国产高清一区二区-国产高清一区二区三区-国产高清一区二区三区免费视频-国产高清一区二区三区视频-国产高清一区二区三区四区-国产高清在线91福利

　　2020年3月6日，國家市場監督管理總局、國家標準化管理委員會發布了全國信息安全標準化技術委員會（“信安標委”）編制的《信息安全技術個人信息安全規范》（GB/T35273-2020）（“新標準”），該新標準已于2020年10月1日實施，并即將取代已經實施了快兩年的GB/T35273-2017（“原標準”）。

　　《網絡安全法》出臺后，特別是2018年5月1日《信息安全技術個人信息安全規范》（“舊版規范”）生效以來，不少企業已經搭建起個人信息保護制度框架。數據合規體系是動態的有機體，需要靜態的制度框架，更需要合規人員的動態推動，將制度融入商業決策與交易中。于2020年10月1日生效的《信息安全技術個人信息安全規范》（“新版規范”或“《安全規范》”）針對個人信息保護負責人的規定，較舊版規范而言更為具體且務實。
　　
　　一、為什么要建立個人信息保護負責人制度
　　
　　個人信息保護負責人是指全面實施統籌組織公司個人信息保護工作、對個人信息安全負直接責任的公司人員。設立個人信息保護負責人對企業落地數據合規制度至關重要。具體而言，科學有效的個人信息保護負責人制度既可提高企業法律風險防御能力，亦可增強其核心競爭力。
　　
　　（一）提高企業風險防御能力
　　
　　個人信息保護不力會給企業帶來巨大損失：政府調查與處罰輕則迫使企業整改、重則顛覆既有商業模式、甚至導致企業與主要負責人承擔刑事責任；個人信息安全事件如果不能及時、妥善處理，企業所面對的信任危機可能比處罰帶來的社會影響更為深遠；廣大民眾不斷覺醒的個人信息保護意識更是促使企業時刻不得松懈。個人信息保護負責人既可以幫助企業在日常工作中未雨綢繆又可能在危機事件中力挽狂瀾，提高企業防御風險的綜合能力。
　　
　　2017年3月，有消費者認為其個人信息遭到泄露而將某航空公司起訴至法院。法院綜合認定被告存在泄露個人信息的高度可能，同時認為法律對經營者采取技術措施和其他必要措施保護消費者個人信息施以強制規定。但是，被告未能證明其已履行法定的個人信息保護義務。[1]2019年12月，同一家航空公司因類似事由被起訴，但法院認為被告在自身掌握信息階段不存在泄露個人信息的事實。原因在于，航空公司不僅對可查看訂單信息的管理系統進行數據脫敏設置，還建立起嚴密的數據安全管理制度、就數據存儲安全進行專門認證、與專業第三方進行合作。[2]
　　
　　根據公開信息，前述航空公司于2018年任命首席數據官，全面負責企業的數據保護與合規運營工作。該航空公司也由此成為國內首家設立數據保護官的企業。[3]雖然任命首席數據官與兩份截然相反的判決沒有直接關系，但從判決書中航空公司的舉證來看，其在一兩年間確實就個人信息保護采取了系列技術措施與組織措施，而任命首席數據官不僅是一種合規宣示，對于推動保護措施的落地顯然也至關重要。
　　
　　（二）增強企業核心競爭力
　　
　　中國企業傳統上將法律合規定位為后臺支持部門，該等定位在業務拓展特別是開發海外市場時的局限性日益凸顯。有能力的個人信息保護負責人有助于樹立良好的企業形象，在與監管機構、合作伙伴、甚至競爭對手打交道的過程中，給人以專業、可信的印象，對于增強企業核心競爭力大有裨益。
　　
　　如何在各國紛繁復雜的法律規定下實現合規，需要個人信息保護負責人的統籌規劃。對敏感個人數據加緊審查的國際趨勢，尤其是中美經貿摩擦下的監管升級，[4]更是要求企業出海前審慎開展合規評估。華為、螞蟻金服、360奇虎等大型企業紛紛設立個人信息保護專家崗位，說明在合規工作進入“深水區”的今天，企業數據合規的水平和深度將直接決定商業機會的獲得。
　　
　　二、如何建立個人信息保護負責人制度
　　
　　《網絡安全法》規定網絡運營者應確定網絡安全負責人，關鍵信息基礎設施運營者應設置專門的安全管理機構和安全管理負責人。網絡安全事關國家安全，而隱私權保護原本側重私法法益的保護，延展為個人信息保護后則具備更多的公共利益屬性，但與網絡安全相較仍更突出自主性。在《個人信息保護法》尚未出臺的階段，推薦性的《安全規范》提出設置個人信息保護負責人制度，起到標準示范作用的同時亦在幫助企業為應對個人信息保護的強制立法做準備。
　　
　　（一）設置個人信息保護負責人的條件
　　
　　根據新版規范，當企業（1）主要業務涉及個人信息處理，且從業人員規模大于200人；（2）處理超過100萬人的個人信息，或預計在12個月內處理超過100萬人的個人信息；或（3）處理超過10萬人的個人敏感信息的，應設置專職的個人信息保護負責人和個人信息保護工作機構。
　　
　　與舊版規范相比，新版規范對于設置個人信息保護負責人的門檻要求體現出與時俱進和風險導向的趨勢。首先，新版規范將處理50萬人的個人信息提升為100萬人，與數字經濟下企業快速提升的數據處理規模相一致。其次，舊版規范并未將處理個人敏感信息作為標準之一，而新版規范則規定處理超過10萬人的個人敏感信息即應設立專職的個人信息保護負責人。縱觀近年的重點數據執法，往往涉及個人財產信息、生物識別信息、精準的網絡瀏覽記錄等個人敏感信息的泄露、非法提供或濫用，故在考慮設置個人信息保護崗位時企業應將是否處理個人敏感信息作為重要參考依據。
　　
　　前述設置要求亦體現出平衡企業發展與保護法益的合理考慮。第（1）點要求從業人員大于200人，說明主要針對中型及以上企業。[5]這樣的設定給小微企業的發展留出空間，同時積極引導大中型企業在拓展業務時需更加合規、穩健。第（2）點中的100萬人構成大城市的常住人口量，[6]收集、處理100萬人以上的個人信息說明業務已具有相當規模，設置個人信息保護負責人有必要性。
　　
　　（二）個人信息保護負責人的資質要求
　　
　　舊版規范生效以來，實務界普遍關注的問題之一是：個人信息保護負責人需要具備何等資質。新版規范分別從經驗背景和決策地位兩方面，對個人信息保護負責人的資質提出兩項指引：
　　
　　（1）由具有相關管理工作經歷和個人信息保護專業知識的人員擔任；（2）參與有關個人信息處理活動的重要決策直接向組織主要負責人匯報工作。
　　
　　根據實踐，個人信息保護負責人需要具備法律專業背景，同時能夠理解技術、安全對個人信息保護的重要作用。個人信息保護的出發點是確保公司產品及服務符合國內、國際的數據保護法律合規框架，因此對法律的理解是第一準則。由于個人信息保護也涉及數據安全治理，個人信息保護負責人應同時具備國際、國內格局安全觀，日常工作中能夠與安全和技術人員充分交流并交換意見。顯然，傳統上此類人才相當稀少，令人欣喜的是近年來出現了一批對數據保護抱有熱忱的專業人士，逐漸形成了中國第一代數據保護人才庫。
　　
　　就決策地位而言，個人信息保護負責人應當具備管理職能，能夠參與重要決策。個人信息保護負責人不能僅承擔執行責任，也要參與到管理決策，能夠與業務部門平等合作、甚至在為公司合規利益把關上有更高的話語權。《中共中央國務院關于構建更加完善的要素市場化配置體制機制的意見》中，“數據”已經被納入市場化配置改革的五大基礎生產要素，[7]業務部門為追求盈利，難免在個人信息保護和市場機會的平衡中更偏向市場。同時，相較于業務部門直觀反映于短期業績中的績效，合規管控更為長遠、前瞻，需要時間沉淀才能凸顯其價值。因此，個人信息保護負責人需具備管理、決策地位的必要性不言而喻。
　　
　　（三）個人信息保護負責人的職責
　　
　　新版規范明確規定了個人信息保護負責人的職責，與舊版規范相比有如下變化：（1）增加的職責為組織制定個人信息保護工作計劃并監督落實、公布投訴、舉報方式等信息并及時受理投訴舉報，以及與監管部門保持溝通，報告個人信息保護和事件處理情況；（2）增強的職責為組織開展個人信息安全影響評估后，還需提出個人信息保護的對策建議，督促整改安全隱患。由此可見，新版規范增加了個人信息保護負責人對外溝通聯絡的職能，就內部職責而言則更加強調數據合規制度的落地實施。
　　
　　同時，《安全規范》也非常貼心地為各項職能的具體落實提供建議。其中，新版規范增加的兩項內容為個人信息安全工程和個人信息處理活動記錄。
　　
　　個人信息安全工程有些類似GDPR項下的PrivacybyDesign,即在企業開發具有處理個人信息功能的產品或服務時，根據國家有關標準在需求、設計、開發、測試、發布等系統工程階段考慮個人信息保護要求，保證在系統建設時對個人信息保護措施同步規劃、同步建設和同步使用。因為個人信息安全工程涵蓋產品從需求到發布的完整周期，由誰來具體做評估、誰來監督評估、誰來制作個人信息安全影響評估報告等，都由企業根據自身情況決定。不可否認的是，個人信息保護負責人在此過程中會起到重要的作用。《安全規范》建議開展個人信息安全工程時參照國家有關標準，具有很強的現實意義。例如，中國人民銀行和全國金融標準化技術委員會發布的《個人金融信息保護技術規范》即要求金融業機構有效隔離開發測試環境和生產環境，在實際開發測試中對個人金融信息進行虛構或者去標識化，且在產品或服務上線發布前進行技術檢測。
　　
　　個人信息處理活動記錄與GDPR第30條的要求較為類似，《安全規范》要求企業建立、維護和更新所收集、使用的個人信息處理活動記錄，包括個人信息的類型、數據、來源；根據業務功能和授權情況區分個人信息的目的、使用場景；個人信息出境情況；以及與個人信息處理活動各環節相關的信息系統、組織或人員。個人信息保護負責人的職能之一即為建立、維護和更新個人信息清單和授權訪問策略，正是對應個人信息處理活動記錄中的核心部分。
　　
　　三、完善個人信息保護負責人制度的展望
　　
　　新版規范完善了個人信息保護負責人制度，企業可以根據自身情況選擇適用，為建立數據合規體系奠定基礎。我們基于企業的良好實踐，為個人信息保護負責人制度、個人信息保護責任體系提出兩點展望。
　　
　　（一）設立個人信息保護工作機構
　　
　　《安全規范》除要求任命個人信息負責人外，也提到了個人信息保護工作機構。但是，尚未就個人信息保護工作機構給出具體指引。實踐中，合規人員在推動數據保護決策時常面臨各方阻力，執行中也有不少困難。部分大型公司已經設立數據保護委員會，作為企業數據治理工作的協調機構與最高決策機構，通常由安全技術部、法務部、風險管理部、業務運營部和公共關系部相關管理人員組成。該等設置有助于強化數據保護決策的合意基礎，確保決策的順利推行。特別是當出現安全事件時，數據保護委員會可統籌處理響應、對外進行溝通、適時復盤整改合規措施。
　　
　　（二）增強個人信息保護負責人的獨立地位
　　
　　新版規范除了開宗明義要求“法定代表人或主要負責人應對個人信息安全負全面領導責任”外，還就個人信息保護負責人的獨立性增強了制度保障，即：“應為個人信息保護負責人和個人信息保護工作機構提供必要資源，保障其獨立履行職責”。雖然與GDPR下DPO的獨立性仍有所差距，[8]但結合我國的情況以及企業的治理架構，《安全規范》的要求更容易落地實施。企業設計人力制度時，如何確保個人信息保護負責人獨立、專業、不受無關干擾做出正確合理的決策，是企業長遠發展的一項重要考量。