欧盟《一般数据保护条例》指导下的数据保护官制度解析与启示

欧盟发布的《一般数据保护条例》对数据保护官的组织定位、设置条件、功能特征、资质要求等做出了明确的规定。《一般数据保护条例》指导下的数据保护官制度,启示着我国企业的组织机构需要对接国际标准、立足本土,从数据保护岗位设置来促进数据保护的合规实践;我国的数据管理人才培养,需要健全培养目标、丰富培养方式、创新培养内容、对接职业场景;有关学科专业需要积极参与到数据保护官的职业标准化和认知体系建设之中。

中外数据保护官制度分析及启示

[目的/意义]系统了解当前中外数据保护官制度的主要内容与异同,对于企业有效规避用户隐私风险,促进全球数据流动与增值,具有现实与理论意义。[方法/过程]运用了文献分析法和比较分析法,从数据保护官的法定条件与地位、法定职责与范围、问责机制三方面,对中外数据保护官制度进行系统性的比较研究。[结果/结论]整体上看,各国数据保护官制度日趋完善,成为未来数据流动的法律保障制度之一。我国应通过立法的方式完善数据保护官制度,设置权威机构来培养数据保护人才,促进我国数据保护与流动增值的发展。

欧盟通用数据保护条例中的数据保护官制度

数据保护官是起源于欧洲的一项保护个人数据的制度。2018年5月,欧盟颁布的《通用数据保护条例》(GDPR)将该制度上升为适用欧盟所有成员国的法律,甚至在一定程度上具有域外效力。中国与欧盟的经贸关系联系密切,数据保护官制度对从事中欧贸易与投资的企业会产生诸多影响。因此,什么样的企业需要聘任数据保护官?对数据保护官有什么样的专业能力要求?数据保护官履行工作时,GDPR提供了什么样的保障?数据保护官的工作内容有哪些?这些问题有必要进行深入研究,以便有效提高中国企业在欧盟的数据保护的合规性。

GDPR“数据保护官”制度探析——兼论其对中国的启示

本文首先结合欧盟其他与数据保护相关的数据法律文件,对 GDPR 中的“数据保护官”制度进行了全面的介绍和解构。而想要对该制度进行更深层次的探究,还需立足“数据保护官”制度在立法过程中和生效前后的争议焦点,剖析不同利益团体对该制度的需求和态度。在这样的研究基础上,本文试图讨论 GDPR 全面实施后,“数据保护官”制度对不同主体产生的具体影响;并对中国如何构建类似制度,提出一些建议。

欧盟数据保护官制度研究

[目的/意义]欧盟数据保护新规(GDPR)中的数据保护官(DPO)制度颇受关注。追溯DPO制度演进路径,剖析DPO的设置与具体职责,考察欧盟DPO制度实施与影响,不止关乎中国企业对欧贸易,更是我国相关规则体系构建的重要参考。[方法/过程]通过梳理GDPR中有关DPO的条款及相关过程文本,发现在GDPR规定的3种情形下,数据控制者/处理者应设置数据保护官。DPO的职责包括对数据控制者相关工作人员的告知和建议、监督数据处理的合规性、联络数据主体、同监管机构合作、数据处理活动的记录与归档、培训以及保密等。[结果/结论]设置DPO对于确保数据控制者的合规、减轻监管机构负担影响深远。欧盟DPO制度对中国企业/机构的启示在于:应按GDPR的规定设置DPO,并设计完整的数据保护监督流程;对中国数据保护监督及机制建设的启示包括:明确规定数据控制者应设置数据保护专门岗位和专业人员、对不合规的数据控制者给予相应的责任追究和惩罚、加强数据监管机构的建设。

国外个人数据保护官的概念、职责与能力素质

[目的／意义]从理论上总结分析国外个人数据保护官的含义、类型、职责与能力素质要求，为我国实践领域的应用提供学术上的分析和建议。[方法／过程】通过文献回溯检索考查个人数据保护官的起源和含义；参考领英平台个人数据保护官招聘公告以及美国O＊NET系统相关职业的规范模型，以KSAO模型以及杨和查普曼的能力模型为基础，从风险管理视角归纳总结国外个人数据保护官职责体系和能力素质要求。[结果／结论]目前国外个人数据保护官的类型多样，有业务类型也有顾问类型，有决策层的也有基层的。从风险管理视角来看，个人数据保护官承担隐私法律风险管控的重要职责，而胜任这些职责，则需要具有相应隐私法律知识、信息分析知识等，应具有问题敏感性、解决问题、善于沟通等能力，应具有注重细节、适应复杂和快捷工作环境等特质。

欧盟数据保护官制度及对中国的启示——以欧盟《一般数据保护条例》为研究对象

欧盟《一般数据保护条例》于2018年5月25日在欧盟全体成员国正式生效。该条例中的数据保护官制度为全球之前沿实践,值得我国归纳、反思并借鉴。欧盟数据保护官制度主要包括三个方面内容:数据保护官的设立、地位及职责。数据保护官的设立采用强制设立与自愿设立相结合的原则,其是具有独立性的特殊职位,并旨在保证条例在数据控制和处理主体内部有效实施,维护数据主体的合法权益。数据保护官的独立性不仅是其履职的关键,更是条例有序推进的关键。我国未来的数据保护立法应从现有的普遍强制设立原则转向强制与自愿相结合的原则,明确数据保护官以维护数据主体合法权益为主要职责,并进一步强化数据保护官的独立性要求。

论个人信息保护负责人——以《个人信息保护法》第52条为中心

数字时代新兴的个人信息保护负责人制度,是强化个人信息处理者自我规制以弥补政府规制缺陷的现实需要。通过对个人信息处理活动以及采取的保护措施等进行监督,个人信息保护负责人制度可以促进个人信息处理合规,推动个人信息保护的公私合作治理。应区分个人信息的类型和级别,设置不同的个人信息处理数量标准,并明确公共机构必须设立个人信息保护负责人。个人信息保护负责人的资质不明,且职位名称存在缺陷,易导致监督职责和非监督职责的合一。为了能够独立有效地监督个人信息处理者,应充分保障个人信息保护负责人的知情权、提供必要的履职资源、使其能够便利地向最高管理层报告、禁止兼任与监督职责相冲突的职位。个人信息保护负责人不是个人信息保护的直接责任人,只应承担监督责任。