企业法律顾问告诉你：GDPR合规 | DPO数据保护官是卧底吗？

企业法律顾问告诉你：GDPR合规 | DPO数据保护官是卧底吗？ 

2018年，东航和华为纷纷任命了数据保护官「DPO,Data Protection Officer」；此前，360和蚂蚁金服也任命了首席隐私官「CPO,Chief Privacy Officer」。

数据保护官？首席隐私官？傻傻分不清楚。

首先，我们需要厘清一个概念，什么是数据保护，什么是隐私保护。在日常中用语中，大家似乎都习惯了将二者随意切换，看作是同一个意思，那实质上二者有区别吗？

数据保护的目的是保护与人有关的数据，直接落脚点在于数据，而非在于人。所以数据保护官的职责更多地是围绕数据的生命周期展开工作。

隐私保护的目的是保护人对隐私的合理预期，直接落脚点在于人，而非数据。所以首席隐私官的职责更多地是围绕人的隐私权内容展开。

所以，在不同头衔下面，二者的职责与性质不尽相同，企业应该根据自身需求择一而设，或二者兼设。

数据保护官最早在德国出现，不是因为德国企业都比其他国家的企业更注重数据保护，而是因为根据德国的数据保护法，早在上世纪70年代，企业就负有任命数据保护官的法定义务，后来法国也跟进了相关规定，所以这个职位其实并不“新”。

但是，数据保护官真正“火”起来是自2018年5月份欧盟《通用数据保护条例》（GDPR）生效后，因为GDPR专门用一节（第四章第四节，法条附在文末）对数据保护官进行了规定。此后，数据保护官便随着GDPR的影响力逐渐被人所熟知。

由于数据保护官在不同法域有着不同的定义及要求，所以本文并不局限在GDPR或其他法律框架内，而是尝试去探寻数据保护官的一些通性，以期给有这方面需求的企业或新晋“数据保护官”们一些具有参考价值的意见。

一、何时必须设立数据保护官？

根据GDPR规定：1、企业主要业务需要对数据主体进行大规模的定期系统监测，比如以精准投放为主业的在线广告公司，或者可穿戴智能设备公司等；2、企业主要业务需要大规模处理特殊数据，特殊数据指健康、生物、基因数据等，比如医院、体检中心，人脸识别公司等。这类公司均需要设立数据保护官。

值得注意的是，2018年5月份国内实施的《信息安全技术个人信息安全规范》第十条规定：应任命个人信息保护负责人和个人信息保护工作机构。这里的个人信息保护责任人更像是一种宣示。

而国内近期发布的《数据安全管理办法（征求意见稿）》中第十七条则规定：“网络运营者以经营为目的收集重要数据或个人敏感信息的，应当明确数据安全责任人。”出现了数据安全责任人的称谓，颇有数据保护官的味道，但跟GDPR还是稍有不同，国内现侧重于重要数据，而前者除了重要数据外，还看重特定行为（定期系统监测）。

二、为什么要设立数据保护官？

上面讲到的是设立数据保护官的“强制性”，而企业对于数据保护是否具有“内需性”？

众所周知，当企业发展到一定程度，自然而然会有合规的需求。所以，企业内部通常会有合规部、法务部、风控部或者审核组等等。但在大数据时代，以往能胜任合规等岗位的人未必能处理好数据保护的问题，于是就诞生了更加精细化的、专门负责数据保护的专业人员。

从另外角度看，数据合规也是企业的一种竞争优势，特别对于数据存储提供商和云服务提供商，数据安全、数据隐私往往是用户选择哪家云服务商的重要考量因素，自家辛苦经营得来的宝贝数据绝不会随便选择一家就上云，而是会仔细甄别。

所以，云服务商们在比拼延时率、回源率、响应能力与灾备能力等性能服务时，不妨从数据隐私与安全等软实力入手，或许可以取得意想不到的优势。

三、数据保护官外聘好还是内聘好？

目前法律上没有明确规定只能让企业内部人员担任数据保护官，所以，欧洲有不少企业是从外部聘请的。

外聘数据保护官由于是专职从事，所以经验上会更加丰富，对行业的动向标准会掌握得更加准确，而且不必担心劳工问题，同时也省掉了培养技能的过程和成本。

但外聘同样会存在其他问题，比如不是非常了解企业内部的实际运营情况，导致给出的方案实操性不强，沟通成本高，以及关键时刻是否可以跟企业的利益站在一起等。而如果是由企业内部人员担任则不存在这些问题。

有些法域对于劳工保护特别严厉，这时候跨国企业就可以考虑从其他法域的子公司任命一名数据保护官，从而巧妙地避开上述几个问题。

四、数据保护官具体由谁来担任比较合适？

如果企业决定在内部挑选数据保护官，那应该由谁来担任比较合适呢？目前从法务部、信息技术部、人力资源部等部门的非管理人员中挑选的比较常见，因为如果由销售或人力主管担任，难免会产生利益冲突，销售一门心思想做成业务，所以自身最有可能会去动用数据，而人力主管也常常会对员工进行各类背调，所以原则上不宜任命存在利益冲突的人员担任。

GDPR要求数据保护官应当具备数据安全方面的法律知识与经验能力。《数据安全管理办法（征求意见稿）》也有类似规定，但我们可以看出，二者均没有硬性条件的规定，都是从主观上判断。

不过值得注意的是，我国《网络安全法》明确规定因安全问题被处以行政处罚的个人五年内不得担任网络安全关键岗位，受过刑事处罚更不用说，所以，企业在挑选数据保护官的时候不能犯这种低级错误。

五、数据保护官有哪些职责？

GDPR第39条对数据保护人员的任务做了如下规定：

（a）向控制者、处理者以及根据本章程或者根据其他欧盟法律或成员国法律规定的义务进行数据处理的人员，提出通知和建议；

（b）和监控本章程、其他欧盟成员国法律、控制者处理者关于个人数据的相关政策（包括职责、意识提高、人员培训）以及相关审计活动的合规性；

（c）根据35条提出对于数据保护影响评估和监控的建议；

（d）和监管机构合作；

（e）作为监管机构与处理活动的连接点，包括第36条提到的事先咨询或者其他咨询活动。

《数据安全管理办法（征求意见稿）》第十八条规定数据安全责任人履行下列职责：

（一）组织制定数据保护计划并督促落实；

　　（二）组织开展数据安全风险评估，督促整改安全隐患；

（三）按要求向有关部门和网信部门报告数据安全保护和事件处置情况；

（四）受理并处理用户投诉和举报。

从中不难看出，数据保护官除了管理企业日常数据保护工作外，还承担着“数据外交”的职能，姓名与联系方式需要对外披露，并且需要与监管机关、数据主体对接。由此就延伸出了一个原则性问题，即题目提到的“数据保护官是卧底吗？”。

六、数据保护官到底是不是卧底？屁股应该靠那边？

其实这个问题不仅严肃，而且很有趣。

如果数据保护官是监管机关的“人”，那企业一发生数据违规事情，那不得马上屁颠屁颠跑到监管机关打报告？这场景颇似无间道，企业花钱雇了个卧底，而且明知道你是卧底，还不能把你给辞了，所以这在逻辑上就行不通。

还是得回到设立数据保护官的本意上，企业因为数据安全、数据隐私的问题，所以才需要有个“数据统帅”来解决这个事情，从这点出发，数据保护官跟财务、会计等企业职员没有本质区别，后者平时也要跟税务部门打交道，但如果就是这样，则这个“新职业”似乎也没什么神奇的。殊不知，不管是GDPR还是国内的《数据安全管理办法（征求意见稿）》均给数据保护官一项特殊的“权力”。

GDPR第38条规定，控制者和处理者应当确保对数据保护人员不下达任何指令，他们不能因为执行任务的原因而被解雇或者受到刑事处罚。数据保护人员直接向最高管理者报告工作。

《数据安全管理办法（征求意见稿）》第十七条规定，网络运营者应为数据安全责任人提供必要的资源，保障其独立履行职责。

一个要求企业不能给数据保护官下达任何命令，一个要求企业保障数据保护官独立履职。这下有意思了，数据保护官似乎承担着某种特殊的使命，使其一定程度上独立于企业之上，颇似监事。

那数据保护官的性质跟监事一样吗？

答案恐怕不是，因为监事再怎么“监视”，始终还是代表企业的利益，监事的独立性体现在独立于其他高管，监督损害企业利益的行为，而非独立于企业。虽然，目前也无法准确得出数据保护官就是独立于企业，但根据立法者的意图来分析，还是希望其扮演一定的“公职人员”属性，以减轻监管机关在数据保护严峻形势下的压力。

所以，当企业利益与公共利益冲突时，如果你是数据保护官你该怎么做？似乎怎么做都是猪八戒照镜子。

其实，在立法层面尚不明确时，要解决这个问题并非难事。企业只需在任命数据保护官时，将其职责范围明确约定并落实到书面即可，届时大家奉纸办事，相安无事。

对于企业来说，数据保护官是担任企业数据合规的统筹管理者，还是捍卫数据利益的金盔甲士？职责界限与范围又在哪？能调配企业多少资源？

这些均会决定其今后工作的走向及成果，而其工作的质量将影响企业的合规能力与竞争优势，所以，企业一开始还是要周密安排，而不是一拍脑袋“就是你了”。

七、数据保护官的个人法律责任

数据保护官的责任主要来自于两个方面，一个是法定，一个是约定。约定责任就是指数据保护官与企业之间签订的协议，一般按照协议约定的责任执行即可。

但法定责任方面，目前似乎没有具体的责任规制，更多的是规定应该做哪些事，而没有直接规定若违反了需要承担什么责任，这样设定可能是出于鼓励这个“新兴”职业的目的。

不过相比于作为的责任，我们更应该关注不作为的责任，既然法律规定了数据保护官的义务，那不去履行这些义务意味着是不作为，如果企业发生了重大数据安全事件或隐患，而数据保护官却选择隐瞒不报，导致事态更加严重，假设还进一步构成刑事案件，那就无法保证数据保护官可能作为主要负责人之一而不被采取措施。

所以，如何平衡作为与不作为将是对数据保护官生命力的考验。

八、对国家立法设立数据保护官的几点建议

首先，立法层面还是应当厘清数据保护官的性质，从顶层明确其“私职”性质，以便定人心。

其次，可以考虑企业分层制，不用每家企业都要设立该职位，比如员工20人以上，或者涉及多少用户以上需要设立，其他的则由企业自己决定。

最后，可以参考北欧一些国家实行的“有益设立”。什么叫有益设立呢？就是如果企业任命了数据保护官，那么某些事项就无须进行申报，相当于给予“奖励”。

结语：总的来说，数据保护官诞生的大背景是因为数字时代衍生的数据安全问题，并且随着数字化的进程，数据安全将不可避免地呈现频率高、规模大、影响深的态势，甚至会出现由于担心数据安全问题，而禁用人脸识别的“逆潮流”举动。而数据保护官们将在这样的历史境遇下，开启他们的征程。