個人信息保護負責人及相關職位對比表
作者:史軍 吳鵬飛 2022-08-30前段時間,有幾家企業來了解是否要依據《網絡安全法》、《個人信息保護法》、《數據安全法》設立網絡安全負責人、個人信息保護負責人、數據安全負責人等職位,以及這些職位的任職要求和法律責任等問題。個別外資客戶還提出能否聘請律所/律師來擔任這些職位,因為GDPR設置的DPO是可以外聘的。我們就比較了我國相關法律規定下幾個類似職位以及GDPR下DPO的職責范圍、是否必須設置、任職要求和個人法律責任等方面,做了如下的表格。
從以上表格可以看出相關法律下上述職位的主要特點。 1、一般企業作為網絡運營者需要設立網絡安全負責人。而網絡運營者的定義較為寬泛,包括網絡的所有者、管理者和網絡服務提供者。 2、只有滿足一定條件的企業才需要設立網絡安全管理負責人、個人信息保護負責人、數據安全負責人。具體來說:關鍵信息基礎設施的運營者應當設置網絡安全管理負責人和專門安全管理機構;相關國家標準規定處理超過100萬人的個人信息或處理超過10萬人的個人敏感信息的個人信息處理者應當指定個人信息保護負責人;重要數據的處理者應當明確數據安全負責人和管理機構。 3、依法應任命相關職位而未及時任命的,企業可能面臨警告、罰款等行政處罰。具體來說:我們已經檢索到企業因沒有確定上述網絡安全負責人,而被行政處罰的案例;《個人信息保護法》未直接規定未依法設立個人信息保護負責人的法律后果,但可能被視為未履行個人信息保護義務而承擔責任;《數據安全法》對未能設立數據安全負責人和管理機構的重要數據處理者規定了嚴重的處罰責任。 4、上述職位都有一定的任職要求,且一般不允許外聘。相關法律均規定擔任上述職位均應具備專業知識和相關工作經歷;雖然未直接明確規定,但我們傾向于認為這些職位不允許外聘,這一點與DPO不同。 5、擔任這些職位可能會因為企業違法而承擔個人法律責任。相關法律在規定違法企業的行政責任的同時,均規定了企業直接負責的主管人員和其他直接責任人員面臨罰款等的行政處罰。我們傾向于認為,上述職位很可能被認定為“直接負責的主管人員和其他直接責任人員”。 從以上內容可以看出,企業在符合一定條件后,確實應按照法律規定設立相關職位,以滿足合規要求;另一方面考慮到這些職位都有一定的任職要求,擔任相關職位還可能面臨個人法律責任,企業應謹慎選擇勝任的人選。而對擔任這些職位的個人而言,依據法律規定正確履行職責,可能是避免個人責任的最好方式。 篇幅所限,本文未做展開。如果對這個話題感興趣,我們另外準備了一篇上述各職位的詳細介紹,歡迎與我們聯系。
