【摘要】数字时代新兴的个人信息保护负责人制度,是强化个人信息处理者自我规制以弥补政府规制缺陷的现实需要。通过对个人信息处理活动以及采取的保护措施等进行监督,个人信息保护负责人制度可以促进个人信息处理合规,推动个人信息保护的公私合作治理。应区分个人信息的类型和级别,设置不同的个人信息处理数量标准,并明确公共机构必须设立个人信息保护负责人。个人信息保护负责人的资质不明,且职位名称存在缺陷,易导致监督职责和非监督职责的合一。为了能够独立有效地监督个人信息处理者,应充分保障个人信息保护负责人的知情权、提供必要的履职资源、使其能够便利地向最高管理层报告、禁止兼任与监督职责相冲突的职位。个人信息保护负责人不是个人信息保护的直接责任人,只应承担监督责任。
【中文关键字】个人信息保护负责人;自我规制;数据保护官;个人信息处理合规
《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第52条强制要求处理个人信息达到规定数量的个人信息处理者,应当指定个人信息保护负责人。[1]作为弥补政府规制缺陷的一种自我规制,个人信息保护负责人通过独立有效地履行监督职能,可以促进个人信息处理合规,推动个人信息保护的公私合作治理,从而有利于促进数字经济高质量发展。然而,“个人信息保护负责人”条款较为简单,相关制度极不完善,易导致个人信息保护负责人有效履行监督职责的预期制度价值落空。个人信息保护负责人制度正在我国得到广泛实施,但当前几乎没有专门的研究。个人信息保护负责人制度源于欧盟的数据保护官(Data Protection Officer)制度,国内外学者们对后者进行了相对较多的研究。有学者认为,数据保护官担任“看门狗”角色,是不受企业干预的具有独立性的特殊职位,可以促进数据合规、减轻监管机构负担,有利于维护数据主体的合法权益。[2]在考察数据保护官的基础上,我国一些学者提出企业需要对接国际标准,根据强制与自愿结合的原则设立数据保护官。[3]还有学者主张,政府部门在处理规模较大的数据、特殊数据、敏感数据时,可以任命专门的数据安全监管人员。[4]虽然我国已设立了个人信息保护负责人制度,但其不同于欧盟的数据保护官制度,而且当前我国的个人信息保护负责人制度在规范性与有效性方面存在不足。[5]本文将立足中国、放眼世界,结合欧盟的数据保护官制度,剖析个人信息保护负责人的法律地位及其功能,探讨个人信息保护负责人的适用范围、资质、职责、独立性保障等问题,以期推动个人信息保护法治的不断完善。
一、个人信息保护负责人的法律地位及其功能
为了在激烈的全球数字市场竞争中不被淘汰,个人信息处理者具有巨大的压力和动力不断提升个人信息保护水平。那么,政府为什么还要改变企业治理结构,而强制个人信息处理者设立新型的个人信息保护负责人职位呢?(一)个人信息保护负责人:履行公共职能的私人监督者个人信息保护负责人属于履行公共职能的私人监督者。个人信息保护负责人的产生,是政府强化企业自我规制以弥补数字时代行政监管不足的现实需要。2017年发布的《信息安全技术 个人信息安全规范》首次使用“个人信息保护负责人”一词,2020年公布的《中华人民共和国个人信息保护法(草案)》(以下简称《个人信息保护法(草案)》)予以采用,2021年正式通过的版本予以最终确定,将其职能定位为“负责对个人信息处理活动以及采取的保护措施等进行监督”。面对日新月异的数字科技和几乎无处不在的个人信息处理行为,监管部门存在“知识供给不足”、违法信息获取的滞后性、人财物的有限性等缺陷,导致传统的行政监管日益捉襟见肘、力不从心。自我规制主体拥有充分的“内部知识”和较高的专业技术水平,可以通过较低的成本更快捷地回应技术变化,更容易创造出更有力的监管手段。[6]我国的个人信息保护负责人制度源于对欧盟数据保护官制度的借鉴。欧盟数据保护官产生的缘由,在于强化企业的自我规制,减轻行政监管的压力。1977年颁布的德国《联邦数据保护法》率先在全球规定了数据保护官制度,第4d条规定数据控制者如果设立了数据保护官,在启动数据自动化处理程序前,就不用向联邦数据保护和信息自由专员进行登记。德国通过要求公司任命数据保护官担任“看门狗”角色,强制企业进行自我规制,以补充政府数据保护机构的监管。荷兰、挪威、瑞典和瑞士等国家允许公司选择任命一名数据保护官,以取代向数据保护机构提交更多实质性文件。[7]1995年欧盟发布的《关于涉及个人数据处理的个人保护以及此类数据自由流通的第95/46/EC号指令》(以下简称《数据保护指令》)规定了数据保护官,重要目的之一为“简化或豁免报告义务”。《数据保护指令》第18条规定,如果数据控制者任命了数据保护官,以确保数据处理不可能对数据主体的权利和自由产生不利影响,成员国可以简化或免除数据控制者的报告义务。《数据保护指令》第19条规定的报告义务内容包括数据控制者的名称和地址、数据处理目的、数据种类、向第三国转移数据的计划等事项。2016年4月欧盟通过的于2018年5月实施的《通用数据保护条例》,要求符合条件的组织必须设立数据保护官,对数据保护官的任命、地位和职责进行了系统规定。为了进一步阐释数据保护官制度,欧盟第29条数据保护工作组于2016年发布《数据保护官指南》。2022年欧洲议会通过的《数字服务法》第32条要求超大型平台应当设立合规官(Compliance Officers),负责监督遵守本规定的情况。合规官同数据保护官相似,但职能更广泛,不限于数据保护。数据保护官实际上承担了监管机构的部分公共职能。在数据保护官产生之前,数据控制者、处理者被要求向监管机构承担更多的通知、报告等义务。如果数据控制者、处理者设立了数据保护官,向监管机构的报告义务就可以得到简化或豁免,这实际上意味着自我规制的加强和行政干预的减少。数据保护官制度完善了数据控制者、处理者的内部管理体系,加强了其内部的数据保护力度,具有非常重要的实践意义与良性效果。[8]数据保护官条款通过要求设置不受阻碍的隐私专家,必然导致公司的结构性变化,可能会增加对全球数据主体的隐私保护。[9]总而言之,无论是域外的数据保护官,还是我国的个人信息保护负责人,都体现了数字时代政府对企业自我规制的强化。一种由行政机关批准或要求私人行为者在该机关的监督之下进行自我规制的制度设置,[10]将发挥日益重要的功能。(二)个人信息保护负责人的制度功能其一,监督个人信息处理者以促进个人信息处理合规。个人信息处理在产生大量社会财富的同时,也引发了日益普遍的信息风险,侵害个人信息权益的风险已经呈现出逐渐加剧的态势。[11]然而,数据已成为数字时代的关键生产要素,不能为了安全而罔顾发展,个人信息保护的重点不在于阻止个人信息的收集使用,而在于监督个人信息处理行为。个人信息天然具有公共性和交互性,具有固有的人格和天然的财产双重价值,保障其有序自由流动和高效利用意义重大。[12]个人信息保护负责人的使命为保护个人信息,可以较为有效地阻止追求商业利润最大化的不合规处理行为。通过对个人信息处理者的作为和不作为行为进行全面监督,如监督是否制定并及时更新了个人信息保护政策和相关规程、是否开展了有效的个人信息保护影响评估、是否定期进行了合规审计、是否采取了必要的安全保护措施,个人信息保护负责人可以预防和制止不合规的个人信息处理而达到未雨绸缪的效果。通过聘请有能力的知名个人信息保护负责人,有助于提升个人信息处理者的企业形象,可以增强监管部门、合作伙伴、社会公众等主体的信任感,从而有利于增加企业的竞争优势。未来全球竞争力强的个人信息处理者,一定是个人信息保护良好的互联网企业。不合规的个人信息处理行为,不仅可能会对品牌和利润产生重大而长期的不利影响,甚至还会导致整个行业商业模式的消亡。由于个人信息处理不合规,个人信息处理者可能被实施高额罚款、停业整顿、吊销证照等严厉的行政处罚,相关人员可能被判处刑罚。[13]除了政府调查和处罚造成的不利影响外,个人信息处理不合规还容易引起媒体的关注和评论,而这可能对企业造成致命的影响,尤其是社交媒体不够谨慎的评论。恢复企业品牌和声誉,是一项漫长而昂贵的工作。[14]其二,作为连接纽带而推动个人信息保护的公私合作治理。通过对内负责对个人信息处理活动以及采取的保护措施等进行监督,对外协助个人信息权益人实现其权利束,并及时向监管部门报告相关情况,个人信息保护负责人可以有效协调多方力量共同保护个人信息。《个人信息保护法》第52条要求个人信息处理者向全社会公开个人信息保护负责人的联系方式,向政府相关部门报送个人信息保护负责人的姓名、联系方式等信息,实际上希望通过强化个人信息保护负责人的沟通功能而实现公私合作治理。首先,个人信息保护负责人是个人和个人信息处理者之间的纽带。通过协助个人信息权益人实现其权利束,个人信息保护负责人可以促进个人对个人信息处理者进行有效的制衡。《个人信息保护法》第四章明确了个人的知情权、决定权、查阅权、复制权、更正权、补充权、删除权、可携权等权利束,这些权利既是国家对个人信息处理者的监管策略,也是个人制衡个人信息处理者的工具。对权利束的保障,核心在于确保其制衡效果得到有效发挥。[15]然而,普通个人由于欠缺专业知识可能不知如何实现自己的权利,权利被侵犯后往往也不知如何有效寻求救济,如果向法院提起诉讼,则面临较为繁琐的司法程序。个人通过提交违法证据而直接向个人信息保护负责人投诉和举报,要求其依法监督个人信息处理者,能够更有效地保护自己的权利。由于具有丰富的个人信息保护知识和经验,且更了解所属的个人信息处理者,个人信息保护负责人可以更专业、更迅速地制止侵犯个人信息权利束的行为。其次,个人信息保护负责人是个人信息处理者和监管部门之间的纽带。通过常态化的日常沟通,向监管部门报告个人信息处理者的个人信息保护和事件处置等情况,有利于政府更好地实施监管。对于经过有效的督促后但个人信息处理者仍不改正的违法行为,个人信息保护负责人通过直接向监管部门报告,可以有效缓解信息不对称问题,有利于行政执法。总而言之,个人信息保护负责人属于个人信息处理者、个人信息权益人、监管部门等多元主体之间的连接纽带,对于推动个人信息保护的公私合作治理具有重要价值。综上,个人信息保护负责人的产生,是强化个人信息处理者自我规制以弥补政府规制缺陷的现实需要,有助于促进个人信息处理合规,有利于推动个人信息保护的公私合作治理。此外,普遍违法或大规模处理个人信息还会引发系统性公共风险,[16]个人信息保护负责人制度还有利于维护社会公共安全乃至国家安全。《关于构建更加完善的要素市场化配置体制机制的意见》明确要求“加快培育数据要素市场”,《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》专章规划“打造数字经济新优势”,数字时代个人信息处理范围必将更加广泛,处理频率必将更加频繁,个人信息安全必将存在更多的风险。[17]个人信息保护负责人的价值必将得到不断凸显,个人信息保护负责人制度的科学合理运行至关重要。
二、合理确定个人信息保护负责人的设立标准和适用主体
数字时代的个人信息保护负责人具有重要价值,那么应以何种标准强制哪些个人信息处理者设立该职位呢?公共机构是否也应设立个人信息保护负责人?厘清个人信息保护负责人的适用标准和适用主体范围,有助于全面发挥该制度的预期功能。(一)区分个人信息类型和级别设置数量标准对于是否以及根据何种标准强制企业设立数据保护官,在欧盟曾存在较大的争议。支持者认为,数据保护官在保护数据的同时,成为数据控制者同数据主体间的桥梁,可以减少与数据泄露相关的损失。反对者则认为不应当设立数据保护官制度,因为会给企业增加新的财务负担,可能会导致在职员工因担任数据保护官而承担过大的工作量和工作压力。[18]数字时代的数据处理日益增多,数据保护的重要性日益凸显,欧盟率先确立了以企业规模为标准的强制性的数据保护官制度。《通用数据保护条例——欧盟委员会2012年建议案》第35条要求拥有250人及以上的企业进行数据处理时必须设立数据保护官。德国《联邦数据保护法》规定,雇佣超过9人长期从事自动化数据处理,或雇佣至少20人从事非自动化数据处理的私营机构,必须任命数据保护官。《通用数据保护条例》第37条规定了企业必须设立数据保护官的两种情形:(1)基于数据处理的性质、范围和(或)目的,数据控制者或处理者的核心活动需要对数据主体进行定期的大规模系统化监控;(2)数据控制者或处理者的核心活动包含根据第9条处理大规模特殊类别的数据,以及根据第10条处理刑事定罪和罪行的数据。《通用数据保护条例》序言第97条强调,对于私营部门而言,核心活动是数据控制者的主营业务,而非辅助业务。企业规模不应成为强制设立个人信息保护负责人的决定性标准。其一,企业规模越大,并不必然就会处理更多的个人信息。其二,数字经济行业差别较大,规模较大的企业处理的个人信息造成的影响,可能不如一些小型但处理重要个人信息的企业,如人脸识别企业。其三,企业越大往往越在乎声誉,规模越大的企业,守法诚信经营状况一般会更好。即使法律没有强制规定,大型企业也可能制定严苛的内部规章制度以加强自我规制。而对于一些中小微企业而言,由于本身不知名可能不太重视自己的声誉,往往为了追求眼前利益而更容易违法侵犯个人信息,可能更需要设立个人信息保护负责人。企业规模曾经是我国设立个人信息保护负责人的重要标准之一,我国2017年发布的《信息安全技术 个人信息安全规范》,以企业规模和个人信息处理数量为标准,明确两种情形必须设立个人信息保护负责人。[19]《个人信息保护法》最终放弃了企业规模标准,第52条要求“处理个人信息达到国家网信部门规定数量的个人信息处理者”应设立个人信息保护负责人。然而,应防止“一刀切”地以个人信息处理数量作为强制设立个人信息保护负责人的标准。之所以以个人信息处理数量为标准,是因为处理的个人信息数量越多,对个人甚至对社会、国家造成损害的可能性就越大。[20]然而,尽管个人信息处理数量较少,但如果处理的都是敏感个人信息,也可能造成毁灭性影响。《个人信息保护法》区分了敏感个人信息和一般个人信息,第51条明确要求“对个人信息实行分类管理”。《网络安全标准实践指南——网络数据分类分级指引》按照涉及的自然人特征,将个人信息分为个人基本资料、个人身份信息、个人生物识别信息、网络身份标识信息等16个类别。因此,在以个人信息处理数量为标准的基础上,需要进一步区分个人信息的种类和级别。一般而言,处理的个人信息越重要,个人信息处理数量的门槛应当设置得越低。在类型化必须设立个人信息保护负责人法定情形的同时,还应通过激励相容机制促进个人信息处理者自愿设立个人信息保护负责人。传统的命令控制型监管采取的是威慑式策略,注重事前立规和事后惩戒,监管者与被监管者之间缺乏动态、平等的对话沟通,导致监管效能低下。[21]需要调动信息控制者的积极性,设计激励相容的机制,促使信息控制者主动承担个人信息保护义务。[22]虽然个人信息保护负责人具有重要的时代价值,但如果一律强制所有个人信息处理者设立个人信息保护负责人,则可能对企业尤其是对中小微企业造成过大的运营成本,从而不利于数字经济发展;但如果完全实行自愿,个人信息处理者很可能为了节省成本而不设立个人信息保护负责人,从而不利于个人信息保护。宜根据强制和自愿相结合的原则,不断完善个人信息保护负责人的设立标准。《个人信息保护法》只规定了应当设立个人信息保护负责人的情形,缺乏“可以式”条款。《通用数据保护条例》第37条第4项规定,对于不符合强制的情形,数据控制者、处理者、协会,或代表各种控制者和处理者的其他机构,可以根据欧盟或成员国法律任命数据保护官。第29条数据保护工作组在《数据保护官指南》中,鼓励自愿设立数据保护官。(二)公共机构应当设立个人信息保护负责人《个人信息保护法》并没有明确规定公共机构是否应当设立个人信息保护负责人,不利于个人信息的全面保护。对个人信息滥用的各种指责,基本上都集中在对个人和商业机构上,国家机关的个人信息处理行为很少被曝光或检讨。[23]一些个人信息泄露事件暴露出有些国家机关存在个人信息保护意识不强、处理流程不规范、安全保护措施不到位等问题。[24]无论是私主体还是公共机构,都存在故意或过失侵犯个人信息的可能。虽然公共机构有相对健全的民主监督机制,不存在利润最大化的商业目标追求,但具有强大权力的公共机构一旦违法侵犯或不当处理个人信息,就可能带来更严重的损害。公共机构同时属于个人信息保护者和个人信息处理者,负有对私主体的个人信息处理进行监管的职责,但同时应确保自身进行个人信息处理时合规,所以同样有必要设立个人信息保护负责人。域外的数据保护官制度,不仅仅适用于私主体。1977年德国颁布的《联邦数据保护法》第4f条规定,自动处理个人数据的公共机构必须以书面形式任命数据保护官。2001年欧洲发布的《关于欧共体机构和组织所处理的个人数据的保护及此类数据的自由流通的第45/2001号条例》,要求欧共体机构和组织应当至少任命一名数据保护官,以确保数据主体的权利和自由不会受到处理操作的不利影响。2016年欧洲发布的《关于主管当局为预防、调查、侦查或起诉刑事犯罪或执行刑事处罚以及此类数据的自由流动而处理个人数据方面的自然人保护问题,并废除理事会2008/977/JHA号框架决定的2016/680号指令》,第32条规定除了法院和其他独立的司法机构,成员国机构应当设立数据保护官。《通用数据保护条例》序言第17条进一步明确第45/2001号条例,适用于欧盟各机构、部门、办公室和代理机构,但相关内容应进行修正。《通用数据保护条例》正文第37条规定除了行使司法职能的法院以外,进行数据处理的公共机构都必须设立数据保护官。可见,虽然存在例外适用情形,但公共机构设立数据保护官,一直都是欧盟法规定的强制义务。虽然我国一些地方正探索设立首席数据官,但其明显不同于个人信息保护负责人。例如,2021年广东省人民政府办公厅发布《广东省首席数据官制度试点工作方案》,明确首席数据官通过履行“推进数字政府建设”“统筹数据管理和融合创新”等职责,实现“创新数据共享开放和开发利用模式,提高数据治理和数据运营能力”的目的。[25]2022年公布的《广州市数字经济促进条例》要求“探索推行首席数据官等数据管理创新制度”。[26]2021年公布的《上海市数据条例》将首席数据官的适用范围扩大到“各区、各部门、各企业事业单位”。[27]无论是政府还是企业设立的首席数据官,都有别于个人信息保护负责人。政府首席数据官的主要职责是提升领导与业务人员对数据的价值认知,并将其运用到决策、流程与事务处理的优化转型上。企业首席数据官主要承担最大化商业价值、挖掘新的商业机会、数据质量管理等职责,主要扮演数据管理者、商业价值挖掘者、决策制定者、协调者、数据概念及技能推广者等角色。[28]首席数据官一般直接负责管理和利用数据,在性质和职能上明显不同于履行监督职责的个人信息保护负责人。如果涉及个人信息处理,政府和企业在首席数据官之外,还应依法设立个人信息保护人,定位于专门监督公共机构的个人信息处理行为。应当设立个人信息保护负责人的公共机构,不限于国家机关,还应包括法律、法规、规章授权的公共组织。德国《联邦数据保护法》第2条规定,公共机构包括行政机关、司法机关和其他公法机构,以及公法上的社团、营造物、财团等。《通用数据保护条例》并没有明确什么是“公共机构”,第29条数据保护工作组在《数据保护官指南》中指出,“公共机构”不仅包括国家、地区和地方机构,还包括受公法管辖的其他机构。执行公共任务的非公共机构,如公共交通服务、水和能源供应、道路基础设施、公共服务广播等领域的组织,虽然没有义务但最好设立数据保护官,因为执行公共任务的私主体同公共机构处理数据非常相似,而且个人通常对于是否以及如何处理他们的数据几乎或根本没有选择权。我国存在大量与人民群众利益密切相关的公共企事业单位,如供水、供电、供气、供热公司等,明显不同于普通的私主体,但在数字时代正进行日益广泛的个人信息处理,应将这些公共企事业单位视为“准公共机构”,明确其设定个人信息保护负责人的义务。[29]综上,公共机构应当设立个人信息保护负责人。作为个人信息保护者的公共机构,应当及时采取有效措施预防和惩治侵害个人信息权益的行为;作为个人信息处理者的公共机构,同私主体一样应当根据合法、正当、必要和诚信原则处理个人信息,并接受个人信息保护负责人的专门监督。《个人信息保护法》第52条“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人”中的“个人信息处理者”,可以也应当囊括公共机构。个人信息权益具有外部约束力,无论是私主体还是公共机构,都应遵守《个人信息保护法》的规定。[30]
三、个人信息保护负责人资质的具体化和“监督”困境
《个人信息保护法》第52条要求个人信息处理者“指定”个人信息保护负责人履行“监督”职责,但并没有明确资质条件,也并未赋予其独立的法律地位。“个人信息保护负责人”的职位名称存在重大缺陷,易导致监督职责和非监督职责的合一。(一)个人信息保护负责人资质的具体化个人信息保护负责人是数字时代的新兴职位,明确资质条件,对于其制度功能的有效发挥至关重要。具备什么条件的人可以成为个人信息保护负责人?外部人员可否被指定?个人信息保护负责人可否被共享?这些问题亟待明确。2020年修正的国家标准《信息安全技术 个人信息安全规范》规定,个人信息保护负责人“应由具有相关管理工作经历和个人信息保护专业知识的人员担任”。《通用数据保护条例》第37条第5项规定,数据保护官的任命应基于职业素质,尤其是应基于数据保护法的专业知识,并具有履职的经验与能力。《通用数据保护条例》序言第97条规定,必要的专家知识水平应根据所执行的数据处理操作和所处理的个人数据所需的保护程度确定。《数据保护官指南》进一步明确数据保护官应当正直、具有高尚的职业道德,专业水平必须与数据处理的敏感性、复杂性和数据量相称。我国的个人信息保护负责人应当诚实正直,具备法律、经济、科技、政治等专业知识,并具有一定的管理和沟通能力。首先,诚实正直应是担任个人信息保护负责人的首要条件。勤勉尽职地保护个人信息,不屈服于个人信息处理者的不当干预,积极配合监管机构执法,均需要良好的个人品行。其次,个人信息保护是一项高度专业化的活动,个人信息保护负责人必须具备相应的专业知识,尤其是应熟知网络与信息法。最后,个人信息保护负责人应具有一定的管理和沟通能力,能够有效同个人信息处理者、监管机构和个人信息权益人沟通。此外,担任个人信息保护负责人应不违反从业禁止情形。[31]向欧盟提供服务、商品的我国企业,应根据《通用数据保护条例》的标准设立数据保护官。[32]符合条件的内部员工和外部人员,都可以被指定为个人信息保护负责人,但二者各有利弊。其一,内部员工往往更熟悉个人信息处理的实际操作、流程和问题,并且可以更好地了解员工的担忧和安全漏洞的相关信息。外部人员可能具有更多经验和专业知识,能够更好地感知行业标准。其二,任命内部员工有利于保护相关内部信息和机密,但任命外部人员意味着要开放公司的系统、流程、安全措施和数据。其三,通过按小时、按月或按年付费聘用外部人员,可以提高其工作效率。[33]《通用数据保护条例》第37条第6项规定,数据保护官可以是数据控制者、处理者的员工,或是基于服务合同而聘请的外部人员。《数据保护官指南》指出如果聘请团队,每个成员都必须符合数据保护官的资质条件。由于外部人员无法有效掌握企业内部信息,难以进行有效的沟通协调,而且投入监督的时间、精力较为有限,为了更好地对个人信息处理者进行具体、深入的日常监督,宜指定符合条件的内部员工担任个人信息保护负责人。实际上,《个人信息保护法》专门规定了外部监督,其第58条明确要求提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。由内部员工担任个人信息保护负责人,可以解决有学者所认为的个人信息保护负责人同外部成员组成的独立机构职能存在重叠的问题。[34]虽然同样都履行监督职能确实存在交叉,但个人信息保护负责人和独立机构的设立资质条件、监督内容、监督方式等有所不同,由二者共同开展内外监督,有利于更好地保护个人信息。对于可否共享个人信息保护负责人,《个人信息保护法》没有明确规定。《通用数据保护条例》第37条第2项规定,如果每家企业能够很方便地联系数据保护官,企业集团可以只任命一人担任数据保护官。第3项规定,当数据控制者、处理者是公共机构时,可根据其组织结构和规模,为多个机构指定一名数据保护官。公共或共享的数据保护官是一种替代方案,特别是有利于无法任命全职数据保护官的小型组织。组织之间“共享”数据保护官,必须以这些机构在其职能、地理位置、组织等方面存在密切关系为事实条件。[35]为了更好地保护个人信息,原则上符合条件的每个独立的个人信息处理者,至少应当指定一名个人信息保护负责人,企业集团可以根据具体情况决定是否共享个人信息保护负责人。个人信息保护负责人确定后,应公开其有效的个人信息。对于个人信息保护负责人的姓名、电话等重要个人信息,是否应公开呢?2020年公布的《个人信息保护法(草案)》第51条第2款要求“个人信息处理者应当公开个人信息保护负责人的姓名、联系方式等,并报送履行个人信息保护职责的部门”。2021年公布的《个人信息保护法(草案二审稿)》第52条第2款作了调整,并不要求向社会公开个人信息保护负责人的姓名,三审最终通过的版本未作改变。[36]为了更好地保护个人利益和公共利益,个人信息保护负责人的联系方式公开,应区分为三种情况:一是向社会公开。为了防止被不当骚扰,且由于个人信息保护负责人会发生变动,一般不宜向社会公布个人信息保护负责人的姓名、联系电话等重要个人信息,但应当公布有效的电子邮箱、在线客服链接、通信地址等联系方式。《数据保护官指南》指出,虽然《通用数据保护条例》没有强制要求公开数据保护官的姓名,但公开姓名是一个很好的实践,是否有必要公开姓名由数据控制者、处理者自己决定。我国企业基本上没有向社会公开个人信息保护负责人的姓名和联系电话。[37]二是向政府公开。由于涉及政府规制执法,且政府可以进行相对较好的保密工作,应将个人信息保护负责人的姓名、联系方式等信息报送履行个人信息保护职责的部门。三是在个人信息处理者内部公开。为了更好地进行内部沟通协调,便于履职,应在个人信息处理者内部公开个人信息保护负责人的姓名、联系方式等更多的信息。(二)个人信息保护负责人的“监督”困境《个人信息保护法》第52条规定个人信息保护负责人“负责对个人信息处理活动以及采取的保护措施等进行监督”,但并没有明确赋予其独立的法律地位,导致个人信息保护负责人独立履行“监督”职责存在困境。虽然个人信息保护负责人所要保护的是个人信息,但却是由个人信息处理者指定并支付薪资福利。作为内部员工的个人信息保护负责人,同个人信息处理者是利益共同体,当个人信息保护同商业利益追求发生冲突时,个人信息保护负责人很难独立有效地履行监督的职责。虽然理论上个人信息保护越好,企业的竞争力就会越强,但现实中很多个人信息处理者并不会清醒地认识到这一点,甚至可能故意无视长远利益,为了追求利润最大化而忽视甚至故意侵犯个人信息的现象并不少见。部分个人信息处理者即使不故意违法处理个人信息,也极易从事高收益但风险极大的个人信息处理活动。当发生利益冲突时,具有短期经济理性的个人信息保护负责人很容易同个人信息处理者共同损害个人信息主体的利益。而且,“个人信息保护负责人”的职位名称存在缺陷,其应然职责涵盖范围过于宽泛,不利于监督职责的独立履行。《个人信息保护法》第52条一方面称为“个人信息保护负责人”,另一方面又将其法定职责定位为“监督”,但至少从字面意思上看,“负责”的内涵明显宽于“监督”。对个人信息保护“负责”,既应消极不侵犯个人信息,在处理个人信息时遵守各种合规要求,又应采取必要措施积极保护个人信息,而“监督”是对个人信息处理者作为或不作为行为的监察督促。“个人信息保护负责人”的职位名称源于2017年发布的《信息安全技术 个人信息安全规范》,该规范不完全列举了个人信息保护负责人的七项宽泛职责,其中第一项为“全面统筹实施组织内部的个人信息安全工作,对个人信息安全负直接责任”。2020年修正的《信息安全技术 个人信息安全规范》又为个人信息保护负责人增加了“组织制定个人信息保护工作计划并督促落实”“公布投诉、举报方式等信息并及时受理投诉举报”“与监督、管理部门保持沟通,通报或报告个人信息保护和事件处置等情况”三项职责。由上考察可知,个人信息保护负责人的职责一直较为宽泛,无论在应然上还是实然上都明显不限于“监督”,需要“对个人信息安全负直接责任”。2021年颁布的《个人信息保护法》延续使用了“个人信息保护负责人”一词,但将其法定职责限缩为“监督”。我国个人信息保护负责人制度源于对欧盟数据保护官制度的借鉴,但却不适当地修改了名称和职责。欧盟使用的是“数据保护官”而非“数据保护负责官”,其主要职责在于监督数据控制者、处理者,但并不对数据保护承担直接责任。《通用数据保护条例》第39条对数据保护官的职责进行了不完全列举,包括提出合规建议、监督数据处理、对数据保护影响评估提出建议、配合监管机构等方面。《数据保护官指南》重申并细化了数据保护官的职责:(1)监督对《通用数据保护条例》的遵守情况;(2)协助数据保护影响评估;(3)与监管机构合作并充当连接点;(4)识别数据处理的风险;(5)保存数据处理记录。数据保护官属于第三方职位,承担着数据控制者、处理者的顾问角色,有利于促进公司和公共机构进行正确管理。[38]我国的个人信息保护负责人则被视为是企业内部的专业负责人员,而非独立于企业的监督人员。[39]
四、个人信息保护负责人的独立性保障
个人信息保护负责人极易受到个人信息处理者的支配和控制,“监督”易流于形式。作为一种受强制的自我规制机制,个人信息保护负责人制度体现了政府部分职能向市场和社会的转移。为了防止个人信息保护负责人的制度价值落空,需要明确个人信息保护负责人的独立监督地位,修正“个人信息保护负责人”的职位名称,完善独立履行监督职责的制度保障,并合理配置监督责任。(一)明确个人信息保护负责人的独立监督地位并修正职位名称个人信息保护负责人的产生具有时代必然性,其承接了政府保护个人信息的部分职能,“有利于实现以政府为中心的规制国向市场与社会放权”[40]。通过强化个人信息处理者的自我规制,要求其依法设立个人信息保护负责人履行内部监督职责,可以减轻政府保护个人信息的公共任务负担,提升个人信息保护效能。为了能够更加有效地监督个人信息处理者,应当明确个人信息保护负责人的独立法律地位,并将“个人信息保护负责人”修正为“个人信息保护监督人”“个人信息保护监督负责人”等名称。如果一方面使用“个人信息保护负责人”的职位名称,另一方面又将其职责定位为“监督”,由于名不符实,必将导致实践的混乱。一些个人信息处理者的高级管理人员或相关决策层成员被指定为个人信息保护负责人,既直接参与个人信息处理过程,又负责监督个人信息处理活动,从而出现既当运动员又当裁判员的窘境。法定职责定位为“监督”但又称为“个人信息保护负责人”,不仅容易导致监督职责和非监督职责的混同,而且容易使该职位人员承担不该承担的责任,甚至成为“替罪羊”。本来是个人信息处理者违法处理或没有采取必要的保护措施,但最终可能以“个人信息保护负责人”没有有效“负责”为由追究责任,权责分离的不公平现象由此而生。个人信息保护的真正负责人,应当是个人信息处理者。《个人信息保护法》第9条明确规定:“个人信息处理者应当对其个人信息处理活动负责”,个人信息处理者有义务在合法、正当、必要范围内处理个人信息,并积极采取有效的组织、技术等保护措施。个人信息处理者为个人信息保护的直接负责人,承担个人信息保护的主体责任。如果违法处理个人信息,或未履行个人信息保护义务,在我国确立的双罚制的背景下,应由个人信息处理者、直接负责的主管人员、其他直接责任人共同承担责任。个人信息处理者可以自主设立分管个人信息保护的专门职位,任命人员全面负责本组织的个人信息保护工作。1994年美国威瑞森通信公司率先设立了首席隐私官(CPO),如今国内外很多企业都自发设立了首席隐私官。通过参与制定公司目标的高级别论坛,首席隐私官将隐私从附属“附加项”转变成为公司决策制定中的战略性问题。[41]首席隐私官的活动具有战略性和私益性,其不仅负责保障本组织的活动不侵犯隐私,还负责在现行法律制度下最大程度寻求数据利用创新以促进利润增长。相比于个人信息保护负责人监督个人信息处理行为的唯一使命,首席隐私官的职责范围更广,公共性和独立性更低。首席隐私官一般属于个人信息控制者、处理者的高级管理人员,需要服从等级化的管理,而致力于“监督”的“个人信息保护负责人”同首席隐私官职位存在本质差别。?除了首席隐私官外,网络安全负责人、数据安全负责人、数据安全责任人也属于分管负责人,在职责上明显不同于专门行使监督职责的个人信息保护负责人。《中华人民共和国网络安全法》第21条要求网络运营者“确定网络安全负责人,落实网络安全保护责任”。网络安全负责人的职责并不是监督,而是进行网络安全保护,属于法律强制网络运营者设立的负责网络安全保护的专门人员。《中华人民共和国数据安全法》第27条要求“重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任”,数据安全负责人由数据处理者决策层成员承担。[42]2022年发布的《信息安全技术 网络数据处理安全要求》提出网络运营者如果处理重要数据和敏感个人信息,应明确“数据安全责任人”“参与有关数据处理的重要决策”。由此可见,我国语境中的“负责人”是指对某些事项全面负责的责任人,具有决策权和管理权,其负责的领域出现问题时需要承担相应的领导责任。作为专门负责监督个人信息处理活动的人员,显然不宜称为“个人信息保护负责人”。个人信息保护负责人应独立履行监督职责。在监督内容上,应对个人信息处理者作为和不作为行为的全过程进行监督。对于事前监督,应监督个人信息处理者是否制定并及时更新了个人信息保护政策和相关规程、是否采取了必要的安全保护措施、是否定期对从业人员进行安全教育和培训等。对于事中监督,应监督个人信息处理全过程是否合法合规,如是否过度收集信息、是否依法开展了有效的个人信息保护影响评估、是否定期进行了合规审计等。对于事后监督,应监督个人信息处理者事后是否积极作为,如在发生或者可能发生损害时是否立即采取了补救措施。如果用户投诉认为自己的个人信息权益受到了个人信息处理者的侵犯,个人信息保护负责人应当及时进行公正的调查。在履行监督职责过程中,对于发现的个人信息处理违法问题,个人信息保护负责人有义务及时向政府规制部门报告,而不是帮助个人信息处理者掩盖或销毁证据。(二)完善独立履行监督职责的制度保障“个人信息保护负责人应当具有独立性,个人信息处理者应当为个人信息保护负责人依法独立履职提供必要的条件。”[43]欲使个人信息保护负责人独立有效地监督个人信息处理者,需要完善的配套制度予以保障。?其一,充分保障个人信息保护负责人的知情权。充分知情是有效监督的前提,个人信息处理者应当将所有相关信息及时提供给个人信息保护负责人,并保障其能够参与重要会议。个人信息保护负责人在履职时不应受到任何干预,独立发表不同意见的权利应得到保障。《通用数据保护条例》第38条第1项规定,数据控制者、处理者应当确保数据保护官能够适当、及时参与所有有关个人数据保护的事务。《数据保护官指南》指出,数据保护官尽早介入所有涉及数据保护的问题至关重要,应当确保其定期参加中高层管理会议。数据保护官是设立在企业内部的岗位,但在一定程度上扮演着监管部门的角色。数据保护官应保持警惕,并拒绝参与可能对履职产生指示、压力的交流活动。[44]如何在岗位设计上保障数据保护官不受企业影响而作出独立判断,同时又使其能深入到企业的业务中去,是一个现实难题。[45]我国的个人信息保护负责人面临同样的问题,如何同个人信息处理者保持适当距离但又能充分掌握相关信息,对于独立有效地履行监督职责至关重要。其二,为个人信息保护负责人提供必要的资源。只有具备相应的资源,才能保障个人信息保护负责人顺利履行监督职责。应当为个人信息保护负责人提供独立的预算和经费保障。由于监督职责任务较重,也为了防止被不当利益所诱惑,应为个人信息保护负责人提供较高的薪资福利。必要的资源不限于物质资源,还包括履职所应当具备的所有相关条件。《信息安全技术 个人信息安全规范》简单地规定应为个人信息保护负责人“提供必要的资源”,保障其独立履行职责。《数据保护官指南》指出,必要的资源包括获得管理高层的支持、充裕的履职时间、适当的人财物支持、访问其他部门的必要权限、持续的培训等。由于个人信息保护负责人致力于监督个人信息处理合规,着眼于风险防控,极易导致企业短期利润下降,所以获得管理高层和相关业务部门的实质支持尤为关键。其三,确保个人信息保护负责人不受干预,并使其能够便利地向最高管理层报告。个人信息保护负责人应具有相对独立的地位,不应受任何部门的直接领导,有权自主开展监督活动。个人信息处理者不得干预个人信息保护负责人正常履职,不得指示或强迫其就相关问题发表特定观点。如果个人信息保护负责人独立履职面临较大的内部阻力,监管机构应提供相应的帮助。《通用数据保护条例》第38条第3项规定,数据控制者、处理者应当确保数据保护官不会收到任何有关执行工作任务的指示。该项规定是为了确保数据保护官在执行任务时的独立性,使其能够在没有压力、第三方干扰、无根据的指示或恐吓下有信心地完成任务。[46]应当保障个人信息保护负责人向最高管理层报告的权利,以减少较低层级管理人员和相关部门对个人信息保护监督工作的干预,并引起最高管理层对个人信息保护问题的重视。其四,禁止个人信息保护负责人兼任与监督职责相冲突的职位。个人信息保护负责人的法定职责为“监督”,不应同时履行存在利益冲突的职责。《通用数据保护条例》第38条规定数据保护官可以履行其他任务和职务,但数据控制者或处理者应当确保不会导致利益冲突。《数据保护官指南》进一步明确,同数据保护官相冲突的角色既包括高级管理职位,如首席执行官、首席运营官、首席财务官、营销部门主管、人力资源主管,也包括其他能够决定数据处理目的和方式的较低级别的职位。此外,如果外部的数据保护官被要求在涉及数据保护问题的案件中代表控制者或处理者出庭,也可能会出现利益冲突。因此,为了独立有效地监督个人信息处理行为,个人信息保护负责人不得兼任与监督职责相冲突的职位。为了更有效地发挥个人信息保护负责人的监督功能,有必要大力推动个人信息保护负责人的职业化。必要时可以通过考试等方式,为符合资质的人员颁发个人信息保护负责人证书。无论是立法机关还是监管部门,“都可以通过要求由持证的专业人士进行独立的监督或审计,来促进第三方参与监督”[47]。《通用数据保护条例》对数据保护官的技能提出了严格要求,但并没有明确如何使数据保护官真正拥有相应的能力。有学者认为,认证可能是确保整个欧洲的数据保护官能力一致性的有效方式,但认证在可靠性等方面存在缺陷。[48]当前少数国家对数据保护官的执业资格作了规定,如卢森堡要求数据保护官在获得任命前必须先经过数据保护局主导的审核,申请者应达到一定的学术水平。[49]一些领域已经建立了个人数据保护人才的培养和权威认证机制,如国际隐私专业协会认证的注册信息隐私经理(CIPM)、注册信息隐私技术专家(CIPT),美国医疗行业认证的医疗信息与隐私安全员(HCISPP)。[50]作为数字时代市场需求巨大的个人信息保护负责人,需要通过专门的培养与认证机制予以职业化,才能有效保障其履职的独立性和专业性。(三)合理配置监督责任责任配置的合理与否,直接关系到个人信息保护负责人履职的独立有效性。虽然使命为保护个人信息,但个人信息保护负责人在履行监督职责时,可能首要考虑的是自己是否会受到不利影响。2017年发布、2020年修正的《信息安全技术 个人信息安全规范》均明确规定,个人信息保护负责人“对个人信息安全负直接责任”。《个人信息保护法》第66条只是规定不得担任个人信息保护负责人的从业禁止情形,对于已指定的个人信息保护负责人违法如何追究责任,则缺乏明确规定。欧盟数据保护官不对数据保护承担个人责任,《通用数据保护条例》第38条第3项明确规定数据保护官不应因履行职责而被解雇或受处罚。《数据保护官指南》进一步强调,数据保护合规性是控制者或处理者的责任,数据保护官不承担个人责任。任命数据保护官,并没有改变数据控制者、处理者的责任。[51]进行合规性监督,并不意味着在出现不合规情况时由数据保护官个人负责。[52]由于个人信息保护负责人不是真正的“负责人”,而是“监督人”,所以不应对个人信息保护负直接责任,只应在监督不力或故意违法的情形下承担责任。应科学设立私法责任和公法责任,以保障个人信息保护负责人独立履行监督职责。如果个人信息保护负责人没有过错,勤勉尽职地进行了独立有效的监督,即使发生了个人信息损害,也不用对此承担责任。《个人信息保护法》第69条规定了过错推定原则,即个人信息处理者能证明自己没有过错的,即使存在损害也不用承担侵权责任。[53]过错推定原则也可适用于个人信息保护负责人,如果其能证明自己有效履行了监督职责而没有过错,就不用承担责任。如果个人信息保护负责人存在过错而没有独立有效地履行监督职责,应根据过错大小承担相应的责任。如果明知或应当知道个人信息处理者的个人信息处理活动违法,或明知或应当知道个人信息处理者没有采取必要的保护措施,但仍然不提出有效的监督建议,不及时向监管机构报告,则个人信息保护负责人应承担相应的责任。如果个人信息保护负责人只是由于过失而没有独立有效地履行监督职责,应根据过失大小确定责任大小。如果个人信息保护负责人直接参与到个人信息处理活动中导致个人信息损害,或是帮助个人信息处理者掩盖、销毁证据,应同个人信息处理者一起承担连带责任。个人信息处理者不得随意解雇或惩罚个人信息保护负责人,以保障其能够安心无忧地独立行使监督职责。即使同样是企业的内部员工,对个人信息保护负责人的解雇或惩罚也应当适用更为严格的条件和程序。除非基于重大事由,否则不得随意解雇个人信息保护负责人。个人信息保护负责人的合同越稳定,防止不公平解雇的保障措施越多,就越有可能独立履职。只有因个人信息保护负责人不认真或违法履行监督职责而出现严重后果时,个人信息处理者才可依法或根据合同约定追究相应的责任。如果个人信息保护负责人违反法定义务,政府相关职能部门应根据具体情形给予行政处罚;构成犯罪的,应当承担侵犯公民个人信息罪、破坏计算机信息系统罪等对应的刑事责任。
结语:迈向受规制的自我规制
“人生而渴望自由,却无时无刻不身处网络中;人生而渴望平静的生活,却每分每秒都无处躲藏。”[54]数字时代的个人信息保护,虽然需要有为政府积极预防和惩治侵害个人信息权益的行为,但单靠政府直接对个人信息处理者进行全面有效的监管已愈发困难,新兴的个人信息保护负责人应时而生。《个人信息保护法》第52条通过强制符合条件的个人信息处理者设立个人信息保护负责人,有助于克服数字时代政府规制的不足。通过对个人信息处理活动以及采取的保护措施等进行监督,个人信息保护负责人可以促进个人信息处理合规,有利于推动实现个人信息保护的公私合作治理。为了全面发挥作为自我规制的个人信息保护负责人的制度功能,设置数量标准时应区分个人信息类型和级别,并明确符合条件的私主体和公共机构均应设立具有独立法律地位的个人信息保护负责人。为保证个人信息保护负责人能够独立有效地监督个人信息处理者,应充分保障其知情权、提供必要的履职资源、使其能够便利地向最高管理层报告、禁止兼任与监督职责相冲突的职位。个人信息保护负责人属于监督人,不是个人信息保护的直接责任人,不应泛化其责任。作为政府规制的有益补充,个人信息保护负责人制度旨在借助具有信息、知识、技术、效率等优势的个人信息处理者实施自我规制,来实现个人信息保护的公共目的。然而,自我规制存在透明度不够、过度关注私人利益等内在缺陷,只有受到政府有效规制的自我规制才能发挥更大的作用。如何有效实现自我规制和政府规制的有机统一,促使个人信息保护负责人勤勉尽责地独立履行监督职责仍需要不断探索。
刘权,中央财经大学法学院教授