欧盟《一般数据保护条例》指导下的数据保护官制度解析与启示*

王 铮 曾 萨 安金肖 黄菁茹

（1．西北大学公共管理学院 陕西西安 710127）

（2．南京大学信息管理学院 江苏南京 210023）

（3.西北大学法学院 陕西西安 710127）

2018年5月，欧盟发布的 《一般数据保护条例》（或译为 《通用数据保护条例》，General Data Protection Regulation，GDPR）正式实施。该条例顺应了大数据时代对个人信息保护的需求，被称为史上最严格的数据监管条例，也是隐私与数据保护领域20年来的重大改革，并有可能成为全球数据保护的参考标准。在Facebook数据泄露事件发生后，美国一些众议员也认为GDPR是应对此类事件的唯一对策。GDPR明确规定了数据控制者与处理者的多项义务，其中值得注意的是对“数据保护官”（Data Protection Officer，DPO）岗位的强调（GDPR第37条明确规定数据控制者和处理者应当委任DPO）。

当前国内已有研究关注了GDPR对我国的影响和参考意义，但多是从宏观角度分析GDPR对于企业或行业的冲击，研究视角主要来自网络安全、信息通信、经济金融等领域。而对于图书与情报相关专业来说，数据管理、信息安全正在成为重要的研究领域和人才培养方向。GDPR指导下的DPO制度正是新时代“数据工作者”的典型代表，又恰是数据管理与信息安全的交叉领域，这一岗位建制的能力要求及资质不仅可以为国内企业等相关机构的数据管理制度设计提供借鉴，也可以为图书与情报相关专业研究与人才培养工作带来重要启示。因此，本文在概述GDPR主要内容和特征的基础上，从GDPR合规实践的岗位保障角度，重点分析了DPO职能的定位、作用和核心能力。

1 GDPR概述

欧盟素有个人信息与数据保护的传统与法律基础，自1995年就实行了《数据保护指导》（Data Protection Directive），适用范围为所有欧盟境内运营及使用位于欧盟内的设备处理数据的企业。但随着近20年来谷歌、Facebook等大型互联网公司的崛起，大数据、云计算、移动互联网、社交网络以及各类智能终端的普及使得个人数据无处遁形，而自然人的天然弱势地位又导致其难以掌控自身数据，当前数据流动的全球化、海量化、开放化态势较20世纪90年代已经发生了天翻地覆的变化。以 《数据保护指导》代表的传统规则已经难以规制机构在移动互联网环境下的数据搜集行为。此外，《数据保护指导》缺乏权威的法律效力，在欧盟不同成员国之间执行的宽严程度不同，在日渐统一的全球数据市场中难以取得协调效果。因此GDPR自2012年进行初步提案，经过4年的博弈和准备，最终于2016年通过，并在2018年5月25日正式实施之前，预留了长达2年的过渡准备期，可见其立法和实施过程之复杂。

与1995年欧盟《数据保护指导》相比，GDPR具有如下特点：（1）法律效应更加强化：《数据保护指导》仅仅是“指导”性质（Directive），在实际上更多的是发挥指南和推荐作用，而GDPR则是“条例”形式（Regulation），提供了更强的执行依据；（2）地域范围更加广泛：数据在全球范围内跨境流动的时代，面对GDPR带来的冲击，没有区域能够全然置身事外。根据GDPR规定，无论组织机构所在地、数据存储和处理地点，如果向欧盟提供的网站、应用、服务涉及规范所定义的数据处理活动 （即使在欧盟境内没有业务存在），都必须遵从GDPR；③保护对象更加拓展：GDPR大幅拓展了个人数据的定义，确立了个人可识别信息 （Personally Identifiable Information，PII）这一核心概念凡是可以用作识别个人身份的相关信息，均属于GDPR保护范围，包括基本身份信息（如姓名、电话、地址、身份证号等）、浏览器的Cookie、IP位置乃至识别个人身份的生物医学信息、政治观点等敏感信息；④主体权责更加明确：在由数据控制者、数据处理者组成的数据模型下，明确了数据拥有者的访问权、被遗忘权、数据可携带权、限制数据处理、默认隐私保护等一系列权利。同时增加了义务主体的责任，包括明确了数据处理者的当责性、数据泄露的告知义务等。这其中尤为重要的是，GDPR规定了基于数据供应链的多元主体责任共担机制 （见图1）。用户作为“数据拥有者”，尽管其数据被长期存储在由互联网服务商托管的服务器中，但其拥有的一系列合法权益得到了GDPR的确认，对用户数据进行处理（收集、存储、使用）的目的与方法都需要向数据拥有者明确告知，体现了用户“自由给与、自愿、明确、知情”的原则。在过去数据保护主要由“数据控制者”（如网络公司）负责，而“数据处理者”（如提供数据处理服务的云服务商和进行数据分析的第三方机构）并不直接参与数据的搜集和具体使用。在GDPR明确认定了“数据处理者”的责任义务，规定数据处理者也需要直接承担合规风险与保护数据主体个人隐私权利不受侵犯的义务，由此数据供应链上的上下游各方都被纳入到了数据保护的问责机制。

图1 数据保护多元主体共担机制

2 GDPR指导下的DPO制度分析

2.1 DPO在GDPR组织保障中的定位

如前所述，GDPR围绕数据拥有者创建了大量新权利，也规定了数据控制者和数据处理者大量的新义务。欧盟为了保障这些数据保护义务的有效履行，从区域层面、国家层面、机构层面规定了专门的数据保护组织机构以及相应的岗位。

在区域层面，GDPR提出设置欧盟数据保护理事会（European Data Protection Board）作为欧盟数据监管的最高职能机构，直接对欧盟委员会负责，强化了对数据的集中统一监管。在国家层面，GDPR规定欧盟成员国需要设置监管机构 （Supervisory Authority）监督GDPR的实施，体现了一站式（one-stopshop）监管原则，落实了数据控制者和数据处理者所在国的监管责任，其职能包括：（1）监管机构需保护个人数据权利和自由、提高公众对相关风险与规则的认识、促进数据流通、处理数据问题投诉、与他国监管机构合作进行信息沟通与共享、建立数据保护认证机制等；（2）监管机构具有开展调查、纠正数据操作、限制数据行为、提出意见与建议、建立与撤销认证资格、制定数据保护规则、责令行政处罚等的权利；（3）监管机构完全独立行使权利，不受外部影响和其他机构制约。国家必须向监管机构提供人力、物力、财力支持。监管机构的设置使得数据保护有了权利的保障，公司或政府的数据控制或处理行为置于独立的监督框架之下，确保数据泄露事件可以被及时公布、不当数据处理行为被及时制止、非法数据处理行为被及时裁决。

在组织机构层面，DPO是数据保护合规实践的基础性设置。GDPR规定数据控制者和数据处理者需要共同承担的义务包括文档化管理、数据保护影响评估、事先咨询、数据泄露报告、实施安全保障措施、遵守数据跨境转移规则，这些任务既涉及技术问题也涉及法律问题，组织机构需要确保内部有合适可用的专业人员来处理这些任务。DPO的岗位设置由此应运而生。

2.2 DPO的岗位设置条件

GDPR对于DPO的设置做出了强制性规定。根据GDPR规定，凡是符合以下条件，都应当任命DPO：进行数据处理的政府部门或公共机构、以大规模数据处理作为核心业务（包括对数据进行定期、常态、系统监测和处理）的机构、拥有250名或以上员工。拥有少于250名员工的组织也被推荐设立DPO。这一点也显示出DPO的定位并不仅仅是一种企业岗位设置，而是一种覆盖企业、政府、公共机构的制度安排。可见DPO（数据保护官）不同于根据企业自身情况和治理结构来进行设置的CEO（首席执行官）、CIO（首席信息官）、CFO（首席财务官）、CKO（首席知识官）等，DPO设置是落实法律的强制性要求。

GDPR指导下的 DPO具有如下特点：（1）在GDPR规制范围内无论企业还是公共机构都需要设置DPO。特别是对于欧盟境内的政府单位和公共机构来说，如果在其履行职能的过程中，涉及收集和监控私人数据，那么就必须设置 DPO；（2）在 GDPR规制范围内组织无论是充当数据控制者还是数据处理者，都需要根据自身在GDPR中的角色设置DPO；（3）在GDPR规制范围内组织无论是否位于欧盟，都需要根据业务情况设置DPO或类似职位。按照此条规定，谷歌、Facebook等在欧盟有大规模数据处理的公司都需要设定DPO的岗位职能。

2.3 DPO的主要功能特征

DPO的主要职能包括监测、宣导、建策、组织、沟通5大功能，具体包括：对数据保护工作进行定期及系统性监测；负责内部教育培训以及合规性审计事务；提高组织内的数据保护意识；在组织内塑造数据保护文化；建立数据保护的IT系统；确保组织相关角色明确其权责；向组织机构提供建议；提交关于数据保护的年度报告和工作计划；参与相关内部讨论；负责组织与GDPR监管机构之间的沟通以及与其他利益相关者的交互。DPO处于中介地位，可以成为数据管理机构与监督机构之间的缓冲环节，数据拥有者可以通过联系DPO来行使他们的权利。

DPO与企业CEO、CIO相比，其特点之一是具有更高的独立性。根据GDPR规定，DPO直接向最高管理者报告工作，并且不能因为执行任务的原因被解雇或者受到处罚。DPO的级别宜设置在管理层，负责数据安全的负责人级别越高则影响力越大，效用越明显。DPO接触到的是组织的高度敏感数据，宜由专业层次较高的人员担任。

对于DPO的任用，GDPR的规定表现出一定的灵活性。组织内部的DPO既可以是专职也可以是兼职。具体表现为：DPO可以由企业管理者兼任，可以执行其他任务，履行其他职责；GDPR也允许一名DPO同时为多个组织机构提供服务。这对于那些缺乏GDPR合规经验和专业人力资源的企业带来便利。需要指出的是，这种兼职必须是在确保没有利益冲突的情况下实行的，不能影响DPO工作的独立性和工作效果。

在现实中，DPO的独立性可能受到组织层级、治理结构、资源配置、利益冲突、个人精力等很多因素的影响。为了保障DPO工作的独立性，欧盟有关文件给出了相关建议：（1）赋予 DPO 更高的职位级别和职能权限，包括管理职权、信息获取权限和调查权限等；（2）确保DPO岗位合约的长效性（合同以五年为宜）；（3）对于大型机构、处于正在建立数据保护制度关键阶段的机构，宜聘用全职的DPO；（4）确保DPO与其兼任的其他职务不发生利益冲突；（5）确保DPO在进行决策时不受上级旨意的干预和影响；（6）确保DPO的工作具有独立的预算和经费保障。

2.4 DPO的能力资质要求

正因为DPO具有上述重要作用，其任职资质具有明确规定。在欧盟推荐的DPO专业标准（见表1）中可知，具备数据保护方面的专业知识是最为核心的要求。同时，DPO要有能力理解组织在不同情境下的数据活动，对于组织结构和运作机制也要有所了解，因此DPO最好能够从组织机构内部任命。由于DPO的工作性质需要经常面对和数据相关的利益冲突和风险管控，因此DPO任职者的个人特质和职业伦理被特别强调：DPO需要清晰掌握组织数据处理流程的全貌，能够做出独立的判断和建议；在组织可能出现违规风险和行为时，应及时给予解决和报告，而不是帮助掩盖、销毁或修改证据。DPO在上任之前，还需要培训和认证，以证明其上岗资质。此外，DPO在组织内履行职务不仅要靠其一己之力，而且需要配备专业支持团队和相关资源（如IT设施、工作预算和资金支持）。

可以看出，DPO是数据环境下组织机构中多元复合性人才的代表，至少应具备“管理-技术-法律”三重知识背景。DPO不一定需要具有律师的职业资格，但至少需要在数据保护、信息安全等相关法律领域获得一定的受训经历或资质认证；同时，还需要兼具对一个机构的组织架构与技术架构的深入理解。

表1 欧盟DPO推荐标准

3 DPO制度对我国的启示

3.1 DPO制度对数据管理岗位设置的启示

随着GDPR的正式实施，DPO制度也势必会依法得到进一步推广。尽管GDPR是由欧盟制定的法律规则，但是其反映了大数据时代个人数据保护的新秩序雏形，很可能将改变现有的信息产业格局，构成未来全球网络空间规则的基石之一。世界各国立法行政部门都在积极参照和对标GDPR，推出对策加强数据保护力度。我国在已有《网络安全法》《关于维护互联网安全的决定》《关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》《信息安全技术公共及商用服务信息系统个人信息保护指南》等政策法规的基础上，于2018年5月，又正式实施了 《信息安全技术个人信息安全规范》国家标准，在其制定的过程中充分参照对标了包括GDPR在内的国际先进规则和立法标准，为企业提供了新的业务参照和行为指引。

在应对数据保护升级新趋势、融入数据保护新秩序的进程中，在组织机构层面设置数据保护与数据治理的专职岗位可以成为有效的抓手，DPO制度可以为我们带来以下启示：

（1）对接国际标准，从数据保护岗位设置层面促进我国企业的GDPR合规实践。GDPR生效后，我国最有可能受到直接影响的就是那些面向欧盟开展业务的企业。近年来中国企业进军海外的力度不断加大，与之伴随的是面临政策风险不断增加，要求中国企业在数据保护能力、数据治理机制方面同步加强。尤其是我国近年来发展迅速的跨境电商、硬件制造、银行金融等行业由于涉及到大量的数据收集、处理和交易活动，极有可能受到GDPR的影响与规制。对于这些企业来说，GDPR带来的最为直接的冲击是其不再坚守属地原则，而是推行数据保护的域外效力，对欧盟境内外的数据控制者和处理者实施统一标准，这意味着当中国企业为欧盟居民提供产品或服务，并在这一过程中收集、监控、处理用户数据，就需要认真关注GDPR的相关规定。否则，违反GDPR将面临巨额的违规成本，对于重大违规(most severe infringement)企业，欧盟监管机构将把该企业年度全球收入的4%作为罚金，或者直接处以2000万欧元的罚款，这一额度对于任何成长中的企业都是不堪重负的冲击。

为此，GDPR实施后，阿里、华为、小米等企业都在积极从政策制定、基础设施、组织保障等方面促进GDPR的合规实践，并且把GDPR的实施视为强化数据保护机制的契机。近年来中国企业已经开始注重技术层面的数据保护措施，但是在组织层面的保障还有待加强。在GDPR新规影响下，设置DPO岗位将成为很多企业刻不容缓的数据保护举措。如东航在2018年6月设立DPO岗位，成为国内首家设立“数据保护官”的企业，而华为公司则在对于GDPR的官方回应中，指出华为根据GDPR的要求任命了欧盟DPO。这些案例反映了中国企业在岗位设置上适应GDPR要求的趋势。

（2）立足本土实际，建立适应我国国情的数据保护职能与制度。数据保护规则的制定不仅仅是一个技术问题，其背后也有各国在网络空间治理和规则制定方面的博弈。GDPR的背后就有欧盟在全球互联网产业竞争中提高竞争力和话语权的考量。同时，数据保护需要与企业发展保持平衡，需要与国家发展阶段相适应，不能单纯强调保护而因噎废食、阻碍创新。这些都决定了我国在对接国际标准的同时，不能照搬国外经验。我国的DPO岗位也不是国外岗位的简单复制，而是需要根据我国国情进行制度设计。

为此，需要进一步理解欧盟DPO背后的一系列制度安排。首先，DPO的设置需要得到法律体系的确认和保障。在欧盟DPO是GDPR做出的强制性规定，其背后是系统全面的法律支撑与规则解释，也反映了法律层面对于数据控制者和数据处理者责任义务的细化和落实。而我国现有法律制度中对于数据保护的职能岗位设置还缺乏明确规定，需要根据我国现实情况制定相关细则。同时，需要完善与DPO配套的数据管理组织机构设置。DPO岗位并不是孤立的存在，而是数据保障体系中的基层组成部分。GDPR中呈现了由跨区域层面的数据保护理事会、国家层面的数据保护监管机构以及组织层面的DPO共同组成的完备体系，各层级、各部门和各个DPO之间保持有效协调沟通。欧盟数据监管机构提供了供DPO职业进行交流互动学习的平台，他们可以通过网络名录结识同行，交流最佳实践。DPO在我国还处于零星起步阶段，尚未形成成熟的职业群体，此时更需要从顶层设计的角度通盘考虑数据保护职能体系的建构。

3.2 DPO制度对数据管理人才培养的启示

数据时代新的岗位形态与岗位需求必然会传导到上游的人才教育培养环节。岗位作为组织内一系列制度安排的产物，是由特定人员负责的若干任务组合，也反映了一定阶段的时代发展趋势，因此新兴岗位对于专业教育具有重要的指标意义。DPO是GDPR制度的集中体现，反映了个人隐私保护时代新的权责义务设定。“数据看护者”有可能成为21世纪最为重要的新兴职业之一，在现实场景中除了开始出现DPO职位，还出现了首席隐私官、首席数据官等，都印证了这一市场需求和职业趋势。而在一个专业性职业诞生的背后，必然有较为系统的专业知识体系和教育培训体系做支撑。

通过上文对DPO制度的分析，可以发现在DPO的职业视野中，“数据”一词不仅是指冷冰冰的可计算化的资料，而且和活生生的个人信息与权益诉求息息相关，这就要求DPO不仅需要具有信息技术素养，还需要具有法律、社会、信息伦理等多方面的人文意识。我国图书与情报类院系长期兼具“技术”与“人文”的培养特点，从上述“数据职业”的未来趋势中，可以寻找到以优势对接趋势的最佳匹配点。图书与情报等相关专业可根据数据保护岗位的现实需求，结合数据管理人才培养体系，健全培养目标、丰富培养方式、创新培养内容、对接职业场景。

（1）在培养目标上，需要从GDPR及我国近年来出台的相关法律政策中发掘、识别和解析对于专业技能和专业人才的需求。从欧盟DPO推荐指标（见表1）可知，专业数据保护知识和技能是DPO的基本能力，DPO需要具备过硬的专业知识以及数据能力。为形成能够支撑政策要求和市场需求的专业人才输送渠道，图书与情报等相关专业要调整培养目标，在培养学生传统的信息素养基础上，注重数据素养的培养以及数据意识、数据能力的形成。

（2）在培养方式上，我国目前一些院系已经设置了数据管理、大数据分析专业，同时还有大量的图情专硕培养项目，有关项目根据DPO的能力资源要求可以将信息安全、数据监护等新兴培养方向进行交叉，同时与信息管理领域的传统培养体系融合，打造学科专业的新出口和新增长点。在本科生培养阶段，可增加数据管理、数据保护、信息法学等课程；在已有的博硕士培养体系下，新增数据保护培养方向，设置综合性较强的课程，如元数据、数字资源长期保存、信息资源管理、数字资源评价、信息组织、数据管理、数据保护技术等，将专业传统优势与新兴需求相结合，培养学生在数据全生命周期过程中发现问题、分析问题、解决问题的能力。

同时，由于DPO需要接触企业核心数据，宜由企业中高层管理人员担任，但是管理人员不一定具有数据保护的专业背景和知识技能，为此，开设数据保护专业硕士项目或其他在职进修形式也是一种比较符合DPO岗位特性的教育形式。有关项目招收非全日制学生，特别是面向企业管理人员进行数据保护技术、数据保护制度、数据分析、数据安全评估、数据全程管理等的教学培养。

（3）在培养内容上，除了数据保护技能本身，也需要培养数据获取能力、数据使用能力、数据评估能力、数据表达能力等覆盖数据周期的全方位能力。数据保护要更加注重案例教学与实践应用，以应对不同机构不同场景的数据保护规定，让学生掌握不同数据安全事件的处理方式。建议培养机构与已经设置DPO岗位的国内外企业建立合作关系，提供数据保护实践学习基地。在部分课程实施后，可以继续展开在线教育、网络课程等形式，以应对市场对数据保护知识越来越大的需求，帮助从业人员进行继续教育，拓展学习深度和宽度。从知识、能力、素质层面全面培养数据人才，亦可以扩大专业的社会影响力。

（4）在培养方向上，加强对于数据保护在不同应用领域和场景的拓展。当前国内图书馆学与情报学专业在面向科学数据管理与监护方面已经取得了一定的成果，并形成了对图书馆等机构科研数据管理岗位的理论支撑。而在大数据环境下，政府、企业乃至社会公民组织与个人的数据管理与监护同样表现出旺盛的专业人才需求，国外数据管理专业的培养方案中也体现了对多元主体的关注。因此图书与情报等学科专业可以拓展理论视野，关注学术、研发、商业、行政、治理及个人隐私保护等不同领域的数据生态和特定需求。因此，可以探索对DPO制度的经验迁移与内涵拓展。DPO不仅是一种数据管理岗位设置，而且是一种数据治理制度安排。正如21世纪初CIO、CKO等岗位兴起时，图书与情报等专业就关注到其背后信息环境与知识管理模式的变化，探索其对于专业发展的带动作用。作为数据治理的重要制度安排，DPO制度与信息治理、政府治理、IT治理、企业架构等都有千丝万缕的联系，图情学科可以以点到面拓展分析DPO对组织机构相关部门的影响，以及对业务部门带来的变革，对社会产生的长期效应。同样DPO的角色也并不局限于企业机构，还可以由点及面横向迁移探索论证学术科研机构DPO、图书馆DPO、学科DPO等拓展角色和应用空间。

最后，有关学科专业可以积极参与和促进DPO职业标准化和认证体系建设。DPO作为欧盟相关组织机构的“标配”，正凝聚起一批专门的从业者，并形成配套的行业标准体系、培训认证体系。在个人隐私保护时代对数据保护职业的社会需求将是全球范围内的趋势，当机构内部人员无法胜任这样的岗位时，就会外包给专业人群。因此需要探索完善DPO或相关职位的准入和认证制度，在早期就做好规划控制，保障从业者的专业水准与质量，避免因市场需求而产生的行业乱象。在这一过程中，图书与情报等相关专业可以借助在理论研究、教育培养方面的优势，积极参与相关标准和认证体系的建设，彰显在数据时代的话语权和功能价值。