GDPR系列解读之(三)从GDPR看数据保护官的规制
今年5月25日正式生效的欧盟《通用数据保护条例》(General Data Protection Regulation,以下称GDPR)对企业履行数据保护义务提出了新的监管要求,鉴于其适用范围相比1995年通过的《个人数据保护指令》(Directive on the protection of individuals with regard to the processing of personal data and on the free movement of such data)更为广泛,不仅适用属地主义,还加入了属人因素,同时规定了严厉的处罚,对我国企业在欧盟境内的运营、销售和管理产生巨大的影响。
其中,GDPR首次提出了数据保护官(Data Protection Officer,以下称“DPO”)的概念,在主文中,GDPR更是专设一节明确数据控制者和数据处理者应当设立DPO的情形、DPO的地位、DPO的任务等内容。而今年5月1日正式实施的《信息安全技术 个人信息安全规范》(以下称“《个人信息安全规范》”)同样就设置“个人信息保护负责人”等类似DPO的职位进行了规定。显然,对于企业尤其是互联网数据企业而言,在面对用户、媒体、社会的广泛关注以及国内外层出不穷的行政约谈和司法监管时,做好数据保护工作已是当务之急。尽早设置DPO或类似职位,完善企业内部数据合规管理,无疑是应对上述挑战的有效方法。本文旨在梳理GDPR已有规定的基础上,结合国内标准及相关法律法规,对企业如何设置DPO以便完善合规管理提出相应建议。
GDPR的规定
一、需要设置DPO的情形:
根据GDPR第37条规定,数据控制者和数据处理者需要指定DPO的情形包括三类:
(1)数据处理行为是由公权力机构或主体实施的,但法院行使司法权的除外;
(2)根据数据处理者或数据控制者的性质、业务范围和目的,数据处理行为涉及对数据主体进行定期的大范围、系统性的监控;
(3)数据控制者和数据处理者大规模数据处理第9条所涉及的特定种类的数据和第10条所涉及的犯罪数据。
需要注意的是,上文所述的大规模、系统性的监控包括各种形式的互联网上的追踪、分析和预测,如上网习惯预测、在线行为跟踪等。而GDPR第9条所描述的特定种类数据包括种族、民族、政治观点、宗教或哲学信仰、工会成员信息、基因信息、生物特征、健康信息、性生活和性取向等内容。此外,欧盟成员国对DPO也有相比GDPR更为严格的规定,例如根据德国数据保护法案(Data Protection Act)第4f条,自动收集、处理和使用个人数据的公共机构和私法主体均应指定一名DPO,私法主体更应在其开业一个月内进行任命。
二、DPO的职责:
根据GDPR第39条,DPO的职责如下:
(1)为数据处理者、数据控制者以及根据本条例或其他欧盟成员国数据保护法规进行数据处理的人员提供信息和建议;
(2)监督本条例、其他欧盟成员国数据保护法规、数据控制者和处理者的个人数据保护政策的合规性,包括责任分配、意识提高、人员培训等;
(3)根据第35条监督并提供针对数据保护影响评估的建议;
(4)与监管机构合作;
(5)作为监管机构与数据处理活动的联络人,包括第36条涉及的事先咨询和其他适当的咨询活动。
此外,根据GDPR,DPO还应当与数据主体在收集个人数据时进行沟通联系(第14条)、对数据处理活动进行监督(第30条)、在数据泄露事件发生后对接监管机构(第33条)等,数据控制者和处理者应当及时提供DPO的姓名与联系方式。
国内法律法规
就国家现行法律法规及标准而言,《网络安全法》、《关键信息基础设施安全保护条例》、《个人信息安全规范》都提出了网络安全负责人或类似职位的概念,所承担的职责包括但不限于制定内部安全管理制度和操作规程、实施人员技能考核、组织培训以及开展网络安全事件应急处置等。值得注意的是,保监会已于5月21日正式实施的《银行业金融机构数据治理指引》首次提出了首席数据官的概念,首席数据官(以下称“CDO”)如需纳入高管人员管理的,还应符合特定行政许可要求[1]。但CDO与DPO在设立目的与职责方面存在较大差异。首先,在设立方面,根据IBM于2015年对医疗、金融、电信、零售、制造等五大行业的37位CDO的调查显示,CDO存在五大要务:一、充分利用现有数据资源;二、通过整合内部和外部数据提升数据质量;三、开拓与数据有关的新收入;四、确保数据隐私与安全;五、在IT治理框架中维护数据的健康运营[2]。从中可看出CDO设立目的在于通过对数据价值的判断和决策创新业务模式,以便开启新的业务增长点,个人信息保护只是其工作的重要一环,而DPO则是为了个人信息保护而存在的。其次,CDO的主要职责是基于数据,为企业提供数据手段的积累、数据价值的交互以及提供分析判断,简言之,该岗位需要技术与市场能力的结合。而DPO的职责在于为企业提供数据保护建议,担任企业与监管机构之间联络人的同时监督法律法规的实施。综上可知,虽然CDO与DPO的工作范围存在重叠之处,但两者侧重点仍有差异。最后,关于CDO能否兼任DPO,根据今年4月13日欧盟“第29条”工作组发布的新修订的GDPR实施指南,若某些公司设置的隐私官或类似岗位无法确保其工作的独立性时,则不能被认为符合GDPR对于DPO的要求[3]。因此,CDO若要兼任DPO,应当保证其行使数据保护职责时能有足够的自主权,除有权监管机关之外,不得有任何人指令、控制其工作。
当然,网络安全负责人或类似职位在《个人信息安全规范》中也得到了细化。首先,个人信息控制者应当任命个人信息保护负责人和个人信息保护工作机构[4]。其次,对于业务涉及个人信息处理且从业规模大于200人或者处理超过50万人个人信息的组织,应当设置专职负责人和工作机构[5]。最后,个人信息保护负责人和个人信息保护工作机构的应履行以下职责:全面统筹实施组织内部的个人信息安全工作,对个人信息安全负直接责任;指定、签发、实施、定期更新隐私政策和相关规程;建立、维护和更新组织所持有的个人信息清单(包括个人信息的类型、数量、来源、接收方等)和授权访问策略;开展个人信息安全影响评估;组织开展个人信息安全培训;在产品或服务上线发布前进行监测,避免未知的个人信息收集、使用共享等处理行为;进行安全审计等[6]。
《个人信息安全规范》明确提出法定代表人或主要负责人对个人信息安全负全面领导责任,也从侧面反映出目前网络安全立法的两个显著特点:责任个人化、责任刑事化。根据《网络安全法》规定,侵害个人信息依法得到保护的权利的,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款[7]。《刑法》也在侵犯公民个人信息罪与拒不履行信息网络安全管理义务罪中明确了单位主管人员和其他直接责任人员的刑事责任,具体范围包括但不限于拘役、七年以下有期徒刑、并处或单处罚金等[8]。因此,在个人信息控制者、处理者的法人及负责人的违法惩处力度日趋加强的环境下,合理设置网络安全负责人或类似职位以完善内控,必要时向数据合规业务律师寻求法律协助,无疑是减轻风险的有力保障。
合规建议
一、关于DPO的任职资格
GDPR并未要求DPO必须拥有某项明确资质,但其大体要求如下:
1、DPO应具备一定的专业知识和技能,有能力构建和管理企业的数据保护和数据合规工作。
DPO必须拥有丰富的数据保护和网络信息安全方面的法律知识,且能够有效指导企业进行数据处理,规避数据流转过程中诸如收集、使用、传输、存储等特定环节中的泄露风险。GDPR第37条明确要求DPO拥有数据保护法律与实践方面的专业知识以及完成第39条所指定的任务的经验和能力。
而在我国法律体系下设置类似DPO的职位,除对学历有所要求外,还需具备一定工作经验。根据《中国银监会中资商业银行行政许可事项实施办法》,首席信息官除具备担任商业银行高管的基本条件外,还应具备本科以上学历,并从事信息科技工作6年以上(其中任信息科技高级管理职务4年以上并从事金融工作2年以上)的条件[9]。
2、DPO应具备良好的沟通和协调能力。
DPO需要对其所在的企业部门和组织机构有充分的了解,对上,DPO应向高层负责,提升高管的数据安全意识,保证其对企业面临的隐私挑战和数据泄露风险有所警醒;对下,DPO有义务组织员工培训,开展法律法规教育,使数据合规得到每个人的重视;对外,DPO作为联络人还必须与监管机构、客户乃至社会公众媒体沟通交流,因此,良好的沟通协调甚至公关能力必不可少。
3、DPO不得存在与其独立履行职责相冲突的情形
鉴于DPO应当具备一定独立性,因此在任职DPO时不得同时兼任CEO、COO、CFO、市场总监、HR总监、IT总监等职位。另外,根据GDPR第38条,DPO可以履行其他任务和职责,但数据控制者和处理者应保证这些任务和职责不会导致利益冲突。
二、关于DPO的设置
1、DPO可以由企业从内部予以委任,也可以从外部聘任,外聘应当订立服务协议。
内部委任是指从企业已有的管理层或员工中挑选,外部聘任则是招聘外部专家。内部委任的优势在于内部人员更为熟悉企业的经营管理与风险点,而外部聘任的好处则是专家会具备更加扎实的专业知识和能力,此外,服务于多家机构的外聘专家会对企业的数据风险做到综合把控,例如拥有丰富数据合规业务经验的外部律师可以针对企业的业务特点开展尽职调查,为企业控制数据风险提供合理有效的建议。
根据不完全统计,360、蚂蚁金服,美国的翰德国际、CGI集团 、希尔顿酒店、英国的里德公司、米高蒲志、Norwood、Swinton Group Ltd(SG)和政府单位UK Home Office都设置了与DPO类似的职位。
2、企业集团可以任命一个独立的DPO,但应确保各集团企业都能与DPO保证通畅的联系。
通畅的联系一般是指DPO的联系方式在企业及机构内部应该完全公开,保证包括普通员工在内的人员可以直接与DPO沟通,而无需寻求上级的同意或协助。在实际操作中,相关企业和机构可以考虑在其内网或官网上公布DPO的联系方式。
3、一名专家可担任多家企业DPO,但DPO应保证提供及时、尽责的服务。
4、企业组织及机构可根据自身的数据组成和规模,任命一名或多名DPO。
结语
根据国际隐私专家协会(International Association of Privacy Professionals,IAPP)联合安永出具的2017年度隐私治理报告显示,75%的欧盟公司和50%的美国公司声称GDPR的合规要求是驱动其隐私工作的主要原因,而在培训方面的投入、隐私岗位聘用人数都在近几年大幅增长。虽然目前国内企业在个人信息和数据安全合规方面的准备及投入仍然十分滞后,但在政府对企业的数据保护工作提出更高要求,各地网信办行政约谈案例层出不穷的大背景下,个人信息保护以及数据合规的完善工作已是迫在眉睫,而及时任命或聘请DPO无疑是各大企业和机构组织落实GDPR要求并有效减少合规风险的至关重要的一步。
注释:
[1] 《银行业金融机构数据治理指引》第11条
[2] 银保监治理金融数据,首席数据官真的来了! 董毅智
[3] 《指引》脚注11: This is also relevant for chief privacy officers (‘CPOs’) or other privacy professionals already in place today in some companies, who may not always meet the GDPR criteria, for instance, in terms of available resources or guarantees for independence, and, if they do not, they cannot be considered and referred to as DPOs.
[4] 《信息安全技术 个人信息安全规范》10.1 b)
[5] 《信息安全技术 个人信息安全规范》10.1 c)
[6] 《信息安全技术 个人信息安全规范》10.1 d)
[7] 《网络安全法》第六十四条
[8] 《刑法》第二百五十三条之一、第二百八十六条之一
[9] 《中国银监会中资商业银行行政许可事项实施办法》第八十六条(九)
本文仅为我们对相关法律法规的一般解读,不能作为正式法律意见和建议,如果您有特定的问题,请与观韬中茂律师事务所联系咨询事宜。
作者简介:吴丹君律师,观韬中茂上海办公室合伙人,首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。吴律师专注于互联网、数据信息领域的法律服务,包括网络安全、数据信息管理保护、隐私保护体系建设、数据公开等,为多家国有企业、跨国企业以及互联网大数据企业提供网络安全、数据合规法律服务。吴律师的执业领域为互联网|数据信息、兼并收购、外商直接投资、酒店等,曾多次就互联网法院、共享单车等互联网热点事件接受《中国青年报》《中国企业报》等媒体采访报道,其撰写的四十余篇数据合规专业法律文章被知名互联网媒体广泛转载。
作者简介:周天一律师助理,毕业于西南政法大学,法学学士。专注于数据信息领域的法律服务,执业领域为数据合规、公司业务、兼并收购、争议解决等。
吴丹君
合伙人
观韬中茂上海办公室
电话:(86-21)3135 9919
传真:(86-21)3135 9929
电子邮箱:wudj@guantao.com
周 天 一
律师助理
观韬中茂上海办公室
电话:(86-21)3135 9919
传真:(86-21)3135 9929
电子邮箱:zhouty@guantao.com