個人信息保護(hù)負(fù)責(zé)人及相關(guān)職位對比表
作者:史軍 吳鵬飛 2022-08-30前段時間,有幾家企業(yè)來了解是否要依據(jù)《網(wǎng)絡(luò)安全法》、《個人信息保護(hù)法》、《數(shù)據(jù)安全法》設(shè)立網(wǎng)絡(luò)安全負(fù)責(zé)人、個人信息保護(hù)負(fù)責(zé)人、數(shù)據(jù)安全負(fù)責(zé)人等職位,以及這些職位的任職要求和法律責(zé)任等問題。個別外資客戶還提出能否聘請律所/律師來擔(dān)任這些職位,因?yàn)镚DPR設(shè)置的DPO是可以外聘的。我們就比較了我國相關(guān)法律規(guī)定下幾個類似職位以及GDPR下DPO的職責(zé)范圍、是否必須設(shè)置、任職要求和個人法律責(zé)任等方面,做了如下的表格。
從以上表格可以看出相關(guān)法律下上述職位的主要特點(diǎn)。 1、一般企業(yè)作為網(wǎng)絡(luò)運(yùn)營者需要設(shè)立網(wǎng)絡(luò)安全負(fù)責(zé)人。而網(wǎng)絡(luò)運(yùn)營者的定義較為寬泛,包括網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者。 2、只有滿足一定條件的企業(yè)才需要設(shè)立網(wǎng)絡(luò)安全管理負(fù)責(zé)人、個人信息保護(hù)負(fù)責(zé)人、數(shù)據(jù)安全負(fù)責(zé)人。具體來說:關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)當(dāng)設(shè)置網(wǎng)絡(luò)安全管理負(fù)責(zé)人和專門安全管理機(jī)構(gòu);相關(guān)國家標(biāo)準(zhǔn)規(guī)定處理超過100萬人的個人信息或處理超過10萬人的個人敏感信息的個人信息處理者應(yīng)當(dāng)指定個人信息保護(hù)負(fù)責(zé)人;重要數(shù)據(jù)的處理者應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)。 3、依法應(yīng)任命相關(guān)職位而未及時任命的,企業(yè)可能面臨警告、罰款等行政處罰。具體來說:我們已經(jīng)檢索到企業(yè)因沒有確定上述網(wǎng)絡(luò)安全負(fù)責(zé)人,而被行政處罰的案例;《個人信息保護(hù)法》未直接規(guī)定未依法設(shè)立個人信息保護(hù)負(fù)責(zé)人的法律后果,但可能被視為未履行個人信息保護(hù)義務(wù)而承擔(dān)責(zé)任;《數(shù)據(jù)安全法》對未能設(shè)立數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)的重要數(shù)據(jù)處理者規(guī)定了嚴(yán)重的處罰責(zé)任。 4、上述職位都有一定的任職要求,且一般不允許外聘。相關(guān)法律均規(guī)定擔(dān)任上述職位均應(yīng)具備專業(yè)知識和相關(guān)工作經(jīng)歷;雖然未直接明確規(guī)定,但我們傾向于認(rèn)為這些職位不允許外聘,這一點(diǎn)與DPO不同。 5、擔(dān)任這些職位可能會因?yàn)槠髽I(yè)違法而承擔(dān)個人法律責(zé)任。相關(guān)法律在規(guī)定違法企業(yè)的行政責(zé)任的同時,均規(guī)定了企業(yè)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員面臨罰款等的行政處罰。我們傾向于認(rèn)為,上述職位很可能被認(rèn)定為“直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員”。 從以上內(nèi)容可以看出,企業(yè)在符合一定條件后,確實(shí)應(yīng)按照法律規(guī)定設(shè)立相關(guān)職位,以滿足合規(guī)要求;另一方面考慮到這些職位都有一定的任職要求,擔(dān)任相關(guān)職位還可能面臨個人法律責(zé)任,企業(yè)應(yīng)謹(jǐn)慎選擇勝任的人選。而對擔(dān)任這些職位的個人而言,依據(jù)法律規(guī)定正確履行職責(zé),可能是避免個人責(zé)任的最好方式。 篇幅所限,本文未做展開。如果對這個話題感興趣,我們另外準(zhǔn)備了一篇上述各職位的詳細(xì)介紹,歡迎與我們聯(lián)系。
