【条文主旨】
本条是关于个人信息处理活动中处理者设置个人信息保护负责人制度义务和履职信息公开要求的规定。
【条文理解】
一、设置个人信息保护负责人的义务
(一)个人信息保护负责人委任的法定情形
本条要求满足一定条件,即处理个人信息达到国家网信部门规定数量的个人信息处理者,指定个人信息保护负责人。个人信息保护负责人对外披露的要求仅限于联系方式,但需报送履行个人信息保护职责的部门的信息则包括姓名和联系方式。
就职责来看,个人信息保护负责人的职责明确为对个人信息处理活动以及采取的保护措施等进行监督,而非承担主要责任。同时,个人信息处理者应当公开联系方式,并将姓名和联系方式等相关信息报送相关监管部门。
仅从本条来看,《个人信息保护法》仅对个人信息保护负责人的设置提出了框架性的要求,而对于个人信息保护负责人的具体职责划分、任职要求、条件以及责任承担等问题,或有待网信部门后续制定详细的实施细则以进一步规范。
从参考角度而言,《信息安全技术个人信息安全规范》第11.1条可以为个人信息保护负责人的设置提供详细参考,但应注意该规范中要求设置的组织内部机构广于《个人信息保护法》,在个人信息保护负责人之外,该规范要求设立个人信息保护工作机构。2020年的该规范根据大数据时代信息处理者运行的具体情况,对部分内容进行了调整,在不改变原有个人信息控制者对负责人和机构任命的基础情况下,提出了对个人信息保护负责人应具备的经验、素质要求,以及其具有的重要决策直接对上报告的权力。可见,《信息安全技术个人信息安全规范》增加了个人信息保护负责人及机构的任职资格和报告机制。使个人信息保护负责人和相关机构的委任人员不仅具备更加专业的背景知识,能顺利地与个人信息控制者实现对接,保护个人信息安全,而且对组织负责人的直接报告可以避免其执行任务中的权力影响。在相关组织应设立专职人员和机构的条件上,适当提高了门槛,在委任的法定情形中,将组织处理个人信息规模人数标准由原来的50万人提高至100万人。值得注意的是,2021年7月公布的《网络安全审查办法(修订草案征求意见稿)》提到了“100万人”的个人信息人数数量标准,因而100万人有可能最终被确立为个人信息保护负责人的设立标准,具体的落地细则尚待进一步观察。
(二)个人信息保护负责人的职责
《信息安全技术个人信息安全规范》第11.1条对个人信息保护负责人和机构的职责提出了要求,个人信息保护负责人具有全面统筹和直接负责的职责。在制度层面,责任落实到具体的个人信息保护负责人和机构,从制度或政策的出台和实施到相关人员的培训计划都应做好组织工作,应有责任人员或机构的全程参与。在实施层面,该规范赋予了个人信息保护负责人具体合法的工作内容,建立个人信息清单、开展评估、进行安全培训等,充分发挥个人信息保护负责人的作用。在监督层面,个人信息保护负责人应确保个人信息在收集和使用中的各个阶段符合相关规定,确保控制者所掌握的个人信息来源合法、处理合法,并在此基础上赋予其进行安全审计的职责。
二、数据保护官(DPO)制度
本条必然让我们联想到GDPR所规定的“数据保护官”(data protection officer,DPO)。关于DPO的任职,GDPR规定可以从内部雇员中任命,也可以从外部聘请,同时要求DPO的职能与其担任的其他职务不产生利益冲突。
我国个人信息保护负责人制度尚未全面建立,因而个人信息保护负责人不具备像欧盟DPO一样显著的职能性,但是已经具备了与DPO共同的某些特性。一是合法性,我国《
网络安全法》中认可了设定网络安全负责人职位的情形,在《信息安全技术个人信息安全规范》和《个人信息保护法》中明确指出了个人信息保护负责人委任的法定情形以及职责。GDPR则是将DPO列为单独的小节,明确规定了其任命的法定形式、地位以及任务等,并且通过欧盟各个成员国的积极实施,已经形成了一项关于个人数据保护方面专门的具有研究性的制度。二是强制性,我国《信息安全技术个人信息安全规范》《个人信息保护法》和GDPR在设置个人信息或数据保护负责人时,均对“应当”情形作出规定,明确了控制者(处理者)在符合条件的范围内应履行的委任个人信息或数据保护负责人的义务。
然而我国《个人信息保护法》下的个人信息保护负责人同GDPR的数据保护官(DPO)存在一定的区别:
(一)适用
就本条而言,我国《个人信息保护法》以个人信息处理者处理个人信息的数量作为划分门槛,只有处理个人信息达到国家网信部门规定数量的个人信息处理者才负有指定个人信息保护负责人的义务。网信部门将如何划线量级,2020年修订的《信息安全技术个人信息安全规范》已作出启示,分别从处理者的业务属性、个人信息处理规模、敏感个人信息规模这三个维度来设计个人信息保护负责人设置必要的起点:其一,若个人信息处理属于主要业务,且从业人员超200人的;其二,处理个人信息涉及100万个人主体以上的;其三,处理敏感个人信息涉及10万个人主体以上的。只要满足以上三个维度的任何一个,就触发个人信息保护负责人的设置义务。值得关注的是,该规范进一步要求个人信息保护负责人为专职职务。关于个人信息保护负责人的专职性,我国《个人信息保护法》并没有要求;该规范系指导性文件,并不构成法律强制力。因此,专职性与否的要求仍有待法律文件加以明确,处理者需观察动向,相应配置人事资源。
对照GDPR来看,GDPR有关DPO职务的必要设置也可以从我国《信息安全技术个人信息安全规范》提出的三个维度进行理解。除处理者的DPO设置要求外,GDPR还明确规定政府部门处理个人信息的,必须设置DPO。GDPR允许DPO可以由处理者内部人员出任,也可以由外聘机构承担。由处理者内部人员出任的,GDPR并未作全职限定,仅要求在兼任时,同时担任的其他职务不与DPO职责相冲突。可见,我国《信息安全技术个人信息安全规范》在个人信息保护负责人来源和投入程度问题上,与GDPR的要求相比,显得更加严格,尽管仍有待明确该要求的强制效力。
(二)独立性要求
DPO相比较我国个人信息保护负责人还具备独立性要求。GDPR赋予了DPO特定的职责,明确了DPO的法律地位,有关条款的规定制约了数据控制者和处理者对于DPO在行使职权方面的影响,确保DPO脱离数据控制者和处理者的意志,独立地行使权力和履行义务。DPO的独立性更好地确保了DPO恰当地履行其专业职责,是值得借鉴的优良经验。
(三)制度建设
GDPR关于数据保护官的制度更为系统和全面,包括需要任命DPO的情形,DPO的专业能力要求,保障DPO得以履行职责的资源支持,DPO的角色和利益冲突保护等。相较而言,我国《个人信息保护法》对个人信息保护责任人的规定较为笼统。
DPO/个人信息保护责任人在实践中常常会面临利益冲突,作为处理者的雇员,他/她首先应当为处理者负责,其次,作为组织的联系人,需要面向个人信息保护监管机构展开合作。因此,GDPR对其利益冲突问题予以了重点关注,从保护DPO的角度,明确DPO的独立性,其不应为履行职责而被数据控制者或处理者解雇。
GDPR关于DPO任职的规定,摘录两款如下:第37条“数据保护专员的指定”规定:数据保护专员可以是数据控制者或处理者的员工,也可以按照服务合同来完成任务。第38条“数据保护专员的地位”规定:数据保护专员可以履行其他任务和职务,数据控制者或处理者应当确保任何这样的任务和职务都不能导致利益冲突。
而我国《个人信息保护法》似乎并没有关注到这一问题,并未规定个人信息保护负责人是内部任命还是外聘,也没有职务不相容的规定,反而更进一步强调个人信息保护负责人对违法行为的责任承担,在各项行政处罚中,个人信息保护负责人似乎都可以被归入直接负责的主管人员或者其他直接责任人员,这可能会进一步加剧个人信息保护责任人的职业困境。
正如GDPR以及后续指南中对DPO的定位,DPO是合规落地的核心,对DPO给予更多的法律上的职业保障,才能真正有助于DPO职业群体的繁荣。
三、域外相关制度
GDPR在第37条至第39条中对DPO设置作了明确要求,对于设立地在欧盟的机构来说,政府部门及公共机构作为数据控制者、机构核心业务涉及日常的以及系统性的监控数据主体等大规模活动、处理特殊类型的个人数据,或者数据处理活动与刑事定罪相关等情形下,属于必须设立DPO的法定情形。同时DPO必须具备有关数据保护的专业知识和技能,有能力且能独立地履行职责。DPO的联系方式必须予以公布,且向监管机构报备。公司可以对DPO进行指定,但前提是DPO能够方便地介入公司其他运营地来处理相关事务。一些典型国家已经颁布实施了相关法律,明确突出任命DPO的要求,可见关于DPO的岗位设置和配套
法律法规的完善是大势所趋。
《韩国个人信息保护法》不仅建立了个人信息保护相关机制,而且具有与DPO相类似的个人职位设置,要求处理者必须指定一名隐私官。
2012年《菲律宾数据隐私法》要求个人信息控制者和处理者任命DPO,其中与GDPR规定相类似的几点是:菲律宾任命的DPO如果同时任有其他职位,不应与DPO的任务、职责存在冲突;DPO不具备个人数据处理目的及方式的决定权;DPO须具备与数据隐私相关的专业知识;DPO具有相对独立性等。菲律宾隐私委员会在确保任命DPO之外的实施方面更进一步指出所任命的DPO应当符合相应的法律规定,以及DPO的任命范围和例外情况。
2012年的《新加坡个人数据保护法》同样提出了任命一名或多名DPO的要求,赋予了DPO可以对外授予特定职权的权力,并指出应当对外披露DPO的相关信息。针对相关机构不依法任命DPO的情形,新加坡个人数据委员会将进行调查,而不配合调查的组织或自然人将构成犯罪,依照相关法律法规予以处罚。此后,2014在新加坡正式生效的《新加坡个人信息保护法》也明确了各个机构必须委任一名隐私专员的规定,还要确保该隐私专员收集的资料的准确性和完整性,保障个人信息安全。
2017年由印度电子信息技术部发布的《印度数据保护框架白皮书》提出了DPO有关要求,通过设置DPO并赋予权力,来解决个人信息安全保护所面临的严峻形势。
为了提高DPO的能力,2019年12月意大利数据保护机构发布了《意大利DPO实践指导手册》,确保DPO在处理数据保护相关问题时,能够兼顾数据控制者、数据主体及公众等相关者的利益。中国信息通信研究院互联网法律研究中心研究员刘耀华梳理了该指导手册的重点内容,认为该DPO规范可以给我国提供借鉴。这部实践指导手册由三部分组成:一是介绍安全、隐私和数据保护的相关概念;二是GDPR的主要内容及一些重点方面的介绍,同时共享了EDPS RACI(“执行、负责、咨询、通知”)矩阵;三是通过相关实例对DPO提供实践指导,重点在于明确了DPO的任务或将在实践中涉及DPO任务的实用指南。
