数据安全⑦中国数据保护官制度存在的问题与应对策略

2021年，数据保护官制度的相关概念频繁出现于大众视野。《个人信息保护法》（以下简称《个保法》）和《数据安全法》接连公布，明确设立个人信息保护负责人或数据安全负责人的必要性；5月13日发布的《广东省首席数据官制度试点工作方案》在全国范围内具有示范引领意义。数据保护官制度在中国立法和试点的土壤中得到滋养，不断完善和发展。

然而由于中国数据保护官制度起步较晚，法律制度、监管部门和资质认证体系尚未完善，因此在制度落实、责任平衡、专业人才供给方面出现了一些问题。对此，本文从现存问题入手，从完善相关立法、建立专门部门、完善认证体系、建立行业协会四个方面提出建议，为完善数据保护官制度献言献策。

特别声明，本文中数据保护官制度分为企业和政府两个主体，其中企业为主体的数据保护官职称是“个人信息保护负责人”，政府为主体的数据保护官职称是“首席数据官”。 

一、中国数据保护官制度现存问题

中国数据保护官制度主要受2018年欧盟通过的《通用数据保护条例》（GDPR）中设置“数据保护官（DPO）”的影响，现存一些亟需解决的问题。第一，中国数据保护官制度在各企业管理机构和政府部门中没有强制落实；第二，企业的个人信息保护负责人所承担责任重大，而政府的首席数据官则没有承担责任的明确规定；第三，高素质信息保护专业人才稀缺，出现人才供给失衡。

1. 数据保护官制度没有强制落实

中国数据保护官制度没有强制在各企业管理机构和政府部门中落实。相较于欧盟GDPR明确规定所有公共机关和符合设立条件的私营企业或组织必须依法设立数据保护官，国内现有的《个保法》、《数据安全法》以及2021年6月2日公布的《深圳经济特区数据条例(征求意见稿)》中，设置数据保护官的法定条件较为有限，且在措辞上都以“应当明确”、“应当制定”为主，缺乏强制性。对于没有设立数据保护官的企业机构或政府部门，现有法律中并没有相应的责罚机制，因此数据保护官的设立存在惰性，难以起到监管数据处理、开展风险评估、进行安全审计、加强数据安全教育的效用。

2. 政府数据保护官与企业数据保护官承担责任不平衡

数据保护官在政府和企业两种主体中所承担的责任不平衡，提升了企业中推广普及数据保护官制度的困难程度。《个保法》与《数据安全法》中明确指出，对于不依法履行数据安全保护义务的企业个人信息保护负责人及其主管部门，根据情节严重程度，将被采取从责令改正到吊销业务许可证不等的处罚措施，并加以罚款。而政府部门，目前仅有广东省试点方案在推行首席数据官，且只规定了职责范围，没有相应的法律责任说明。

3. 高素质个人信息保护专业人才稀缺，供给失衡

高素质信息保护专业人才稀缺是中国信息安全领域长期存在的问题，企业对人才的争夺加剧人才供给失衡。2017年的一项调查表明，中国近年高校教育培养的信息安全专业人才仅3万余人，而信息安全人才总需求则超过70万人，缺口高达95%，可见人才稀缺的严重程度。而随着相关法律的公布，以及广东试点方案的出台，数据合规行业蓝海到来，个人信息保护负责人、首席数据官职位炙手可热，高素质信息保护专业人才再次成为企业争夺的目标，市场上公开的薪资水平甚至已超过了同等年限的法务或律师，并出现人才供给失衡的现象。 

二、中国数据保护官制度为何问题重重

中国数据保护官制度现存问题的主要原因包括法律完善、部门设置、认证体系三个方面。第一，由于中国数据保护官制度起步较晚，数据保护官相关法律尚未完善，仍有值得改进之处；第二，中国监管体系中缺乏个人信息保护部门，因此政府的首席数据官缺少隶属部门、企业的个人信息保护负责人缺乏监管部门；第三，注册个人信息保护专业人员认证体系在项目细化和持续教育政策方面有待完善。

1. 数据保护官相关法律尚未完善

（1）设置数据保护官的法定条件存在缺陷。《个保法》第五十二条规定：处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人。这项法定条件中只从所需处理的个人信息数据的规模数量出发，没有涵盖需要处理特殊类型、特殊分级数据的组织或机构。

（2）数据保护官的独立履职权缺乏法律保障。根据欧盟GDPR中对于数据保护官法定地位的规定，数据保护官应当拥有独立履职权，即其受聘于数据控制者或数据处理者这一事实不得影响其独立地位。但在中国《数据安全法》和《个保法》中都没有关于确保独立履职权的法条，或将无法避免数据保护官与企业利益勾结的现象，进而可能导致个人信息保护失效。

2. 中国监管体系中缺失个人信息保护部门与数据保护官对接

中国现有的数据安全行政监管体系中，公安部负责网络安全保卫，网信办和工信部负责网络安全风险评估，唯独缺失对应监管个人信息保护的专门部门。《数据安全法》第六条规定：国家网信部门依照本法和有关法律、行政法规的规定，负责统筹协调网络数据安全和相关监管工作。这增加了国家网信部门的监管负担，不利于个人信息保护监管的高效进行。同时，个人信息保护部门的空白使得数据保护官制度无法与其对接：首席数据官分散在政府各级部门当中，不隶属于统一监管部门，缺少标准化的执行规定；个人信息保护负责人由企业聘用而在企业缺少有效的宏观监管机制。

3. 注册个人信息保护专业人员认证体系尚未完善

注册个人信息保护专业人员（CISP-PIP）是中国目前唯一的国家级个人信息保护专业人员资质评定。对标国际影响力较大的个人信息保护认证项目“国际隐私专业人员协会”（IAPP）认证，CISP-PIP仍存在两方面的不足。

（1）资质认证单一，难以直接对应政府和企业数据保护官的不同需求。IAPP认证作为目前全球顶级的隐私保护认证，包括隐私保护专业人员认证（CIPP）、隐私保护经理认证（CIPM）和隐私保护技术专家认证（CIPT)3个项目。相比之下，CISP-PIP认证项目较为笼统，“个人信息保护专业人员”的概念没有细化，较难直接对口个人信息保护负责人和首席数据官的不同需求。

（2）缺乏直接个人信息保护专业人员认证持续教育政策。IAPP采用持续隐私教育（CPE）政策维持认证证书的有效性。而CISP-PIP白皮书中只强调了“资质证书有效期为3年，证书失效后需要重新申请”，没有领取资质证书后的持续教育的相关规定，难以有效维持和提高个人信息保护专业人员的专业技能。 

三、解决中国数据保护官制度现存问题的建议

根据上文阐述的中国数据保护官制度现存问题与可能原因，本报告主要从完善相关立法、建立专门部门、完善认证体系、建立行业协会四个方面提出建议。

1. 完善数据保护官制度相关法律

完善设置数据保护官的法定条件。在现有对于处理个人信息数据的规模数量的条件上，增加对于个人信息数据类别或级别的条件规定：当数据控制者或处理者的司法身份是法院以外的公共机构，其需要对数据主体进行大规模系统和常规化监控的处理操作，核心业务包括对诸如与健康有关的个人数据的特殊类别数据或与刑事定罪和犯罪有关的个人数据进行大规模处理的部分时，必须设立数据保护官。

立法保障数据保护官的独立履职权。个人信息保护负责人受聘于企业这一事实不得影响其独立地位，其履行职权时不受企业高层管理人员的立场或利益关系左右；各级首席数据官受各级部门领导小组任免这一事实不得影响其独立地位，报最高政务服务数据管理部门备案。

2. 推动中国个人信息保护监管部门的建立

在公安部、网信办和工信部之外，建立个人信息保护监管部门，减轻原国家网信部门承担的监管压力。个人信息保护监管部门作为政府首席数据官的最高隶属机关，负责定期监管各省常态化首席数据官工作沟通机制、开展各省政务数据部门的绩效评估及复审数据官履职评价等工作；同时，对企业个人信息安全负责人进行宏观监控，与相关行业协会共同建立标准化、合理化的数据保护官行业规定。

3. 完善注册个人信息保护人员专业认证体系，加强人才培养

进一步细化CISP-PIP项目。可借鉴IAPP，择机将CISP-PIP扩展至2类资质认定项目：个人信息保护专业人员，主要适用于企业个人信息保护法律法规、合规审查、信息管理、数据治理、人力资源等领域的从业人员；数据保护专业人员，主要面向来自政府、监管部门以及企事业单位等从事个人信息保护项目管理人员。

逐步建立中国个人信息保护专业人员认证持续教育政策。持续教育主要用于支撑认证证书有效期的维持，也可以服务于国内个人信息保护相关教育、培训等需求，提高专业人才的数量和质量。

4. 建立个人信息安全负责人行业协会，使行业规定标准化、合理化

针对高素质信息保护专业人才成为企业争夺的目标、薪资乱抬高、人才供给失衡的问题，可以成立个人信息安全负责人行业协会，建立起有效沟通政府与企业之间个人数据安全监管体系的桥梁，与CISP-PIP认证体系一起监督个人信息安全负责人的专业质量和制定薪资标准、数量要求，并积极配合政府监管部门和CISP-PIP认证体系展开企业个人信息安全教育与培训、提供咨询服务、举办展览、定期组织会议等等，使个人信息安全负责人行业规定标准化、合理化，形成良好的行业文化和行业氛围。

[邹佳祎来自复旦-炜衡数据安全联合报告课题组。本文选自江天骄、姚旭主编的《复旦-炜衡数据安全联合报告》，课题组其他成员还有：王蕾、陆滨、金代文、 赵越等。该报告由复旦发展研究院开设的咨政实践类课程研究成果转化而来，调研过程中得到北京炜衡(上海)律师事务所的大力支持。复旦大学网络空间国际治理研究基地主任、发展研究院教授沈逸与北京炜衡（上海）律师事务所高级合伙人顾靖担任课题研究顾问。]