歐盟《一般數據保護條例》指導下的數據保護官制度解析與啟示*

王 錚 曾 薩 安金肖 黃菁茹

（1．西北大學公共管理學院 陜西西安 710127）

（2．南京大學信息管理學院 江蘇南京 210023）

（3.西北大學法學院 陜西西安 710127）

2018年5月，歐盟發布的 《一般數據保護條例》（或譯為 《通用數據保護條例》，General Data Protection Regulation，GDPR）正式實施。該條例順應了大數據時代對個人信息保護的需求，被稱為史上最嚴格的數據監管條例，也是隱私與數據保護領域20年來的重大改革，并有可能成為全球數據保護的參考標準。在Facebook數據泄露事件發生后，美國一些眾議員也認為GDPR是應對此類事件的唯一對策。GDPR明確規定了數據控制者與處理者的多項義務，其中值得注意的是對“數據保護官”（Data Protection Officer，DPO）崗位的強調（GDPR第37條明確規定數據控制者和處理者應當委任DPO）。

當前國內已有研究關注了GDPR對我國的影響和參考意義，但多是從宏觀角度分析GDPR對于企業或行業的沖擊，研究視角主要來自網絡安全、信息通信、經濟金融等領域。而對于圖書與情報相關專業來說，數據管理、信息安全正在成為重要的研究領域和人才培養方向。GDPR指導下的DPO制度正是新時代“數據工作者”的典型代表，又恰是數據管理與信息安全的交叉領域，這一崗位建制的能力要求及資質不僅可以為國內企業等相關機構的數據管理制度設計提供借鑒，也可以為圖書與情報相關專業研究與人才培養工作帶來重要啟示。因此，本文在概述GDPR主要內容和特征的基礎上，從GDPR合規實踐的崗位保障角度，重點分析了DPO職能的定位、作用和核心能力。

1 GDPR概述

歐盟素有個人信息與數據保護的傳統與法律基礎，自1995年就實行了《數據保護指導》（Data Protection Directive），適用范圍為所有歐盟境內運營及使用位于歐盟內的設備處理數據的企業。但隨著近20年來谷歌、Facebook等大型互聯網公司的崛起，大數據、云計算、移動互聯網、社交網絡以及各類智能終端的普及使得個人數據無處遁形，而自然人的天然弱勢地位又導致其難以掌控自身數據，當前數據流動的全球化、海量化、開放化態勢較20世紀90年代已經發生了天翻地覆的變化。以 《數據保護指導》代表的傳統規則已經難以規制機構在移動互聯網環境下的數據搜集行為。此外，《數據保護指導》缺乏權威的法律效力，在歐盟不同成員國之間執行的寬嚴程度不同，在日漸統一的全球數據市場中難以取得協調效果。因此GDPR自2012年進行初步提案，經過4年的博弈和準備，最終于2016年通過，并在2018年5月25日正式實施之前，預留了長達2年的過渡準備期，可見其立法和實施過程之復雜。

與1995年歐盟《數據保護指導》相比，GDPR具有如下特點：（1）法律效應更加強化：《數據保護指導》僅僅是“指導”性質（Directive），在實際上更多的是發揮指南和推薦作用，而GDPR則是“條例”形式（Regulation），提供了更強的執行依據；（2）地域范圍更加廣泛：數據在全球范圍內跨境流動的時代，面對GDPR帶來的沖擊，沒有區域能夠全然置身事外。根據GDPR規定，無論組織機構所在地、數據存儲和處理地點，如果向歐盟提供的網站、應用、服務涉及規范所定義的數據處理活動 （即使在歐盟境內沒有業務存在），都必須遵從GDPR；③保護對象更加拓展：GDPR大幅拓展了個人數據的定義，確立了個人可識別信息 （Personally Identifiable Information，PII）這一核心概念凡是可以用作識別個人身份的相關信息，均屬于GDPR保護范圍，包括基本身份信息（如姓名、電話、地址、身份證號等）、瀏覽器的Cookie、IP位置乃至識別個人身份的生物醫學信息、政治觀點等敏感信息；④主體權責更加明確：在由數據控制者、數據處理者組成的數據模型下，明確了數據擁有者的訪問權、被遺忘權、數據可攜帶權、限制數據處理、默認隱私保護等一系列權利。同時增加了義務主體的責任，包括明確了數據處理者的當責性、數據泄露的告知義務等。這其中尤為重要的是，GDPR規定了基于數據供應鏈的多元主體責任共擔機制 （見圖1）。用戶作為“數據擁有者”，盡管其數據被長期存儲在由互聯網服務商托管的服務器中，但其擁有的一系列合法權益得到了GDPR的確認，對用戶數據進行處理（收集、存儲、使用）的目的與方法都需要向數據擁有者明確告知，體現了用戶“自由給與、自愿、明確、知情”的原則。在過去數據保護主要由“數據控制者”（如網絡公司）負責，而“數據處理者”（如提供數據處理服務的云服務商和進行數據分析的第三方機構）并不直接參與數據的搜集和具體使用。在GDPR明確認定了“數據處理者”的責任義務，規定數據處理者也需要直接承擔合規風險與保護數據主體個人隱私權利不受侵犯的義務，由此數據供應鏈上的上下游各方都被納入到了數據保護的問責機制。

圖1 數據保護多元主體共擔機制

2 GDPR指導下的DPO制度分析

2.1 DPO在GDPR組織保障中的定位

如前所述，GDPR圍繞數據擁有者創建了大量新權利，也規定了數據控制者和數據處理者大量的新義務。歐盟為了保障這些數據保護義務的有效履行，從區域層面、國家層面、機構層面規定了專門的數據保護組織機構以及相應的崗位。

在區域層面，GDPR提出設置歐盟數據保護理事會（European Data Protection Board）作為歐盟數據監管的最高職能機構，直接對歐盟委員會負責，強化了對數據的集中統一監管。在國家層面，GDPR規定歐盟成員國需要設置監管機構 （Supervisory Authority）監督GDPR的實施，體現了一站式（one-stopshop）監管原則，落實了數據控制者和數據處理者所在國的監管責任，其職能包括：（1）監管機構需保護個人數據權利和自由、提高公眾對相關風險與規則的認識、促進數據流通、處理數據問題投訴、與他國監管機構合作進行信息溝通與共享、建立數據保護認證機制等；（2）監管機構具有開展調查、糾正數據操作、限制數據行為、提出意見與建議、建立與撤銷認證資格、制定數據保護規則、責令行政處罰等的權利；（3）監管機構完全獨立行使權利，不受外部影響和其他機構制約。國家必須向監管機構提供人力、物力、財力支持。監管機構的設置使得數據保護有了權利的保障，公司或政府的數據控制或處理行為置于獨立的監督框架之下，確保數據泄露事件可以被及時公布、不當數據處理行為被及時制止、非法數據處理行為被及時裁決。

在組織機構層面，DPO是數據保護合規實踐的基礎性設置。GDPR規定數據控制者和數據處理者需要共同承擔的義務包括文檔化管理、數據保護影響評估、事先咨詢、數據泄露報告、實施安全保障措施、遵守數據跨境轉移規則，這些任務既涉及技術問題也涉及法律問題，組織機構需要確保內部有合適可用的專業人員來處理這些任務。DPO的崗位設置由此應運而生。

2.2 DPO的崗位設置條件

GDPR對于DPO的設置做出了強制性規定。根據GDPR規定，凡是符合以下條件，都應當任命DPO：進行數據處理的政府部門或公共機構、以大規模數據處理作為核心業務（包括對數據進行定期、常態、系統監測和處理）的機構、擁有250名或以上員工。擁有少于250名員工的組織也被推薦設立DPO。這一點也顯示出DPO的定位并不僅僅是一種企業崗位設置，而是一種覆蓋企業、政府、公共機構的制度安排。可見DPO（數據保護官）不同于根據企業自身情況和治理結構來進行設置的CEO（首席執行官）、CIO（首席信息官）、CFO（首席財務官）、CKO（首席知識官）等，DPO設置是落實法律的強制性要求。

GDPR指導下的 DPO具有如下特點：（1）在GDPR規制范圍內無論企業還是公共機構都需要設置DPO。特別是對于歐盟境內的政府單位和公共機構來說，如果在其履行職能的過程中，涉及收集和監控私人數據，那么就必須設置 DPO；（2）在 GDPR規制范圍內組織無論是充當數據控制者還是數據處理者，都需要根據自身在GDPR中的角色設置DPO；（3）在GDPR規制范圍內組織無論是否位于歐盟，都需要根據業務情況設置DPO或類似職位。按照此條規定，谷歌、Facebook等在歐盟有大規模數據處理的公司都需要設定DPO的崗位職能。

2.3 DPO的主要功能特征

DPO的主要職能包括監測、宣導、建策、組織、溝通5大功能，具體包括：對數據保護工作進行定期及系統性監測；負責內部教育培訓以及合規性審計事務；提高組織內的數據保護意識；在組織內塑造數據保護文化；建立數據保護的IT系統；確保組織相關角色明確其權責；向組織機構提供建議；提交關于數據保護的年度報告和工作計劃；參與相關內部討論；負責組織與GDPR監管機構之間的溝通以及與其他利益相關者的交互。DPO處于中介地位，可以成為數據管理機構與監督機構之間的緩沖環節，數據擁有者可以通過聯系DPO來行使他們的權利。

DPO與企業CEO、CIO相比，其特點之一是具有更高的獨立性。根據GDPR規定，DPO直接向最高管理者報告工作，并且不能因為執行任務的原因被解雇或者受到處罰。DPO的級別宜設置在管理層，負責數據安全的負責人級別越高則影響力越大，效用越明顯。DPO接觸到的是組織的高度敏感數據，宜由專業層次較高的人員擔任。

對于DPO的任用，GDPR的規定表現出一定的靈活性。組織內部的DPO既可以是專職也可以是兼職。具體表現為：DPO可以由企業管理者兼任，可以執行其他任務，履行其他職責；GDPR也允許一名DPO同時為多個組織機構提供服務。這對于那些缺乏GDPR合規經驗和專業人力資源的企業帶來便利。需要指出的是，這種兼職必須是在確保沒有利益沖突的情況下實行的，不能影響DPO工作的獨立性和工作效果。

在現實中，DPO的獨立性可能受到組織層級、治理結構、資源配置、利益沖突、個人精力等很多因素的影響。為了保障DPO工作的獨立性，歐盟有關文件給出了相關建議：（1）賦予 DPO 更高的職位級別和職能權限，包括管理職權、信息獲取權限和調查權限等；（2）確保DPO崗位合約的長效性（合同以五年為宜）；（3）對于大型機構、處于正在建立數據保護制度關鍵階段的機構，宜聘用全職的DPO；（4）確保DPO與其兼任的其他職務不發生利益沖突；（5）確保DPO在進行決策時不受上級旨意的干預和影響；（6）確保DPO的工作具有獨立的預算和經費保障。

2.4 DPO的能力資質要求

正因為DPO具有上述重要作用，其任職資質具有明確規定。在歐盟推薦的DPO專業標準（見表1）中可知，具備數據保護方面的專業知識是最為核心的要求。同時，DPO要有能力理解組織在不同情境下的數據活動，對于組織結構和運作機制也要有所了解，因此DPO最好能夠從組織機構內部任命。由于DPO的工作性質需要經常面對和數據相關的利益沖突和風險管控，因此DPO任職者的個人特質和職業倫理被特別強調：DPO需要清晰掌握組織數據處理流程的全貌，能夠做出獨立的判斷和建議；在組織可能出現違規風險和行為時，應及時給予解決和報告，而不是幫助掩蓋、銷毀或修改證據。DPO在上任之前，還需要培訓和認證，以證明其上崗資質。此外，DPO在組織內履行職務不僅要靠其一己之力，而且需要配備專業支持團隊和相關資源（如IT設施、工作預算和資金支持）。

可以看出，DPO是數據環境下組織機構中多元復合性人才的代表，至少應具備“管理-技術-法律”三重知識背景。DPO不一定需要具有律師的職業資格，但至少需要在數據保護、信息安全等相關法律領域獲得一定的受訓經歷或資質認證；同時，還需要兼具對一個機構的組織架構與技術架構的深入理解。

表1 歐盟DPO推薦標準

3 DPO制度對我國的啟示

3.1 DPO制度對數據管理崗位設置的啟示

隨著GDPR的正式實施，DPO制度也勢必會依法得到進一步推廣。盡管GDPR是由歐盟制定的法律規則，但是其反映了大數據時代個人數據保護的新秩序雛形，很可能將改變現有的信息產業格局，構成未來全球網絡空間規則的基石之一。世界各國立法行政部門都在積極參照和對標GDPR，推出對策加強數據保護力度。我國在已有《網絡安全法》《關于維護互聯網安全的決定》《關于加強網絡信息保護的決定》《電信和互聯網用戶個人信息保護規定》《信息安全技術公共及商用服務信息系統個人信息保護指南》等政策法規的基礎上，于2018年5月，又正式實施了 《信息安全技術個人信息安全規范》國家標準，在其制定的過程中充分參照對標了包括GDPR在內的國際先進規則和立法標準，為企業提供了新的業務參照和行為指引。

在應對數據保護升級新趨勢、融入數據保護新秩序的進程中，在組織機構層面設置數據保護與數據治理的專職崗位可以成為有效的抓手，DPO制度可以為我們帶來以下啟示：

（1）對接國際標準，從數據保護崗位設置層面促進我國企業的GDPR合規實踐。GDPR生效后，我國最有可能受到直接影響的就是那些面向歐盟開展業務的企業。近年來中國企業進軍海外的力度不斷加大，與之伴隨的是面臨政策風險不斷增加，要求中國企業在數據保護能力、數據治理機制方面同步加強。尤其是我國近年來發展迅速的跨境電商、硬件制造、銀行金融等行業由于涉及到大量的數據收集、處理和交易活動，極有可能受到GDPR的影響與規制。對于這些企業來說，GDPR帶來的最為直接的沖擊是其不再堅守屬地原則，而是推行數據保護的域外效力，對歐盟境內外的數據控制者和處理者實施統一標準，這意味著當中國企業為歐盟居民提供產品或服務，并在這一過程中收集、監控、處理用戶數據，就需要認真關注GDPR的相關規定。否則，違反GDPR將面臨巨額的違規成本，對于重大違規(most severe infringement)企業，歐盟監管機構將把該企業年度全球收入的4%作為罰金，或者直接處以2000萬歐元的罰款，這一額度對于任何成長中的企業都是不堪重負的沖擊。

為此，GDPR實施后，阿里、華為、小米等企業都在積極從政策制定、基礎設施、組織保障等方面促進GDPR的合規實踐，并且把GDPR的實施視為強化數據保護機制的契機。近年來中國企業已經開始注重技術層面的數據保護措施，但是在組織層面的保障還有待加強。在GDPR新規影響下，設置DPO崗位將成為很多企業刻不容緩的數據保護舉措。如東航在2018年6月設立DPO崗位，成為國內首家設立“數據保護官”的企業，而華為公司則在對于GDPR的官方回應中，指出華為根據GDPR的要求任命了歐盟DPO。這些案例反映了中國企業在崗位設置上適應GDPR要求的趨勢。

（2）立足本土實際，建立適應我國國情的數據保護職能與制度。數據保護規則的制定不僅僅是一個技術問題，其背后也有各國在網絡空間治理和規則制定方面的博弈。GDPR的背后就有歐盟在全球互聯網產業競爭中提高競爭力和話語權的考量。同時，數據保護需要與企業發展保持平衡，需要與國家發展階段相適應，不能單純強調保護而因噎廢食、阻礙創新。這些都決定了我國在對接國際標準的同時，不能照搬國外經驗。我國的DPO崗位也不是國外崗位的簡單復制，而是需要根據我國國情進行制度設計。

為此，需要進一步理解歐盟DPO背后的一系列制度安排。首先，DPO的設置需要得到法律體系的確認和保障。在歐盟DPO是GDPR做出的強制性規定，其背后是系統全面的法律支撐與規則解釋，也反映了法律層面對于數據控制者和數據處理者責任義務的細化和落實。而我國現有法律制度中對于數據保護的職能崗位設置還缺乏明確規定，需要根據我國現實情況制定相關細則。同時，需要完善與DPO配套的數據管理組織機構設置。DPO崗位并不是孤立的存在，而是數據保障體系中的基層組成部分。GDPR中呈現了由跨區域層面的數據保護理事會、國家層面的數據保護監管機構以及組織層面的DPO共同組成的完備體系，各層級、各部門和各個DPO之間保持有效協調溝通。歐盟數據監管機構提供了供DPO職業進行交流互動學習的平臺，他們可以通過網絡名錄結識同行，交流最佳實踐。DPO在我國還處于零星起步階段，尚未形成成熟的職業群體，此時更需要從頂層設計的角度通盤考慮數據保護職能體系的建構。

3.2 DPO制度對數據管理人才培養的啟示

數據時代新的崗位形態與崗位需求必然會傳導到上游的人才教育培養環節。崗位作為組織內一系列制度安排的產物，是由特定人員負責的若干任務組合，也反映了一定階段的時代發展趨勢，因此新興崗位對于專業教育具有重要的指標意義。DPO是GDPR制度的集中體現，反映了個人隱私保護時代新的權責義務設定。“數據看護者”有可能成為21世紀最為重要的新興職業之一，在現實場景中除了開始出現DPO職位，還出現了首席隱私官、首席數據官等，都印證了這一市場需求和職業趨勢。而在一個專業性職業誕生的背后，必然有較為系統的專業知識體系和教育培訓體系做支撐。

通過上文對DPO制度的分析，可以發現在DPO的職業視野中，“數據”一詞不僅是指冷冰冰的可計算化的資料，而且和活生生的個人信息與權益訴求息息相關，這就要求DPO不僅需要具有信息技術素養，還需要具有法律、社會、信息倫理等多方面的人文意識。我國圖書與情報類院系長期兼具“技術”與“人文”的培養特點，從上述“數據職業”的未來趨勢中，可以尋找到以優勢對接趨勢的最佳匹配點。圖書與情報等相關專業可根據數據保護崗位的現實需求，結合數據管理人才培養體系，健全培養目標、豐富培養方式、創新培養內容、對接職業場景。

（1）在培養目標上，需要從GDPR及我國近年來出臺的相關法律政策中發掘、識別和解析對于專業技能和專業人才的需求。從歐盟DPO推薦指標（見表1）可知，專業數據保護知識和技能是DPO的基本能力，DPO需要具備過硬的專業知識以及數據能力。為形成能夠支撐政策要求和市場需求的專業人才輸送渠道，圖書與情報等相關專業要調整培養目標，在培養學生傳統的信息素養基礎上，注重數據素養的培養以及數據意識、數據能力的形成。

（2）在培養方式上，我國目前一些院系已經設置了數據管理、大數據分析專業，同時還有大量的圖情專碩培養項目，有關項目根據DPO的能力資源要求可以將信息安全、數據監護等新興培養方向進行交叉，同時與信息管理領域的傳統培養體系融合，打造學科專業的新出口和新增長點。在本科生培養階段，可增加數據管理、數據保護、信息法學等課程；在已有的博碩士培養體系下，新增數據保護培養方向，設置綜合性較強的課程，如元數據、數字資源長期保存、信息資源管理、數字資源評價、信息組織、數據管理、數據保護技術等，將專業傳統優勢與新興需求相結合，培養學生在數據全生命周期過程中發現問題、分析問題、解決問題的能力。

同時，由于DPO需要接觸企業核心數據，宜由企業中高層管理人員擔任，但是管理人員不一定具有數據保護的專業背景和知識技能，為此，開設數據保護專業碩士項目或其他在職進修形式也是一種比較符合DPO崗位特性的教育形式。有關項目招收非全日制學生，特別是面向企業管理人員進行數據保護技術、數據保護制度、數據分析、數據安全評估、數據全程管理等的教學培養。

（3）在培養內容上，除了數據保護技能本身，也需要培養數據獲取能力、數據使用能力、數據評估能力、數據表達能力等覆蓋數據周期的全方位能力。數據保護要更加注重案例教學與實踐應用，以應對不同機構不同場景的數據保護規定，讓學生掌握不同數據安全事件的處理方式。建議培養機構與已經設置DPO崗位的國內外企業建立合作關系，提供數據保護實踐學習基地。在部分課程實施后，可以繼續展開在線教育、網絡課程等形式，以應對市場對數據保護知識越來越大的需求，幫助從業人員進行繼續教育，拓展學習深度和寬度。從知識、能力、素質層面全面培養數據人才，亦可以擴大專業的社會影響力。

（4）在培養方向上，加強對于數據保護在不同應用領域和場景的拓展。當前國內圖書館學與情報學專業在面向科學數據管理與監護方面已經取得了一定的成果，并形成了對圖書館等機構科研數據管理崗位的理論支撐。而在大數據環境下，政府、企業乃至社會公民組織與個人的數據管理與監護同樣表現出旺盛的專業人才需求，國外數據管理專業的培養方案中也體現了對多元主體的關注。因此圖書與情報等學科專業可以拓展理論視野，關注學術、研發、商業、行政、治理及個人隱私保護等不同領域的數據生態和特定需求。因此，可以探索對DPO制度的經驗遷移與內涵拓展。DPO不僅是一種數據管理崗位設置，而且是一種數據治理制度安排。正如21世紀初CIO、CKO等崗位興起時，圖書與情報等專業就關注到其背后信息環境與知識管理模式的變化，探索其對于專業發展的帶動作用。作為數據治理的重要制度安排，DPO制度與信息治理、政府治理、IT治理、企業架構等都有千絲萬縷的聯系，圖情學科可以以點到面拓展分析DPO對組織機構相關部門的影響，以及對業務部門帶來的變革，對社會產生的長期效應。同樣DPO的角色也并不局限于企業機構，還可以由點及面橫向遷移探索論證學術科研機構DPO、圖書館DPO、學科DPO等拓展角色和應用空間。

最后，有關學科專業可以積極參與和促進DPO職業標準化和認證體系建設。DPO作為歐盟相關組織機構的“標配”，正凝聚起一批專門的從業者，并形成配套的行業標準體系、培訓認證體系。在個人隱私保護時代對數據保護職業的社會需求將是全球范圍內的趨勢，當機構內部人員無法勝任這樣的崗位時，就會外包給專業人群。因此需要探索完善DPO或相關職位的準入和認證制度，在早期就做好規劃控制，保障從業者的專業水準與質量，避免因市場需求而產生的行業亂象。在這一過程中，圖書與情報等相關專業可以借助在理論研究、教育培養方面的優勢，積極參與相關標準和認證體系的建設，彰顯在數據時代的話語權和功能價值。