最近有很多朋友問我，數(shù)據(jù)保護(hù)官有沒有前景，需要具備什么條件或技能，要不要考個證什么的... ？？？可以深深體會到他們內(nèi)心的焦慮。送佛送到西，本文將解答關(guān)于DPO的各種問題。閱前思考：當(dāng)數(shù)據(jù)保護(hù)官有前途嗎？企業(yè)如何挑選數(shù)據(jù)保護(hù)官？個人如何成為數(shù)據(jù)保護(hù)官？當(dāng)數(shù)據(jù)保護(hù)官有何責(zé)任風(fēng)險？2018年，東航和華為紛紛任命了數(shù)據(jù)保護(hù)官「DPO,Data Protection Officer」；此前，360和螞蟻金服也任命了首席隱私官「CPO,Chief Privacy Officer」。?數(shù)據(jù)保護(hù)官 PK 首席隱私官，傻傻分不清楚？首先，我們需要厘清一個概念，什么是數(shù)據(jù)保護(hù)，什么是隱私保護(hù)。在日常中用語中，大家似乎都習(xí)慣了將二者隨意切換，看作是同一個意思，那實質(zhì)上二者有區(qū)別嗎？數(shù)據(jù)保護(hù)的目的是保護(hù)與人或重要事項有關(guān)的數(shù)據(jù)，直接落腳點在于數(shù)據(jù)。所以數(shù)據(jù)保護(hù)官的職責(zé)更多地是圍繞數(shù)據(jù)的生命周期展開工作。 隱私保護(hù)的目的是保護(hù)人對隱私的合理預(yù)期，直接落腳點在于人，而非數(shù)據(jù)。所以首席隱私官的職責(zé)更多地是圍繞人的隱私權(quán)內(nèi)容展開。我國《民法典》也進(jìn)一步厘清了個人信息與隱私權(quán)之間的關(guān)系。?所以，在不同頭銜下面，二者的職責(zé)與性質(zhì)不盡相同，企業(yè)應(yīng)該根據(jù)自身需求擇一而設(shè)，或二者兼設(shè)。?數(shù)據(jù)保護(hù)官最早在德國出現(xiàn)，不是因為德國企業(yè)都比其他國家的企業(yè)更注重數(shù)據(jù)保護(hù)，而是因為根據(jù)德國的數(shù)據(jù)保護(hù)法，早在上世紀(jì)70年代，企業(yè)就負(fù)有任命數(shù)據(jù)保護(hù)官的法定義務(wù)，后來法國也跟進(jìn)了相關(guān)規(guī)定，所以這個職位其實并不“新”。?但是，數(shù)據(jù)保護(hù)官真正“火”起來是自2018年5月份歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）生效后，因為GDPR專門用一節(jié)（第四章第四節(jié)，法條附在文末）對數(shù)據(jù)保護(hù)官進(jìn)行了規(guī)定。此后，數(shù)據(jù)保護(hù)官便隨著GDPR的影響力逐漸被人所熟知。 由于數(shù)據(jù)保護(hù)官在不同法域有著不同的定義及要求，所以本文并不局限在GDPR或其他法律框架內(nèi)，而是嘗試去探尋數(shù)據(jù)保護(hù)官的一些通性，以期給有這方面需求的企業(yè)或新晉“數(shù)據(jù)保護(hù)官”們一些具有參考價值的意見。 01何時必須設(shè)立數(shù)據(jù)保護(hù)官？根據(jù)GDPR規(guī)定：1、企業(yè)主要業(yè)務(wù)需要對數(shù)據(jù)主體進(jìn)行大規(guī)模的定期系統(tǒng)監(jiān)測，比如以精準(zhǔn)投放為主業(yè)的在線廣告公司，或者可穿戴智能設(shè)備公司等；2、企業(yè)主要業(yè)務(wù)需要大規(guī)模處理特殊數(shù)據(jù)，特殊數(shù)據(jù)指健康、生物、基因數(shù)據(jù)等，比如醫(yī)院、體檢中心，人臉識別公司等。這類公司均需要設(shè)立數(shù)據(jù)保護(hù)官。?值得注意的是，2018年5月份國內(nèi)實施的《信息安全技術(shù)個人信息安全規(guī)范》第十條規(guī)定：應(yīng)任命個人信息保護(hù)負(fù)責(zé)人和個人信息保護(hù)工作機(jī)構(gòu)。這里的個人信息保護(hù)責(zé)任人更像是一種宣示。而國內(nèi)發(fā)布的《數(shù)據(jù)安全管理辦法（征求意見稿）》中第十七條則規(guī)定：“網(wǎng)絡(luò)運(yùn)營者以經(jīng)營為目的收集重要數(shù)據(jù)或個人敏感信息的，應(yīng)當(dāng)明確數(shù)據(jù)安全責(zé)任人。”出現(xiàn)了數(shù)據(jù)安全責(zé)任人的稱謂，頗有數(shù)據(jù)保護(hù)官的味道，但跟GDPR還是稍有不同，國內(nèi)現(xiàn)側(cè)重于重要數(shù)據(jù)，而前者除了重要數(shù)據(jù)外，還看重特定行為（定期系統(tǒng)監(jiān)測）。02為什么要設(shè)立數(shù)據(jù)保護(hù)官？上面講到的是設(shè)立數(shù)據(jù)保護(hù)官的“強(qiáng)制性”，而企業(yè)對于數(shù)據(jù)保護(hù)是否具有“內(nèi)需性”？眾所周知，當(dāng)企業(yè)發(fā)展到一定程度，自然而然會有合規(guī)的需求。所以，企業(yè)內(nèi)部通常會有合規(guī)部、法務(wù)部、風(fēng)控部或者審核組等等。但在大數(shù)據(jù)時代，以往能勝任合規(guī)等崗位的人未必能處理好數(shù)據(jù)保護(hù)的問題，于是就誕生了更加精細(xì)化的、專門負(fù)責(zé)數(shù)據(jù)保護(hù)的專業(yè)人員。?從另外角度看，數(shù)據(jù)合規(guī)也是企業(yè)的一種競爭優(yōu)勢，特別對于數(shù)據(jù)存儲提供商和云服務(wù)提供商，數(shù)據(jù)安全、數(shù)據(jù)隱私往往是用戶選擇哪家云服務(wù)商的重要考量因素，自家辛苦經(jīng)營得來的寶貝數(shù)據(jù)絕不會隨便選擇一家就上云，而是會仔細(xì)甄別。所以，云服務(wù)商們在比拼延時率、回源率、響應(yīng)能力與災(zāi)備能力等性能服務(wù)時，不妨從數(shù)據(jù)隱私與安全等軟實力入手，或許可以取得意想不到的優(yōu)勢。03數(shù)據(jù)保護(hù)官外聘好還是內(nèi)聘好？目前法律上沒有明確規(guī)定只能讓企業(yè)內(nèi)部人員擔(dān)任數(shù)據(jù)保護(hù)官，所以，歐洲有不少企業(yè)是從外部聘請的。?外聘數(shù)據(jù)保護(hù)官由于是專職從事，所以經(jīng)驗上會更加豐富，對行業(yè)的動向標(biāo)準(zhǔn)會掌握得更加準(zhǔn)確，而且不必?fù)?dān)心勞工問題，同時也省掉了培養(yǎng)技能的過程和成本。但外聘同樣會存在其他問題，比如不是非常了解企業(yè)內(nèi)部的實際運(yùn)營情況，導(dǎo)致給出的方案實操性不強(qiáng)，溝通成本高，以及關(guān)鍵時刻是否可以跟企業(yè)的利益站在一起等。而如果是由企業(yè)內(nèi)部人員擔(dān)任則不存在這些問題。?有些法域?qū)τ趧诠けＷo(hù)特別嚴(yán)厲，這時候跨國企業(yè)就可以考慮從其他法域的子公司任命一名數(shù)據(jù)保護(hù)官，從而巧妙地避開上述幾個問題。 04數(shù)據(jù)保護(hù)官具體由誰來擔(dān)任比較合適？如果企業(yè)決定在內(nèi)部挑選數(shù)據(jù)保護(hù)官，那應(yīng)該由誰來擔(dān)任比較合適呢？目前從法務(wù)部、信息技術(shù)部、人力資源部等部門的非管理人員中挑選的比較常見，因為如果由銷售或人力主管擔(dān)任，難免會產(chǎn)生利益沖突，銷售一門心思想做成業(yè)務(wù)，所以自身最有可能會去動用數(shù)據(jù)，而人力主管也常常會對員工進(jìn)行各類背調(diào)，所以原則上不宜任命存在利益沖突的人員擔(dān)任。GDPR要求數(shù)據(jù)保護(hù)官應(yīng)當(dāng)具備數(shù)據(jù)安全方面的法律知識與經(jīng)驗?zāi)芰Α！稊?shù)據(jù)安全管理辦法（征求意見稿）》也有類似規(guī)定，但我們可以看出，二者均沒有硬性條件的規(guī)定，都是從主觀上判斷。不過值得注意的是，我國《網(wǎng)絡(luò)安全法》明確規(guī)定因安全問題被處以行政處罰的個人五年內(nèi)不得擔(dān)任網(wǎng)絡(luò)安全關(guān)鍵崗位，受過刑事處罰更不用說，所以，企業(yè)在挑選數(shù)據(jù)保護(hù)官的時候不能犯這種低級錯誤。 05數(shù)據(jù)保護(hù)官有哪些職責(zé)？GDPR第39條對數(shù)據(jù)保護(hù)人員的任務(wù)做了如下規(guī)定：（a）向控制者、處理者以及根據(jù)本章程或者根據(jù)其他歐盟法律或成員國法律規(guī)定的義務(wù)進(jìn)行數(shù)據(jù)處理的人員，提出通知和建議；（b）和監(jiān)控本章程、其他歐盟成員國法律、控制者處理者關(guān)于個人數(shù)據(jù)的相關(guān)政策（包括職責(zé)、意識提高、人員培訓(xùn)）以及相關(guān)審計活動的合規(guī)性；（c）根據(jù)35條提出對于數(shù)據(jù)保護(hù)影響評估和監(jiān)控的建議；（d）和監(jiān)管機(jī)構(gòu)合作；（e）作為監(jiān)管機(jī)構(gòu)與處理活動的連接點，包括第36條提到的事先咨詢或者其他咨詢活動。?《數(shù)據(jù)安全管理辦法（征求意見稿）》第十八條規(guī)定數(shù)據(jù)安全責(zé)任人履行下列職責(zé)：（一）組織制定數(shù)據(jù)保護(hù)計劃并督促落實；　　（二）組織開展數(shù)據(jù)安全風(fēng)險評估，督促整改安全隱患；? ? ? ??（三）按要求向有關(guān)部門和網(wǎng)信部門報告數(shù)據(jù)安全保護(hù)和事件處置情況；? ??? ? ? ? ??（四）受理并處理用戶投訴和舉報。從中不難看出，數(shù)據(jù)保護(hù)官除了管理企業(yè)日常數(shù)據(jù)保護(hù)工作外，還承擔(dān)著“數(shù)據(jù)外交”的職能，姓名與聯(lián)系方式需要對外披露，并且需要與監(jiān)管機(jī)關(guān)、數(shù)據(jù)主體對接。由此就延伸出了一個原則性問題，即題目提到的“數(shù)據(jù)保護(hù)官是臥底嗎？”。最近我國頒布的《數(shù)據(jù)安全法（草案）》，也在第二十五條明確規(guī)定了重要數(shù)據(jù)的處理者應(yīng)當(dāng)設(shè)立數(shù)據(jù)安全負(fù)責(zé)人。 06數(shù)據(jù)保護(hù)官到底是不是臥底？屁股應(yīng)該靠那邊？其實這個問題不僅嚴(yán)肅，而且很有趣。如果數(shù)據(jù)保護(hù)官是監(jiān)管機(jī)關(guān)的“人”，那企業(yè)一發(fā)生數(shù)據(jù)違規(guī)事情，那不得馬上屁顛屁顛跑到監(jiān)管機(jī)關(guān)打報告？這場景頗似無間道，企業(yè)花錢雇了個臥底，而且明知道你是臥底，還不能把你給辭了，所以這在邏輯上就行不通。?還是得回到設(shè)立數(shù)據(jù)保護(hù)官的本意上，企業(yè)因為數(shù)據(jù)安全、數(shù)據(jù)隱私的問題，所以才需要有個“數(shù)據(jù)統(tǒng)帥”來解決這個事情，從這點出發(fā)，數(shù)據(jù)保護(hù)官跟財務(wù)、會計等企業(yè)職員沒有本質(zhì)區(qū)別，后者平時也要跟稅務(wù)部門打交道，但如果就是這樣，則這個“新職業(yè)”似乎也沒什么神奇的。殊不知，不管是GDPR還是國內(nèi)的《數(shù)據(jù)安全管理辦法（征求意見稿）》均給數(shù)據(jù)保護(hù)官一項特殊的“權(quán)力”。GDPR第38條規(guī)定，控制者和處理者應(yīng)當(dāng)確保對數(shù)據(jù)保護(hù)人員不下達(dá)任何指令，他們不能因為執(zhí)行任務(wù)的原因而被解雇或者受到刑事處罰。數(shù)據(jù)保護(hù)人員直接向最高管理者報告工作。?《數(shù)據(jù)安全管理辦法（征求意見稿）》第十七條規(guī)定，網(wǎng)絡(luò)運(yùn)營者應(yīng)為數(shù)據(jù)安全責(zé)任人提供必要的資源，保障其獨(dú)立履行職責(zé)。?一個要求企業(yè)不能給數(shù)據(jù)保護(hù)官下達(dá)任何命令，一個要求企業(yè)保障數(shù)據(jù)保護(hù)官獨(dú)立履職。這下有意思了，數(shù)據(jù)保護(hù)官似乎承擔(dān)著某種特殊的使命，使其一定程度上獨(dú)立于企業(yè)之上，頗似監(jiān)事。那數(shù)據(jù)保護(hù)官的性質(zhì)跟監(jiān)事一樣嗎？答案恐怕不是，因為監(jiān)事再怎么“監(jiān)視”，始終還是代表企業(yè)的利益，監(jiān)事的獨(dú)立性體現(xiàn)在獨(dú)立于其他高管，監(jiān)督損害企業(yè)利益的行為，而非獨(dú)立于企業(yè)。雖然，目前也無法準(zhǔn)確得出數(shù)據(jù)保護(hù)官就是獨(dú)立于企業(yè)，但根據(jù)立法者的意圖來分析，還是希望其扮演一定的“公職人員”屬性，以減輕監(jiān)管機(jī)關(guān)在數(shù)據(jù)保護(hù)嚴(yán)峻形勢下的壓力。?所以，當(dāng)企業(yè)利益與公共利益沖突時，如果你是數(shù)據(jù)保護(hù)官你該怎么做？似乎怎么做都是豬八戒照鏡子。?其實，在立法層面尚不明確時，要解決這個問題并非難事。企業(yè)只需在任命數(shù)據(jù)保護(hù)官時，將其職責(zé)范圍明確約定并落實到書面即可，屆時大家奉紙辦事，相安無事。對于企業(yè)來說，數(shù)據(jù)保護(hù)官是擔(dān)任企業(yè)數(shù)據(jù)合規(guī)的統(tǒng)籌管理者，還是捍衛(wèi)數(shù)據(jù)利益的金盔甲士？職責(zé)界限與范圍又在哪？能調(diào)配企業(yè)多少資源？這些均會決定其今后工作的走向及成果，而其工作的質(zhì)量將影響企業(yè)的合規(guī)能力與競爭優(yōu)勢，所以，企業(yè)一開始還是要周密安排，而不是一拍腦袋“就是你了”。 07數(shù)據(jù)保護(hù)官的個人法律責(zé)任數(shù)據(jù)保護(hù)官的責(zé)任主要來自于兩個方面，一個是法定，一個是約定。約定責(zé)任就是指數(shù)據(jù)保護(hù)官與企業(yè)之間簽訂的協(xié)議，一般按照協(xié)議約定的責(zé)任執(zhí)行即可。但法定責(zé)任方面，目前似乎沒有具體的責(zé)任規(guī)制，更多的是規(guī)定應(yīng)該做哪些事，而沒有直接規(guī)定若違反了需要承擔(dān)什么責(zé)任，這樣設(shè)定可能是出于鼓勵這個“新興”職業(yè)的目的。不過相比于作為的責(zé)任，我們更應(yīng)該關(guān)注不作為的責(zé)任，既然法律規(guī)定了數(shù)據(jù)保護(hù)官的義務(wù)，那不去履行這些義務(wù)意味著是不作為，如果企業(yè)發(fā)生了重大數(shù)據(jù)安全事件或隱患，而數(shù)據(jù)保護(hù)官卻選擇隱瞞不報，導(dǎo)致事態(tài)更加嚴(yán)重，假設(shè)還進(jìn)一步構(gòu)成刑事案件，那就無法保證數(shù)據(jù)保護(hù)官可能作為主要負(fù)責(zé)人之一而不被采取措施。所以，如何平衡作為與不作為將是對數(shù)據(jù)保護(hù)官生命力的考驗。 08對國家立法設(shè)立數(shù)據(jù)保護(hù)官的幾點建議首先，立法層面還是應(yīng)當(dāng)厘清數(shù)據(jù)保護(hù)官的性質(zhì)，從頂層明確其“私職”性質(zhì)，以便定人心。?其次，可以考慮企業(yè)分層制，不用每家企業(yè)都要設(shè)立該職位，比如員工20人以上，或者涉及多少用戶以上需要設(shè)立，其他的則由企業(yè)自己決定。?最后，可以參考北歐一些國家實行的“有益設(shè)立”。什么叫有益設(shè)立呢？就是如果企業(yè)任命了數(shù)據(jù)保護(hù)官，那么某些事項就無須進(jìn)行申報，相當(dāng)于給予“獎勵”。 09?結(jié)語總的來說，數(shù)據(jù)保護(hù)官誕生的大背景是因為數(shù)字時代衍生的數(shù)據(jù)安全問題，并且隨著數(shù)字化的進(jìn)程，數(shù)據(jù)安全將不可避免地呈現(xiàn)頻率高、規(guī)模大、影響深的態(tài)勢，甚至?xí)霈F(xiàn)由于擔(dān)心數(shù)據(jù)安全問題，而禁用人臉識別的“逆潮流”舉動。而數(shù)據(jù)保護(hù)官們將在這樣的歷史境遇下，開啟他們的征程。

來源：滬法網(wǎng)