相丽玲 王秀清
(山西大学经济与管理学院 太原 030006)
2018年5月,欧盟新规《通用数据保护规范》(GDPR)正式施行,随之一种新的职位——数据保护官(Data Protection Officer,简称DPO)出现。GDPR在法律条文中,对DPO的任命条件、地位和职责等做出了专门的规定,并形成一种新的个人数据保护制度。由于其具有重罚与“长臂管辖”两把利刃,致使各行各业不得不重新审视自身的数据处理方式和方法。而数据保护官制度建设的完善,则成为大数据时代为企业规避数据合规风险,保护个人数据安全的有力制度保障之一。
1.1数据保护官概念的演化早在1978年德国发布的《联邦数据保护法案》(BDSG)中,就已经有了与数据保护官相似职位的制度规定。原文规定,符合任命条件的企业在数据处理时必须任命数据保护官来进行监督。BDSG中对DPO的设立条件、权力、职责、地位、问责机制都进行了规定,形成了DPO的雏形。1995年欧盟发布的《数据保护指令》(以下简称《95指令》)中开始使用DPO的概念,并规定数据处理者可以依据所在国法律规定任命DPO,以确保内部数据合规与个人数据安全等,对DPO的职责权力等内容进行了丰富和补充。
由于欧盟《95指令》的DPO制度存在实施非强制的局限,2011年欧盟提出考虑实施强制性的DPO制度,这在当时曾引起了激烈争论。但随着DPO制度在多个国家的不断实践和更新,以及数据管理重要性的提高,2018年GDPR明确规定,所有公共机关和符合设立条件的私营企业或组织,必须依法设立DPO。这不仅成为推进企业数据合规和数据安全的关键,也成为众多企业的商业竞争优势。因此,DPO制度的建立与完善,是大数据时代对个人数据保护的必然结果。欧盟各成员国可以根据本国国情,以GDPR的DPO制度为基础作出改进。如德国的新《联邦个人资料保护法》(BDSG),与GDPR同日实施目的是配合GDPR的施行。
1.2数据保护官及其制度的定义
1.2.1 数据保护官的定义 欧盟GDPR中没有对DPO进行明确的定义。我国学者宛玲认为,DPO是恰当、及时参与所有个人数据保护的管理者,负责监管所在组织机构个人数据安全策略以及保证该策略满足GDPR合规性要求[1]。笔者依据上述DPO概念的演化,认为数据保护官是依据相关政策或法律规定,对企业或组织机构内部个人数据享有独立履职权、直接报告权、资源保障权等权力,承担保护企业或组织机构内部个人数据安全,设定、修改、执行、普及企业个人数据保护制度,进行员工培训,安全审计和监督数据合规工作等职责的职业角色,又被视为企业或组织内部的“个人数据内部监督员”。
1.2.2 数据保护官制度的定义 数据保护官制度,是指国家规定数据保护官的设置条件、地位和职责权力范围以及审查与问责的法律制度。
1.3研究现状国内外学者对数据保护官制度的研究兴起于2016年,研究内容主要集中在GDPR中DPO规则的解读,以及对DPO角色、地位、职责、设置的必要性的认识。Kim Smouter认为要适应GDPR,首先就要设置DPO[2]。Daniel Drewer和Vesela Miladinova的研究中将数据保护官比作“数据挖掘中的金丝雀”,强调DPO工作的独立性[3]。宛玲的研究中对国外DPO的定义、类型、职责等进行了系统的概括[1]。刘佳通过对GDPR的规定(包括DPO的职权)进行概括,对我国征信业发展可能受到的影响进行了总结[4]。朱利妍建议在网络安全法中明确规定设置专门安全管理机构和安全管理负责人,认为“数据保护官”的设立是必须的[5]。赵冉冉、洪延青、蒋昕妍比较了不同国家DPO制度的历史和发展[6]。肖冬梅、成思雯对GDPR中欧盟DPO的任命和职责等进行了详细剖析[7]。孟洁介绍了企业数据保护官的任命和作用以及对数据保护官岗位需求与能力发展[8]。张弛从技术角度分析DPO需要的技术能力以及有效开展隐私合规和保护工作[9]。还有部分学者虽然没有提到设置数据保护官制度,但其实质相同。如章宁、田力提出,我国个人信息保护制度应设立独立的个人信息监管机构[10]。相丽玲、陈秀兰建议,我国应重视对个人征信数据安全的内部监管[11]。相丽玲、陈婉珠建议,成立专门的组织对个人健康医疗数据安全进行专门的管理和监督[12]。
总之,在现有研究中,国内外学者从不同的视角以及不同的领域对数据保护官制度进行了探究,但研究比较零散,缺乏系统性。本文将依据中外现行的相关政策与法律法规(见表1),从DPO的设置条件与法定地位、职责与范围、问责机制三方面对中外数据保护官制度的主要内容展开比较分析。
1.4研究意义综上所述,目前国内外学者对数据保护官制度的研究正处于初步探讨阶段。然而,在现实实践中,全球企业与机构都面临着数据合规问题带来的巨大风险,系统了解当前中外数据保护官制度的主要内容与异同,对于完善我国数据保护官制度,企业与组织有效规避用户隐私风险,促进全球数据流动与增值,具有现实与理论意义。
目前最完整的数据保护官制度是GDPR规定的DPO制度,GDPR允许欧盟成员国以GDPR的DPO制度为基础,提出更加适合自己国家或更详细的规定。因此,各成员国的DPO制度也存在或多或少的差异。另外,英、日、中、美等在相关法律法规规定了类似的个人数据管理职位,因为各国命名习惯不同,名称也有所差异。如表1所示。
表1 中外数据保护官的职位名称设置
续表1 中外数据保护官的职位名称设置
2.1DPO的法定条件与地位各国政策中对DPO的法定条件、法定地位、权力范围有所不同(见表2)。
表2 中外数据保护官的法定条件与法定地位
由表2可知:
a.从法定条件和地位来看,不同国家DPO制度的设置不同,但对于个人要成为数据保护官都有素质方面的要求。在法律地位上也有很大差距,但大多数都有独立履职权。欧盟及其成员国德国在DPO制度中都规定,DPO有独立履职权、直接报告权、资源保障权。这三项权力保障了DPO履行职责时,不仅独立于数据控制者与处理者之外,还可以直接向最高管理层报告以及拥有充足的资源。印度在法定条件上强调数据保护官应常驻印度。英国在立法时强调了数据保护官具有更高的权力,比如民事处罚权、刑事追责等。新加坡PDPA中个人数据保护委员会要从公职人员和管理局雇员中任命个人数据保护官,还可任命负责个人数据保护的副专员、负责个人数据保护的助理专员和检查员,在行使权力时具有独立性。日本的个人信息保护委员会是具有高度独立性的机关,来确保妥善处理个人信息。美国CISO被定位为高级行政人员,并且属于联邦政府网络安全计划的专家和权威,主要负责政府内部网络与个人数据安全。我国是要设立专门的个人信息保护负责人或机构,来负责个人信息安全工作,但对负责人的法律地位并未详细规定,这也是我国没有专门立法的缺陷。
b.数据保护官分为两种类型。一是属于政府,有专门的数据监管机构,如新加坡设置个人资料保护委员会,数据保护官的职能权力由委员会赋予;《英国新数据保护法案:改革计划》中的信息专员,由英国个人数据保护机构信息专员办公室 (ICO)直接任命;日本设立个人信息保护委员会专门保护数据安全;美国政府设立“联邦首席信息安全官”。二是属于企业。如GDPR、德国BDSG中的DPO制度主要是针对企业;我国法律中规定的网络安全负责人、个人信息保护负责人也属于企业或机构。这种DPO的设立主要是拥有相关职业素养,不论是内部人员还是外聘,对DPO的设立条件没有政府严格。
2.2DPO的法定职责与范围中外数据保护官的运行机制是通过各国相关政策法律规定的DPO职责与范围来实现的,目前各国数据保护官法定职责与范围的异同详见表3。
表3 中外数据保护官的法定职责与范围
续表3 中外数据保护官的法定职责与范围
表3显示,由于DPO所属的类型不同,职责也有所差别。
属于企业的DPO。职责包括且不限于五方面,分别为数据合规监督(DPO最重要的职责)、提出建议(向服务的企业或组织机构提出个人数据保护的建议)、参与评估(参与个人数据保护具体工作评估,监督评估活动并提出意见)、进行培训(对数据处理相关人员进行培训,为其提供个人数据保护方面的信息)、沟通协调(作为上下沟通的桥梁,一方面与监管部门联系并及时反映情况;另一方面与数据主体直接沟通和联系,协调实现其数据权利)。欧盟、德国的数据保护法中,所有的职责范围规定与此相似。印度数据保护法案中,DPO除数据合规监督和提供建议外,还有向数据受托者发起申诉以及保留数据受托者的维护记录清单的职责。我国对DPO的职责除以上五方面外,又着重强调了对个人数据的管理和保护。
属于政府的DPO。这类DPO的职责范围更加广泛,属于战略层面。新加坡的数据保护官在国际上代表政府处理与个人资料保护有关的事宜。英国信息专员的职责是通知和教育数据控制者维护个人信息权利、加大公共实体的公开性以及保护个人的数据安全。日本个人信息保护委员会在普通职能的基础上增加国际合作这一项,日本对于个人信息权利的法律保护,始终坚持积极吸纳国际标准的立场。美国CISO确定联邦网络与个人数据安全政策和战略方向,并监督其在整个政府范围内的实施。
2.3DPO的问责机制各国对DPO的问责机制主要有两方面,一方面,若企业或机构没有依法设置数据保护官制度,要面对的处罚;另一方面,若数据保护官没有履行义务或触犯法律,例如泄露个人数据,应该追究的责任(见表4)。
表4 中外数据保护官的问责机制
表4显示,若企业没有依法设置数据保护官,大多数国家以经济处罚为主,GDPR遵循重罚原则,对违规行为以巨额罚款,设定了两个等级的处罚:第一等级,主要针对触犯三大类数据违法行为的数据控制者或处理者(没有尽到相应数据保护义务;没有对数据保护认证组织履行义务;没有对监管部门履行义务)。第二等级,针对触犯GDPR中规定的五大类严重违法行为。没有设置或者没有适当设置DPO的企业应受到第一等级的处罚。德国、印度、英国、中国若没有依法设置数据保护官,以罚款为主。由罚款金额可见欧盟与英国罚款最高。新加坡和日本还增加了监禁和有期徒刑,相比较而言更为严厉,更有警示性。
对于DPO违法获取、转让或者出售个人数据或个人敏感数据等行为,在GDPR中没有具体规定,可依照各成员国自己的法规执行。德国、印度、新加坡、日本规定DPO做出违法行为可能被处以监禁或罚款。英国没有相关具体规定。我国网络安全负责人在履行职责中将获取的信息用于其他用途的,依法对相关人员给予处分,但并未详细说明处分内容。
美国的《网络安全国家行动计划(CNAP)》中未提及处罚措施,其政策和法律法规中也基本没有其他具体关于DPO的规定。由于法律制度和立法传统的不同,美国更倾向于通过行业自律和事后投诉来确保数据安全有序流动。所以,虽然GAFA(谷歌Google、苹果Apple、脸书Facebook和亚马逊Amazon)均属于美国大数据企业,但由于美国目前既没有专门的数据保护法律法规,也没有对应的职能部门对此进行监管,所以近两年美国的大数据企业在跨境数据流动中,因数据合规问题屡遭欧盟GDPR的巨额罚款。
3.1结论整体上看,各国DPO制度正在日趋完善,成为未来数据流动的法律保障制度之一。欧盟、日本等大多数国家都设置了专门的数据保护法,对DPO制度有比较具体的规定;中国依靠网络安全相关法律法规对DPO制度作了规定;而美国则极少在政策与法律法规中规定DPO制度。具体差异表现表现在以下三个方面:
a.在中外不同DPO制度的法定条件和地位的比较中,将数据保护官分为两种类型——政府和企业部门,两种不同类型的DPO在法定条件、地位、权力方面都有所差异。对于企业中的DPO,一般都有独立履职权、直接报告权、资源保障权,通过这三项权力保障DPO的工作效率。对于政府的个人数据监管机构,一般具有高度独立性,这种DPO属于行政人员,具有更高的权力,例如英国信息专员的民事处罚权、刑事追责等。
b.在中外不同DPO制度的法定职责与范围的比较中,DPO最重要的职责就是进行数据合规监督,不同类型DPO的监督对象不同。企业的DPO监督企业中的个人数据,负责向企业提出建议、参与评估、进行培训、沟通协调等;政府的DPO职责范围更广,监督的对象是政府机构内部的网络与个人数据安全,做出的是战略性的决策。
c.在中外不同DPO制度问责机制的比较中,若企业没有依法设置数据保护官,大多数国家以经济处罚为主;对于DPO违反法律,一般处以监禁或罚款。美国的CNPA中未提及处罚措施,没有对应的职能部门对数据安全进行保护,这可能是近两年美国企业频遭欧盟GDPR巨额罚款的重要原因之一。
3.2启示与国外DPO制度相比,我国没有设置专门的数据保护官制度,仅在网络安全的相关法律法规中有部分涉及,对DPO的地位和权力规定不明晰,对企业设置DPO职位的规定比较模糊,惩罚制度也比较轻。借鉴国外数据保护官制度的先进经验,得出以下三点启示:
a.我国在设置数据保护官时,一是要规定数据保护官的委任、地位、职责和能力素质等具体制度,二是要设立权威认证,加强个人数据保护监督管理,培养优秀的个人数据保护人才。在立法方面,明确规定企业和组织机构应设置个人数据保护专门岗位和专业人员的条件,对违反规定的个人数据管理者给予更加严厉的问责机制和惩罚,加强对监管机构的建设,做好监督工作。
b.在立法中强化数据保护官的独立履职权。通过中外数据保护官制度的对比发现,我国《信息安全技术 个人信息安全规范》中,关于个人信息保护负责人职权的主要问题之一,就是如何在数据控制者和数据处理者之外独立行使权力。借鉴欧盟GDPR以及其他国家的立法经验,我国可以通过增加个人信息保护负责人的通知建议权和约束控制者、处理者不干涉其行使权力的方式来实现[14]。但强化个人信息保护负责人的独立履职并不意味着使其具备无法控制的权力,同时应对其权力进行约束,立法时明确其职权范围和责任追究。
c.处理好数据保护官制度所节约的合规成本(违规的高额罚款)和制度本身所带来的合规成本(设置数据保护官的成本)之间的矛盾。设立数据保护官制度的目的就是为了降低企业或组织机构的合规负担,所以在制定数据保护官制度时,需要权衡这两种成本之间的关系,过重的成本会不利于企业或组织机构的发展,这就与设立数据保护官制度的目的背道而驰。