Loading
2018-08-01 11:48:00
近年來,企業也越來越注重數據處理合規問題的解決。360、螞蟻金服等先覺的企業接連設立了首席隱私官(Chief privacy officer簡稱CPO)以實現對用戶隱私信息的保護。
GDPR生效之后,一種新型角色被推上風口浪尖,成為世界范圍內各大互聯網、廣告媒體、新聞企業競相追逐的“香餑餑”。此角色被稱作數據保護官(Data Protection Officer簡稱DPO),GDPR第37至第39條對DPO的委任、職位和任務做出了專門的規定。作為數據規制新時代下的新產物,如何對DPO進行全面、準確的理解從而將其更好地應用于實踐中,是企業及其他機構都需要關注的重要話題。
一、DPO是什么
——數據合規的監督者與協調者
數據保護官是GDPR明確指出的企業內承擔數據保護合規相關職責的職能角色。對DPO的專門規定體現了GDPR規制范圍的擴大化:數據規制不僅表現在具體的數據處理過程中,也反映為對機構組織結構的干預。
從外部合規的角度而言, DPO的設立是GDPR框架下的強制性要求。若上述機構未設立DPO或具體設計違反GDPR的明確規定,則將被認定為是對控制者與處理者責任的違背。
從內部執行的視角上看,DPO這一專門職能角色將在企業具體的數據合規過程中發揮統籌各方的核心作用。因此在對企業內部進行數據合規制度設計時,應當對DPO給予足夠的重視。
二、你需不需要設立DPO?
對于以下情形,GDPR要求其必須設立DPO:①數據處理由公共機構或機關主導(除了司法機關)的情形;如作為政府單位的UK home office已經明確設立了DPO對數據合規進行指導監督。②核心業務需要對數據主體定期進行大規模處理的情形;對于本情形下“核心業務”的判斷可以參考企業的性質、營業范圍與商業目的等因素。③機構對敏感數據(生物特征、性取向等)進行大規模處理的情形。值得注意的是,GDPR對必須設立DPO的標準中采取了一些具有不確定性的表述(如“核心業務”“大規模處理”),因此若企業在進行判斷時應當盡量向監管機構明確自身的設立要求。若經過評估決定不設立DPO,則應該對企業性質、數據處理情況等相關考量因素予以詳細記錄,以備監管機構的調查。
當然,無論是經過判斷認定不屬于或明顯不屬于上述三種類型的企業、機構,其在符合自身情況的基礎上自發地設立DPO,是為GDPR所鼓勵的。
三、DPO的選任與構成
——選誰呢?
(1)資質要求
在確認要設立DPO之后的第一個問題在于,應當如何選任DPO。
GDPR第37條規定了對于DPO選任的首要考量因素,即專業性的素質。一名合格的DPO不僅需要有豐富的數據保護法律知識、實踐經驗,還需要有較強的溝通協調能力與統籌能力;另外,為了能夠合理地將具體數據處理行為與法律規制聯系起來并做出有效的風險評估,DPO應當盡可能地熟悉公司業務、了解相關技術知識。
(2)角色構成
DPO最大的職位特點在于其獨立性:一方面,DPO的履職行為不受數據控制者與處理者的指示和干預,后者不得因合規活動對DPO進行懲罰或解雇;相反的,后者應當為其提供良好的工作環境與資源。另一方面,DPO自身不得從事與其履職相沖突的工作,以保障自身的獨立判斷。具體表現為,DPO不得兼任COO(首席運營官)、CEO(首席執行官)等可能帶來利益沖突的職位。
(3)實踐中的若干問題
GDPR文本中并未對DPO的具體構成做出詳細規定,以致于在實際操作中可能存在一定疑惑,對此筆者將以Q&A形式予以解答:
Q1:DPO是指單個自然人抑或是一個特定機構/委員會
A:GDPR并未對DPO的組織構成進行直接的要求。雖然第38條在引指DPO時使用了“he/she”這一指向自然人的表述方式,但這不意味著DPO只能由單個的自然人擔任。筆者認為,DPO的職責包括完成一系列較為復雜、全面的工作任務,既有法律合規的部分,也有具體業務評估、各方聯系協調等內容。出于全面履職的考慮,以有明確分工的特定機構作為完成DPO工作的主體是比較可取的。因此企業在決定自身DPO的人員構成時,可以充分考慮自身的情況而做出靈活的選擇。
Q2:DPO是否可以委任企業外部人員擔任?
A:GDPR第37條規定DPO既可以由企業內部員工組成,也可基于服務合同完成任務。由此可見GDPR對外聘人員擔任DPO是認可的。然而就具體的外聘方向上看,提供合規服務的律所似乎是不錯的選擇,但DPO的職能要求其不僅要有專業的數據合規法律知識,也對數據處理技術等非法律內容有足夠的了解。筆者認為外聘DPO同樣不適合“單兵種作戰”,而需要由擁有不同技能背景的人員諸如律師、技術人員、會計師等共同組成、相互協助。而當此類業務發展足夠成熟時,市場中甚至可能形成專門提供此類業務的特定機構,那時合規業務的規范化與專業化便將更上一個臺階。
Q3:DPO可以兼職嗎?
A:GDPR第36條認可了兼職DPO的情形,但前提所兼任崗位與DPO履職之間不得沖突。實踐中企業可能直接將數據合規工作交給內部的法務人員,但這種工作安排一定要慎之又慎:一方面內部法務由于自身經驗、知識結構的局限,較難充分的完成GDPR提出的合規要求,且在時間精力一定的情況下,工作量的提升將可能導致處理單項業務的精細度降低;另一方面,作為法務人員的目標追求與DPO的價值取向是存在一定的差異的,不加考慮地讓其兼任將造成利益沖突的風險。
總體而言,企業對DPO的選任要基于自身的情況。對于數據處理行為較為簡單、部門間溝通較為便捷的企業,可以考慮只設單名DPO;而對于像騰訊、360等業務復雜的企業,一個人員數量足、技術水平高、合作能力強的DPO團隊則是更為合理的選擇。
四、DPO的職權
GDPR所規定的DPO的主要職責與權利歸納如下:
(1)DPO的主要職責
(2)DPO的主要權利
五、DPO為核心的合規路徑
(1)方法與思路
當下我國企業整體的數據合規程度較低,甚至有很多企業在此問題上“身處囹圄而不知”。基于此筆者建議企業采用缺口分析(Gap Analysis)的方法,在全面調查了解自身數據合規狀況的基礎上,對存在的問題與缺陷進行補正。
結合DPO工作的內容與特點。數據合規可以參照以下思路:
①全面貫穿:數據合規工作要貫穿數據處理相關的所有活動、各個階段。
②獨立監督:充分發揮DPO這一獨立職能角色,對數據合規狀況進行客觀的評價與監督。
③有據可依:從應對合規檢查的角度來說,企業內部的合規工作應全面落實
(2)具體制度設計
從制度操作層面上看,具體的合規方法包括:
①充分利用加密、數據脫敏、去標識化等技術措施,保障用戶數據安全,為數據合規奠定技術基礎。
② 建立起全面的數據處理行為備案體系,特定數據處理行為必須記錄決策者、DPO、操作者三方意見,并將DPO對數據合規的評估情況進行專門記錄。
③為DPO配備相應的財政(獨立預算)、人事(不因履職而被解雇)、通訊(各方聯系渠道)、學習以及監管權限方面的資源,打通DPO與決策者、操作者的交流途徑。尤其應當通過平臺內部告知、設置專門客服等方式簡化數據主體與DPO取得聯系、解決相關問題的渠道。
④對內部員工展開定期的數據合規培訓。同時建立各部門定期述職機制:數據處理相關部門應定期(季度報告、半年報、年報等)向DPO提交數據合規執行報告,對于緊急事件應當盡快提交臨時報告,從而實現“問題早實現、早解決”
⑤.為解決內部員工缺乏意識的問題,可以將數據合規情況納入員工的績效考察體系當中,通過對獎金、福利等員工利益的影響,督促相關人員配合DPO工作,履行自身義務。
六、結語
扎克伯格提醒著大家“不要認為我們已經完成了GDPR的要求”。面對GDPR的挑戰,留待我國企業完成的工作還有很多。而DPO這一GDPR框架下的結構設計在一定意義上將成為企業內部合規工作體系化的標志。
近日來東航已經成為了首個設立DPO的國內企業,可以看出DPO的設置絕非紙上談兵,而是相關企業必須要謹慎考慮而應用于實踐的重要制度。
注:感謝實習生黃宇哲為這篇文章做的支持工作。
附錄:GDPR對于DPO的規定原文與翻譯:
Art. 37
1.The controller and the processor shall designate a data protection officer in any case where:
在以下任一情形中,數據控制者與處理者應當委任數據保護官:
(a) the processing is carried out by a public authority or body, except for courts acting in their judicial capacity;
數據處理是由公共機構或公共實體進行的,法庭履行其司法職責的除外
(b) the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale; or
數據控制者或處理者的核心處理活動天然性地需要大規模對數據主體進行常規和系統化地監控;或者
(c) the core activities of the controller or the processor consist of processing on a large scale of special categories of data pursuant to Article 9 or personal data relating to criminal convictions and offences referred to in Article 10.
數據控制者或管理者地核心活動包含了GDPR第9條所規定的對某種特殊類型數據進行的大規模處理以及第10條所規定的對定罪和違法相關的個人數據的處理。
2. A group of undertakings may appoint a single data protection officer provided that a data protection officer is easily accessible from each establishment.
如果一組企業的任一機構都能容易地與數據保護官取得聯系,那么這組企業可以任命一位單獨的數據保護官。
3.Where the controller or the processor is a public authority or body, a single data protection officer may be designated for several such authorities or bodies, taking account of their organizational structure and size.
當數據控制者或處理者是一個公共機構或公共實體,基于它們的組織機構與規模,多個此類公共機構或實體可以共同委任一位數據保護官。
4.In cases other than those referred to in paragraph 1, the controller or processor or associations and other bodies representing categories of controllers or processors may or, where required by Union or Member State law shall, designate a data protection officer. The data protection officer may act for such associations and other bodies representing controllers or processors.
除了第一段所規定的情形,在歐盟或成員國法律要求的情形下,數據控制者或處理者、或代表某類控制者或處理者的協會與其他實體可以委任一名數據保護官。對于此類協會,或代表控制者或處理者的其他實體的活動,數據保護官有權代表它們進行活動。
5.The data protection officer shall be designated on the basis of professional qualities and, in particular, expert knowledge of data protection law and practices and the ability to fulfil the tasks referred to in Article 39.
數據保護官的委任必須基于其專業性的素質,其需要具有數據保護法律與實踐的專業知識,以及完成第39條所規定任務的能力。
6.The data protection officer may be a staff member of the controller or processor, or fulfil the tasks on the basis of a service contract.
數據保護官可以是數據控制者與處理者的職員或基于服務合同而完成任務。
7. The controller or the processor shall publish the contact details of the data protection officer and communicate them to the supervisory authority.
數據控制者或處理者應當公布數據保護官的具體聯系方式,并向監管機構進行報告。
Art.38
1. The controller and the processor shall ensure that the data protection officer is involved, properly and in a timely manner, in all issues which relate to the protection of personal data.
數據控制者和處理者應當確保,在所有與個人數據保護有關的事項中,數據保護官都以一種適當而及時的方式介入。
2.The controller and processor shall support the data protection officer in performing the tasks referred to in Article 39 by providing resources necessary to carry out those tasks and access to personal data and processing operations, and to maintain his or her expert knowledge.
數據控制者和處理者應當通過提供完成任務所必須的資源、提供訪問個人數據與進行操作處理的權限、維持其專業性知識,來支持數據保護官履行GDPR第39條所規定的職責。
3. The controller and processor shall ensure that the data protection officer does not receive any instructions regarding the exercise of those tasks. 2He or she shall not be dismissed or penalised by the controller or the processor for performing his tasks. 3The data protection officer shall directly report to the highest management level of the controller or the processor.
數據控制者與處理者應當確保個人數據保護官不會受到任何關于履行職責的指示,他(她)不應因完成其任務而被數據控制者或處理者解雇或懲罰。數據保護官有權向數據控制者或處理者的最高管理層進行直接報告。
4. Data subjects may contact the data protection officer with regard to all issues related to processing of their personal data and to the exercise of their rights under this Regulation.
數據主題可以在所有與其自身數據處理相關的事項,以及與行使GDPR所賦予的權利相關的事項中聯系數據保護官。
5.The data protection officer shall be bound by secrecy or confidentiality concerning the performance of his or her tasks, in accordance with Union or Member State law.
數據保護官應當遵守歐盟或成員國的法律,在履行自身職責時遵守保密義務。
6.The data protection officer may fulfil other tasks and duties. 2The controller or processor shall ensure that any such tasks and duties do not result in a conflict of interests.
數據保護官可以完成其他的任務或職責。數據控制者或處理者應當確保此類任務與職責不會導致利益的沖突。
Art.39
1. The data protection officer shall have at least the following tasks:
數據保護官至少有以下任務:
(a) to inform and advise the controller or the processor and the employees who carry out processing of their obligations pursuant to this Regulation and to other Union or Member State data protection provisions;
對數據控制者或處理者,以及基于GDPR及其他歐盟或成員國數據保護條款所規定對自身義務進行評估的雇員進行告知并提供建議。
(b)to monitor compliance with this Regulation, with other Union or Member State data protection provisions and with the policies of the controller or processor in relation to the protection of personal data, including the assignment of responsibilities, awareness-raising and training of staff involved in processing operations, and the related audits;
確保對本條例、其他歐盟或成員國數據保護條款、數據控制者或處理者關于個人數據保護政策的遵守,包括分配職責、增強意識、及對數據處理操作過程和相關審查中涉及的職員進行培訓。
(c)to provide advice where requested as regards the data protection impact assessment and monitor its performance pursuant to Article 35;
當被要求就數據保護影響評估與根據GDPR第35條對其實施進行監管的事項,應當提供建議。
(d) to cooperate with the supervisory authority;
與監管機構進行合作。
(e) to act as the contact point for the supervisory authority on issues relating to processing, including the prior consultation referred to in Article 36, and to consult, where appropriate, with regard to any other matter.
在與處理相關的事項中充當監管機構,上述事項包括GDPR第36條所規定的提前咨詢以及其他事項在適當情況下進行的咨詢中。
2.The data protection officer shall in the performance of his or her tasks have due regard to the risk associated with processing operations, taking into account the nature, scope, context and purposes of processing.
數據保護官在履行職責時,應當結合處理的性質、范圍、語境與目的,對處理操作的風險進行合理的考慮。