为了落实《个人信息保护法》等要求,国家网信办发布了《关于开展个人信息保护负责人信息报送工作的公告》(下称“报送公告”),明确处理100万人以上个人信息的个人信息处理者,应当在2025年8月29日前,向属地网信部门完成个人信息保护负责人(PIPO)情况及个人信息处理相关情况的信息报送。截至目前,绝大多数企业已经通过系统递交了报送信息,部分企业已经收到了审核通过的结果。
根据相关法律法规、政策口径及近期行业报送实践,汇业律师事务所黄春林律师团队针对PIPO报送的十大实务问题简要解读如下,仅供相关组织参考。
一、PIPO有哪些法定职责?
1. 法律层面
(1)《个人信息保护法》明确规定:PIPO负责对个人信息处理活动及采取的保护措施进行监督。《个人信息保护合规审计管理办法》及《审计指引》则对职责作了进一步细化,包括但不限于:负责企业个人信息保护合规审计工作;在个人信息处理重大事项决策前,有权提出意见和建议;对内部不合规的个人信息处理操作,有权制止并采取必要的纠正措施;等等。
(2)特殊情形:涉及儿童个人信息处理的,PIPO应当依据《儿童个人信息网络保护规定》第15条,审批工作人员访问儿童个人信息的需求。当个人信息处理量超过 1000 万人时,PIPO还需承担《网络数据安全保护条例》第30条所规定的相关职责,例如牵头管理机构工作,以及向有关主管部门报告网络数据安全情况,等等。
2. 国标层面
参考《信息安全技术 个人信息安全规范》第11.1条,PIPO还应履行以下职责:
(1)全面统筹实施企业内部个人信息保护工作,对保护工作负直接责任;
(2)组织制定并推动落实个人信息保护工作计划;
(3)制定、签发、实施并定期更新个人信息保护政策和相关规程;
(4)建立、维护和更新个人信息清单(包括类型、数量、来源、接收方等)及访问授权策略;
(5)开展个人信息保护影响评估,提出改进建议并督促整改;
(6)组织开展个人信息安全培训;
(7)在产品或服务上线前进行检测,避免出现未披露的个人信息收集、使用或共享行为;
(8)公布投诉举报渠道,并及时处理相关投诉举报;
(9)与监管部门保持沟通,及时通报和报告个人信息保护及事件处置情况;等等。
二、PIPO与其他职位有什么不一样?
监管报送
根据《个人信息保护法》第52条及《关于开展个人信息保护负责人信息报送工作的公告》,个人信息处理量超过 100 万的企业需向监管部门报送 PIPO 信息。其他类似岗位(如《网络安全法》下的网络安全负责人、《数据安全法》下的数据安全负责人)目前尚无向监管部门的强制报送要求。
2. 信息公开
根据《个人信息保护法》第52条等规定,企业需要依法公开PIPO的联系方式。其他类似岗位(如IT负责人、安全负责人、人事负责人等)目前尚无信息公开的法律强制要求。
3. 个人责任大小
《个人信息保护法》第66条等规定,PIPO一旦被认定为直接负责的主管人员的,个人可能面临最高 100 万元罚款,以及在一定期限内禁止担任相关企业的董监高及PIPO。相比之下,网络安全负责人面临的最高罚款为 10 万元,且目前无禁业处罚等规定。
三、PIPO个人有什么法律风险吗?
根据《个人信息保护法》第66条、《网络数据安全管理条例》第56条、《治安管理处罚法》《刑法》等规定,PIPO个人可能承担以下显性法律风险:
四、企业应当为PIPO提供哪些任职保障?
如前所述,PIPO负责对企业的个人信息处理活动以及采取的保护措施等进行监督,负责个人信息处理者的个人信息保护合规审计工作。因此,企业应当为PIPO履职提供相应保障。
具体应提供的任职保障,汇业律师事务所黄春林律师团队理解应包括但不限于如下:
职级要求:
如前所述,PIPO承担监督职责,并负责审计工作。参考《网络数据安全管理条例》对于网络数据安全负责人的要求,网络数据安全负责人由网络数据处理者管理层成员担任;参考《数据安全技术 敏感个人信息处理安全要求》,其中明确PIPO由处理者管理层成员担任。因此,PIPO的级别建议不低于助理总监级别,从而保障其能独立行使监督权并负责审计活动,等等。
2. 资源支持:
参考《信息安全技术 个人信息安全规范》的规定,企业应为个人信息安全工作提供人力、物力、财力保障等,应为PIPO提供必要的资源。
汇业律师事务所黄春林律师团理解企业的资源支持应包括但不限于如下:
(1)人力方面:企业应根据个人信息处理规模以及复杂程度,为PIPO配备必要的团队成员,从而支撑其工作。参考主流行业实践,处理个人信息超过1000万(或敏感个人信息超过100万)的企业,一般至少配备3人的专职团队。
(2)财力方面:企业应提供充足的财务预算,用于PIPO开展合规审计、教育培训、获取外部法律和技术支撑等。
(3)其他方面:企业应为PIPO履行职责提供必需的技术工具、系统权限,例如相关的数据访问权限、文档查阅权等等。
五、行业实践中一般如何保障PIPO个人权益?
参考目前行业实践情况,可从如下角度保障PIPO个人权益:
(1)为PIPO购买职业责任保险:
参考部分外资企业实践,例如为PIPO购买相关责任保险,并确保相关保险条款可以覆盖责任事件中的救济性成本。
目前,部分集团总部已购买类似保险,建议进一步确认集团总部所购买的类似保险中的被保险人是否涵盖中国PIPO。
(2)与PIPO签署补偿协议:
参考部分外资企业实践,考虑到PIPO与企业其他职位不一样且个人责任巨大(详见本文第二、三部分),同时鉴于目前主流的责任保险可能暂时无法全面覆盖PIPO的个人经济性责任,因此我们建议企业与PIPO签订《PIPO履职保障与自愿补偿协议》,为PIPO勤勉履职行为(非故意或严重违反企业规章制度行为)而产生的责任提供补偿。【具体可参考汇业律师事务所黄春林律师团队此前发布的文章《个人信息保护负责人(PIPO)履职保障与自愿补偿协议(示范文本)》】
六、行业实践中一般由谁担任PIPO?
目前行业实践中,一般由以下几类人员担任PIPO:(1)企业已设立专门的个人信息或隐私保护机构的,通常由该机构负责人担任;(2)法务或合规部门的负责人;(3)信息技术或安全部门的负责人;(4)少数情况下,也可能由业务负责人乃至由企业主要负责人担任。
汇业律师事务所黄春林律师团队建议企业采取(1)、(2)两类做法。目前,中国PIPO还是偏合规管理方向,PIPO相关履职活动高度依赖于对中国法律法规的理解和适用,例如企业开展个人信息保护合规审计工作,需要牵头的PIPO对法律法规要求、审计要点和合规尺度进行准确把控。因此,任命具有法律专业知识背景的负责人担任PIPO,更符合设立该岗位的制度初衷,这也是目前较为常见的行业实践。
七、PIPO与各业务/系统个人信息保护负责人是什么关系?
两者的关系可从以下几个角度区分理解:
(1)就法律性质而言,PIPO是根据法律规定任命并报送的负责人,属于法定岗位;各业务/系统个人信息保护负责人并非是法定岗位,仅为满足PIPO信息报送的监管政策要求;
(2)就职责范围而言,企业的个人信息保护全面工作,仍由PIPO根据相关法律规定及岗位职责总体负责;各业务/系统个人信息保护负责人主要负责各自领域内的个保合规执行和落地等工作;
(3)就法律责任而言,各业务/系统个人信息保护负责人的法律责任并不会因报送而额外增加。根据《网信部门行政处罚裁量权基准适用规定》第13条的要求,相关责任人员的具体责任会根据具体相关责任人员的履职行为、主观过错等因素综合考量。
此外,我们建议企业以不同人选分别任命PIPO与各业务/系统个人信息保护负责人。因为,《个人信息保护负责人信息报送系统填报说明(第一版)》的填报说明明确要求企业分别填写各业务/系统个人信息保护负责人及其职位、电话及邮箱等内容,且填报示例内容均不同于PIPO的填报示例内容。因此,PIPO与各业务/系统个人信息保护负责人为不同人选符合监管本意或期待。此外,分任制逻辑更符合企业个人信息保护合规工作实际,有利于推动各业务领域有效落实个人信息保护合规要求。参照已经通过备案的报送案例,分任制并未受到网信部门挑战,仅少数地区网信部门可能要求企业简要补充说明二者关系。
八、如何填报PIPO报送的业务/系统信息?
参照已经通过备案的报送案例,建议企业以“业务/场景”为维度申报,而不是以“系统”为维度申报。
以“业务/场景”为维度申报,符合“抓主要矛盾”的原则,有利于现行个保负责人信息报送制度的监管落地,符合现阶段为企业合规减负的大背景。报送个人信息保护负责人的姓名、联系方式等,是《个人信息保护法》第52条规定的法律义务;报送前述信息以外的其他信息(例如个人信息处理场景及数量等信息),并非《个人信息保护法》明确规定的法定义务,暂无直接对应的罚则。
在进行申报场景筛选时,汇业律师事务所黄春林律师团建议企业坚持“重点突出、场景一致性、主体不遗漏”的原则,具体包括:
(1)企业的主营业务相关的场景(例如车联网、临床试验、电商场景、会员关系管理场景等);
(2)对外的2C业务场景,涉及数据量较大的(例如10万+);
(3)之前已经披露过的场景,例如数据出境申报、隐私政策披露等已披露的;
(4)覆盖不同类型主体(例如客户/用户、会员、医生/研究者/讲者、患者/受试者、车主/驾驶人、员工/候选人、供应商/经销商联系人等);等。
九、PIPO报送程序还有哪些实务问题?
参照已经通过备案的报送案例,PIPO报送的具体审核单位为属地的直辖市下辖区/地市级网信部门,目前不同属地网信办的审核进度、审核口径等稍有不同。
首轮申报的企业目前收到的补正主要是形式层面,例如格式不一致(不得调整表格列宽)、信息填报不完整(《个人信息负责人信息报送表》漏填少填等)、缺少证明材料(部分属地网信办要求提供PIPO的劳动合同),材料不完整(部分属地网信办要求PIPO任命书需由法代签字)等。
若“审核状态”显示为“退回完善”的,企业应当在 10 个工作日内补充完善材料。逾期未补充完善材料的,视为主动终止本次信息报送程序。
十、企业未按时办理PIPO报送有什么法律责任?
根据网信办发布的《关于开展个人信息保护负责人信息报送工作的公告》,未履行信息报送手续的,依照有关法律法规规章的规定处理,具体包括《个人信息保护法》第66条的规定相应的法律责任(责令改正、给予警告、罚款等)。
执法实践中的具体罚则,监管部门会依据《网信部门行政处罚裁量权基准适用规定》等,对违法行为的事实、当事人主观过错等因素进行综合评估与裁量。
声明:本文来自网络与数据法律实务,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
