企业法务必看:如何为企业量体裁衣,合理设置数据安全岗位?
文章作者:华诚律师事务所 张丹 刘晓霞
DPO——数据保护官,由《一般数据保护法案》(以下简称“GDPR”)带入了国内公众的视野。业界专家对于这个职位的性质、设立标准、背景分析已经进行了相当多的讨论。那么,作为国内对标的职位有哪些,这些不同名称的职位都有什么区别,一个企业应该如何把握职位设置且厘清职责分配?本文就前述问题对六类职位进行对比分析,试图给企业整理出一套选择方法。
正文
从《网络安全法》、《关键信息基础设施安全保护条例(征求意见稿)》、《数据安全管理办法(征求意见稿)》、《信息安全技术 个人信息安全规范》(以下简称“个人信息安全规范“)以及《儿童个人信息网络保护规定》文件内容可知,为了符合这些文件的要求,网络运营者或个人信息控制者应当设置网络安全负责人、网络安全管理负责人、数据安全负责人、个人信息保护负责人以及儿童个人信息保护负责人岗位,而且如果网络运营者适用于GDPR,还需要设置DPO。
如何设置这些名称各异的岗位及分配相应的职责对于企业来说会产生一定的困惑,实践中,也有企业向我们提出诸如“这六类岗位是否需要全部任命,是否可以兼任以及如何把握不同岗位之间的关系”等问题,本文我们将通过各个岗位的设立要求、职责内容、职务性质和责任承担等方面进行对比分析,并就岗位设置与职责分配给出建议。
01
各个岗位法律法规要求的对比
- 设立要求的对比分析
从上述条文内容来看,各岗位的设立要求各不相同。根据《网络安全法》,网络运营者应当确定网络安全负责人,也即只要在该法范围内的网络运营者的概念范畴下,企业均应设立网络安全负责人,而其他职位均仅适用于部分网络运营者。如网络安全管理负责人,其仅须在关键信息基础设施运营者中配置;数据安全责任人,仅须在以经营为目的收集重要数据或个人敏感信息的网络运营者中配置;儿童个人信息保护负责人,仅须在从事收集、存储、使用、转移、披露儿童个人信息等活动的网络运营者中配置;而DPO,仅须在企业受GDPR约束时方配置。
根据《个人信息安全规范》,个人信息控制者须配置个人信息保护负责人,个人信息控制者为有权决定个人信息处理目的、方式等的组织或个人。可以理解,仅仅以组织形式存在的个人信息控制者才需要配置个人信息保护负责人,而以个人形式存在的个人信息控制者本身既是个人信息保护负责人。由于《个人信息安全规范》适用于规范各类组织个人信息处理活动,也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估,意即,个人信息控制者不仅仅是网络运营者,其范围广于网络运营者。除此之外,《个人信息安全规范》还对个人信息保护负责人专职岗位的设立情形给出了明确界定,可以认为,个人信息保护负责人在非专职情形下,可以由其他岗位的人员兼任。
与《个人信息安全规范》相比,GDPR不仅仅要求控制者而且处理者在一定条件下也需要配置DPO,GDPR所要求配置DPO有其场景要求,并不是所有控制者和处理者都需要配置。但是需要注意的是,在GDPR规定之下的欧盟成员国会对DPO有更严格的规定,比如德国的数据保护法案(Data Protection Act)的第4f条的规定,“自动收集、处理和使用个人数据的公共机构和私法主体应书面任命一名数据保护官。私法主体应在其开业1个月内任命此官员。如以其他方法处理个人数据并且至少20人为此目的被长期雇佣,则同样适用此规定”。而且根据第29条工作组的DPO指南,为降低合规风险,DPO应在最早的阶段就对公司相关个人信息安全方面的工作进行参与。
虽然同样是有场景要求,但是DPO与个人信息保护负责人不同,前者的设置要求包括数据控制处理者的性质、数据处理活动的特点、所处理数据的性质三个角度的考虑;后者的设置场景为业务内容+员工规模、处理个人信息数量两种。因此在考虑设立时,应对此两类岗位的设置场景要求进行细致区分。
综上,网络安全负责人的配置场景较广,而DPO、网络安全管理负责人、数据安全责任人和儿童个人信息保护负责人等需要有特定场景要求。
2. 职责内容的对比分析
从上表中所列内容可以看出,DPO的职责内容和表中数据安全责任人和个人信息保护负责人两类职位所要求的工作内容相似。均涉及到提出数据安全建议、合规监控、与监管机构对接、风险评估等内容。但一个明显的不同是后两类职务比DPO多了处理信息主体投诉和举报的工作要求。GDPR第38条虽然规定了数据主体可以与DPO就自身权利事宜进行联系,但这项行为并不是DPO必须从事的内容。作为行业标准的《个人信息安全规范》对负责人的职务要求有进一步详细的列举,职责的内容“包括但不限于”上述10项,为企业在进行此类职务设置时不仅提供了具有操作性的参考,而且也给予了企业更多的灵活性。
从《关键信息基础设施安全保护条例(征求意见稿)》的规定来看,网络安全岗位负责人与DPO和数据安全类岗位负责人所要求的知识和技能背景不同。网络安全岗位的负责人需要对网络安全技能和网络安全合规要求具有比较全面的认识和了解,能够处理企业诸如网络安全等级保护类的合规需求。而包括DPO在内的数据安全类岗位负责人所需要的是对数据处理技术和该行业有深入了解,能够帮助企业搭建并维持个人信息和隐私保护合规体系的能力。
因此,这六类岗位在这个层面分为两个类型,网络安全负责人和网络安全管理负责人偏重于网络安全保护,属于网络安全类岗位,而DPO、数据安全责任人、个人信息保护负责人和儿童个人信息保护负责人偏重于个人信息和重要数据保护,属于数据和个人信息安全类岗位。这两个类型在功能上并不重合,因此有相应需求的企业可以同时设立。从企业自身的情况来考量,初创企业由于成本的限制以及业务规模的体量等原因,不属于专职情形的,可以将网络安全类岗位与数据个人信息安全类岗位进行合并,由符合条件的人员来担任。而有一定发展且有条件的企业,理想的状况是分别设置。
《网络安全法》没有对网络安全负责人的职责进行罗列,从网络安全管理负责人的职责来看,应与网络安全负责人大致相同,我们认为,网络安全负责人和网络安全管理负责人可设置同一岗位,无须分别设置;根据《数据安全管理办法(征求意见稿)》可知,数据安全责任人的职责范围包括个人敏感信息和重要数据,而个人信息保护负责人的职责范围不仅包括个人敏感信息也包括个人普通信息,由此,数据安全责任人的职责范围并不能完全覆盖个人信息保护负责人的职责范围,而且根据数据安全和个人信息保护分开立法的情况来看,如果企业既涉及重要数据又有大量个人信息的收集使用,那么建议企业分别设置这两个岗位;根据《个人信息安全规范》,个人信息包含儿童个人信息,意即,个人信息保护负责人的职责范围可以覆盖儿童个人信息保护负责人的职责范围,我们认为儿童个人信息保护负责人可以由个人信息保护负责人兼任,亦或在个人信息保护负责人下设置专员负责儿童个人信息保护。
3. 职务性质的对比分析
与传统的负责人职位相比,DPO强调该职位的独立地位,即与企业内部的职位存在本质不同。一个显著的特点是,该职位“不能因为执行任务的原因而被解雇或者受到刑事处罚”。当然,第29条工作组在关于DPO的指南中强调,这类保障并不能豁免DPO由于职务以外的其他原因被企业合法解雇。相比于数据安全责任人和个人信息保护负责人中提到的由运营者保障其“独立履行职责”,这项GDPR赋予DPO的保障更能体现出立法者期望将监管延伸入企业内部的决心。因此,DPO具有更高的自主活动能力。
但此处存在的悖论就是,DPO既要进入到企业的内部深度参与企业的所有相关运营行为,同时又保持与公司相对分离的监管状态,这会导致企业对DPO参与所有业务决策的意愿降低。反而会影响立法者期望的监管效果。
此外,DPO既可以由企业自外部聘任,也可以委任公司内部员工。但出于合规运营方面对DPO全程参与企业产品及业务的需求,我们建议企业在选聘DPO的时候优先考虑自有员工;如果需要从外部聘任DPO的,企业需要通过服务协议的形式,对DPO的具体职责和工作要求进行约定,以此保障企业所接受的合规服务能够满足监管要求及企业运营需求。
对于上表中的数据安全责任人和个人信息保护负责人职位来说,企业拥有更强的掌控,其地位类似于公司法中所要求设立的监事,对企业起到相对独立的监督作用。因而从企业管理者的角度来说,后两类职位更容易被接受。至于负责企业网络安全的两个职位,相关的法规没有对职位的独立性进行特别的描述,因此该类职位的存在是为了保障企业网络安全而设置的企业内职位,不承担监管的职责。
02
企业的选择要素
看完上述对六类职位的对比分析,企业该如何选择设立自己所需要的那一个安全岗位,我们建议考虑以下三个几个要素:
1. 内在需求
运营者需要对自身的规模和体量进行评估。一个实力雄厚的集团公司和一个初创独资公司所需要的职位当然是不同的。前者由于同时存在多个系统,牵涉到不同的功能部门,因此需要对集团的资产和业务进行梳理,对所有业务线的风险都进行评估后,再考虑是需要成立一个专门的部门还是在所有的大部门各自设置相应的负责人。而后者需要考虑的是公司自身的发展速度,预估所建立的网络系统规模,之后再根据分析决定所需的负责人。
举例来说,一个集团公司的业务及产品如果多数涉及数据和个人信息,通常情况下,合规且稳定发展是该公司需要考虑的主要因素。因此一方面,该公司需要设立专门的网络安全部门,对整个集团的网络安全工作提供支持;另一方面,从个人信息及信息数据安全角度考虑,理想的状态应是在每一条业务线都设立专门岗位对风险进行把控,同时这些岗位均受集团层面的信息数据安全负责人或专职部门领导,并及时汇报安全状态。而对于一个初创型公司来说,情况则不同,通常由于业务规模、资金成本等因素成为岗位设置的主要考虑因素,因此理想状态下,可以选择合格的人员设立相应的网络安全岗位和信息数据安全岗位。
2. 从事业务的特点
从业务的维度来判断,参照前文所列表格的内容,比如国内运营者处理信息的性质或从事的业务规模达到监管的要求,则运营者必须设立相应的职位。尽管《个人信息安全规范》仅是行业标准,并无法律强制力,但其已作为监管部门的判断依据。因此,从合规的角度,我们建议运营者应尽量向标准靠拢以降低自身的合规风险。
此外,若未达到前述的设立职位要求,为了降低风险并获得行业认可,我们建议运营者自现有的各业务部门抽调人员组成网络安全及个人信息数据安全小组。不仅降低成本,也能更好地将合规要求融入运营者日常业务。
比如以大数据处理业务为主的公司,如果每年处理超过100万人的个人信息,根据国家标准要求,该公司需要设立专门的个人信息保护负责人。而如果是传统行业的贸易公司,所涉及的个人信息处理业务仅仅为标准要求数量以下的客户信息及内部员工信息,则在网络安全维护部门安排一名工作人员专门负责个人信息保护岗位即可。
3. 所涉及的地域及法规效力
如前文所述,若运营者的相关业务扩张至海外,在GDPR所辖范围以内,则为了降低高额罚款的风险,运营者应设置DPO以维护个人信息安全,此外,还需注意应符合当地所适用的法律规定。比如日本、韩国及美国加州等国家及地区都有个人信息及数据安全的专门法规,这类法律及监管动态需要具有涉外业务的运营者密切关注。若运营者在国内从事相关业务,则在考虑了自身的内在需求和普遍性法律强制规定外,还需要参考一些法律效力相对较低的规范要求或行业指引,以防有所遗漏。如根据《银行业金融机构数据治理指引》,银行可自愿设立首席数据官并应当建立问责机制。此类规范文件由于数量较大,难以及时跟进和确认,运营者宜咨询专业律师对此制定相应的职位选择方案。
结语
自GDPR发布后,全球范围的网络安全及个人信息安全规范的完善已逐渐趋于同步,我国境内的几次网络安全及个人信息采集使用合规的密集监管行为之后,对此运营者的监督必然从外部逐渐渗入企业内部。此类重要岗位的规划是企业在互联网行业发展布局的关键一步。唯有综合衡量、谨慎选择,才能更好的平衡不断增长的合规成本和快速发展的业务需求。这也是在对前瞻性有极高要求的互联网行业中保持竞争力的一个运营者需要拥有的重要素质。
声明:我们尊重原创,也注重分享。本文版权归文章作者所有,仅代表作者观点,不代表本公众号观点,仅供学习参考之用。如需转载、节选,请联系作者授权。本文不用于商业用途,仅为学习交流之用,如文中的内容、图片、音频、视频等存在第三方的在先知识产权,请及时联系我们删除。
关注公众号公司法务联盟可以阅读更多相关文章