第八部分：數據保護官（DPO/個人信息保護負責人）任命要求

　　數據保護官，Data Protection Officer（DPO），作為一個GDPR明確要求承擔企業數據合規保護職責的職能角色，主要是指在適用的情況下所指定的幫助遵守 GDPR 規定的專業人員。GDPR 規定了必須指定數據保護官的情況和條件。

　　與此相關的另一個角色是歐盟代表，它主要是指歐盟地區以外的客戶在適用的情況下所指定的代表，負責處理 GDPR 規定的義務。兩者定位與角色不一樣，需要注意區分。

　　對內，數據保護官作為組織治理架構中重要的角色，負責著各類與個人信息相關的合規工作；對外，數據合規官需要協助處理各種與個人信息保護相關的事項，是數據保護責任框架中的利益相關人。

　?。ㄒ唬┪覈鴤€人信息保護法解讀：

　　在我國個保法的語境下，個人信息保護負責人，是指全面統籌與實施企業關于個人信息保護的工作，并對個人信息安全負直接責任的專業人員，個人信息保護負責人是一個需要負責對個人信息處理活動以及采取的保護措施等行為進行監督的角色。

　　本次個保法通過立法的形式，明確規定了應當指定個人信息保護負責人的具體情況。結合2020年10月1日生效的《信息安全技術 個人信息安全規范》（簡稱“35273-2020規范”）中關于個人信息保護負責人的規定，我們進行扼要分析如下：

　　1.  需要設立個人信息保護負責人的情況

　　根據個保法的規定，當處理個人信息達到國家網信部門規定數量的個人信息處理者，應當指定個人信息保護負責人。

　　而關于何謂達到“國家網信部門規定數量的個人信息處理者”，如前所述，可以參考2021年7月份網信辦發布的《網絡安全審查辦法（修訂草案征求意見稿）》，以及2017年網信辦發布的《個人信息和重要數據出境安全評估辦法（征求意見稿）》中的規定。

　　而在35273-2020規范中，也有關于應對設立個人信息保護負責人的具體規定。根據該規范中的要求，當企業滿足以下條件之一，則應設置專職的個人信息保護負責人和個人信息保護工作機構：

　　01

　　主要業務涉及個人信息處理，且從業人員規模大于200人；

　　02

　　或處理超過100萬人的個人信息，或預計在12個月內處理超過100萬人的個人信息；

　　03

　　或處理超過10萬人的個人敏感信息的；

　　2.  個人信息保護負責人的主要職責

　　我國個保法在關于個人信息保護負責人的主要職責方面以比較宏觀的方式進行了表述，即其需要“負責對個人信息處理活動以及采取的保護措施等進行監督”，體現出的是，以期希望通過個人信息保護負責人的動態合規動作，來推動靜態的個人信息保護制度的執行與落實，并進行持續性的監督。

　　同時，對于個人信息保護負責人的身份方面的信息披露有明確的法律要求，即：

　　A

　　公開身份；

　　明確要求了個人信息處理者應當將個人信息保護負責人的聯系方式進行公開（常見的通過隱私政策、隱私聲明條款、公司官網等方式進行）；以及

　　B

　　報送監管部門

　　明確要求個人信息處理者應將該負責個人信息保護的負責人員的姓名、聯系方式等向履行個人信息保護職責的部門進行報送。

　　而在35273-2020規范中，除了監督的職責外，我們還看到關于個人信息保護負責人更為具體的職責內容要求，并采取了“包括但不限于”的寬泛性表達，以期更能滿足后續不斷發展的個人信息保護立法與執法的變化。對于個人信息保護負責人和個人信息保護工作機構的主要職責，我們主要歸納為：

　　01

　　統籌：

　　全面統籌實施組織內部的個人信息安全工作， 對個人信息安全負直接責任；

　　02

　　計劃的制定與落實：

　　組織制定個人信息保護工作計劃并督促落實；

　　03

　　政策+制度的創建與維護：

　　制定、簽發、實施、定期更新個人信息保護政策和相關規程；

　　04

　　權限管理：

　　建立、維護和更新組織所持有的個人信息清單（包括個人信息的類型、數量、來源、接收方等）和授權訪問策略；

　　05

　　DPIA：

　　開展個人信息安全影響評估，提出個人信息保護的對策建議，督促整改安全隱患；

　　06

　　培訓：

　　組織開展個人信息安全培訓；

　　07

　　事前檢測：

　　在產品或服務上線發布前進行檢測，避免未知的個人信息收集、使用、共享等處理行為；

　　08

　　處理投訴：

　　公布投訴、舉報方式等信息并及時受理投訴舉報；

　　09

　　合規審計：

　　進行安全審計；

　　10

　　監督與溝通：

　　與監督、管理部門保持溝通，通報或報告個人信息保護和事件處置等情況。

　　3.  關于個人信息保護負責人的資質和角色定位要求

　　個保法中暫未見對個人信息保護負責人在資質要求上的特殊規定，但從實踐中來看，也只有具備熟悉個人信息保護法律法規、具備法律專業背景的，以及能真正理解和處理與個人信息保護、數據安全的專業人士才能夠勝任。

　　而在35273-2020規范中，則對個人信息保護負責人和個人信息保護工作機構提出了在資質和角色定位上的要求：

　　01

　　專業背景要求：

　　由具有相關管理工作經歷和個人信息保護專業知識的人員擔任；

　　02

　　向管理層直接匯報

　　參與有關個人信息處理活動的重要決策直接向組織主要負責人匯報工作。

　　03

　　保障獨立履行職責

　　為其提供必要的資源，保障其獨立履行職責。

　　需要提醒注意的是，與歐盟GDPR中提及的“歐盟代表”類似，個保法中也有相似的規定，需要注意與“個人信息保護負責人”的角色進行區別。根據我國個保法中，對于適用中國個人信息保護的境外個人信息處理者，應當在境內設立專門的機構或通過指定境內代表，來負責處理個人信息保護相關的事務。同時，要求該等境外的個人信息處理者向履行個人信息保護職責的部門報送關于境內的專門機構或境內指定代表的姓名及聯系方式。對于可能落入我國個保法管轄范圍的境外個人信息處理者，應注意做好設立中國境內機構或指定代表的準備及對應的報送工作。

　　可見，指定和任命個人信息保護負責人，是企業做好個人信息合規保護工作的有力保障，也是企業將一系列的數據保護制度進行有效落地的不可或缺的關鍵一環。

　　從企業個人信息合規的角度來看，一方面，需要任命合格的個人信息負責人，來幫助企業更好地遵守個人信息保護法規的要求；另一方面，通過設立個人信息保護工作部門，來提高企業在個人信息風險上的抵御能力，例如通過設立數據保護委員會以協調各部門在個人信息保護與數據安全保護方面的工作開展，并在發生安全事件時可以進行及時快速的反饋與響應處理；同時，還在注意通過制度來確保個人信息保護負責人的獨立性和獨立地位，以確保其可以獨立地、專業地履行個人信息保護的職責，作出全面、準確且合理的決策。

　　（二） 海外主要個人信息保護法律對比：

　　總體來說

　　除歐盟外，越來越多的國家和地區也不斷通過立法要求其管轄下的公司企業必須設立數據保護官，雖然名稱、職能、適用情況和條件等各有不同，但其都是通過設立專職的人員或專門的部門，來幫助和保證企業遵守屬地國的數據保護法律的規定和要求來處理個人信息和相關的數據。