数字时代企业的“压舱石”:谈个人信息保护官 (DPO) 的担当和素养
首刊于律商视点(2021-01-08)
2020年10月,全国人大常委会发布《个人信息保护法》(以下简称 “《个信法》”)草案,向社会征求意见。纵观全球,迄今已有80多个国家和地区先后颁行了个人信息保护的专门法律,其中欧盟《通用数据保护条例》(GDPR)被公认为是个人信息保护领域的旗舰,广泛影响了其它法域有关个人信息保护的立法模式和执法风向。我国《个信法》草案的公告,表明网民人数已达9亿之多。随着进一步向“数字强国”方向迈进,我国有望早日改变个人信息保护立法缺失的局面。
从体例结构和条款安排上看,《个信法》草案颇多借鉴了GDPR等全球个人信息保护既有立法的治理路径,包括设立“个人信息保护负责人”的要求。GDPR也包含任命 “个人信息保护官”(Data Protection Officer)的规定[i]。下文中 “个人信息保护负责人” 将简称为 “DPO”。
一、处理个人信息涉100万个人主体的将触发DPO设置义务
《个信法》草案规定,处理个人信息达到网信部门规定数量的,个人信息处理者需指定DPO;DPO的姓名和联系方式向社会公示,并向政府部门报备。网信部门将如何划线量级,2020年修订的《个人信息安全管理规范》(简称 “《规范》”)已作出启示,分别从处理者的业务属性、个人信息处理规模、敏感个人信息规模这三个维度来设计DPO设置必要的起点:其一,若个信处理属于主要业务,且从业人员超200人的;其二,处理个信涉及100万个人主体以上的;其三,处理敏感个信涉及10万个人主体以上的。只要满足以上三个维度的任何一个,就触发DPO的设置义务。值得关注的是,《规范》进一步要求DPO为专职职务。关于DPO的专职性,《个信法》草案并没有要求;《规范》系指导性文件,并不构成法律强制力。因此,专职性与否的要求仍有待法律文件加以明确,企业需观察动向,相应配置人事资源。
对照GDPR来看,GDPR有关DPO职务的必要设置也考量了《规范》提出的三个维度。除企业的DPO设置要求外,GDPR还明确规定政府部门处理个人信息的,必须设置DPO。GDPR允许DPO可以由企业内部人员出任,也可以由外聘机构承担。由企业人员出任的,GDPR并未做全职限定,仅要求在兼任时,同时担任的其它职务不与DPO职责相冲突。可见,《规范》在DPO来源和投入程度问题上,与GDPR 的要求相比,显得更加严格,尽管仍有待明确该要求的强制效力。
二、DPO重任在肩,需内外兼修
关于DPO任命的公示和政府报备义务,是草案和GDPR共同的要求。细数企业内各职务,我国法律提出向政府部门注册报备义务的屈指可数,通常仅见于企业的法定代表人、财务负责人及消防安全负责人等。DPO的公示并报备义务,凸显DPO面对社会公众的重要对外责任:个人主体维护其个人信息权利的,可以向DPO问询和质疑企业的信息处理行为,并要求更正或删除其个人信息;发生安全事件时,DPO需要快速应对控制后果,向网信部门通报并视情告知个人主体;而网信部门有权调查信息安全事件、以及在日常工作中进行执法审计。一旦有安全事件或者政府调查发生,DPO踏在危机处理的风口浪尖,责任将更加吃重。
继反商业贿赂、反垄断之后,个人信息保护正逐渐成为企业合规的下一个风控要点。草案规定,违法处理个信情节严重的,面临最高相当于企业上一年度营业额百分之五的罚款。对照来看,GDPR于2018年生效执行后,欧盟各国对跨国科技巨头等企业的个信泄露或滥用事件开展调查并处罚的频率和罚款金额持续上升。可以想见,《个信法》正式出台后,我国也将进一步增大对于个信保护的执法力度。DPO开展工作需未雨绸缪,促进企业平日练好个人信息保护和安全的基本功,以减少突发事件的可能性, 尽可能避免企业被动、DPO四顾不暇的境遇。
草案提出DPO设置的法定要求,既是对于GDPR等个人信息保护领域前沿立法的借鉴,更是在回应我国高速发展的数字科技、数字经济引起的社会关切。数字化转型在各行各业、各种规模的企业中快速蔓延,除了以5G、人工智能等为代表的数字化产业高歌猛进之外,将数字技术与传统产业相结合、实现产业数字化,已经是企业的普遍共识和行动部署。数字技术在我国社会生活和消费的各个场景遍地开花,公众在体验到种种方便的同时,对于刷脸泛化、信息茧房、过度营销推送等与人信息过分暴露甚至“裸奔“的担忧也不断上升。健全个人信息保护制度,不仅需要完善立法和严格执法,也有赖于营造健康的社会人文环境、培育对个人信息权利的尊重态度。担任企业的DPO,不仅要聚焦企业的合规与风险控制,避免个人信息泄露等安全事件;更要着眼于推动企业的意识提升和制度建设,确保对个人信息处理的恰当、稳妥。可以说,DPO承担着数字时代企业“压舱石”的功能。
三、DPO遴选:专业知识和管理经历并重
DPO人选从企业内部哪里遴选和培养?《规范》提出的资格要求是DPO “应由具有相关管理工作经历和个人信息保护专业知识的人员担任”。这个资格要求并没有将DPO与法务直接划等号。不过,考察欧美企业的普遍惯例,由法务出任DPO的最为常见,其次为IT人士,看来是考虑到这两类专业人士的知识水平与个人信息保护治理的较高契合度。
值得注意的是,《规范》对DPO的资格要求将“管理工作经历”放在“专业知识”之前,意味着仅有专业知识并不必然能胜任DPO。专业知识好比是绘画时的底色。一幅画要生动有灵气,仅有底色是不够的,颜色层次丰富饱满才能称得上好作品。担当个人信息保护的管理工作,DPO如何能体现 “压舱石”的分量感,帮助企业的数字化转型在个人信息安全基础上的行稳致远?笔者认为,DPO开展工作应注意“三忌” 和“三要”:
DPO忌“高高在上”,要“接地气”:企业快速推进的数字业务和用户、消费者乃至企业员工对于个人信息处理的或有担忧构成一对矛盾。DPO倘若只有高高在上的姿态和花拳绣腿的功夫,是不能赢得信息主体信任的。DPO的工作必须接地气:接地气地深入了解公司数字业务的全貌和个人信息是如何在业务过程中被使用、保存及其留存期限;接地气的来点营销部门的“推广艺术“,尝试用喜闻乐见的形式开展个人信息保护的培训,成为企业观念转变的推手;接地气地让发布的个人信息保护政策、知情 – 同意文件措辞尽可能简单、明了和易懂;被信息主体联系时,接地气地快速回复,对其合理要求如更新个人信息、删除信息等及时落实。概括而言,DPO要力求业务知识熟悉程度接地气、宣传接地气、沟通接地气。DPO不是企业阳春白雪的门面装潢,而应该有愿意撸起袖子去实干的精气神。
DPO忌“墨守法律”,要“攻治理”:DPO真功夫的试金石在于能够将个人信息保护的各项原则和信息主体的各项权利融入体现于企业的日常业务流程之中。DPO应当了解和掌握个人信息在业务过程中如何被取得、使用、保管、存储、销毁的全周期资讯,以及其间是否存在信息在企业集团内部或与外部发生共享的情况。而为了达到对全周期管理状态清晰了然的目标,DPO有必要在建流程、建体系和建制度方面下功夫。“问责”(accountability) 是个人信息保护的中心原则之一,要求企业保护个人信息并且能够自证合规。流程、体系和制度的建设和完善,在推动企业合规建设的同时,也可以方便DPO随时调取相关资料,满足“问责”要求。
DPO忌“单打独斗”,要“调资源”:《规范》提出个人信息安全工作要配备人力、财力、物力保障。在企业里,销售、市场等业务部门通常最擅长索取人力、经费等资源,而法务的典型特征是面对与日俱增的工作量,愈发加班加点、埋头苦干,却不开口要求增加资源。“靴子在落地”,面对个人信息保护领域日益明确的法律要求和严格执法大趋势, DPO单打独斗的模式只会令其陷入筋疲力竭的地步。谋事与干事需要必要的资源配备。DPO,尤其是法务出身的DPO要跨出一步,争取到建立个人信息保护组织部门和合规体系的资源配置,“粮草先行”。此外,DPO还可以向企业内部已经建立的合规组织如商业道德合规部门借力,在其既有的合规平台上接入个人信息保护的资讯内容,这一招在扩大培训人群覆盖面时尤其有用。
四、DPO职业选择的良好前景
“取之有度,用之有节”。数字经济实现良性和健康发展,离不开社会和企业树立正确的个人信息保护观念,依法合规地处理信息。DPO是个人信息权利和安全的守护人。DPO属于新兴职业,胜任DPO需要法规知识、共情沟通、敏锐补漏、自我驱动等多方位能力素养的复合。担子不轻,但更前景光明。GDPR生效前夕,曾有国际机构判断,为了满足GDPR的合规要求及考虑到其长臂管辖的效果,欧盟本土及海外将至少产生75,000个DPO职位[ii]。基于我国数字化经济的规模体量,《个信法》草案提出DPO设置的强要求后,将意味着企业纷纷需要任命DPO,触发DPO义务的企业该远不止于GDPR带来的75,000家。作为职业发展方向,DPO的人才需求将飙升,DPO职业发展将大有可为。
注:
[i] 见GDPR第37-39条。
[ii] The International Association of Privacy Professionals (IAPP) Study: GDPR’s global reach to require at least 75,000 DPOs worldwide https://iapp.org/news/a/study-gdprs-global-reach-to-require-at-least-75000-dpos-worldwide/