2020年3月6日（rì），國（guó）家市場監督管理總局、國家標準化（huà）管理委員會發布了全國（guó）信息安全標準化技術委員會（“信安標委（wěi）”）編製的《信息安全技（jì）術個人信息安全規範》（GB/T35273-2020）（“新標（biāo）準”），該新標準已於2020年10月1日實施，並即將（jiāng）取代已經實施（shī）了快（kuài）兩年的GB/T35273-2017（“原標準”）。

　　《網絡安全法》出台後，特別是2018年5月1日《信息安全技術個（gè）人信（xìn）息安全規範》（“舊版（bǎn）規範（fàn）”）生效以來，不少企業已經搭建起（qǐ）個人信（xìn）息保護製度框架。數據合（hé）規體（tǐ）係是動態（tài）的有機（jī）體，需要靜態的製度（dù）框架，更需要合規（guī）人員的動態推動，將製度融入商（shāng）業決策與交易中。於2020年10月1日生效的《信息（xī）安全技術個人信息安全（quán）規範》（“新版規範”或“《安全（quán）規範》”）針對（duì）個（gè）人信息（xī）保護負責人的規定，較舊版規範而（ér）言更為具體且務實。
　　
　　一（yī）、為什麽要建立個人信息保護負責人製度
　　
　　個人信（xìn）息保護負責人（rén）是指全麵實施統籌組織公司個人信息保護工作、對個人信息安全負直接責任（rèn）的公司人員。設立個人信息保護負責人對企業落地數據合規製度至關重要（yào）。具體而言（yán），科學有效的（de）個人信息保護負責人製度既（jì）可提高企業法律風險防禦能力，亦可增強（qiáng）其核心競（jìng）爭力。
　　
　　（一）提高企業風險防禦能力
　　
　　個人信（xìn）息保（bǎo）護不力會給企業帶來巨大損失：政府調查與處罰輕則迫使（shǐ）企業整改、重則顛覆（fù）既有商業模式、甚至導致企業與主要負責人承擔刑事（shì）責任；個人信息安全事件如果不能及時、妥善處理（lǐ），企（qǐ）業所麵對的信任危機可（kě）能比處罰帶來的社會影響更為深遠；廣大民眾不斷覺醒的個人信息保護意識更是促使企業時刻不得鬆懈。個人信息保護負責人既可以幫（bāng）助（zhù）企業在日常工作中未雨綢（chóu）繆又可能在危機事（shì）件中力挽狂瀾（lán），提高企業防禦風險的綜（zōng）合能力（lì）。
　　
　　2017年3月，有消費者認為其個人信（xìn）息（xī）遭到泄露（lù）而將某航空公司起訴至（zhì）法院。法院綜合（hé）認定被告存在泄露個人信息的高度可能，同時認為法律對經營者采取技術措（cuò）施和其（qí）他必要措施保護消費者個（gè）人信息施以強製規（guī）定（dìng）。但是，被告（gào）未能證明其已履行法定的個人信息（xī）保護義務。[1]2019年12月，同一家航（háng）空公司因類似（sì）事由被起（qǐ）訴，但法院認為被告在自身掌握信息階段不存在泄露個人信（xìn）息的事（shì）實。原因在於，航空公司（sī）不僅對（duì）可查看訂單信息的管理係統（tǒng）進行（háng）數據脫敏設置，還建立（lì）起嚴密的數據安全管理製度、就數據存儲安全進行專門認證、與專業第三方進行合作。[2]
　　
　　根據公開信息，前述航空公司（sī）於2018年任命首席數據官，全麵負責企業（yè）的數據保護與合規運營工作。該航空公司也由此成為國內首（shǒu）家設立數據保護官的企業。[3]雖然任命首席（xí）數據官與兩份截然（rán）相反的判決沒有直接關係，但從判決書中航空公司的舉證來看，其在一兩年間確實（shí）就個人信息保護采取（qǔ）了係列技術（shù）措施與組織措施，而任命首席數據官不僅是（shì）一種合規宣（xuān）示，對於（yú）推動保護措施的落地顯然也至關重要。
　　
　　（二）增強企業核心競爭力
　　
　　中國企業（yè）傳統上將法律合規（guī）定位（wèi）為後台支持（chí）部門，該（gāi）等定位在業務拓展特別是開發海外市場時的局限（xiàn）性日益凸顯（xiǎn）。有（yǒu）能力的個人（rén）信息保護負責人有助於樹立良好的企業形象，在與監管機構、合作夥伴、甚至競爭對手打（dǎ）交道的過程中，給人以（yǐ）專業、可信的印象，對於增強企（qǐ）業核心競（jìng）爭力大（dà）有裨益。
　　
　　如何在各國紛繁複雜的法律規定下實現合規，需要個人信息保護負責（zé）人的統籌規劃。對敏感個人數據（jù）加緊審查的國際趨（qū）勢，尤其是中美經貿摩擦下的監管升（shēng）級，[4]更是（shì）要求（qiú）企業出海前審慎開展合規評估。華為、螞蟻金（jīn）服、360奇虎（hǔ）等大型企業紛紛設立個人信息（xī）保護專（zhuān）家崗（gǎng）位，說明在合規工作進入“深水區（qū）”的今天，企業數據合規的水（shuǐ）平（píng）和深度將（jiāng）直接決定（dìng）商業機會的獲得。
　　
　　二、如何建立（lì）個人信息保護（hù）負責人製度
　　
　　《網絡安全法》規定網絡運營者應確定網絡安全負責人，關鍵信（xìn）息基礎設施運營者應設置專門的安全管理（lǐ）機構和安全管理負責人。網絡（luò）安全事關國家（jiā）安全，而隱（yǐn）私權保護原本側（cè）重私法法（fǎ）益的保護，延展為個人信息保護後則具備更多的公共利益屬性，但與網絡安全相（xiàng）較仍更突（tū）出自主性。在（zài）《個人信息保護法》尚未出台的階段，推薦（jiàn）性的《安全規範》提出（chū）設置個人信息保護負責人製度，起到標準示範作用的同時亦在（zài）幫助企（qǐ）業為應對（duì）個人信息保（bǎo）護（hù）的強製立法做準備。
　　
　　（一）設（shè）置個人（rén）信息保護（hù）負責人的條件
　　
　　根據新版規範，當企業（yè）（1）主要（yào）業務涉及個人信息處理，且從業人員規模（mó）大於200人；（2）處理（lǐ）超過100萬人的個人信息，或預計在12個月內處理超過100萬人的個人信息；或（3）處（chù）理超過10萬人的（de）個人敏感信息的，應設置（zhì）專職的個人信息（xī）保護負責人和個人信息保護（hù）工作機構。
　　
　　與舊版規範相比，新版（bǎn）規範對於設置個人信息保護負責（zé）人的門檻要求體現（xiàn）出與時俱（jù）進（jìn）和風險導向的趨勢。首（shǒu）先，新版（bǎn）規範（fàn）將處理（lǐ）50萬人的個（gè）人信息提升為100萬人，與數字（zì）經濟下企業快速提升的數據處理規模相一致。其次，舊版規範並（bìng）未將處理個（gè）人敏感信息作為標準之一，而新版規範（fàn）則規定處理超過10萬人的個人敏感信息即應設立專職的個人信息保護負責人。縱觀（guān）近年的（de）重點數據執法，往往涉及個人財產信息、生物識別信息、精準的網絡（luò）瀏覽記錄等個人敏感信（xìn）息的泄露、非法提供或濫用（yòng），故在考慮設置個人信息保護崗位時企業應將是否處理個人敏感信息作為重（chóng）要參考依據。
　　
　　前述設置（zhì）要求亦體現出（chū）平衡企業發展與保（bǎo）護法益的合理考慮。第（1）點要求從業人員大（dà）於200人，說明主要針對中型及以上企業。[5]這（zhè）樣的設定給小微企業的發展留出空間，同時積極引導大（dà）中型企業在拓展（zhǎn）業務時需更加合規、穩健。第（2）點（diǎn）中（zhōng）的100萬人構成大城（chéng）市的常（cháng）住人口量，[6]收集、處理100萬人以上的個人信息說明（míng）業務已（yǐ）具有相（xiàng）當規模（mó），設置個人信息保護（hù）負責人有必要性。
　　
　　（二）個人信息保護負責（zé）人的資質要（yào）求
　　
　　舊（jiù）版規範生效以來（lái），實務界普遍關注的問題之一是：個人信息保護負（fù）責人需要具備何等資質。新版（bǎn）規範分別從經驗背景（jǐng）和決（jué）策地位（wèi）兩方（fāng）麵（miàn），對個人信息保護負責人的資（zī）質提出兩項指引：
　　
　　（1）由具有相關管理工作經曆和個人信息保護專業知識的人員擔任；（2）參與有關個人信息處（chù）理活動的重要決策直接向組（zǔ）織主（zhǔ）要負責人匯報工作。
　　
　　根據實踐，個人信息保護負責人需要具備（bèi）法律專業背景，同時（shí）能夠理解技術、安（ān）全對個人信息保護（hù）的重要作用。個人信息保護的出發點是確保公司產品及服務符合國（guó）內、國際的數據保護（hù）法律合規框架，因此對法律的理解是（shì）第（dì）一準則。由（yóu）於個人信息保護也涉及（jí）數據安全治理，個人信息保護負責人應同時具備（bèi）國際、國內格局安全觀，日常（cháng）工作中能夠（gòu）與安全（quán）和技術人員充分交流並交換意見。顯然，傳統上此類人才相當稀（xī）少，令人欣喜的是近年來（lái）出現了一批對數據保護抱有熱忱的專業人（rén）士，逐漸形成了中國第一代數據保護人才庫。
　　
　　就決策地位而言，個人信息保護負責人應當具備管（guǎn）理職能，能夠參與重要決策。個人信息（xī）保護負責人不能僅承擔（dān）執行責任，也要參與（yǔ）到管（guǎn）理決策，能夠與（yǔ）業務部門平等合作、甚（shèn）至在為公司合規利益把關上有更高的話語權。《中共中央國務院關於構建更（gèng）加（jiā）完善的要素市場化配（pèi）置體（tǐ）製機製的意（yì）見》中，“數據”已經被納（nà）入（rù）市場化配置改革的五大基礎生產要素，[7]業（yè）務部門為追求盈利，難免在個人信息保護和市場機會的平衡中更偏向市場。同時（shí），相較於業務部門直觀反（fǎn）映於短期業績中的績效，合（hé）規管控更為長遠、前瞻，需要時間（jiān）沉澱才能凸顯其價值。因此，個人（rén）信息保護負責人（rén）需具備管理、決策地位的必要性不言而喻。
　　
　　（三）個（gè）人信息保護負責人（rén）的職責
　　
　　新版規範明確規定了個人信息保（bǎo）護負責人的職責，與舊版規範相比有如下變化：（1）增加的職責為組織製定個（gè）人信息保護工作計劃並監督落實、公布投訴、舉報方式等信息並及時受理投訴（sù）舉報，以及與監管部門（mén）保持溝（gōu）通，報告個人信息保護和事件處理情況；（2）增強的職責為組織開展個人信息安全影響（xiǎng）評估後，還（hái）需提出個人（rén）信息保護（hù）的對策建（jiàn）議（yì），督促整改（gǎi）安全隱患。由此可見，新版規範增加了個人信息保護（hù）負責人對外溝通聯絡的職能，就內部職責而言則更加（jiā）強調數據合規製度的落地實施。
　　
　　同時，《安全（quán）規範》也非常貼心地（dì）為各項職能（néng）的具（jù）體落實提供建議。其中，新版規範（fàn）增加的（de）兩項內容為個（gè）人信息安全工程和個（gè）人信息處理活動記錄。
　　
　　個人信息安（ān）全工程有些類似GDPR項下的PrivacybyDesign,即在企業開發具有處（chù）理個人信息功能的產品或服務時，根據國家有關標準在需求、設計、開發、測試、發布等係統（tǒng）工程階段考慮個人信息保護要求，保證在係統建設時對個人信息保護措施同步規劃、同步建設和同步使用。因為個人信息安全工程涵蓋產品從需求到發（fā）布的完整周期，由誰來具體做評估、誰來監督評估、誰來製作個人信息安全影響（xiǎng）評估報告等，都由（yóu）企業根據自身情況決定。不可否認的是，個人信息（xī）保護負責人在此過程中會起到重要的作用。《安全規範》建議開展個人信息安全工程時參照國家有關標準，具（jù）有很強的現（xiàn）實意義。例如，中國人民銀（yín）行（háng）和（hé）全國金融標準化技術委員會發布的《個（gè）人金融信息保護技術規範》即要求金融業機構有（yǒu）效隔離（lí）開發測試環境（jìng）和生產環境，在實際（jì）開（kāi）發測試中對個人金融信息進行虛構或者去標識化，且在產品或服務上線發布前進行技術檢測。
　　
　　個人信息處理活動記錄與GDPR第30條的要求較為類似，《安全規範》要求（qiú）企業（yè）建立、維（wéi）護和更新所（suǒ）收集、使用（yòng）的個人信息處理活動記（jì）錄，包括個人信息的類型、數據、來源；根（gēn）據業務功能和授權情況區分個人信息的目（mù）的、使用場景；個人信（xìn）息出境情況；以及（jí）與個人信息處理活（huó）動各環節（jiē）相關的信息係統、組織或人員。個人信息保護負責人的職能之一即為建立、維護和更新個人信息清單和授權訪問策略，正是對應（yīng）個人信（xìn）息處理活動記錄中的核心部分。
　　
　　三、完善個人信息保護負責人製度的展望
　　
　　新版規範完（wán）善了個人信息保護負責人製度，企業可以根據自身情況選擇適用，為建立數（shù）據合規體係（xì）奠定（dìng）基礎。丝瓜视频黄瓜视频秋葵视频草莓视频基於（yú）企業的良好實踐，為個人信息保（bǎo）護負責人製度、個人信息保護責任體係提出兩點展望。
　　
　　（一）設（shè）立個（gè）人信息保護工作機構
　　
　　《安全規範》除要求任命個人信息負責人外，也提（tí）到了個人信息保護工作（zuò）機構（gòu）。但（dàn）是，尚（shàng）未就個人信息保護工作機構給出具體指（zhǐ）引。實踐（jiàn）中，合規人（rén）員在（zài）推動（dòng）數據保護（hù）決策時常麵臨各方阻力，執（zhí）行中也有不少困難。部分大型（xíng）公司已經設立數據（jù）保護委員會，作（zuò）為企業數據治理工作的協調機構與最高決策機構，通常由安全技（jì）術（shù）部（bù）、法（fǎ）務部、風險管理部（bù）、業務運營部和公（gōng）共關係部相關管理人員組成。該等設置有助於強化數據保護決策的合意基礎，確（què）保決（jué）策的順（shùn）利推行。特（tè）別是（shì）當出現安全事件時，數據保護（hù）委（wěi）員會可統籌處理響應、對外進行溝通、適時複盤整改合規措施。
　　
　　（二）增強（qiáng）個人信息保護負責人的獨立地（dì）位
　　
　　新版規範除了開宗明義要求“法定代表（biǎo）人或主要（yào）負責人應對個人信息安全負（fù）全麵領導責任”外，還就個人（rén）信息保護負責人的獨立性增（zēng）強了製度保障，即：“應為個人信息保護負責人和（hé）個人信息保護工作機構提供必要資源，保障其獨立履行職責”。雖（suī）然與GDPR下DPO的獨立性仍有所差距，[8]但結合我國的情況以及企業的治理架構，《安全規範》的要求更容易（yì）落地（dì）實施（shī）。企業設計人力（lì）製度時，如何確保個人信息保（bǎo）護負（fù）責（zé）人獨立、專業（yè）、不受無關幹擾做出（chū）正確合理（lǐ）的決策，是企業長遠發展的一項重要考量。