最近有很多朋友問(wèn)我，數(shù)據(jù)保護(hù)官有沒(méi)有前景，需要具備什么條件或技能，要不要考個(gè)證什么的... ？？？可以深深體會(huì)到他們內(nèi)心的焦慮。送佛送到西，本文將解答關(guān)于DPO的各種問(wèn)題。閱前思考：當(dāng)數(shù)據(jù)保護(hù)官有前途嗎？企業(yè)如何挑選數(shù)據(jù)保護(hù)官？個(gè)人如何成為數(shù)據(jù)保護(hù)官？當(dāng)數(shù)據(jù)保護(hù)官有何責(zé)任風(fēng)險(xiǎn)？2018年，東航和華為紛紛任命了數(shù)據(jù)保護(hù)官「DPO,Data Protection Officer」；此前，360和螞蟻金服也任命了首席隱私官「CPO,Chief Privacy Officer」。?數(shù)據(jù)保護(hù)官 PK 首席隱私官，傻傻分不清楚？首先，我們需要厘清一個(gè)概念，什么是數(shù)據(jù)保護(hù)，什么是隱私保護(hù)。在日常中用語(yǔ)中，大家似乎都習(xí)慣了將二者隨意切換，看作是同一個(gè)意思，那實(shí)質(zhì)上二者有區(qū)別嗎？數(shù)據(jù)保護(hù)的目的是保護(hù)與人或重要事項(xiàng)有關(guān)的數(shù)據(jù)，直接落腳點(diǎn)在于數(shù)據(jù)。所以數(shù)據(jù)保護(hù)官的職責(zé)更多地是圍繞數(shù)據(jù)的生命周期展開(kāi)工作。 隱私保護(hù)的目的是保護(hù)人對(duì)隱私的合理預(yù)期，直接落腳點(diǎn)在于人，而非數(shù)據(jù)。所以首席隱私官的職責(zé)更多地是圍繞人的隱私權(quán)內(nèi)容展開(kāi)。我國(guó)《民法典》也進(jìn)一步厘清了個(gè)人信息與隱私權(quán)之間的關(guān)系。?所以，在不同頭銜下面，二者的職責(zé)與性質(zhì)不盡相同，企業(yè)應(yīng)該根據(jù)自身需求擇一而設(shè)，或二者兼設(shè)。?數(shù)據(jù)保護(hù)官最早在德國(guó)出現(xiàn)，不是因?yàn)榈聡?guó)企業(yè)都比其他國(guó)家的企業(yè)更注重?cái)?shù)據(jù)保護(hù)，而是因?yàn)楦鶕?jù)德國(guó)的數(shù)據(jù)保護(hù)法，早在上世紀(jì)70年代，企業(yè)就負(fù)有任命數(shù)據(jù)保護(hù)官的法定義務(wù)，后來(lái)法國(guó)也跟進(jìn)了相關(guān)規(guī)定，所以這個(gè)職位其實(shí)并不“新”。?但是，數(shù)據(jù)保護(hù)官真正“火”起來(lái)是自2018年5月份歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）生效后，因?yàn)镚DPR專(zhuān)門(mén)用一節(jié)（第四章第四節(jié)，法條附在文末）對(duì)數(shù)據(jù)保護(hù)官進(jìn)行了規(guī)定。此后，數(shù)據(jù)保護(hù)官便隨著GDPR的影響力逐漸被人所熟知。 由于數(shù)據(jù)保護(hù)官在不同法域有著不同的定義及要求，所以本文并不局限在GDPR或其他法律框架內(nèi)，而是嘗試去探尋數(shù)據(jù)保護(hù)官的一些通性，以期給有這方面需求的企業(yè)或新晉“數(shù)據(jù)保護(hù)官”們一些具有參考價(jià)值的意見(jiàn)。 01何時(shí)必須設(shè)立數(shù)據(jù)保護(hù)官？根據(jù)GDPR規(guī)定：1、企業(yè)主要業(yè)務(wù)需要對(duì)數(shù)據(jù)主體進(jìn)行大規(guī)模的定期系統(tǒng)監(jiān)測(cè)，比如以精準(zhǔn)投放為主業(yè)的在線廣告公司，或者可穿戴智能設(shè)備公司等；2、企業(yè)主要業(yè)務(wù)需要大規(guī)模處理特殊數(shù)據(jù)，特殊數(shù)據(jù)指健康、生物、基因數(shù)據(jù)等，比如醫(yī)院、體檢中心，人臉識(shí)別公司等。這類(lèi)公司均需要設(shè)立數(shù)據(jù)保護(hù)官。?值得注意的是，2018年5月份國(guó)內(nèi)實(shí)施的《信息安全技術(shù)個(gè)人信息安全規(guī)范》第十條規(guī)定：應(yīng)任命個(gè)人信息保護(hù)負(fù)責(zé)人和個(gè)人信息保護(hù)工作機(jī)構(gòu)。這里的個(gè)人信息保護(hù)責(zé)任人更像是一種宣示。而國(guó)內(nèi)發(fā)布的《數(shù)據(jù)安全管理辦法（征求意見(jiàn)稿）》中第十七條則規(guī)定：“網(wǎng)絡(luò)運(yùn)營(yíng)者以經(jīng)營(yíng)為目的收集重要數(shù)據(jù)或個(gè)人敏感信息的，應(yīng)當(dāng)明確數(shù)據(jù)安全責(zé)任人。”出現(xiàn)了數(shù)據(jù)安全責(zé)任人的稱(chēng)謂，頗有數(shù)據(jù)保護(hù)官的味道，但跟GDPR還是稍有不同，國(guó)內(nèi)現(xiàn)側(cè)重于重要數(shù)據(jù)，而前者除了重要數(shù)據(jù)外，還看重特定行為（定期系統(tǒng)監(jiān)測(cè)）。02為什么要設(shè)立數(shù)據(jù)保護(hù)官？上面講到的是設(shè)立數(shù)據(jù)保護(hù)官的“強(qiáng)制性”，而企業(yè)對(duì)于數(shù)據(jù)保護(hù)是否具有“內(nèi)需性”？眾所周知，當(dāng)企業(yè)發(fā)展到一定程度，自然而然會(huì)有合規(guī)的需求。所以，企業(yè)內(nèi)部通常會(huì)有合規(guī)部、法務(wù)部、風(fēng)控部或者審核組等等。但在大數(shù)據(jù)時(shí)代，以往能勝任合規(guī)等崗位的人未必能處理好數(shù)據(jù)保護(hù)的問(wèn)題，于是就誕生了更加精細(xì)化的、專(zhuān)門(mén)負(fù)責(zé)數(shù)據(jù)保護(hù)的專(zhuān)業(yè)人員。?從另外角度看，數(shù)據(jù)合規(guī)也是企業(yè)的一種競(jìng)爭(zhēng)優(yōu)勢(shì)，特別對(duì)于數(shù)據(jù)存儲(chǔ)提供商和云服務(wù)提供商，數(shù)據(jù)安全、數(shù)據(jù)隱私往往是用戶(hù)選擇哪家云服務(wù)商的重要考量因素，自家辛苦經(jīng)營(yíng)得來(lái)的寶貝數(shù)據(jù)絕不會(huì)隨便選擇一家就上云，而是會(huì)仔細(xì)甄別。所以，云服務(wù)商們?cè)诒绕囱訒r(shí)率、回源率、響應(yīng)能力與災(zāi)備能力等性能服務(wù)時(shí)，不妨從數(shù)據(jù)隱私與安全等軟實(shí)力入手，或許可以取得意想不到的優(yōu)勢(shì)。03數(shù)據(jù)保護(hù)官外聘好還是內(nèi)聘好？目前法律上沒(méi)有明確規(guī)定只能讓企業(yè)內(nèi)部人員擔(dān)任數(shù)據(jù)保護(hù)官，所以，歐洲有不少企業(yè)是從外部聘請(qǐng)的。?外聘數(shù)據(jù)保護(hù)官由于是專(zhuān)職從事，所以經(jīng)驗(yàn)上會(huì)更加豐富，對(duì)行業(yè)的動(dòng)向標(biāo)準(zhǔn)會(huì)掌握得更加準(zhǔn)確，而且不必?fù)?dān)心勞工問(wèn)題，同時(shí)也省掉了培養(yǎng)技能的過(guò)程和成本。但外聘同樣會(huì)存在其他問(wèn)題，比如不是非常了解企業(yè)內(nèi)部的實(shí)際運(yùn)營(yíng)情況，導(dǎo)致給出的方案實(shí)操性不強(qiáng)，溝通成本高，以及關(guān)鍵時(shí)刻是否可以跟企業(yè)的利益站在一起等。而如果是由企業(yè)內(nèi)部人員擔(dān)任則不存在這些問(wèn)題。?有些法域?qū)τ趧诠けＷo(hù)特別嚴(yán)厲，這時(shí)候跨國(guó)企業(yè)就可以考慮從其他法域的子公司任命一名數(shù)據(jù)保護(hù)官，從而巧妙地避開(kāi)上述幾個(gè)問(wèn)題。 04數(shù)據(jù)保護(hù)官具體由誰(shuí)來(lái)?yè)?dān)任比較合適？如果企業(yè)決定在內(nèi)部挑選數(shù)據(jù)保護(hù)官，那應(yīng)該由誰(shuí)來(lái)?yè)?dān)任比較合適呢？目前從法務(wù)部、信息技術(shù)部、人力資源部等部門(mén)的非管理人員中挑選的比較常見(jiàn)，因?yàn)槿绻射N(xiāo)售或人力主管擔(dān)任，難免會(huì)產(chǎn)生利益沖突，銷(xiāo)售一門(mén)心思想做成業(yè)務(wù)，所以自身最有可能會(huì)去動(dòng)用數(shù)據(jù)，而人力主管也常常會(huì)對(duì)員工進(jìn)行各類(lèi)背調(diào)，所以原則上不宜任命存在利益沖突的人員擔(dān)任。GDPR要求數(shù)據(jù)保護(hù)官應(yīng)當(dāng)具備數(shù)據(jù)安全方面的法律知識(shí)與經(jīng)驗(yàn)?zāi)芰Α！稊?shù)據(jù)安全管理辦法（征求意見(jiàn)稿）》也有類(lèi)似規(guī)定，但我們可以看出，二者均沒(méi)有硬性條件的規(guī)定，都是從主觀上判斷。不過(guò)值得注意的是，我國(guó)《網(wǎng)絡(luò)安全法》明確規(guī)定因安全問(wèn)題被處以行政處罰的個(gè)人五年內(nèi)不得擔(dān)任網(wǎng)絡(luò)安全關(guān)鍵崗位，受過(guò)刑事處罰更不用說(shuō)，所以，企業(yè)在挑選數(shù)據(jù)保護(hù)官的時(shí)候不能犯這種低級(jí)錯(cuò)誤。 05數(shù)據(jù)保護(hù)官有哪些職責(zé)？GDPR第39條對(duì)數(shù)據(jù)保護(hù)人員的任務(wù)做了如下規(guī)定：（a）向控制者、處理者以及根據(jù)本章程或者根據(jù)其他歐盟法律或成員國(guó)法律規(guī)定的義務(wù)進(jìn)行數(shù)據(jù)處理的人員，提出通知和建議；（b）和監(jiān)控本章程、其他歐盟成員國(guó)法律、控制者處理者關(guān)于個(gè)人數(shù)據(jù)的相關(guān)政策（包括職責(zé)、意識(shí)提高、人員培訓(xùn)）以及相關(guān)審計(jì)活動(dòng)的合規(guī)性；（c）根據(jù)35條提出對(duì)于數(shù)據(jù)保護(hù)影響評(píng)估和監(jiān)控的建議；（d）和監(jiān)管機(jī)構(gòu)合作；（e）作為監(jiān)管機(jī)構(gòu)與處理活動(dòng)的連接點(diǎn)，包括第36條提到的事先咨詢(xún)或者其他咨詢(xún)活動(dòng)。?《數(shù)據(jù)安全管理辦法（征求意見(jiàn)稿）》第十八條規(guī)定數(shù)據(jù)安全責(zé)任人履行下列職責(zé)：（一）組織制定數(shù)據(jù)保護(hù)計(jì)劃并督促落實(shí)；　　（二）組織開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，督促整改安全隱患；? ? ? ??（三）按要求向有關(guān)部門(mén)和網(wǎng)信部門(mén)報(bào)告數(shù)據(jù)安全保護(hù)和事件處置情況；? ??? ? ? ? ??（四）受理并處理用戶(hù)投訴和舉報(bào)。從中不難看出，數(shù)據(jù)保護(hù)官除了管理企業(yè)日常數(shù)據(jù)保護(hù)工作外，還承擔(dān)著“數(shù)據(jù)外交”的職能，姓名與聯(lián)系方式需要對(duì)外披露，并且需要與監(jiān)管機(jī)關(guān)、數(shù)據(jù)主體對(duì)接。由此就延伸出了一個(gè)原則性問(wèn)題，即題目提到的“數(shù)據(jù)保護(hù)官是臥底嗎？”。最近我國(guó)頒布的《數(shù)據(jù)安全法（草案）》，也在第二十五條明確規(guī)定了重要數(shù)據(jù)的處理者應(yīng)當(dāng)設(shè)立數(shù)據(jù)安全負(fù)責(zé)人。 06數(shù)據(jù)保護(hù)官到底是不是臥底？屁股應(yīng)該靠那邊？其實(shí)這個(gè)問(wèn)題不僅嚴(yán)肅，而且很有趣。如果數(shù)據(jù)保護(hù)官是監(jiān)管機(jī)關(guān)的“人”，那企業(yè)一發(fā)生數(shù)據(jù)違規(guī)事情，那不得馬上屁顛屁顛跑到監(jiān)管機(jī)關(guān)打報(bào)告？這場(chǎng)景頗似無(wú)間道，企業(yè)花錢(qián)雇了個(gè)臥底，而且明知道你是臥底，還不能把你給辭了，所以這在邏輯上就行不通。?還是得回到設(shè)立數(shù)據(jù)保護(hù)官的本意上，企業(yè)因?yàn)閿?shù)據(jù)安全、數(shù)據(jù)隱私的問(wèn)題，所以才需要有個(gè)“數(shù)據(jù)統(tǒng)帥”來(lái)解決這個(gè)事情，從這點(diǎn)出發(fā)，數(shù)據(jù)保護(hù)官跟財(cái)務(wù)、會(huì)計(jì)等企業(yè)職員沒(méi)有本質(zhì)區(qū)別，后者平時(shí)也要跟稅務(wù)部門(mén)打交道，但如果就是這樣，則這個(gè)“新職業(yè)”似乎也沒(méi)什么神奇的。殊不知，不管是GDPR還是國(guó)內(nèi)的《數(shù)據(jù)安全管理辦法（征求意見(jiàn)稿）》均給數(shù)據(jù)保護(hù)官一項(xiàng)特殊的“權(quán)力”。GDPR第38條規(guī)定，控制者和處理者應(yīng)當(dāng)確保對(duì)數(shù)據(jù)保護(hù)人員不下達(dá)任何指令，他們不能因?yàn)閳?zhí)行任務(wù)的原因而被解雇或者受到刑事處罰。數(shù)據(jù)保護(hù)人員直接向最高管理者報(bào)告工作。?《數(shù)據(jù)安全管理辦法（征求意見(jiàn)稿）》第十七條規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)為數(shù)據(jù)安全責(zé)任人提供必要的資源，保障其獨(dú)立履行職責(zé)。?一個(gè)要求企業(yè)不能給數(shù)據(jù)保護(hù)官下達(dá)任何命令，一個(gè)要求企業(yè)保障數(shù)據(jù)保護(hù)官獨(dú)立履職。這下有意思了，數(shù)據(jù)保護(hù)官似乎承擔(dān)著某種特殊的使命，使其一定程度上獨(dú)立于企業(yè)之上，頗似監(jiān)事。那數(shù)據(jù)保護(hù)官的性質(zhì)跟監(jiān)事一樣嗎？答案恐怕不是，因?yàn)楸O(jiān)事再怎么“監(jiān)視”，始終還是代表企業(yè)的利益，監(jiān)事的獨(dú)立性體現(xiàn)在獨(dú)立于其他高管，監(jiān)督損害企業(yè)利益的行為，而非獨(dú)立于企業(yè)。雖然，目前也無(wú)法準(zhǔn)確得出數(shù)據(jù)保護(hù)官就是獨(dú)立于企業(yè)，但根據(jù)立法者的意圖來(lái)分析，還是希望其扮演一定的“公職人員”屬性，以減輕監(jiān)管機(jī)關(guān)在數(shù)據(jù)保護(hù)嚴(yán)峻形勢(shì)下的壓力。?所以，當(dāng)企業(yè)利益與公共利益沖突時(shí)，如果你是數(shù)據(jù)保護(hù)官你該怎么做？似乎怎么做都是豬八戒照鏡子。?其實(shí)，在立法層面尚不明確時(shí)，要解決這個(gè)問(wèn)題并非難事。企業(yè)只需在任命數(shù)據(jù)保護(hù)官時(shí)，將其職責(zé)范圍明確約定并落實(shí)到書(shū)面即可，屆時(shí)大家奉紙辦事，相安無(wú)事。對(duì)于企業(yè)來(lái)說(shuō)，數(shù)據(jù)保護(hù)官是擔(dān)任企業(yè)數(shù)據(jù)合規(guī)的統(tǒng)籌管理者，還是捍衛(wèi)數(shù)據(jù)利益的金盔甲士？職責(zé)界限與范圍又在哪？能調(diào)配企業(yè)多少資源？這些均會(huì)決定其今后工作的走向及成果，而其工作的質(zhì)量將影響企業(yè)的合規(guī)能力與競(jìng)爭(zhēng)優(yōu)勢(shì)，所以，企業(yè)一開(kāi)始還是要周密安排，而不是一拍腦袋“就是你了”。 07數(shù)據(jù)保護(hù)官的個(gè)人法律責(zé)任數(shù)據(jù)保護(hù)官的責(zé)任主要來(lái)自于兩個(gè)方面，一個(gè)是法定，一個(gè)是約定。約定責(zé)任就是指數(shù)據(jù)保護(hù)官與企業(yè)之間簽訂的協(xié)議，一般按照協(xié)議約定的責(zé)任執(zhí)行即可。但法定責(zé)任方面，目前似乎沒(méi)有具體的責(zé)任規(guī)制，更多的是規(guī)定應(yīng)該做哪些事，而沒(méi)有直接規(guī)定若違反了需要承擔(dān)什么責(zé)任，這樣設(shè)定可能是出于鼓勵(lì)這個(gè)“新興”職業(yè)的目的。不過(guò)相比于作為的責(zé)任，我們更應(yīng)該關(guān)注不作為的責(zé)任，既然法律規(guī)定了數(shù)據(jù)保護(hù)官的義務(wù)，那不去履行這些義務(wù)意味著是不作為，如果企業(yè)發(fā)生了重大數(shù)據(jù)安全事件或隱患，而數(shù)據(jù)保護(hù)官卻選擇隱瞞不報(bào)，導(dǎo)致事態(tài)更加嚴(yán)重，假設(shè)還進(jìn)一步構(gòu)成刑事案件，那就無(wú)法保證數(shù)據(jù)保護(hù)官可能作為主要負(fù)責(zé)人之一而不被采取措施。所以，如何平衡作為與不作為將是對(duì)數(shù)據(jù)保護(hù)官生命力的考驗(yàn)。 08對(duì)國(guó)家立法設(shè)立數(shù)據(jù)保護(hù)官的幾點(diǎn)建議首先，立法層面還是應(yīng)當(dāng)厘清數(shù)據(jù)保護(hù)官的性質(zhì)，從頂層明確其“私職”性質(zhì)，以便定人心。?其次，可以考慮企業(yè)分層制，不用每家企業(yè)都要設(shè)立該職位，比如員工20人以上，或者涉及多少用戶(hù)以上需要設(shè)立，其他的則由企業(yè)自己決定。?最后，可以參考北歐一些國(guó)家實(shí)行的“有益設(shè)立”。什么叫有益設(shè)立呢？就是如果企業(yè)任命了數(shù)據(jù)保護(hù)官，那么某些事項(xiàng)就無(wú)須進(jìn)行申報(bào)，相當(dāng)于給予“獎(jiǎng)勵(lì)”。 09?結(jié)語(yǔ)總的來(lái)說(shuō)，數(shù)據(jù)保護(hù)官誕生的大背景是因?yàn)閿?shù)字時(shí)代衍生的數(shù)據(jù)安全問(wèn)題，并且隨著數(shù)字化的進(jìn)程，數(shù)據(jù)安全將不可避免地呈現(xiàn)頻率高、規(guī)模大、影響深的態(tài)勢(shì)，甚至?xí)霈F(xiàn)由于擔(dān)心數(shù)據(jù)安全問(wèn)題，而禁用人臉識(shí)別的“逆潮流”舉動(dòng)。而數(shù)據(jù)保護(hù)官們將在這樣的歷史境遇下，開(kāi)啟他們的征程。

來(lái)源：滬法網(wǎng)