《网络安全法》出台后,特别是2018年5月1日《信息安全技术 个人信息安全规范》(“旧版规范”)生效以来,不少企业已经搭建起个人信息保护制度框架。数据合规体系是动态的有机体,需要静态的制度框架,更需要合规人员的动态推动,将制度融入商业决策与交易中。即将于2020年10月1日生效的《信息安全技术 个人信息安全规范》(“新版规范”或“《安全规范》”)针对个人信息保护负责人的规定,较旧版规范而言更为具体且务实。
一、为什么要建立个人信息保护负责人制度
个人信息保护负责人是指全面实施统筹组织公司个人信息保护工作、对个人信息安全负直接责任的公司人员。设立个人信息保护负责人对企业落地数据合规制度至关重要。具体而言,科学有效的个人信息保护负责人制度既可提高企业法律风险防御能力,亦可增强其核心竞争力。
(一)提高企业风险防御能力
个人信息保护不力会给企业带来巨大损失:政府调查与处罚轻则迫使企业整改、重则颠覆既有商业模式、甚至导致企业与主要负责人承担刑事责任;个人信息安全事件如果不能及时、妥善处理,企业所面对的信任危机可能比处罚带来的社会影响更为深远;广大民众不断觉醒的个人信息保护意识更是促使企业时刻不得松懈。个人信息保护负责人既可以帮助企业在日常工作中未雨绸缪又可能在危机事件中力挽狂澜,提高企业防御风险的综合能力。
2017年3月,有消费者认为其个人信息遭到泄露而将某航空公司起诉至法院。法院综合认定被告存在泄露个人信息的高度可能,同时认为法律对经营者采取技术措施和其他必要措施保护消费者个人信息施以强制规定。但是,被告未能证明其已履行法定的个人信息保护义务。[1]2019年12月,同一家航空公司因类似事由被起诉,但法院认为被告在自身掌握信息阶段不存在泄露个人信息的事实。原因在于,航空公司不仅对可查看订单信息的管理系统进行数据脱敏设置,还建立起严密的数据安全管理制度、就数据存储安全进行专门认证、与专业第三方进行合作。[2]
根据公开信息,前述航空公司于2018年任命首席数据官,全面负责企业的数据保护与合规运营工作。该航空公司也由此成为国内首家设立数据保护官的企业。[3]虽然任命首席数据官与两份截然相反的判决没有直接关系,但从判决书中航空公司的举证来看,其在一两年间确实就个人信息保护采取了系列技术措施与组织措施,而任命首席数据官不仅是一种合规宣示,对于推动保护措施的落地显然也至关重要。
(二)增强企业核心竞争力
中国企业传统上将法律合规定位为后台支持部门,该等定位在业务拓展特别是开发海外市场时的局限性日益凸显。有能力的个人信息保护负责人有助于树立良好的企业形象,在与监管机构、合作伙伴、甚至竞争对手打交道的过程中,给人以专业、可信的印象,对于增强企业核心竞争力大有脾益。
如何在各国纷繁复杂的法律规定下实现合规,需要个人信息保护负责人的统筹规划。对敏感个人数据加紧审查的国际趋势,尤其是中美经贸摩擦下的监管升级,[4]更是要求企业出海前审慎开展合规评估。华为、蚂蚁金服、360奇虎等大型企业纷纷设立个人信息保护专家岗位,说明在合规工作进入“深水区”的今天,企业数据合规的水平和深度将直接决定商业机会的获得。
二、如何建立个人信息保护负责人制度
《网络安全法》规定网络运营者应确定网络安全负责人,关键信息基础设施运营者应设置专门的安全管理机构和安全管理负责人。网络安全事关国家安全,而隐私权保护原本侧重私法法益的保护,延展为个人信息保护后则具备更多的公共利益属性,但与网络安全相较仍更突出自主性。在《个人信息保护法》尚未出台的阶段,推荐性的《安全规范》提出设置个人信息保护负责人制度,起到标准示范作用的同时亦在帮助企业为应对个人信息保护的强制立法做准备。
(一)设置个人信息保护负责人的条件
根据新版规范,当企业(1)主要业务涉及个人信息处理,且从业人员规模大于200人;(2)处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;或(3)处理超过10万人的个人敏感信息的,应设置专职的个人信息保护负责人和个人信息保护工作机构。
与旧版规范相比,新版规范对于设置个人信息保护负责人的门槛要求体现出与时俱进和风险导向的趋势。首先,新版规范将处理50万人的个人信息提升为100万人,与数字经济下企业快速提升的数据处理规模相一致。其次,旧版规范并未将处理个人敏感信息作为标准之一,而新版规范则规定处理超过10万人的个人敏感信息即应设立专职的个人信息保护负责人。纵观近年的重点数据执法,往往涉及个人财产信息、生物识别信息、精准的网络浏览记录等个人敏感信息的泄露、非法提供或滥用,故在考虑设置个人信息保护岗位时企业应将是否处理个人敏感信息作为重要参考依据。
前述设置要求亦体现出平衡企业发展与保护法益的合理考虑。第(1)点要求从业人员大于200人,说明主要针对中型及以上企业。[5]这样的设定给小微企业的发展留出空间,同时积极引导大中型企业在拓展业务时需更加合规、稳健。第(2)点中的100万人构成大城市的常住人口量,[6]收集、处理100万人以上的个人信息说明业务已具有相当规模,设置个人信息保护负责人有必要性。
(二)个人信息保护负责人的资质要求
旧版规范生效以来,实务界普遍关注的问题之一是:个人信息保护负责人需要具备何等资质。新版规范分别从经验背景和决策地位两方面,对个人信息保护负责人的资质提出两项指引:(1)由具有相关管理工作经历和个人信息保护专业知识的人员担任;(2)参与有关个人信息处理活动的重要决策直接向组织主要负责人汇报工作。
根据实践,个人信息保护负责人需要具备法律专业背景,同时能够理解技术、安全对个人信息保护的重要作用。个人信息保护的出发点是确保公司产品及服务符合国内、国际的数据保护法律合规框架,因此对法律的理解是第一准则。由于个人信息保护也涉及数据安全治理,个人信息保护负责人应同时具备国际、国内格局安全观,日常工作中能够与安全和技术人员充分交流并交换意见。显然,传统上此类人才相当稀少,令人欣喜的是近年来出现了一批对数据保护抱有热忱的专业人士,逐渐形成了中国第一代数据保护人才库。
就决策地位而言,个人信息保护负责人应当具备管理职能,能够参与重要决策。个人信息保护负责人不能仅承担执行责任,也要参与到管理决策,能够与业务部门平等合作、甚至在为公司合规利益把关上有更高的话语权。《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》中,“数据”已经被纳入市场化配置改革的五大基础生产要素,[7]业务部门为追求盈利,难免在个人信息保护和市场机会的平衡中更偏向市场。同时,相较于业务部门直观反映于短期业绩中的绩效,合规管控更为长远、前瞻,需要时间沉淀才能凸显其价值。因此,个人信息保护负责人需具备管理、决策地位的必要性不言而喻。
(三)个人信息保护负责人的职责
新版规范明确规定了个人信息保护负责人的职责,与旧版规范相比有如下变化:(1)增加的职责为组织制定个人信息保护工作计划并监督落实、公布投诉、举报方式等信息并及时受理投诉举报,以及与监管部门保持沟通,报告个人信息保护和事件处理情况;(2)增强的职责为组织开展个人信息安全影响评估后,还需提出个人信息保护的对策建议,督促整改安全隐患。由此可见,新版规范增加了个人信息保护负责人对外沟通联络的职能,就内部职责而言则更加强调数据合规制度的落地实施。
同时,《安全规范》也非常贴心地为各项职能的具体落实提供建议。其中,新版规范增加的两项内容为个人信息安全工程和个人信息处理活动记录。
个人信息安全工程有些类似GDPR项下的Privacy by Design, 即在企业开发具有处理个人信息功能的产品或服务时,根据国家有关标准在需求、设计、开发、测试、发布等系统工程阶段考虑个人信息保护要求,保证在系统建设时对个人信息保护措施同步规划、同步建设和同步使用。因为个人信息安全工程涵盖产品从需求到发布的完整周期,由谁来具体做评估、谁来监督评估、谁来制作个人信息安全影响评估报告等,都由企业根据自身情况决定。不可否认的是,个人信息保护负责人在此过程中会起到重要的作用。《安全规范》建议开展个人信息安全工程时参照国家有关标准,具有很强的现实意义。例如,中国人民银行和全国金融标准化技术委员会发布的《个人金融信息保护技术规范》即要求金融业机构有效隔离开发测试环境和生产环境,在实际开发测试中对个人金融信息进行虚构或者去标识化,且在产品或服务上线发布前进行技术检测。
个人信息处理活动记录与GDPR第30条的要求较为类似,《安全规范》要求企业建立、维护和更新所收集、使用的个人信息处理活动记录,包括个人信息的类型、数据、来源;根据业务功能和授权情况区分个人信息的目的、使用场景;个人信息出境情况;以及与个人信息处理活动各环节相关的信息系统、组织或人员。个人信息保护负责人的职能之一即为建立、维护和更新个人信息清单和授权访问策略,正是对应个人信息处理活动记录中的核心部分。
三、完善个人信息保护负责人制度的展望
新版规范完善了个人信息保护负责人制度,企业可以根据自身情况选择适用,为建立数据合规体系奠定基础。我们基于企业的良好实践,为个人信息保护负责人制度、个人信息保护责任体系提出两点展望。
(一)设立个人信息保护工作机构
《安全规范》除要求任命个人信息负责人外,也提到了个人信息保护工作机构。但是,尚未就个人信息保护工作机构给出具体指引。实践中,合规人员在推动数据保护决策时常面临各方阻力,执行中也有不少困难。部分大型公司已经设立数据保护委员会,作为企业数据治理工作的协调机构与最高决策机构,通常由安全技术部、法务部、风险管理部、业务运营部和公共关系部相关管理人员组成。该等设置有助于强化数据保护决策的合意基础,确保决策的顺利推行。特别是当出现安全事件时,数据保护委员会可统筹处理响应、对外进行沟通、适时复盘整改合规措施。
(二)增强个人信息保护负责人的独立地位
新版规范除了开宗明义要求“法定代表人或主要负责人应对个人信息安全负全面领导责任”外,还就个人信息保护负责人的独立性增强了制度保障,即:“应为个人信息保护负责人和个人信息保护工作机构提供必要资源,保障其独立履行职责”。虽然与GDPR下DPO的独立性仍有所差距,[8]但结合我国的情况以及企业的治理架构,《安全规范》的要求更容易落地实施。企业设计人力制度时,如何确保个人信息保护负责人独立、专业、不受无关干扰做出正确合理的决策,是企业长远发展的一项重要考量。
<作者:方达律师事务所 杨建媛 李雪皎>
[1] 庞理鹏与北京趣拿信息技术有限公司、中国东方航空股份有限公司隐私权纠纷,(2017)京01民终509号,2017年3月27日
[2]方月明与北京金色世纪商旅网络科技股份有限公司、中国东方航空集团有限公司合同纠纷,(2018)粤0306民初23342号,2019年12月19日
[3]《东航设立“数据保护官” 全面升级信息安全建设》,国务院国有资产监管管理委员会官方网站,2018年6月1日,http://www.sasac.gov.cn/n2588025/n2588124/c9075821/content.html
[4]如2020年1月美国《外国投资风险审查现代化法案》对涉及敏感个人数据的投资作出规定。
[5]《统计上大中小微型企业划分办法(2017)》,国家统计局,2017年12月28日发布,参见:http://www.stats.gov.cn/tjsj/tjbz/201801/t20180103_1569357.html
[6]《国务院关于调整城市规模划分标准的通知》,国务院,2014年11月20日发布,参见:http://www.gov.cn/zhengce/content/2014-11/20/content_9225.htm
[7]中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见,参见:http://www.gov.cn/zhengce/2020-04/09/content_5500622.htm
[8]根据GDPR第38条的规定,数据控制者和处理者应当确保DPO不会受到任何关于履行职责的指示,不应因完成任务而被解雇或惩罚。DPO有权向数据控制者或处理者的最高管理层直接报告。