数据保护官制度是一项具有独立性、专门性特征的数据保护制度,其核心功能在于保护数据安全、推动数据合规建设和保障国家数据主权等。目前,我国形成了以网络安全负责人制度、数据安全负责人制度、个人信息保护负责人制度和首席数据官制度为主要构成的数据保护官制度,为各类主体在非传统领域内的安全利益提供了重要的法律保障。在国际数据跨境流动背景下,我国还需要在合理借鉴域外经验的基础上进一步构建具有中国特色的数据保护官制度,用以推动国内数据治理和国际数据合作。数据保护官制度源于欧盟数据立法实践,顾名思义是一项关于专门人员应当如何保护数据安全和监管数据活动的制度。有欧洲学者认为,数据保护官制度已取得了四大实践效果,“一是提升数据保护水平;二是减少政府对数据行业不必要的行政干预;三是促进数据传输安全管理;四是成为数据行业保护个人隐私的市场名片”。当前,这项制度并非欧盟独有,美国、新西兰、韩国、印度和巴西等国出台了类似法律制度,例如美国的首席隐私官制度、新西兰的隐私保护专员制度等。我国主要有网络安全法中的网络安全负责人、数据安全法中的数据安全负责人、个人信息保护法中的个人信息保护人和《关于构建更加完善的要素市场化配置体制机制的意见》中的首席数据官等类型的数据保护官,在相当长的时期内有效保障了各类主体的数据安全利益。在全球数据开放和共享的背景下,数据保护官在维护境内数据安全和治理数据跨境流动方面越来越发挥着关键性的作用,甚至成为部分国家长臂管辖数据的重要举措。当前,国际“大数据战争”愈来愈集中在数据保护制度、数据人才等方面。那么,我国是否有必要进一步构建数据保护官制度?我国数据保护官制度的构成现状如何?如何构建具有中国特色的数据保护官制度?本文将对这些问题展开探讨。自互联网诞生以来,欧盟立法者首先将“数据安全作为一个管理问题而非技术问题”,并认为传统型管理者已无法胜任数字社会发展的需求,因而培育了大量的数据保护官。随着数据保护实践的深入,欧盟数据保护官的职责范围不断扩展,不再局限于个人数据安全的保护,还在数据合规建设、数据主权维护方面发挥了重要作用。鉴于此,部分国家借鉴了欧盟数据保护官制度,提升了其国内数据治理和国际数据交流的能力。我国作为数据大国,同样需要构建与国际接轨的数据保护官制度,用以保护个人数据、推动数据行业发展和维护国家数据安全。
自人类步入互联网时代,数据安全问题一直困扰着国家和社会的发展。例如,20世纪70年代计算机病毒的产生、20世纪90年代以来频繁发生的网络攻击事件等。事实上,大量的数据安全事件往往从侵害个人数据着手,进而通过破解数据关系以获取更多有价值的信息。因而,数据安全工作一直被政府和企业视为最重要的工作之一。早在1977年,德国数据保护法(BDSG)规定,由政府承担保护公众数据安全的责任,企业承担保护用户数据安全的责任,为德国公民数据提供双重保护。在当时背景下,对于政府和企业而言,保护数据安全是一项全新的法律义务,因此需要任命一位专业人员来专门从事此项工作,该名人员在德国法律中被称为“数据保护官或资料保护员”,自此诞生了数据保护官制度。20世纪80年代,第四代计算机逐渐在西方社会中普及,互联网传输技术的稳定性保障了人们跨域通信交流,导致大量个人数据的产生和自由流动。立法者发现,如果对个人数据中的重要数据、敏感数据和隐私数据等特殊数据的处理活动不加以额外规范和保护,容易引起深层次的社会问题。例如,录像带租赁电子记录、健康医疗数据的泄露经常使公民陷入“丑闻”而遭受歧视。为此,欧盟1981年《数据保护公约》(Council of Europe Data Protectioncon vention)、1995年《个人数据保护指令》(Directive 95/46/Ec,以下简称“95指令”)和美国1996年《健康保险携带和责任法案》(Health Insurance Portability and Accountability Act)等法律规定,政府和企业应当设立数据保护官为公民的种族数据、政治观点数据、宗教信仰数据和健康医疗数据等特殊数据提供额外的保护。这一时期,欧美数据保护官的主要职责为,监管政府和企业的数据处理活动,积极与数据监管机构合作以预防和处置数据安全风险等。欧美国家通过大规模设立数据保护官,一方面提升了政府和企业数据保护工作的专业化水平,另一方面规范了特殊数据的处理活动,从而有效缓解了欧美国家因大力发展互联网技术给公民隐私安全带来的保护困境。近些年来,大数据技术的发展,使得人们可以凭借数据从中发现特定主体的行为踪迹、社会发展的原貌和国家的核心机密,因而数据比以往更具有使用价值,也比以往面临着更为严峻的安全风险。在这一背景下,2016年欧盟《通用数据保护条例》(GDPR)进一步拓宽了数据保护官的法定职责。根据GDPR规定,数据保护官的职责包括:通知数据控制者及其员工法律义务并提供建议、监督数据控制者遵守和执行法律要求、培训和提升数据处理者的合规意识、开展和实施数据保护影响评估活动、与监管机构合作处理数据安全事件等。数据保护官的职责几乎涵盖了数据活动的所有环节,尤其是赋予了数据保护官以独立性地位,使其日常监管工作免受组织高层的干涉,解构了传统的内部监管关系,从而能够有效地规范欧盟互联网企业的数据收集、存储、使用和传输活动。不难发现,数据保护官制度的历史演变过程经历了从一般数据的保护到特殊数据的额外保护,再到对个人数据的全方位保护,具体而言保护了数据的可用性、完整性和保密性。近年来,我国互联网产业在全球格局中处于优势地位,数据基础设施、数字经济规模、数据公共服务和数据安全保障能力等多项指标居于全球前列。但不可否认的是,我国数据安全形势依旧严峻复杂,尤其是数据泄露风险突出。根据天津国家计算机病毒应急处理中心统计,2023年我国教育、卫健、金融等行业是数据泄露现象相对严重的行业,泄露的数据以个人数据为主。因而,在传统治理机制应对数据安全问题可能失灵的背景下,我国有必要积极转变数据治理思路,“从追求规则之治转向技术之治,从依赖规则和标准转向数据保护官的解决方案”,“减少依赖试错法保障数据安全,积极建立有效的制度来规范数据处理行为”,尽快构建符合数据安全现状的数据保护官制度,培养大批兼具法律和技术素养的数据保护官,用以提升数据行业的数据保护水平,满足公众对数据安全的急迫需求。
数据安全问题应当主要依靠数据控制者提升自身的数据合规水平。数据合规在形式层面是指组织的数据处理活动应该与法律法规、行业规则和内部规章的要求保持一致。数据保护官在推动数据行业合规建设方面有两项重要的作用。其一,数据保护官是“首席道德官”。数据合规是一个道德问题,“依赖于企业形成一种依法依规经营的文化,而这种文化本身就属于道德问题或者企业伦理问题”。例如,《世界银行集团诚信合规指引》(World Bank Group Integrity compliance Guidelines)规定了大量的有关道德评价因素和企业文化的合规标准,如诚实信用、自觉遵守法律等。在国际数据实践中,数据保护官的培训活动能够提升组织成员的数据合规意识,进而推动数据合规文化的建设,因此又被学者称为“首席道德官”。根据GDPR规定,数据保护官负责提升和培训组织成员自觉遵守数据保护规则的意识。英国信息专员办公室(ICO)指出,数据保护官的培训内容包括法律培训、技术培训和风险防范培训,同时还应当保留培训记录;在“丝芙兰”公司(Sephora),数据保护官的培训方式以展示本企业被处罚的案例为主,确保了培训内容的针对性。数据保护官的培训活动以组织内部所有员工了解数据保护的基础知识、具备数据保护的一般水平为最低标准,还应根据不同部门对数据保护程度的不同需求,分别进行更为深入的业务能力和数据保护意识方面的培训。数据保护官的培训活动促进了组织成员自觉树立数据合规意识,有利于数据行业形成以“数据安全至上”为核心的合规文化。其二,数据合规还是一个法律问题,需要凭借数据保护官的系列活动来强化合规管理。在欧盟、美国和日本等国的数据法律中,数据保护官负责监管数据行业遵守各项数据处理规则,不仅包括国际法、国内法,还包括组织内部的数据政策和章程、行业行为规范、行业安全代码和标准、法律认证机制有关的要求等。数据保护官合规管理的主要方式有:一是制定数据保护计划,确定数据行业应当予以优先保护的数据范围,防止隐私数据、机密数据等关键数据的泄露;二是形成数据合规计划,为数据控制者的业务活动提供政策和程序指南,指导组织和员工依法依规处理数据;三是开展数据审查和监控活动,及时发现和缓解数据安全风险,以防出现严重的数据安全事故。数据保护官的系列活动是数据行业合规管理制度的重要组成部分,尤其在政府执法场景中,数据保护官合规计划已成为“执法部门在对涉案企业作出是否宽大处理的决定时,对其合规管理制度能够发挥防范、监控和应对违规行为的作用所采取的评估标准”。近年来,中外企业因数据合规问题被有关国家处罚的事例屡见不鲜。例如,“滴滴”公司因数据处理活动违规被处罚80.26亿元人民币;美国“史诗游戏”公司(Epic Games)因数据产品违反《儿童在线隐私保护法》(COPPA)和设置“黑模式”支付5.2亿美元的和解金等。全球范围内,数据行业面临着巨大的数据合规压力,究其原因,一方面是由于自身合规意识淡薄、合规管理制度不健全,另一方面与国际社会的数据监管力度日益严格有着必然关联。根据统计,欧盟GDPR生效后的三年中,数据保护当局已经执行了2.725亿欧元的罚款,罚单数量总体有增无减。在全球数据监管秩序愈发严格的背景下,“微软”“苹果”“脸书”等国际互联网企业为了规避数据合规风险,引入了大量的高端数据人才充当数据保护官,为其制定全球性的数据合规计划,用以满足业务所在地国家的数据监管要求,进而持续保持国际数据市场的竞争优势。我国数据行业在国际数据市场中占有重要份额,头部企业近年来在国际数字经济相关领域的排名有所上升。但同时还应当看到,我国数据行业在开展跨国业务过程中,数据合规问题已成为被他国政府处罚的重要事由。例如,“字节跳动”公司因“数据合规制度不完善而不能被有效监管”被美国政府制裁。我国2022年《合规管理体系要求及使用指南》指出,数据行业应当设立具有独立性地位的数据合规治理机构,发挥数据合规治理机构对数据合规的领导作用,这项规定为我国数据产业大规模设立数据保护官的岗位提出了现实要求。我国数据行业要想“走出去”“走得远”,有关部门必须抓紧构建符合国内、国际数据合规走向的数据保护官制度,充分发挥数据保护官在培养合规文化、监管数据合规活动方面的重要作用,用以提升我国数据行业的国际竞争力。
数据主权是国家对存储在境内的数据、跨境流动的数据以及相关数据载体拥有的一系列公权力,对内体现为国家的最高数据治理权,对外体现为国家独立的数据管辖权。数据跨境流动是国际数据主权的主要博弈场景,主导数据跨境流动秩序是维护数据主权的核心方式。欧盟犌犇犘犚规定了数据跨境传输的三大原则:充分性保护原则、采取适当保障措施原则和有约束性企业规则原则。美国数据隐私和保护法中主要的数据跨境流动原则为:合理性原则、政府指导原则、降低隐私风险和善意证明原则等。在新加坡,“国家利益证明”是一项重要的数据跨境传输原则。一般而言,国家是数据主权的主要主体,然而国家面对巨大的数据流,不可能有效监管到每一个数据、每一次数据活动。因此,欧盟、美国和新加坡等国将数据跨境流动的监管权下放至政府和企业内部,具体由数据保护官作为数据传输安全的第一道防线,用以督促数据传输双方恪守既定的传输原则,审核境外数据接收者的资质,以及数据接收者所在国家的数据立法、数据保护制度、司法救济制度和数据安全措施等情况,并在审核结果的基础上判断数据跨境流动的安全性,进而为组织高层提供决策依据。可以看出,数据保护官在国际数据跨境流动过程中实质上扮演着数据主权保护官的角色。“数据已成为与土地、劳动、资本和技术等传统生产要素并列的关键要素。”大数据时代,谁掌握了数据流,谁就掌握了国际“大数据战争”的主动权,谁就拥有了更多的“数据领土”。近年来,我国网民数量和互联网普及率屡创新高,已成为一个数据生产大国。同时,我国积极参与全球数据治理,积极加入《数字经济伙伴关系协定》(DEPA)、国际标准化组织(ISO)等国际协议和组织,倡导“政府、国际组织、信息技术企业、技术社群、民间机构和公民个人等各主体秉持共商共建共享理念,齐心协力促进数据安全”,同时我国还是一个全球数据传输大国。我国《个人信息保护法》第38条规定了数据跨境流动应当具备安全评估、保护认证和订立合同等前置性程序。从字义上看,“评估”“认证”和“订立合同”都是人为活动,离不开相关主体的审核和监管。从国际数据治理的经验来看,由数据保护官审核和监管数据跨境流动秩序,一方面可以缓解数据安全机构的执法压力,另一方面又能够保障数据传输活动的安全性。因此,我国需要构建数据保护官制度来监管数据跨境流动活动和执行数据跨境传输规则,进而维护国家数据主权。在西方国家发展数据保护官制度的同时,我国立足于网络、数据和信息安全现状,先后设立了网络安全负责人、数据安全负责人、个人信息保护负责人和首席数据官等数据保护岗位,对于保护数据安全、监管数据活动发挥了重要的作用。
其一,网络安全法中的网络安全负责人制度。在网络安全形势严峻的背景下,我国于2016年出台了网络安全法,为我国网络活动、网络设施的建设、运营、维护和使用提供了重要的法律依据。网络安全法围绕着网络安全管理和关键信息基础设施的运营制定了网络安全负责人制度。我国网络安全负责人主要职责为:进行网络安全监管、评估和考核,制定网络安全保护制度和计划,推动网络安全防护能力建设,组织网络安全教育和培训等。网络安全负责人制度的实施提升了抵御网络渗透、网络攻击、网络有害信息与网络恐怖和违法犯罪等风险的能力,有效保障了国家政治、经济、文化和社会等领域的总体安全。其二,数据安全法中的数据安全负责人制度。数据安全是继网络安全之后另一个关乎国家和社会安全利益的重大问题。我国2021年数据安全法形成了一系列符合中国实际和具有国际前瞻性的数据保护制度、数据发展制度和数据共享制度。其中,数据安全负责人制度是一项具有代表性的制度。数据安全负责人以保护重要数据为核心职责,具体包括:提出与数据安全相关的重大决策和建议、制定和实施数据保护计划、组织开展数据安全风险评估、督促整改安全隐患、按要求向监管机构报告数据安全保护和事件处置情况、受理并处理用户投诉和举报等。数据安全负责人制度推动了我国数据行业使用与治理数据的积极性和主动性,相关组织只要任命数据安全负责人并通过数据安全风险评估,就可以在数据安全法框架内自由开展数据业务,从而兼顾了数据的安全价值和商业价值。其三,个人信息保护法中的个人信息保护负责人制度。2021年个人信息保护法针对大规模信息处理活动规定了个人信息保护负责人制度。所谓大规模信息处理活动主要指相关组织处理100万人以上的个人信息或者10万人以上的个人敏感信息。我国个人信息保护负责人的主要职责包括:制定内部个人信息保护制度和方案,实施个人信息安全影响评估,开展个人信息安全培训,检测相关产品或服务的安全性,受理个人信息主体的投诉举报,充当监督、管理部门的联络人等。个人信息保护负责人制度的出台,实现了对公民数据系统、全面、专业和综合的全场景保护。尤其在数据跨境传输过程中,个人信息负责人通过检测境外数据产品或服务的安全性,可以实现对跨国企业数据业务的有效监管,要求其对我国数据进行本地化存储,从而维护了国家的数据安全。其四,我国地方规范性文件中的首席数据官制度。2020年,中共中央、国务院《关于构建更加完善的要素市场化配置体制机制的意见》要求,推进政府数据开放共享、提升社会数据资源价值和加强数据资源整合和安全保护。为了贯彻落实中央要求,各级政府先后出台了首席数据官制度,用以推进政府数据公开工作。截至2023年7月,我国近50个城市规定了首席数据官制度。各地首席数据官的职责内容具有鲜明的地方化特征,但大致可以概括为:制定本地数据战略规划和政策任务、深化数据管理和融合创新、优化数据关系和协同应用强化数据监管和安全保护、营造良好的数据生态等。首席数据官制度是我国在数据格局调整、数据管理组织体系变革和数字政府建设中的重大创举。根据学者在广东等地的调研和访谈,我国首席数据官制度出台以来取得了以下实践效果:一是改变了政府数据治理权虚化的现象,实现了数据治理的权责匹配;二是改善了政府数据治理能力弱化的现状,增强了数据治理的动态适应;三是改进了数据治理创新悬浮的问题,提高了数据治理的质量控制。
其一,我国数据保护官制度的设立领域覆盖虚拟空间和物理世界。我国数据保护官制度中,网络安全负责人负责监管网络空间活动和关键信息基础设施的运营,数据安全负责人、个人信息保护负责人和首席数据官负责监管各类主体的数据和信息处理活动。多种类型的数据保护官在实践中的穿插和重叠设立,既保障了网络、数据和信息等虚拟空间的安全,又保障了关键信息基础设施等物理世界的安全。我国网络、数据和信息保护人员将虚拟空间安全和物理世界安全融为一体,从而确保了数据活动在物理层(主要指基础设施)、社会层(主要指数据关系)、内容层(主要指数据资源)和逻辑层(主要指代码关系)的全方位安全。其二,我国数据保护官制度的首要目标是维护重大安全利益。我国出台和部署数据保护官制度的诸多目标中,维护国家安全和公共安全处于首要地位。网络安全负责人制度主要以维护关键信息基础设施的运营为目标,依据《关键信息基础设施安全保护条例》第2条规定,“关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等”。数据安全负责人制度主要以保护重要数据为设立目标,根据《信息安全技术网络数据分类分级要求(征求意见稿)》第3条规定,“重要数据是指在特定领域、特定群体、特定区域或达到一定精度和规模的数据,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全”。个人信息保护负责人制度主要以规范大规模信息处理活动为设立目标,大规模信息处理活动涉及100万人的个人信息或者10万人的个人敏感信息,一旦发生泄露问题,极有可能危及公共信息安全。不难发现,网络安全负责人、数据安全负责人和个人信息保护负责人的强制性设立情形,主要集中在涉及国家、社会和个人重大安全利益的领域,这与我国当前数据保护需求存在必然联系。我国人口众多、数据行业发达,每天都在产生、使用和传输大量的数据,因此,我国数据保护人员的首要目标是保障关键信息基础设施的运营、重要数据和大规模信息处理活动等涉及重大利益活动的安全性,同样也是“数字中国”建设过程中最紧要的任务。其三,我国数据保护官制度遵循数据安全与利用并重的实践原则。数据具有多元价值,其中安全价值和流动价值之间经常存在紧张关系,前者要求数据尽可能地保持静止状态,后者又代表着数据应当被公开和共享,当然二者的关系并非不可调和。数据安全法提出了保障数据安全与促进数据开发利用并重的原则,个人信息保护法提出了规范个人信息处理活动与促进个人信息合理利用并重的原则。因此,我国数据保护官制度在执行过程中,理应遵循数据安全法和个人信息保护法的原则和要求,实现数据的多元价值。在这方面,《广东省企业首席数据官建设指南》以实现数据治理、数据增幅和数据安全作为首席数据官制度的实践要求;《苏州市教育系统首席数据官制度建设实施方案》以实现数据资产管理、数据质量提升和数据安全管控作为首席数据官制度的主要任务;《宿迁市首席数据官制度建设实施方案》以坚守数据安全底线和充分释放数据要素红利作为首席数据官制度的第三阶段(长期推进)的建设目标。这充分说明了我国数据保护官制度的实践效果,兼顾数据的安全价值和使用价值,妥善回应了政府和企业数据治理过程面临的质量、发展、可持续性和安全等一系列问题,打破了价值冲突问题对数据资源开发和利用的限制。网络安全负责人、数据安全负责人、个人信息保护负责人和首席数据官等数据保护岗位的设立,推动了我国网络、数据与信息领域的治理,给各类主体的安全利益提供了有效保障。然而,不可否认的是,我国数据保护官制度在以下几个方面可能存在不足:其一,我国网络、数据和信息保护人员在组织内部缺乏独立性,组织高层人员兼任保护人员的问题十分突出;其二,强制性设立的门槛过高,不能起到规范中等规模数据活动的作用;其三,职责设定过于单一,不能有效预防数据安全风险;其四,制度适用范围局限于我国领土之内,缺乏对数据跨境流动活动的合理规制;因此,我国在合理借鉴域外建设经验的基础上,需要利用好“小、快、灵”的立法模式,吸收和整合现有的网络安全负责人制度、数据安全负责人制度、个人信息保护负责人制度和首席数据官制度,形成统一的数据保护官制度,利用位阶较低的规范来应对技术高度发展带来的不确定性。我国数据保护官制度的构建要有明确的目标定位、合理的设立情形、较为全面的职责内容和必要的域外适用效力,为我国数据行业的发展、数据人才的培养提供坚实的制度基础。
任何行业的监管者只有具备独立性地位,才能发挥其应有的价值。例如,药品生产领域的质量授权人、医疗领域的伦理委员会等。数据保护官是数据活动的重要监管者,我国数据保护官制度的首要目标是培养具有独立性地位的数据保护官。我国数据保护官的独立性监管地位主要体现在:其一,数据保护官监管工作的自主性。欧盟数据保护官的工作不受组织高层的干涉,不因正常履行监管职责而遭受组织高层的直接或间接的惩罚,有效地保障了数据保护官的独立性。同样,我国也应注重保护数据保护官的工作自主性,一是禁止任何组织高层成员干扰数据保护官的正常监管活动;二是当数据保护官提出了与组织高层不同的或者组织高层认为无效的监管意见时,不能成为惩罚数据保护官的理由;三是组织解雇数据保护官必须得到数据监管机关的批准;四是建立数据保护官的惩罚和退出机制,当数据保护官触犯法律或者患有重大生理、心理疾病时,才能应当依法予以惩罚或解雇。数据保护官只有在独立开展工作任务的情形下,才能自由地提出监管意见,纠正组织数据业务活动的违规之处。其二,数据保护官禁止兼任与其监管职责相冲突的角色。在欧盟,如果数据保护官兼任了与其监管职责冲突的其他角色,所在组织会受到数据监管机构的处罚,例如2016年“德国巴伐利亚州数据保护委员会处罚案”。数据保护官是数据活动监管者,因此注定了数据保护官兼任的其他职务不应与其监管职责产生利益冲突,尤其要避免出现数据保护官与组织决策者、管理者和数据处理操作人员互相兼任的情形,其背后的逻辑是避免自己监管自己、自己审查自己。我国应以负面清单的形式列明:首席执行官、首席运营官、财务总监、医疗总监、市场总监、人力资源总监、信息部门负责人等决策层和管理层成员,以及数据处理操作人员等,不得与数据保护官之间相互兼任,以充分保障数据保护官在组织内部的独立性监管地位。另外,我国还可以借鉴欧盟数据保护官与组织高层之间的沟通协商机制,赋予数据保护官“直接报告权”,使数据保护官可以直接向组织决策层报告数据风险和监管意见,提升组织高层对数据安全的重视程度。其三,数据保护官的工作应获得充分的资源支持。数据保护官在组织内部承担着复杂的法律任务,而充足的资金、技术和工作环境等保障措施,是推动数据保护官制度转化实践效能的前提条件。所以,我国应当特别注意明确数据保护官的必要性资源,要求组织为数据保护官在工作时间、组建团队必需的财政资源、基础设施、培训和学习机会等方面提供保障。同时,数据保护官在处理复杂和重大业务时,还应当增加资源支持力度,用以提升数据保护官的执行能力。另外,我国还需要借鉴欧盟网络和信息安全局(ENISA)的做法,为数据保护官配备先进的技术工具,例如,数据透明度技术、隐私增强技术、自动化识别程序等,以便于查处数据活动中的技术安全漏洞。
欧盟以数据处理者的员工人数超过250人和数据处理规模作为数据保护官的强制性设立条件,但存在无法监管跨国企业和敏感数据处理活动的漏洞。例如,跨国企业可以通过降低欧盟境内的员工人数来逃避任命数据保护官的法律义务;还如,部分欧盟成员国人口稀少,其境内的互联网企业掌握了公民大量的敏感数据,由于未达到大规模标准,不构成强制设立数据保护官的条件,因而无法保障公民的数据安全。鉴于此,我国数据保护官的设立情形可以在沿用原有制度的基础上借鉴欧盟的部分做法,以数据类型和规模作为主要参考因素。其一,以重要数据的处理活动作为数据保护官的强制性设立情形。重要数据涉及国家、社会和个人安全、发展等核心利益。我国关于“重要数据”的法律定义,见于网络安全法、数据安全法、《数据安全管理办法(征求意见稿)》《信息安全技术网络数据分类分级要求(征求意见稿)》和中国互联网协会《专项调查问题列表与答复》等文件中。任何组织的核心业务只要涉及处理上述文件中的“重要数据”,无论数据规模的大小,都必须强制要求设立数据保护官,用以监管数据活动,从而保障了重大数据活动的安全性。其二,以数据处理规模作为数据保护官的强制性设立情形。大规模数据处理活动往往涉及公共安全利益。欧盟以5000个数据作为大规模的标准,美国以10万个数据作为大规模的标准,我国以100万个数据和10万个敏感数据作为大规模的标准。显然,我国存在标准过高的问题,如果以此作为数据保护官的强制性设立条件,会导致中等规模的数据活动得不到有效监管。因此,我国有必要合理降低大规模数据的判定标准,以涉及10万个主体以上的数据处理活动作为数据保护官的强制性设立情形,即可以覆盖中小型互联网平台的数据业务,又能够快速提升我国数据保护官的市场任命率。另外,我国还需要将公共视频监控活动纳入数据保护官的强制性设立情形之中。当前,公共视频监控系统已被我国广泛应用于社会治理、商业管理和个人安保等领域。公共视频监控系统收集和存储了国家和社会多个领域的数据和信息,其中不乏重要数据和敏感个人信息,一旦发生泄露事故,势必危及国家、社会和个人的安全利益。因此,公共视频监控活动亟需设立数据保护官来规范监控信息的处理活动。具体而言,在公共视频监控部署阶段,由数据保护官负责划定合理监控区域和实施公民隐私影响评估活动;在监控信息收集和存储阶段,数据保护官的重点作用是保护监控对象的信息删除权和遗忘权;在监控信息使用阶段,数据保护官的核心职责是确保监控主体使用信息的目的和方式符合最小化、隐匿化等法律要求;在监控信息的传输阶段,数据保护官还应保障信息传输活动的安全性。从而实现了数据保护官对公共视频监控活动的全过程监管,最大程度上保障了监控对象的各类法律权益。
其一,在数据安全风险预防方面,我国应当赋予数据保护官以下职责来发现和纾解组织数据业务中潜在的安全风险。(1)实施数据保护影响评估活动。“数据保护影响评估旨在描述数据处理行为,评估其必要性和适当性,并通过评估内容确定这些问题的应对措施,帮助管理个人数据处理活动对自然人带来的威胁和风险。”一般而言,高风险数据行为是数据保护影响评估活动的强制实施情形,例如严重影响用户数据权益的行为,大规模处理特殊数据的行为和在公共区域内实施大规模、系统性监控等情形。数据保护官是数据保护影响评估的核心执行主体之一,主要任务是提供关于实施评估活动的必要性、使用方法、负责组织、技术类型和法律依据等方面的建议,同时还需要监督企业遵循数据保护影响评估的结果,清理和纠正企业的剩余风险,进而保障用户数据权益的最大化。(2)开展合规监管活动,督促相关组织遵守和执行各项数据处理规则的要求。数据保护官的合规监管职责来源于法律明确的授权。例如,欧盟GDpR第39条第1款规定,数据保护官“监督本条例、欧盟成员国其他数据保护法规以及与个人数据保护有关的控制者或处理政策的遵守情况”,韩国《个人信息保护法》第31条第4款规定:“当隐私官意识到任何违反本法或个人信息保护有关的其他相关法律的行为,应当立即采取改正措施。”我国法律应当明确规定数据保护官负有督促相关组织遵守和执行各项数据处理规则的职责。以上各项数据处理规则,既要包括我国与其他国家签订的有关数据跨境流动、数据共享和数据治理等方面的国际协议,又要包括我国现行有效的数据法律法规、规章和行业标准,还要包括组织内部的规章制度。我国数据保护官合规监管的具体方式可以借鉴欧盟制度,通过培训合规意识、制定数据保护计划和数据合规计划、审查和监控数据活动等方式,确保政府和企业数据活动的各个环节都要符合数据处理规则的要求,从而降低数据安全事故的发生概率。其二,在数据安全风险处理方面,我国应当建立数据保护官与数据监管机关联络和协商机制。“第29条小组”认为,数据保护官是监管机构执法活动的联络人,而这种联络方式是双向的,监管机构可以主动联络数据保护官以获取数据执法活动所必要的相关文件和信息,并在此基础上形成执法意见,数据保护官在数据监管过程中也可以主动联系监管机构以寻求具体的建议,在此过程中数据保护官不受其保密义务限制。欧盟法律赋予数据保护官以数据监管机构联络人的角色,一方面使得数据保护官的监管活动具有“代表官方”的性质,另一方面在数据安全事故发生后,独立性的数据保护官可以为监管机构提供更为真实的材料,从而便于执法人员调查和还原案件事实。我国作为数据大国,有必要赋予数据保护官以监管机构联络人的角色,建立数据保护官与数据监管机关联络和协商机制。一是数据监管机构要设立专人专岗从事与辖区内数据保护官的沟通工作;二是建立数据安全风险定期上报机制,由数据保护官向数据监管机构上报监管过程中发现的安全风险,以及处置结果;三是数据安全事件发生后,数据保护官协助执法人员调查安全事件,提供原始监管材料;四是数据监管机构的执法过程、执法结论应当积极听取数据保护官的意见。数据保护官与数据监管机构联络和协商机制的建立,能够进一步强化数据保护官的独立性监管地位,尤其对于政府而言,可以起到将外部监管转化为内部监管的效果,从而节省了行政资源,提升了数据安全事故的执法效率。
2020年10月13日,全国人大常委会法制工作委员会《关于〈中华人民共和国个人信息保护法〉(草案)的说明》指出,“明确在我国境内处理个人信息的活动适用本法的同时,借鉴有关国家和地区的做法,赋予本法必要的域外适用效力,以充分保护我国境内个人的权益”。这充分说明了数据、信息保护制度只有适当具备了域外效力,才能够有效保障境内数据的安全。欧盟GDPR要求,凡是在其境内从事数据活动或者向欧盟提供数据服务的组织,只要数据处理达到一定规模都必须设立数据保护官,从而扩张了长臂管辖权。我国数据保护官制度的适用范围应当具有必要的域外效力。首先,应当聚焦于境内组织的数据处理活动,我国公共组织、企业开展数据业务,只要符合设立数据保护官的条件必须依法设立,从而保障数据的本土安全;其次,境外组织在我国领土内开展数据业务的,必须强制要求任命具有中国国籍的数据保护官,防止出现违规披露、传输我国数据的情形;最后,我国数据在跨境传输时,接收方必须依据我国法律要求设立一名数据保护官,用以监控数据跨境流动的安全性。我国数据保护官制度的适用范围采取境内、境外相结合的原则,一方面有利于我国主导国际数据跨境秩序和维护数据主权,另一方面能够合理拓展我国数据法律的长臂管辖权,对于抵制部分国家的“数据霸权”有着重要意义。我国数据保护官制度的构建对于推动国内、国际数据治理具有紧迫的必要性,因此必须尽快整合现有的法律制度,以国家强制性标准、部门规章等形式颁布统一的数据保护官制度。其一,我国数据保护官制度要做到有效衔接网络安全法、数据安全法和个人信息保护法等法律,以上述法律的各类数据、信息处理规则作为数据保护官的实践指南;其二,工业和信息化部作为数据安全主管部门,应当尽快出台一系列鼓励措施,推动数据行业培养和任命数据保护官;其三,我国的数据保护官制度还要落实好《全球数据安全倡议》有关内容,以“构建和平、安全、开放、合作、有序的网络空间命运共同体”作为下一步的重点任务。
往期精彩回顾
乔岳 孙刚|有故意无身份型间接正犯之否定——以内幕交易罪为出发点的展开
[匈牙利]兹索尔特·兹迪著 王泽山译|算法可解释性和法律推理[丹麦]杰斯帕·瑞贝格著 奚哲涵译|刑事司法与人工智能:如何评估量刑算法的性能[荷兰]马西莫·马雷利著 陈波 白文丹译|欧盟《通用数据保护条例》框架下向国际组织传输个人数据:数据传输机制的分析[加拿大]若瑟兰·麦克卢尔著 朱正宇译|人工智能的可解释性困境与公共理性的法伦理探究
上海市法学会官网
http://www.sls.org.cn
