標籤:

您的公司有數據保護官了嗎?

04-17

競天公誠律師事務所 胡科 馮堅堅 蔣昕妍

在大數據產業和分享經濟繁榮發展的今天,萬物互聯。在人們享受著技術飛速變革帶來的便利的同時,個人信息濫用事件卻頻頻發生,多家國內外大型企業爆出信息安全、數據泄露等問題,信息類犯罪數量也在飆升。數據保護和個人信息安全問題已經引起各界廣泛關注,許多國家和地區也相繼出台相關法律、規定予以應對。

面對用戶乃至全球社會的關注,國內外層出不窮的行政和法律監督,做好信息保護工作對於當今企業的重要性不言而喻。您的公司是否已經開始未雨綢繆了呢?特別是您的公司有數據保護官(Data

Protection Officer,簡稱DPO)了嗎?

一、 為什麼要設置DPO

中國雖然暫時還沒有個人信息保護方面的專門立法,但已經公布實施的《網路安全法》,和即將於今年5月1日正式實施的國家標準GB/T

35273-2017《信息安全技術個人信息安全規範》(簡稱「《個人信息安全規範》」),分別提出了設置「網路安全負責人」、「個人信息保護負責人」的要求。[1]

國外立法中,最值得關注的是將於今年5月25日正式實施的歐盟《一般數據保護條例》(General

Data Protection Regulation,簡稱GDPR),其中提出了設置DPO的要求。[2]切不要以為歐盟GDPR和中國企業沒有什麼關係——即使企業不在歐盟內,如果在向歐盟的個人提供商品和服務的過程中處理了歐盟居民的個人數據,或監測了在歐盟實施的個人行為,企業就受到GDPR的管制。[3]這一範圍其實是相當寬泛的,涵蓋各類互聯網服務、消費電子、航空等產業的許多中國企業。GDPR強制要求核心工作包括系統性地監控大規模數據主體或處理大規模特殊類別數據的企業必須任命DPO[4],第29條數據保護工作組(由所有歐盟數據保護機構的代表組成)則建議不確定的企業「最好」都任命DPO。

如果違反《網路安全法》的相關規定,侵害個人信息相關權利,企業將面臨從警告到吊銷執照的法律責任,而罰款數額最高可達一百萬元;而違反歐盟GDPR相關規定的成本更加高昂,最高罰款可達2000萬歐元或者前一財年全球收入的4%。

除合規風險之外,從企業經營管理的角度,要維繫企業與消費者、客戶、員工的良好關係,確保企業自身的經濟健康,都很大程度取決於企業在個人信息保護方面是否遵循「最佳做法」(Best

Practice)或者至少是「良好做法」(Good

Practice)。在個人隱私意識已經大大增強的環境下,不合格的數據保護工作很有可能造成消費者、客戶、員工對企業失去信任、企業無法應對激烈的市場競爭、收入銳減、商譽掃地等嚴峻的不利後果,而這些都是企業承擔不起的。

能幹的數據保護官可以有效地領導企業的數據安全保護工作,為企業保護個人信息、數據的機密性、完整性和可用性(confidentiality,

integrity and availability, CIA)的整體戰略提供有力支持,確保企業活動合規,幫助在理解法律法規和商業要求的前提下,做好數據保護工作。

二、 DPO究竟做什麼

從字面上理解,DPO是企業的數據保護官,負責企業的數據保護和個人信息安全方面的工作。一般而言,DPO的具體職責可以包括設定、修改、執行企業個人信息安全和數據保護制度、組織員工培訓、負責安全審計和合規事務等。《個人信息安全規範》規定個人信息保護負責人和個人信息保護工作機構的應履行的職責包括但不限於:全面統籌實施組織內部的個人信息安全工作,對個人信息安全負直接責任;指定、簽發、實施、定期更新隱私政策和相關規程;應建立、維護和更新組織所持有的個人信息清單(包括個人信息的類型數量、來源、接收方等)和授權訪問策略;開展個人信息安全影響評估;組織開展個人信息安全培訓;在產品或服務上線發布前進行監測,避免未知的個人信息收集、使用共享等處理行為;進行安全審計。[5]

根據歐盟GDPR第39條和歐盟第29條數據保護工作組2016年12月的《數據保護官指引》(簡稱《指引》),DPO任務和職責包括:向數據控制者、處理者及負責數據處理的員工作出有關通知和建議;確保、監控企業活動的合規性;提出建議並監控數據保護影響評估;協助監管機構的工作,並擔任指定聯絡人;負責風險管控工作等。

值得注意的是,中國的《個人信息安全規範》和歐盟的GDPR對於DPO的角色定位存在差異,尤其體現在「獨立性」方面。歐盟第29條數據保護工作組在《指引》中指出,某些公司雖設有隱私官員或其他負責數據保護工作的崗位,但他們並不一定能符合GDPR對於DPO的要求。當他們無法保證工作的獨立性時,他們就不能被認為是GDPR下的DPO。[6]GDPR要求DPO行使其職責時能有足夠的自主權,除有權監管機關之外,不得有任何人指令、控制DPO的工作。也可以說GDPR下的DPO需要向上彙報和負責,但不被「領導」。但《個人信息安全規範》要求企業要明確「法定代表人或主要負責人對個人信息安全負全面領導責任」,這種意義上的DPO是應當接受上級領導的。此外,DPO如果同時承擔其他工作,必須確保沒有利益衝突,例如DPO不得決定處理個人信息的目的和方式。因此,如果企業需要按照GDPR的要求任命DPO,需要特別注意GDPR的特殊規定。

三、 什麼人可以做DPO

觀察上述DPO的職責,一個合格的DPO可能需要具備以下技能和特徵:

(1)DPO需要具備專業知識和技能。DPO必須有理解數據保護和信息安全方面的法律知識,且有能力指導企業在整個信息生命周期(information

life cycle)應該如何處理,包括收集、使用、存儲、清理等方面的具體問題。GDPR第37條明確要求DPO需要有「數據保護法律與實踐的專業知識,且有能力完成第39條項下的職責」。獲得國際隱私專家協會(International

Association of Privacy Professionals,IAPP)資質認證的隱私專家也許會是一個很好的選擇。

(2)DPO需要有良好的溝通能力。在企業內部,向上,DPO需要對管理層負責,需要提升董事會和高管的信息安全意識,使其真正理解和體會企業面臨的隱私挑戰,且能夠清晰地說明有待解決的問題。向下,DPO需要教育全體員工,組織培訓,傳達法律法規的要求,使隱私政策得到真正貫徹。對於外部,DPO則需要和監管機構、消費者、客戶乃至大眾進行有效交流。

(3)DPO需要有管理者的風度和領導力。DPO不能是一個只會聽從命令按部就班的人。從最基本的角度,DPO需要帶領團隊處理工作。不僅如此,成功的DPO還需要向外投射解決困難棘手情況的信心,建立自上而下的信任感,領導整個企業配合數據保護工作。

(4)DPO需要對企業的經營有足夠深刻的理解。並從企業的各個部門汲取有價值的信息,例如法務、IT、人力、風控、市場等,從而準確把握企業對於隱私工作的需求,設計有效的工作方案。

(5)DPO需要能夠制定戰略和計劃。大至整個企業的隱私政策、數據保護政策,小至個別問題的特殊處理,都需要DPO作為主心骨指出工作方向,並制定合理的戰術和方案。

四、 如何設置DPO

以下幾種方案可供企業參考:

(1)設置專職的數據保護官。這是許多國外大型公司的做法,中國企業固然可以借鑒和學習。由誰來出任DPO的職位通常有兩種選擇:一是從企業已有的管理層或員工中挑選;二是從外部招聘專家。內部選任的優點在於其對企業的經營管理較為熟悉,而外部招聘的優點則是專家有可能具備更加紮實的專業知識和能力。

(2)設立數據保護委員會。數據保護委員會由各個與個人信息和數據保護工作密切相關的部門的代表組成。設置委員會有利於聽取不同的聲音,但也很可能因內部分歧影響決策和行動的效率以及責任意識。就這一挑戰,企業高級管理層需要最終拍板和決策;也可以考慮設置委員會主席,兼任DPO的角色。

(3)外聘顧問。律師事務所、會計師事務所以及陸續出現的隱私諮詢機構有數據保護方面的專業人員,可以向企業提供服務,比如幫助建立隱私制度、向管理層和員工提供培訓、就具體問題提出專業意見等。企業可以通過簽訂服務合同,外包工作。GDPR也明確允許企業的DPO可以是外部顧問。[7]

當然,上述方式並不是互相排斥的。企業完全可以選擇多種方式相結合,以最好實現自身的目的。

五、 你們準備好了嗎

歐美國家從2000年開始,已有至少百家公司設有DPO的職位,如花旗集團、美國運通、惠普、微軟、Facebook等。安永的一份調查數據顯示,歐盟GDPR根本性地改變了全球範圍內隱私保護的管理模式。75%的歐盟公司以及50%的美國公司聲稱GDPR合規要求是驅動其隱私工作的主要原因。在培訓方面的投入、隱私崗位聘用人數都在近幾年大幅增長。[8]

而國內企業在個人信息安全合規方面的準備仍比較滯後。相信中國政府對企業的數據保護工作會提出更高要求,更多行政約談、合規調查、違規制裁行動將會落地。對很多中國企業來說,個人信息安全合規現狀審查和改進已經是刻不容緩,而任命DPO協調數據保護工作是至關重要的第

一步。

[1] 《網路安全法》第21條明確了網路運營者「確定網路安全負責人」的義務,第34條規定了關鍵信息基礎設施的運營者應當「設置專門安全管理機構和安全管理負責人」。《個人信息安全規範》第10.1條規定了個人信息控制者「應明確其法定代表人或主要負責人對個人信息安全負全面領導責任」且「應任命個人信息保護負責人和個人信息保護工作機構」。《個人信息安全規範》還要求主要業務涉及個人信息處理,且從業人員規模大於200人,以及處理超過50萬人的個人信息,或在12個月內預計處理超過50萬人的個人信息的組織,應設立專職的個人信息保護負責人和個人信息保護工作機構,負責個人信息安全工作。

[2] GDPR第37-39條。

[3] GDPR第3條。

[4] GDPR第37(1)條。

[5] 《個人信息安全規範》第10.1(d)條。

[6] 《指引》腳註11: This is also relevant for chief privacy officers (『CPOs』) or

other privacy professionals already in place today in some companies, who may

not always meet the GDPR criteria, for instance, in terms of available

resources or guarantees for independence, and, if they do not, they cannot be

considered and referred to as DPOs.

[7] GDPR第37(6)條。

[8] IAPP-EY Annual Privacy Governance Report 2017。


推薦閱讀:

連嚴謹的日本公司也栽在了數據保護上

TAG:數據保護 | 個人信息安全 |