环球律师事务所合伙人 孟洁
如果企业内部的数据治理能做到合规、完善并且赋有创新,这将有助于企业在发展业务的同时降低法律风险并且兼顾企业社会责任。企业任命数据保护官(Data Protection Officer,DPO)的功能就是帮助企业建立与完善内部合规管理制度,对数据全生命周期内的流动与保障机制给予合规建议,与外界做好沟通桥梁,展示企业合规水平,真正实现为企业的发展起到保驾护航的作用。
一、中外法律对“数据保护岗位”角色的要求
DPO岗位的表述引自欧盟《通用数据保护条例》(GDPR),但是,GDPR并未对其做出明确定义。笔者理解,DPO是指在进行数据处理的企业中遵守并监督数据保护规则的人员,是“问责机制的基石”。因为他/她们有助于企业遵守法律法规,引导数据控制者、处理者和员工履行GDPR项下的义务,监督企业内部数据合规制度的执行,配合监管机构进行监督与执法,是监管机构、数据主体和企业的中间人。
根据GDPR第37条第1款规定,在下列情形下应当设立DPO:1.数据处理由政府机关进行(法院基于司法权处理的情况除外);2.控制者或处理者的核心活动是数据处理操作;3.控制者或处理者大规模处理的数据包括特殊类别的个人数据和犯罪数据。由于部分企业业务模式的特殊性,当无法明确判断自身是否符合上述情况时,为避免被处以高昂的罚金,企业最好依照GDPR的要求设立DPO,并且由其负责数据合规方面的相关事宜。
我国目前没有“DPO”或“数据保护官”这一称谓。但是,可以从一些现行法律法规及国家标准中找到类似的表述。从实质看,这些职务尽管叫法不同,其设立的目的与意义都是类似的。
《中华人民共和国网络安全法》第21条明确要求企业设立“网络安全负责人”,制定内部安全管理制度和操作流程,违反要求将有可能被处以最高十万元人民币的罚款。但是,其中并没有具体介绍“网络安全负责人”的责任与义务,只是从宏观的角度上给予指引。
中国银行保险监督管理委员会发布的《银行业金融机构数据治理指引》(简称《指引》)指出,银行可自愿设立首席数据官。并且,根据《指引》,“银行业金融机构应当建立问责机制,定期排查数据管理、数据质量控制、数据价值实现等方面问题,依据有关规定对高级管理层和相关部门及责任人进行问责。”“法定代表人或主要负责人对监管数据质量承担最终责任。”
相比之下,2018年发布的国家标准GB/T 35273-2017《信息安全技术 个人信息安全规范》(简称《规范》)中的规定较为详细,尤其在以下几个方面提出特别要求。首先,满足下列两类条件之一的企业需要设立“个人信息保护负责人”并成立个人信息安全保护机构:第一类,主要业务涉及个人信息处理且从业人员大于200人的公司;第二类,处理个人信息的量级超过50万或在12个月内预计处理的个人信息量级超过50万。需要强制设立“个人信息保护负责人”的条件虽然与GDPR的表述不同,却更为清晰。其次,“个人信息保护负责人”对内是公司内部个人信息安全工作的组织者,负责全面统筹并落实个人信息保护的相关工作;对外要负责受理投诉举报并且需要与监管部门保持沟通,随时报告个人信息保护和处置等情况。最后,“个人信息保护负责人”需要对个人信息安全负直接责任。《规范》从设立条件、职责义务和责任承担三个方面对“个人信息保护负责人”的规定,使这个角色在我国法律环境下有了比较立体的形象,也使企业与公众能够更好地了解这一角色的功能。但是,《规范》毕竟是一个推荐性的国家标准,并不具备法律强制执行力。
2019年2月,全国信息安全标准化技术委员会发布了国家标准《信息安全技术 个人信息安全规范(草案)》征求意见稿,对2018年的国标版本进行修订。该版本对个人信息保护负责人的任命做出要求,应由具有相关管理工作经历和个人信息保护专业知识的人员担任,并可以直接向组织负责人报告工作。《规范》是现阶段用来衡量企业合规水平的重要参考依据,在一定程度上代表我国数据保护立法的未来走向。笔者建议,企业可以以《规范》为依据,明确企业法定代表人或主要负责人对个人信息安全负全面领导责任,任命数据保护岗位负责人(本文中笔者将我国法律语境下的“网络安全负责人/个人信息保护负责人”统称为“数据保护岗位负责人”)统一协调与管理数据安全,将数据合规工作从源头做起,而不是亡羊补牢、贼去关门。
二、企业设置数据保护岗位的必要性与重要性
在欧盟,DPO的任命在某些情况下是强制性的。尽管法规没有规定诸如“大规模系统监测”和“核心活动”等术语,但是,第29条工作组已就如何解释这些条款发布了指导原则。例如,社交媒体和搜索引擎公司作为数据控制者,其商业模式往往基于大量个人数据的处理、大规模定期和系统地监控数据主体,通过提供有针对性的广告服务和允许公司在其网站上订阅广告产生可观的收益。其中,效果类广告是一种根据人口统计数据和消费者历史购买记录或行为投放广告的方式,因此,需要系统地监控数据主体的在线习惯和行为。根据GDPR,这类企业被强制要求任命DPO。另外,医院和医疗保险公司的活动包括对特殊类别个人数据(包括遗传和生物特征数据)的大规模处理或披露,因此,同样需要加强保护,GDPR也要求其指定数据保护官。
此外,根据GDPR规定,除第37条第1款描述的三类情况以外,虽然其他组织没有法定义务指定DPO,但是,应允许成员国对更多类型的组织进行指定管理。一旦控制者任命了DPO,必须确保他/她“在所有与个人数据保护相关的问题中”及时、全面地参与。为了使DPO能够有效地执行其任务,控制者和处理者必须为其提供必要的资源,包括财务资源、基础设施和设备,还包括为DPO提供足够的时间来履行其职能,并提供持续培训,使他们能够发展自己的专业知识并及时了解数据保护法律法规的所有发展。
GDPR提供了一些基本保证,以确保DPO以独立的方式行事。例如,控制者和处理者必须确保在执行与数据保护相关的任务时,DPO不会受到公司任何干扰的指示,包括最高管理层人员。此外,不得因他们执行任务而以任何方式解雇或处罚他们。例如,DPO认为,组织的活动可能会导致数据主体处于高风险,建议控制者或者处理者进行数据保护影响评估。如果公司不同意DPO的建议,不认为它有充分根据并决定不进行安全影响评估的,公司可以忽略这些建议,但是,不能因DPO提出建议而解雇或惩罚他/她。
因此,一般情况下,企业负责人对数据合规越重视,数据保护岗位负责人就越好展开后续工作。企业负责人对个人信息安全内容的熟识程度与支持力度,也取决于数据保护岗位负责人平时对政策动态、行业资讯的及时了解并主动分享和与企业负责人进行沟通交流。任命数据保护岗位负责人需要考虑企业本身业务的风险性、组织的特殊性、所收集数据本身的敏感程度与可能给用户带去的影响。任命后,需要从高层开始支持数据保护岗位负责人的实际工作,而不是将其仅仅“当个摆设、装个门面”,应予以配合及支持相关工作,并给予其独立发表意见的通道,为个人信息安全工作提供人力、财力、物力保障。这也正是《规范》修订后明确提出“组织应为个人信息保护负责人提供必要的资源,保障其独立履行职责”的要求。
三、对我国企业数据合规路径设计之探讨
根据GDPR,DPO的任务和职责包括很多,比如根据法律向公司和员工提供信息,对其履行义务进行告知和建议,创建和保存有关组织处理活动的记录,监督企业对欧盟和国家数据保护规则的遵守,审计和培训参与处理操作的人员等。此外,DPO还需要与监管机构合作并作为后者与数据处理活动的联络人,在发生数据泄露情况时,需要履行及时报告义务。因此,我国企业数据保护岗位负责人应该做好以下工作。
1.基础工作的铺垫
在企业内部的合规工作,首先是让管理层明晰合规工作的重要性。数据保护岗位负责人可以将发生的数据相关案例处罚原因、处罚情况以及后续影响进行汇总并汇报给管理层,这样容易引起重视。其次,建立数据安全保护小组。依照目前国内的情况看,除了部分企业设有数据保护专职岗位以外,大多数企业是由法律/合规部门来兼顾处理数据合规事务。但是,合规工作不仅仅涉及法律问题,还需要考虑产品经营模式、技术手段等多方面内容。建立数据安全保护小组,让不同部门的人更深入了解企业内部各方的工作,有助于协调统一地推进工作。最后,对所做的一切合规工作(如评估报告、内部培训等)都需要有留存记录(即留痕),证明企业为数据合规已经开展了实质性工作,也是日后监管机构来核查时的主要参考依据。
2.组成机构的职责分配
一般情况下,法律合规部门、数据运营部门、各产品线、运维和IT部门与个人信息安全保护工作最密切相关,因此,可以由其中一个部门的负责人牵头(此人可被委任为数据保护岗位负责人),从相关部门抽取核心人员(经签署专项保密协议后)共同组建企业个人信息保护工作机构,各司其职,分别负责《规范》要求的各项具体内容。具体说,包括以下几个方面:
由法律合规部负责制定、签发、实施、定期更新隐私政策和相关规程;组织开展个人信息安全培训;制定应急预案和组织应急演练;对滥用个人信息的投诉、举报进行调查,严厉查处不合规现象和违纪员工,如非授权访问、篡改或删除个人信息,违规使用、滥用信息等;维护企业隐私热线,对个人信息主体发布在隐私热线的疑问进行解答;对机构内部各部门的执行情况进行安全审计,包括对隐私政策的落实情况、对安全事件的处置、应急响应和安全能力审计等。
由数据运营部门组织开展个人信息安全影响评估,包括个人信息收集和使用的评估,并形成评估报告(每年至少一次);建立、维护和更新个人信息清单(包括个人信息的类型、数量、来源、接收方等)和授权访问策略;对用户发布的信息进行管理,对特殊信息进行报告。
由产品经理对用户隐私政策结合产品进行发布;对弹窗式等通知进行产品设计;对个人信息主体要求访问、更正、删除、撤销同意等请求进行产品可实现性支持;预设个人信息泄露时的通知机制;在产品或服务上线发布前进行检测,避免未知的个人信息收集、使用、共享等处理行为。
由运维部门对个人信息存储及每次流转进行安全影响评估,形成相应的评估报告;制定数据本地化存储的管理制度,梳理与第三方企业的安全保障责任和义务,对日志留存、数据分类、备份和加密等进行管理。
由IT部门负责对企业整体网络环境进行事先评估,制订相关信息安全、网络安全,以及信息、网络的应急管理制度,负责网络的运行管理:安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行;监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向个人信息保护工作机构报告安全事件,对有安全隐患、缺陷和漏洞的网络进行及时修补,制定补救机制。
3.建设企业数据合规体系
建设完备的数据合规体系是一项大工程,建议国内数据保护岗位负责人重点从以下三个层面开展数据合规或治理工作:第一,梳理数据流转情况。需要清楚、全面地了解企业内部对数据收集、使用、共享、转让、公开披露、存储、删除等环节的现状以及所有配套机制的实施情况,比对相关法律法规及标准后,对不足部分进行改进;第二,完善内部制度规程。主要包括设置访问权限控制机制、建立个人信息安全影响评估制度以及采取技术保护手段等;第三,完善外部文件,包括用户协议、隐私政策以及与第三方签订的合同等。外部文件是外部评估企业合规水平的重要参考依据,最好结合之前对数据流转情况的梳理完成。第四,需要有对危机事件做出迅速反应、评估与决策,安排并分配处理信息安全事件相关人员,对事件采取措施并向监管机构进行报告,与投诉/举报人和媒体进行充分沟通的能力;第五,在合适时机将企业内部合规能力与成绩对外进行展示。
当前,很多民营企业的业务模式不仅仅局限于国内。因此,在完成上述工作后,数据保护岗位负责人还需要考虑如何在国内与国外不同的监管模式下创设符合公司实际情况的合规路径。数据保护岗位负责人首先需要考虑国内对于数据出境的要求。以数据出境安全影响评估为例,《网络安全法》第37条规定了数据出境安全评估的主体为关键信息基础设施运营者,《个人信息和重要数据出境安全评估办法(征求意见稿)》将主体范围扩大到了网络运营者。无论企业进行至少每年一次的自评估还是需要报请相关主管部门组织评估,进行安全评估已经成为数据出境的前置程序。数据保护岗位负责人需要对这些程序非常了解或者咨询专业机构的意见。其次,要兼顾目标国家的相关法律要求。如果企业拥有出海业务,数据保护岗位负责人需要知悉并结合各个目标国家的不同隐私保护规定,制定出与出海目标国家相配套的合规方案。最后,从节约成本与提高效率为出发点,根据企业实际情况,是考虑选择创设多法域的不同合规路径,还是采用“统一 + 特殊”的路径,这些都需要数据保护岗位负责人帮助企业完成。
四、结语
无论是GDPR规定的DPO制度,还是我国的网络安全负责人/个人信息保护负责人制度,其角色定位是风险治理的核心。究其根本,是人们对个人信息保护的逐渐重视与需求意识的提升。数据合规将最终成为企业的核心竞争力。对于企业而言,满足法律要求只是第一步,如何创建好一个企业的合规文化,才是企业可持续良性发展的最终目标。
(本文刊登于《中国信息安全》杂志2019年第2期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
