确要求了个人信息处理者应当将个人信息保护负责人的联系方式进行公开(常见的通过隐私政策、隐私声明条款、公司官网等方式进行);以及
B
报送监管部门
明确要求个人信息处理者应将该负责个人信息保护的负责人员的姓名、联系方式等向履行个人信息保护职责的部门进行报送。
而在35273-2020规范中,除了监督的职责外,我们还看到关于个人信息保护负责人更为具体的职责内容要求,并采取了“包括但不限于”的宽泛性表达,以期更能满足后续不断发展的个人信息保护立法与执法的变化。对于个人信息保护负责人和个人信息保护工作机构的主要职责,我们主要归纳为:
01
统筹:
全面统筹实施组织内部的个人信息安全工作, 对个人信息安全负直接责任;
02
计划的制定与落实:
组织制定个人信息保护工作计划并督促落实;
03
政策+制度的创建与维护:
制定、签发、实施、定期更新个人信息保护政策和相关规程;
04
权限管理:
建立、维护和更新组织所持有的个人信息清单(包括个人信息的类型、数量、来源、接收方等)和授权访问策略;
05
DPIA:
开展个人信息安全影响评估,提出个人信息保护的对策建议,督促整改安全隐患;
06
培训:
组织开展个人信息安全培训;
07
事前检测:
在产品或服务上线发布前进行检测,避免未知的个人信息收集、使用、共享等处理行为;
08
处理投诉:
公布投诉、举报方式等信息并及时受理投诉举报;
09
合规审计:
进行安全审计;
10
监督与沟通:
与监督、管理部门保持沟通,通报或报告个人信息保护和事件处置等情况。
3. 关于个人信息保护负责人的资质和角色定位要求
个保法中暂未见对个人信息保护负责人在资质要求上的特殊规定,但从实践中来看,也只有具备熟悉个人信息保护法律法规、具备法律专业背景的,以及能真正理解和处理与个人信息保护、数据安全的专业人士才能够胜任。
而在35273-2020规范中,则对个人信息保护负责人和个人信息保护工作机构提出了在资质和角色定位上的要求:
01
专业背景要求:
由具有相关管理工作经历和个人信息保护专业知识的人员担任;
02
向管理层直接汇报
参与有关个人信息处理活动的重要决策直接向组织主要负责人汇报工作。
03
保障独立履行职责
为其提供必要的资源,保障其独立履行职责。
需要提醒注意的是,与欧盟GDPR中提及的“欧盟代表”类似,个保法中也有相似的规定,需要注意与“个人信息保护负责人”的角色进行区别。根据我国个保法中,对于适用中国个人信息保护的境外个人信息处理者,应当在境内设立专门的机构或通过指定境内代表,来负责处理个人信息保护相关的事务。同时,要求该等境外的个人信息处理者向履行个人信息保护职责的部门报送关于境内的专门机构或境内指定代表的姓名及联系方式。对于可能落入我国个保法管辖范围的境外个人信息处理者,应注意做好设立中国境内机构或指定代表的准备及对应的报送工作。
可见,指定和任命个人信息保护负责人,是企业做好个人信息合规保护工作的有力保障,也是企业将一系列的数据保护制度进行有效落地的不可或缺的关键一环。
从企业个人信息合规的角度来看,一方面,需要任命合格的个人信息负责人,来帮助企业更好地遵守个人信息保护法规的要求;另一方面,通过设立个人信息保护工作部门,来提高企业在个人信息风险上的抵御能力,例如通过设立数据保护委员会以协调各部门在个人信息保护与数据安全保护方面的工作开展,并在发生安全事件时可以进行及时快速的反馈与响应处理;同时,还在注意通过制度来确保个人信息保护负责人的独立性和独立地位,以确保其可以独立地、专业地履行个人信息保护的职责,作出全面、准确且合理的决策。
(二) 海外主要个人信息保护法律对比:
总体来说
除欧盟外,越来越多的国家和地区也不断通过立法要求其管辖下的公司企业必须设立数据保护官,虽然名称、职能、适用情况和条件等各有不同,但其都是通过设立专职的人员或专门的部门,来帮助和保证企业遵守属地国的数据保护法律的规定和要求来处理个人信息和相关的数据。
