寫在前面

歐洲聯(lián)盟(簡稱“歐盟”)《通用數據保護條例》(GeneralDataProtec-tionRegulation，GDPR)于2018年5月25日生效，對企業(yè)收集、控制和處理個人數據的方式產生了深遠影響。而且，并非位于歐盟的企業(yè)才會受到影響，事實上，任何與歐盟監(jiān)管下的客戶進行的業(yè)務，都需要遵守GDPR。如果違反GDPR企業(yè)將面臨可高達2千萬歐元或全球年營業(yè)額的4%的巨額罰款。

伴隨著GDPR的實施，組織內應該根據具體職能配備相應的角色，包括數據控制者(DataController)、數據處理者(DataProcessor)以及數據保護官(DataProtectionOfficer，DPO)。

其中數據控制者定義了個人數據的處理方式和目的，此外，控制者還負責確保外部承包商能夠遵守相關規(guī)定。數據處理者(DataProcessor)可以是維護和處理個人數據記錄的內部團體(如業(yè)務分析師或開發(fā)商的直接雇員)，也可以是執(zhí)行全部或部分這些活動的任何外部服務提供商(如信用評級機構等)。

此外，最重要的是GDPR還要求指定1名數據保護官(DPO)來監(jiān)管數據安全策略和GDPR合規(guī)性。核心活動涉及處理或存儲大量的歐盟公民數據、處理或存儲特殊類別的個人數據(健康記錄、犯罪記錄)的組織必須指定1名DPO。DPO主要負責就GDPR規(guī)定提供咨詢意見，向最高管理

層報告。

中國企業(yè)需要設置DPO嗎？

2018年5月25日正式實施的歐盟GDPR法案，提出了設置DPO的要求。

我們不要認為歐盟GDPR和中國企業(yè)沒有什么關系，即使企業(yè)不在歐盟內，但如果在向歐盟內的個人提供商品和服務的過程中處理了歐盟居民的個人數據，或監(jiān)測了在歐盟實施的個人行為，企業(yè)就會受GDPR約束。盡管中國有關個人信息保護方面的專門立法暫未生效，但已經公布實施的《網絡安全法》和2018年5月1日正式實施的國家標準GB/T35273—2017«信息安全技術個人信息安全規(guī)范»（簡稱«個人信息安全規(guī)范»），分別提出了設置“網絡安全負責人”“個人信息保護負責人”的要求。

DPO的職責

根據歐盟GDPR數據保護工作組2016年12月發(fā)布的《數據保護官指弓I》（簡稱《指引》），DPO的任務和職責包括：向數據控制者、處理者及負責數據處理的員工做出有關通知和建議；確保、監(jiān)控企業(yè)活動的合規(guī)性；提出建議并監(jiān)控數據保護影響評估；協(xié)助監(jiān)管機構的工作，并擔任指定聯(lián)絡人；負責風險管控工作等。DPO需要具備專業(yè)知識和技能。DPO必須有理解數據保護和信息安全方面的法律知識，且有能力指導企業(yè)在整個信息生命周期處理包括收集、使用、存儲、清理等方面的具體問題。GD¬PR第37條明確要求DPO需要“有數據保護法律與實踐的專業(yè)知識，且有能力完成第39條項下的職責”。