GDPR“数据保护官”制度探析
——兼论其对中国的启示
文 / 王楠
摘要: 本文首先结合欧盟其他与数据保护相关的数据法律文件,对GDPR中的“数据保护官”制度进行了全面的介绍和解构。而想要对该制度进行更深层次的探究,还需立足“数据保护官”制度在立法过程中和生效前后的争议焦点,剖析不同利益团体对该制度的需求和态度。在这样的研究基础上,本文试图讨论GDPR全面实施后,“数据保护官”制度对不同主体产生的具体影响;并对中国如何构建类似制度,提出一些建议。
关键词: GDPR;数据保护官;数据控制者与处理者;数据主体
在欧洲议会与理事会颁布的《条例(EC)45/2001号——针对欧共体机构和组织所处理的个人数据的保护及此类数据的自由流动》(以下简称《条例(EC)45/2001》)中,“数据保护官”(Data Protection Officer)的概念开始正式在欧共体法律中出现,但此条例是针对欧共体机构和组织这样的公共部门所制定的,适用范围并未涵盖私营企业。《一般数据保护条例 》(General Data Protection Regulation,以下简称GDPR)在《条例(EC)45/2001》的基础上对“数据保护官”制度进行了完善,强化了各类机构和法人必须设立数据保护官的法定情形,还规定了数据保护官的权利、地位和任务。1 京东法律研究院:《欧盟数据宪章<一般数据保护条例>GDPR 评述及实务指引》,法律出版社2018年版,第31页。
一、GDPR“数据保护官”制度简述
(一)构建“数据保护官”制度的早期法律文件
早在上世纪90年代,欧共体就已经关注到了个人数据的保护和流动问题。1995年,欧共体颁布《第95/46/EC号指令——个人在数据处理中权利的保护及此类数据的自由流动》(以下简称《第95/46/EC号指令》),成为GDPR出台之前,保护个人数据权利和规制数据处理者、控制者行为的主要规则,是GDPR形成的基础。
2001年,《条例(EC)45/2001》颁布,(现已被《条例(EC)2018/1725》替代)该条例旨在保护个人数据及此类数据的自由流动,其中第8章和附件节规定了“数据保护官”制度,要求欧共体机构和组织至少任命一名数据保护官。2 REGULATION (EC) No 45/2001 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 18 December2000 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data, Official Journal of the European Communities 12.1.2001, section 8. 在第8章中,第24条规定了数据保护官的任命和任务;第25条规定了数据控制者对数据保护官的告知义务;第26条则规定数据保护官须将第25条所提到的与数据相关的处理行为进行登记,以便他人查阅。该条例的附则还规定了数据保护官的调研职能和建议职能,以及一些为便宜保护官行使职能而设置的权利。此条例颁布实施后,欧共体多个公共机构陆续设置数据保护官,该制度为保护个人数据、促进数据的合法使用做出了极大贡献。2008年,欧盟还出台了关于《条例(EC)45/2001》中数据保护官条款的实施细则。
2012年1月25日,欧盟委员会(European Commission)发布了欧盟数据保护规则的框架性草案(以下称《草案2012》),旨在构建一部更加适用于欧盟整体的数据保护法,3 W. Gregory Voss, Katherine Woodcock, Rob Corbet, Jan Dhont: Privacy, E-Commerce, and Data Security, 47 Int'l Law. 99(2013), page 103. 以取代1995年欧共体颁布的《第95/46/EC号指令》,适应新的科技和社会发展趋势。其中关于“数据保护官”制度的条款,就是主要变革之一。建议中提出,建立“数据保护官”制度,在《第95/46/EC号指令》第18条(2)的基础上为成员国提供新的可能性,以代替原有指令中与“一般告知义务”相关的规定。
(二)GDPR“数据保护官”制度的内容
GDPR中对“数据保护官”制度的规定主要集中在第四章节第37条至第39条。另外,2017年4月5日欧委会“第29条”数据保护工作组(亦称“第29条”工作组)发布《数据保护官指南》(以下简称《指南》),对GDPR中的“数据保护官”制度作出了详细的解释和实践指导,以供各机构、企业参考。接下来笔者将结合该《指南》,介绍GDPR“数据保护官”制度的主要内容。
1.数据保护官的任命
旧规则的确存在着诸多不完善之处,例如,第18条留给成员国的自由裁量空间较大,导致各国对义务豁免情形和告知程序简化程度的规定有着较大差异,数据控制者所提供信息的具体用途在不同国家也大不相同;再例如有些国家的数据保护机构向告知义务的承担者收取费用,某些情形下费用不菲,可能造成财务负担。10 COMMISSION STAFF WORKING PAPER Impact Assessment Accompanying the document Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) and Directive of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention,investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data. Brussels, 25.1.2012 SEC(2012)72 final. page 35. 由此,数据控制者一致认为,旧规定中的责任与义务过于冗杂且不能为保护个人数据创造实益,所以应当制定新的规定,使公民能知晓谁在处理自己的数据、在出现问题时应当跟谁联系。
由于人字形波纹板片具有传热性能好、承压能力大等优点,现有板式换热器板片波纹形状以人字形最多,大多数的研究也主要针对人字形波纹。德国人Focke是首位研究“通过改变人字形板式换热器板片波纹倾角等参数提高换热效率”的学者。Mehrabian等通过截取最小计算区域及采用计算流体动力学模拟研究了板式换热器,研究表明板片波纹形状对换热和压降有着十分重要的影响。曲宁对板式换热器的流动及传热特性进行数值研究,结果表明波纹倾角、波纹深度、波纹间距等参数对板式换热器的流场及温度场分布有重要影响。
(1)应当任命数据保护官的机构
第37条第1款规定了强制任命数据保护官的情形,包括公权力机构处理和控制个人数据(行使司法职能的法院除外);对数据主体进行大规模、系统化监控;处理大规模特殊数据或犯罪相关的数据。第4款补充道,若欧盟或成员国其他法律另有要求,各机构也应根据要求任命数据保护官。
(1)任命数据保护官有益于跨国企业提高工作效率。GDPR第37条规定,“在每家企业都能方便地联系到数据保护官的前提下,企业可以只任命一名数据保护官”。故而,跨国企业可以任命同一人或同一团队来担任所有不同法域的数据保护官,这样不仅能更高效地评估跨国项目,也能避免意见冲突、节省沟通时间。21 【美】狄乐达 著,何广越 译:《数据隐私法实务指南——以跨国公司合规为视角》(第三版),法律出版社2018年版,第7页。 (2)数据保护官可以帮助跨国企业解决数据跨境流动过程中的困难。GDPR严格限制个人数据向欧盟境外传输,而跨国企业在业务往来中不可避免地需要调取或访问欧盟境内的个人数据。数据保护官的任务包括配合监管机构,为数据出境提供建议等,可以帮助评估数据跨境流动是否合规,也可以与监管机构及时沟通。
每个孩子都是家长的心头肉,放在手心里还天天怕摔着了。但这个世界永远不可能像我们期盼的那样完美,也不会人人都能像你这样呵护你的孩子。或早或晚的,有一天你会看见孩子在游乐场被其他孩子推倒,或者上了幼儿园/小学后,有一天不开心地跟你说:“爸爸/妈妈,我在学校被人欺负了。”
(2)数据保护官的资质
根据第37条,数据保护官应有出色的职业能力,包括对数据保护法有专业认知、能完成GDPR第39条赋予数据保护官的法定任务,并能够即时与企业保持联系。这些规定体现了数据保护官任命的灵活性,但《指南》中指出,数据保护官的相关能力还应包括:充分理解数据的处理操作程序、了解信息科技和数据安全知识、认知该企业的部门和组织、推动组织内部建设数据保护文化。5 ARTICLE 29 DATA PROTECTION WORKING PARTY: Guidelines on Data Protection Officers (‘DPOs’), 16/EN WP 243 rev.01, page 23.
(3)数据保护官的聘用方式
艾考夫不仅有极具创造力的精湛俎技,还出版过许多反映法国食俎文化的书籍和菜谱。法国美食的发展与法国文化的质感取向有关,对法国美食谈得特别起劲的是巴尔扎克、雨果、莫伯桑、大仲马、福楼拜和左拉,这对艾考夫的影响很深,从而激励他以聪颖、刻苦和对文化无师自通的精神,孜孜以求,塑造出自己的儒厨形象。他把平素的文化积累沉淀在俎技中,再经日常生态去反刍文化,这种温馨的循环圈令人陶醉。一位十分富有的大出版商慧眼识珠,将自己的女儿嫁给了艾考夫。可见,艾考夫的身份巳与他的岳父门当户对。
根据第37条第6款,企业不一定要聘用在职员工作为数据保护官,也可以通过服务合同的方式由企业外聘而来。而如果外聘,那么情形将更加复杂,因为服务提供者可能是个人也可能是一个团队。在服务提供者是团队的情形下,《指南》指出团队中的每个人都需要受到GDPR相关条款的约束,并建议该团队选出一位负责人、在服务合同中明确团队中的个人分工,以防发生纠纷。
2.数据保护官的地位
研究GDPR第38条,我们发现本条给予了数据保护官诸多权利,使得其在企业内拥有极高的地位,具体体现在以下几个方面:
(1)享受企业先进资源
虽然GDPR对成为数据保护官所需的基本素质有所规定,第29条工作组也在《指南》中进行了补充说明,勾勒了一个合格的数据保护官的专业形象,但都是一些较为抽象的描述。有学者因此提出了质疑,认为现有法律中缺乏对数据保护官执业资格的考察。
(2)独立性
根据第38条,处理者和控制者不可对数据保护官下达(如何处理工作7 Id. Page 15. 的)指令,不能使数据保护官因执行任务受到解雇或刑事处罚,并保证数据保护官有权直接向最高管理层报告。这一规定将数据保护官在工作时受到的人事干扰降到最低,保障数据保护官独立行使数据保护职能,在企业内部有良好的工作环境。
但《指南》指出,数据保护官在工作上的自治权并不代表他们在本职工作之外有决策的权力;而给予他们直接向最高管理层报告的权力,是为了在控制者或处理者作出错误决定时,数据保护官有机会向最终决策者提出反对意见。这也是第39条中提到的数据保护官“通知与建议”职能的一种体现。
(3)知情权
第38条第1款要求控制者和处理者确保数据保护官及时参与与个人数据保护相关的所有问题。这意味着企业在处理个人数据保护问题时,必须在初始阶段便通知数据保护官;尤其是在进行数据保护影响评估时,更应第一时间咨询数据保护官的意见,以保证行为合规。8 ARTICLE 29 DATA PROTECTION WORKING PARTY: Guidelines on Data Protection Officers (‘DPOs’), 16/EN WP 243 rev.01, page 13.
2007年开始在本区大面积推广应用频振式杀虫灯,截至2013年本区共在33个作物基地安装频振式杀虫灯540盏,灯控面积36 090亩,涉及水稻、蔬菜、果树、中药材等,通过物理灭虫的方式达到绿色控害效果,但相较本区10多万亩的耕地面积,控害面积还远远不够,无法满足本区发展无公害农业的要求。下一步,本区要在各种特色作物上安装频振式太阳能杀虫灯,大力加强对病虫害的物理控制,大量减少农药施用,保障农产品品质安全,使本区农业走上生态、高效、可持续发展的健康大道。
本文结合使用Solid185单元和Solid186单元,按照ANSYS建立模型的基本步骤,建立升降施工平台结构的三维有限元模型[10]。整个模型结构共划分了1 022 565个单元,有限元模型如图2所示。
但与此同时,由于数据保护官常常接触企业核心活动,他们也被要求依法对自己的任务内容进行保密(第38条第5款),并不得履行与数据保护官义务有利益冲突的其他任务和职责(第38条第6款)。
3.数据保护官的任务
影视对白音质缺陷检测方法·················吴 昊 张 莹 毛润坤 董雪婷 (4,545)
根据GDPR第39条,数据保护官在任内需要承担的任务包括:通知与建议任务、监督任务、与监管机构配合执行其他任务等。其中建议和通知任务已在上文有所叙述。监督任务主要是指两个方面:第一,收集信息并鉴定、分析、检查处理活动是否合规,并将意见和建议及时通知处理者和控制者;第二,在数据保护影响评估中提供专业建议。
根 据 GDPR第 39条 第 1款(d) 项、(e)项,数据保护官应与监管机构配合,在监管机构与数据控制者或处理者进行协商(例如为了数据安全进行数据处理前的协商)时,行使沟通职能,成为两方的“连接点”。欧盟委员会自身就同时任命了数据保护官和数据监察官,强调二者应合作完成数据管理工作。9 参见:https://ec.europa.eu/info/law/law-topic/data-protection/data-protection-eu_en.最后访问日期:2019年3月8日。
笔者认为,数据保护官不仅是一个技术岗位,更是一个要求沟通能力、决策能力和坚定的职业道德的综合型岗位。这些能力的高低未必能够通过认证程序考察出来。故而应重视数据保护官执业资格的审查与认证,但不可过于依赖这种程序,应结合企业的实际需要来挑选合适的人才。
二、有关GDPR“数据保护官”制度的争议
(一)是否以“数据保护官”制度代替“一般告知义务”
在制定GDPR草案的阶段,欧盟曾发布一份影响评估报告,言明关于是否要在新的数据保护法案中引入“数据保护官”制度以代替《第95/46/EC号指令》第18条中的“一般告知义务”(数据控制者在法定情形下向监管机构提前报告数据处理行为的义务),存在着一些争议。
上皮间质转化(EMT)是恶性肿瘤转移的先决条件,目前TGF-β1被认为是诱导上皮间质转化的最重要的生长因子。
关于数据保护官的任命,GDPR第37条主要叙述了三个方向的内容:
针对这些问题,有些成员国在国内法中引入“数据保护官”制度,且获得了成功经验。欧盟委员会认为,“数据保护官”制度可以在保护数据的同时成为数据控制者和数据主体之间的沟通渠道,还可以降低合规成本和管理成本、减少与数据泄露相关的损失。11 同上,page 118. 但是,仍然有一些利益相关者在公共协商程序中提出了反对意见:
“发现”,正是广雅站在新的历史时期,基于对历史文化的传承和对当下教育及未来发展的思考所提出的教育主张和实践探索。
首先,反对者强调了任命数据保护官的成本问题。他们认为如果将数据保护官的任命变为法定义务,那么数据控制者将为雇佣数据保护官而花费一笔不菲的资金,这将造成新的财务负担。其次,有些雇主(不排除预算充足的政府部门和实力雄厚的大型企业)可能会将数据保护官的职责分配给某些在职员工,12 同上,page 117. 这样一来这些员工的工作量和工作压力都会猛然加大,但员工福利却未必会因此提升。针对这两层担忧,有些利益相关者提出,数据保护官的任命义务不应强加给中小企业;有些人则提议如果无法免除任命义务,那么应当豁免数据控制者的某些告知义务,以简化数据处理业务的合规流程、减轻工作人员的任务量。
最终GDPR的制定者还是选择以“数据保护官”制度代替了原有制度,给予欧盟各国任命数据保护官的统一标准。但从法条本身来看,针对企业的财务负担和数据保护官的职能、地位等问题,立法者亦进行了均衡考量;也规定了监督机构在对数据保护官履行职责时应当免费13 见GDPR 第57条第2款。 。这也凸显了不同利益群体在立法过程中进行争议协商的积极作用。
(二)如何确定企业任命数据保护官的法定情形
欧盟委员会在《草案2012》中提出:对于私营企业(private sector),大型企业以及核心活动中的某些处理操作要求规范化和系统化监管的数据控制者或数据处理者,应强制任命数据保护官。这一提议得到了采纳和进一步完善,呈现在GDPR第37条中。然而,进一步阅读GDPR第37条和《草案2012》中的第35条即可发现,在任命数据保护官的法定情形上,两个版本的规定有所差异,反映着该议题从草案阶段到最终定稿所经历的争议。这种争议主要集中在以下两方面:
1.是否应将企业规模作为强制任命数据保护官的标准
德国法律规定,雇员超过10人的组织即应任命数据保护官。这种严苛的规定虽有成效,但显然不具有普适性。故而《草案2012》中的第35条(b)款提出,“执行数据处理程序的企业,如果所雇佣的人员大于等于250人,则应当任命数据保护官”。14 Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on the free movement of such data(General Data Protection Regulation ). Brussels, 25.1.2012 COM(2012) 11 final. Page 64. 立法者设计此条款的初衷是减轻250人以下的中小企业的财务负担。15 COMMISSION STAFF WORKING PAPER Impact Assessment Accompanying the document Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) and Directive of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention,investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data. Brussels, 25.1.2012 SEC(2012)72 final. Page 119. 然而根据欧盟统计局的统计,2008年雇员大于等于250人的大型企业仅占到欧盟企业总数的0.2%,欧盟绝大部分企业都是中小型企业。而这99.8%的中小型企业中,不乏处理客户健康信息、理财信息、儿童个人信息,甚至是家庭住址、监控录像等重要隐私信息的企业。如果这些企业无需履行任命数据保护官的义务,那么“数据保护官”制度的效果将大打折扣,数据主体权利在许多情形下也将无法得到有效保障。故而,立法者最终在GDPR正式文本中删掉了这一根据企业规模确立任命义务的条款,而更注重数据本身的性质和重要程度。
2.企业处理特殊类型数据时,是否需要强制任命数据保护官
该滑坡位于水南村五星组,在暴雨、人类活动等强诱发因素作用下,滑坡处于基本稳定-不稳定状态,严重威胁前缘居民生命和财产安全。滑坡主要采用截排水工程+场地平整工程 +桩板墙工程 +挡土墙工程+裂缝填埋工程+监测工程相结合的综合治理措施,切实可行,最终达到消除滑坡隐患的效果。
相较于《草案2012》,GDPR正式文本增加了一款强制任命的情形:核心活动涉及大规模的特殊类型的数据(如本条例第9条所规定的),或涉及刑事犯罪和定罪的数据(如本条例第10条所规定的)。此条款的增加,或源于数据主体的实际需求。在GDPR的制定阶段,影响评估机构发现,有些欧盟国家的法律严格限制数据主体访问特殊数据。16 COMMISSION STAFF WORKING PAPER Impact Assessment Accompanying the document Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) and Directive of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention,investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data. Brussels, 25.1.2012 SEC(2012)72 final. Page 69. 即便是与自己所受的行政处罚乃至刑事处罚相关的数据,也不能即时查阅,更不能保留副本,甚至还需要为访问自己的数据而付费。这不仅不方便,而且会积累数据主体对国家数据管理体系的不信任。而数据保护官既可以帮助评估数据的敏感程度和查阅的界限,也可以督促和帮助数据控制者与数据主体进行沟通。故而立法者在正式文本中增加这一款强制任命数据保护官的情形,不仅可以解决对特殊类型的数据的保护问题,也可以解决不同主体间的沟通问题。
(三)是否要将执业资格认证程序纳入“数据保护官”制度
为保证数据保护官能够顺利地履行职能,企业应为其提供必需的资源,包括:来自管理高层(例如董事会)的积极支持;充分的执行任务的时间;资金和基础设施的支持;将数据保护官的任命信息正式通知给全体员工;其他必需的便利条件,例如人力资源、法律服务、IT部门、安全部门等,以便数据保护官能够接收到实质性的支持与信息输送;必要时建立团队以行使数据保护官的职能。除此之外,企业还应当为数据保护官持续提供培训,以保证其专业知识的及时更新,还应鼓励数据保护官参与隐私保护论坛、研习会等对专业水平有帮助的活动。6 ARTICLE 29 DATA PROTECTION WORKING PARTY: Guidelines on Data Protection Officers (‘DPOs’), 16/EN WP 243 rev.01, page 14.
在欧盟各国的国内法之中,只有卢森堡公国的法律规定,数据保护官在获得任命前必须先经过数据保护局主导的审核,申请者达到一定的学术水平后才能获任相应职位。来自荷兰蒂尔堡大学的E. Lachaud博士认为,这种规定有执行上的困难,且无法真正推动GDPR的实施,17 Eric Lachaud. Should the DPO be certified?. International Data Privacy Law, 2014, Vol. 4, No. 3. Page 190. 应当建立一套统一的数据保护官执业资格认证程序来保证其专业水平。他认为数据保护官在上任前要通过考核才能获得执业资格,且要定期重新审核他们的执业资格。然而,Lachaud博士同时也承认,在论证该方案的可行性时,的确遇到了一些难题:
随着经济的快速发展,重视商品的包装成为企业的一种重要营销手段,为了吸引顾客的眼球,他们不惜花费巨资对产品进行包装,追求产品醒目化,这就在一定程度上可能会造成包装著作权侵权问题,所以需要对著作权进行保护,保证市场经济的良好秩序,以利于商业活动的正常进行。
推荐理由:古希腊人的历史是世界史中最不可能成功的成功史,希腊文明是一个奇迹。希腊奇迹的产生有着厚实的观念基础,希腊人先于其他古老民族抢占第一个科学制高点,是在认识论领域,而不是像许多学者认定的那样在自然哲学领域。浸淫希腊古典学问三十年、两度翻译荷马史诗的陈中梅先生,深入现代文明的西方源头,探索希腊奇迹成因。
1.是否应当为认证程序配套惩罚机制
3.跨国企业的数据处理流程将得到优化
2.如何保证资格认证程序的公正性和透明度
欧洲的执业资格认证程序一般是由政府的主管部门委托第三方机构进行的,第三方机构往往需要先提供数据保护课程的培训,再进行资格认证考试。这样一来认证机构兼具服务提供者和资格审查者的双重身份,且不同的认证机构之间也存在竞争。那么,如何保证认证机构公平、公正、公开地进行考试、组织审查,保证他们不会为了招揽客户而在认证程序中舞弊,对主管部门来讲是一个十分棘手且不可回避的问题。
根据GDPR第99条,GDPR的法律约束力将直接适用于所有成员国。这意味着GDPR将取代欧盟各国原有的数据保护方面的立法,成为欧洲数据保护领域具有最高效力的法律,“数据保护官”制度也将在欧盟国家全面推广开来。然而想要更好地理解制度本身,还需解析这种制度在制定过程中和生效前后所面临的争议。
三、GDPR“数据保护官”制度的影响
在欧盟法律体系中,“指令”(Directives)通常只规定欧盟国家必须达到的某种目标,但实现这种目标还需要欧盟各国自己制定相应的法律。18 参见:https://europa.eu/european-union/eu-law/legal-acts_en. 最后访问日期:2019年3月12日。 因此,在《第95/46/EC号指令》有效的期间,欧盟各国的数据保护法有着较大的差异。而GDPR是“条例”(Regulations),对整个欧盟都有直接的法律约束力。所以GDPR生效后,数据保护的规则和标准骤然统一,这对于欧盟各国的数据主体、数据的处理者和控制者来讲,意味着权利和义务的重大变化。“数据保护官”制度作为GDPR中的重要章节,也必然在多方面产生重要影响:
(一)对成员国公共部门和欧盟机构的影响
1.调整了欧盟成员国公共部门的工作内容
GDPR第37条要求处理个人数据的公共部门或机构任命数据保护官,但并未明确定义何为“公共部门”,第29条工作组认为应根据各国的国内法确定。19 ARTICLE 29 DATA PROTECTION WORKING PARTY: Guidelines on Data Protection Officers (‘DPOs’), 16/EN WP 243 rev.01, page 6. 一般来说,“公共部门或机构”包括国家的、区域性的和地方的公共部门。对于欧盟各成员国国内的公共部门和机构来讲,“数据保护官”制度主要产生以下两个方面的影响:(1)作为GDPR的约束对象,任命数据保护官成为公共部门和机构的强制义务,这意味着他们要和私营企业一样,遵守GDPR所有的数据控制者和处理者的义务;(2)这其中负责管理和监督私营企业的数据保护机构,将因“数据保护官”制度的实行而减少许多冗杂的工作环节,其工作效率将得到极大提高。
2.加强了对欧盟机构数据保护工作的监督
GDPR第2条规定,欧盟机构、委员会、办事处和代理机构处理个人数据,应适用《条例(EC)45/2001》; 又 规 定,《 条 例(EC)45/2001》和其他规定个人数据处理事项的欧盟法案,应符合GDPR的原则和规则。上文已经提到,《条例(EC)45/2001》中已有完整的“数据保护官”制度可循,然而为符合GDPR的新原则和规则,欧盟立法机构对旧条例进行了修订和完善。
欧盟在2018年10月23日出台了《欧洲议会与欧盟理事会条例(EU)2018/1725号》以替代《条例(EC)45/2001》,旨在规制欧盟机构和组织、办事处、代理人处理个人数据时的数据保护工作。该条例重新强调了“数据保护官”制度的重要作用,并强化了数据保护官的职能,明确了数据保护官独立行使职权的权利,以达到对欧盟机构数据保护工作的有效监督。
(二)对企业的影响
GDPR生效后,欧盟企业对于数据保护官的需求大幅上涨。据2018年的统计资料显示,英国某求职网站上的数据保护官需求量在18个月里增加了700%。20 Salvador Rodriguez. Rise of the data protection officer, the hottest tech ticket in town.https://www.reuters.com/article/us-cyber-gdpr-dpo/rise-of-the-data-protection-officer-the-hottest-tech-ticket-in-townidUSKCN1FY1MY. 最后访问日期:2019年3月13日。 有些对数据保护官的专业素质要求高的行业,例如金融行业、医疗行业,甚至为了聘用到资深的数据保护官展开了激烈的竞争。然而,对于这些企业而言,成功地聘用合格的数据保护官,只是第一步。在确定适用“数据保护官”制度之后,其数据处理业务或将发生如下变化:
1.企业处理数据的成本有所变化
企业聘任数据保护官,会产生新的费用。除了薪酬之外,企业可能还需要承担培训数据保护官的费用、为数据保护官配套工作基础设施的费用。但是,任命数据保护官之后,有许多企业可以省下向监管机构递交报告时所产生的费用(大约23欧元到599欧元不等)。
2.企业将受到更少的行政干预
上文提到过,《建议2012》中描述到,设计“数据保护官”制度的目的之一,即是豁免控制者或处理者数据保护机构的一部分告知义务。这样一来,企业数据保护业务将受到更少的行政干预,同时企业内部对数据处理行为的监管将增强。这也有利于企业建立体系化和规范化的数据处理程序。
认证程序实质上是帮助数据保护官的雇主们履行GDPR所规定的义务。然而,如果法律规定了强制性的执业资格认证,那么没有通过认证就执业的数据保护官和他的雇主是否要受到惩罚?如果不规定惩罚机制,又如何保证这种认证程序的执行?这里的每一个问题都会加大资格认证程序的设计难度。
对于主营业地在欧盟以外的跨国企业,尤其是在欧盟多国都设有分支机构的跨国企业而言,GDPR统一了其数据处理行为在欧盟的合规标准,使原本繁琐而复杂的合规程序变得相对轻松。但根据GDPR第3条,即便企业没有在欧盟设立分支机构或者子公司,但只要数据处理行为发生在向欧盟的数据主体提供商品或服务的过程中,或数据处理行为的目的是监控数据主体在欧盟的行为,都应适用GDPR。这意味着相比于《第95/46/EC号指令》管辖的时代,会有越来越多的跨国企业,或者说与欧盟的数据主体产生业务往来的企业,将受到GDPR的约束。在这样的背景下,基于GDPR的要求而设立数据保护官,对于企业将有以下益处:
然而《数据保护官指南》中指出,虽然除第1款所述情形之外,不强制企业任命数据保护官,但第29条工作组鼓励法域内的各组织和机构任命保护官,并强调:一经任命,数据保护官需遵守现有条例,其中关于数据保护官的“任命”“地位”“任务”等规定将成为强制性要求。4 ARTICLE 29 DATA PROTECTION WORKING PARTY: Guidelines on Data Protection Officers (‘DPOs’), 16/EN WP 243 rev.01, page 20. available on the website: http://ec.europa.eu/justice/data-protection/index_en.htm.
其实在GDPR出台以前,有些欧盟国家已经在国内法中规定了“数据保护官”制度。各国之中,德国最早在其国内法中引入“数据保护官”概念,《联邦数据保护法》中关于“数据保护官”的规定,比GDPR更严苛。除上文提到的“大于等于10人即应任命数据保护官”之外,还有“数据保护官必须以书面方式任命”“私人机构有义务在开始开展业务后的1个月内任命数据保护官”等等。因此有些跨国企业根据德国规定任命当地数据保护官之后,就将此合规模式套到了所有法域。22 同上,第5页。 对于此类企业而言,GDPR“数据保护官”制度的影响就没有那么大了。
(三)为数据主体行使权利提供了新途径
相较以往,“数据保护官”制度丰富了数据主体行使自身权利的途径。
GDPR全面完善了“数据主体权利”条款,例如丰富了知情权和访问权的权利内容;提出“数据画像”的概念以完善数据主体免受自动化决策的权利;还增加了被遗忘权、数据可携权等新的数据主体权利。然而,对于普通人而言,有些GDPR条款可能过于复杂,如果没有熟知GDPR和本国数据保护法的专业人士的帮助,他们可能会不知道如何实现自己的权利。这时,数据保护官的重要作用就凸显了出来。
GDPR第13条规定,数据控制者和处理者在向数据主体获取其个人数据时,应当向数据主体提供数据保护官的联系方式。欧盟委员会在2012年的一份影响评估报告中提到,“数据保护官”制度的设计目的之一,就是“保障数据主体对其个人数据的掌控,并增强其对数字环境的信任”。23 COMMISSION STAFF WORKING PAPER Impact Assessment Accompanying the document Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) and Directive of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention,investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data. Brussels, 25.1.2012 SEC(2012)72 final. Page 60. 这说明在立法者的期待中,数据保护官不仅是为数据控制者和处理者提供服务的,也有帮助数据主体实现数据权利的功能。
四、GDPR“数据保护官”制度对中国的启示
为了深入贯彻《网络安全法》,我国的各行政部门近两年纷纷着手制定与自己主管事宜相关的、保护公民个人信息安全的部门规章。有些部门已经关注到了数据保护官的重要性,和引入“数据保护官”制度的必要性。例如公安部网络安全保卫局2018年11月发布《互联网个人信息安全保护指引》的征求意见稿,向社会征求修改意见,其中第4.2.2条就规定数据管理机构需要“配备负责数据保护的专门人员”,尤其是要配备独立的“安全管理员”;全国信息安全标准化技术委员会于2019年2月1日发布经修订后的《信息安全技术 个人信息安全规范》的草案,其中第10.1条d款规定了,个人信息控制者在法定条件下任命“个人信息保护负责人”的义务,职能就是“参与有关个人信息处理活动的重要决策,直接向组织主要负责人报告工作”,任命条件和具体工作任务也与数据保护官十分类似。这是一个良好的趋势,但比较于欧盟,我国的“数据保护官”制度(或者说类似制度)仍有值得完善的地方。故而,我们仍旧需要总结GDPR“数据保护官”制度可以给中国带来哪些启示。
(一)对国家机构的启示
1.主管机构应针对数据保护官建立完善的监管制度
GDPR中多次提及数据监管机构的职能和其重要性,但需要得到管理和监督的并非只有数据,还有数据保护官。根据欧盟的经验,数据保护官的管理制度主要是如何对数据保护官进行资格认证或考核,而监督机制主要是针对数据保护官的保密义务。
首先,与欧盟不同,我国的执业资格证书一般由政府部门颁发,获得证书须得通过国家统一考试。这就意味着数据保护官如要需要执业资格认证,那么设计和组织考核程序的,将是相关的主管机构。然而,现实中“数据保护官”这个职位的复杂性,可能会远远超出资格认证程序的预设。不同行业(例如航空公司、社交网站、医疗机构)的数据保护官,所需的专业知识也不尽相同。如何用同一套资格认证程序测试不同行业数据保护官的专业知识,需要程序设计者好好考量。
其次,虽然法律一般会为数据保护官设立保密义务,但他们通常也有着很大的工作自主权和决策权。然而,数据保护官与雇主之间有直接的利益关系,所以对数据保护官的监督不能完全依赖企业内部进行,监管机构的参与也很重要。例如,监管机构可以设置对数据保护官的管理条例,明确其违反保密义务或因重大工作错误导致严重后果时,将会面临相应的处罚。
除此之外,在法律确立了整体的“数据保护官”制度之后,执法机构或法律解释机构可以学习欧盟第29条工作组,发布针对“数据保护官”制度的实践指南,以引导各行政部门、其他公共机构、私营企业更好地运用制度。这样也可以减轻主管机构的负担。
2.掌握公民个人数据的政府部门应重视对公民个人数据的保护
除了GDPR,欧盟还配套了一系列法律来保障个人数据在被不同类型的公权力机构使用时的安全,“数据保护官”制度在这些法律当中均有设置。这其中比较典型的有:上文提到的《条例(EU)2018/1725号》,旨在规范欧盟机构、办事处、代理人的数据处理行为;除此之外,还有《指令(EU)2016/681号》,旨在规范主管当局为了防止、侦查、调查和起诉恐怖主义罪行和严重犯罪而使用乘客姓名记录(passenger name record)数据的行为,该指令要求各成员国的乘客信息单位任命数据保护官,作为单一的联系点,帮助数据主体处理相关问题。
这些区别适用理论的问题其实基本都是一样的。其一,与权利用尽规则规则的合理性基础相违背;其二,很容易被人绕开,致使法律规定的权利用尽条款实际失去作用;其三,在理论上相对比较复杂,不便于实践操作。因此,从符合立法本意、简单化理论架构以及保护买方的信赖利益的角度,笔者认为中国应对权利用尽原则予以统一适用。
我国是大数据事业发展最快的国家之一,近年来电子政务在我国受到广泛推崇,国务院办公厅多次发布各类指导意见和通知,大力打造“互联网+政务服务”,要求各政府部门“依托电子政务外网开展网上行政服务工作”,24 《国务院办公厅关于全面推行行政执法公示制度执法全过程记录制度重大执法决定法制审核制度的指导意见(国办发〔2018〕118号)》,第五部分第二段。 “打通信息壁垒,构建全流程一体化在线服务平台”。25 《国务院办公厅关于印发进一步深化“互联网+政务服务”推进政务服务“一网、一门、一次”改革实施方案的通知(国办发〔2018〕45号)》,第一部分第一段。 因此,随着越来越多的个人信息进入政府部门的网上平台,如何管理和保护这些公民个人数据将成为首要任务。
我国幅员辽阔、行政区划复杂、各地方政府的财政状况差异较大、电子政务推广的程度也有不同,故而不可能在短时间内要求全国的政府部门都像欧盟一样任命数据保护官,但我们应当从欧盟的立法中启示,重视政府部门在处理和储存公民个人数据时的安全问题。笔者认为,有条件的政府部门在处理规模较大的数据、特殊类型的数据和一些敏感数据时,可以任命专职的个人数据安全监管人员或者信息安全负责人,以确保政府部门的网上平台和电子数据库,能为公民个人数据的安全提供有效的保护。
在我国广大的农村地区,涉农信贷领域的难点在于缺乏抵押担保物品。服务于乡镇、村的农村保险基层服务体系的建设较为滞后,严重制约了涉农保险的发展。农村金融创新需要构建健全的覆盖全产业链的农村保险体系,建立政策性农业保险公司,在农业生产、种植养殖、农产品加工环节,提供多类保险险种,为农民和经济合作组织提供金融风险防范保障。
(二)对于控制和处理个人数据的企业的启示
1.企业应灵活运用“数据保护官”制度,完善数据处理流程
事实上,“数据保护官”制度并非需要法律强制规定才能实行。例如,美国法律虽然没有规定企业必须任命数据保护官,但企业亦有设立“首席隐私官”(chief privacy officer)的习惯。其职能与数据保护官或有差异,但其工作目的亦是使企业控制和处理用户数据的程序符合法律规定,从而保护用户数据隐私。
因此,首先,即便我国法律现状还没有规定数据控制者和处理者有任命数据保护官的义务,但企业可以自发将“数据保护官”制度写进公司章程,或将这种制度作为一种行业规范推广开来。其次,企业还需要注意,一套系统化、规范化的数据处理流程,是“数据保护官”制度实现其功能和价值的基础。想要建立“数据保护官”制度,企业还应当建立完善的数据处理流程、明晰的人事管理制度、专业的人才培训模式。再次,考虑到任命数据保护官的成本问题,企业可以根据自身实际需求来确定是否要任命数据保护官。但企业应该保证即便不任命数据保护官,也能够通过其他方式实现数据处理行为合规。
2.与欧盟发生业务往来的企业应处理好与数据保护有关的法律适用问题
在“一带一路”倡议提出后,我国各种规模、各个行业的企业都开始发展与欧洲国家的数字贸易。而上文已经提到,即便企业的主营业地或分支机构所在地没有设立在欧盟,但只要欧盟的数据主体提供了有偿或免费的商品和服务,就会受到GDPR的管辖。对于这些企业而言,不愿受到GDPR的管辖,不愿遵守GDPR的规定任命数据保护官,意味着他们必须退出欧盟市场。在这种情形下,企业可考虑设置数据保护官,以更好地应对GDPR的规定,避免企业发生违规操作。除此之外,企业在处理涉及欧盟的业务时还需注意数据跨境流动过程中产生的法律适用问题,因为对数据跨境流动进行严格限制的,不仅有GDPR,还有我国的《网络安全法》等法律法规。此时,数据保护官可以帮助进行评估,为企业选择风险较小的方案,控制数据跨境流动成本。综上所述,与欧盟发生业务往来的企业如果能够运用好数据保护官制度,那么在不同国家的数据保护法律法规产生冲突、企业面临违规困境的时候,这些企业所面临的风险和损失将大大降低。
五、结论
不可否认,GDPR“数据保护官”制度是一种连接了数据保护者和控制者、数据主体,以及数据监管机构的优秀制度。欧盟的立法机构在设计此制度时已考虑得较为全面,对数据保护官的任命条件、职能、权利、义务都设计的较为完善,对于我国的公共机构和私营企业来讲都有着极高的借鉴价值。但当我们着手引入“数据保护官”制度时,除了考虑如何对接国际标准,也应因地制宜,考虑我国的实际社会需求,并为实施该制度创造良好的立法环境、社会条件,让“数据保护官”制度真正成为数据保护事业的助力。
Analysis of GDPR "Data Protection Officer" Mechanism and Its Enlightenment to China
Abstract: This paper firstly introduces and deconstructs the “data protection officer” mechanism in GDPR in combination with other related data protection legal documents in EU. In order to do a deeper research of the mechanism, it is necessary to base on the main issues which were discussed in the legislative process, and to focus on the disputes happened before and after the entry into force, and then analyze the needs and attitudes of different interest groups to the mechanism. On the basis of such research, this paper attempts to discuss the specific impact of the “data protection officer” mechanism on different subjects after the GDPR implemented around EU; and make some suggestions on how to construct a similar mechanism in China.
Key words: GDPR; Data Protection Officer; Data Controller Processor; Data Subject
作者简介: 王楠,武汉大学国际法研究所博士研究生。
标签:GDPR论文; 数据保护官论文; 数据控制者与处理者论文; 数据主体论文; 武汉大学国际法研究所论文;