中国法律没有DPO（数据保护官）？！DPO数据保护官如何工作？分享我这几年的亲身经历

中国法律下并没有DPO这一概念，而是在《网络安全法》、《个人信息保护法》及全《数据安全法》等法律中分别规定了“个人信息保护负责人”、“网络安全管理负责人”、“网络安全负责人”或是“数据安全负责人”等网安数据合规责任人。

上述职位的设置按照企业需求可能有所不同，且职责可能存在一定的交叉重叠。本书中，除另行说明外，DPO的范围将包括上述全部职位。

我国《个人信息保护法》中并没有关于个人信息保护负责人的明确定义和解释。

该法第52条提及，处理个人信息达到国家互联网信息办公室和/或其地方派出机构(以下简称“网信办”或“网信部门”)规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。

此外，《个人信息保护法》规定“个人信息处理者应当公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门”。

👇👇👇如何能成为数据保护官？👇👇👇

👉扫码即可立即学习👈

电脑端观看：http://navo.top/eQvUfi

《个人信息保护法》第53条还规定，中国境外个人信息处理者应当在中国境内设立专门机构或者指定代表，负责个人信息处理活动相关事宜，并将相关机构的名称或代表的姓名和联系方式报送履行个人信息保护职责的部门。

全国信息安全标准化技术委员会（以下简称“信安标委”）对个人信息保护负责人的任命资格和履行职能作出细化规定。2020年，信安标委执行《信息安全技术

个人信息安全规范》(GB/T35273-2020),其中11.1要求“个人信息控制者”任命“个人信息保护负责人”，规定此人应“具有相关管理工作经历和个人信息保护专业知识”、“参与有关个人信息处理活动的重要决策”。

《网络安全法》第21条规定，网络运营者应按照网络安全等级保护制度的要求，确定网络安全负责人，落实网络安全保护责任。

《网络安全法》和《关键信息基础设施安全保护条例》则要求关键信息基础设施(ritiction nfrastucture,CI)运营者(Criticaf0 perator,CIO,又可称为“关基单位”）应设置转门网络安全管理机构和网络安全管里负责人，并对该负责人和关键岗位人员进行安全背景审查。

在若干特定行业，监管机构尝试建立首席数据（信息）官制度。例如，在金融行业中，《银行业金融机构数据治理指引》首次确立“首席数据官自愿设立”制度。

根据《银行业金融机构数据治理指引》第11条规定，银行业金融机构可根据实际情况设立首席数据官。首席数据官是否纳入高级管理人员由银行业金融机构根据经营状况确定，纳入高级管理人员管理的，则应当符合《中国银监会中资商业银行行政许可事项实施办法》等相关行政许可事项的要求。

实践中，也有金融机构首席数据（信息）官升任机构副职领导的案例。金融行业首席数据（信息）官的设立机制，对医药健康、互联网公司等其他数据安全重点监管行业，具有示范参考价值。

《个人信息保护法》要求“处理个人信息达到国家网信部门规定数量的个人信息处理者”应当设立个人信息保护负责人的职位，但相关法律法规未明确“规定数量”的具体标准。因此，哪些企业必须指定个人信息保护负责人仍不明确。

目前，可参照适用的标准包括《数据出境安全评估办法》第4条“关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息”，以及《网络安全审查办法》第7条“掌握超过100万用户个人信息的网络平台运营者”的相关规定，两者均以运营者处理100万用户个人信息的数量为门槛标准。

综合参考上述规定，若处理超过100万人的个人信息或10万人的敏感个人信息，企业宜考虑指定个人信息保护负责人。

按照相关法律法规，只有满足一定条件的企业才需要设立网络安全负责人、网络安全管理负责人、数据安全负责人，其设置的具体情境和条件与个人信息保护负责人有所不同。

如企业处理个人信息达到规定量，且被认定为CO,或处理重要数据，相关职位设置可能重合，企业可考虑根据实际情况设立一个或多个职位同时满足上述要求，法律对此并无强制性要求。

实践中，目前国内大部分企业未明确设立具体的DPO职位，而是组建数据隐私合规、法务团队，由该团队的法务总监或数据隐私总监牵头开展个人信息保护和数据合规工作，但该等人员并不必然是企业个人信息保护负责人或网络安全负责人

DPO职位设立情形归纳如表

首先DPO应当有能力去构建全景式的数据保护管理体系，并组织企业内部门各职能机构来实现数据保护管理体系的落地。

当前国际通行的数据保护管理体系较多，包括美国国家标准与技术研究院(Na of S1 andards and MsT)提供的隐私框架(Privacy Framework)和数据安全框架(CybersecurityFrwok)、s027701隐私信息安全认证以及国际隐私专家协会(Inteationl Associ of Privacy Professionas,IAPP)隐私信息管理框架(Certified Information Privacy Manager,CPM),企业可以根据需求选择适用。

因此，若想成为合格的DPO,应注重培养自身体系化的思维方式和能力，全面整体地考虑网络安全数据与个人信息合规的计划、实施和落地，避免出现重大缺失和不足。

数据被认为是21世纪的石油”。如果恰当运用，数据便能够能发挥出促进业务发展的核心作用，因此DPO在进行数据合规工作时应当充分了解企业的使命、愿景以及数据在企业发挥的作用等，从而在法律法规强制性要求的基础上作出合理的商业理解，真正成为企业的商业策略伙伴。

另外，DPO应尽力避免内部的利益相关方对数据合规等产生抵触或僵化执行，甚至以“过关思维”试图敷衍应对内部控制措施。这需要DPO准确把握利益相关方的利益诉求，平衡各方所需，使其明白合规管理的商业价值所在。

DPO数据合规官如何展开工作？分享我这几年的工作理念及方式。

在法律法规的基础上，DPO应综合考虑网络安全管理机构、数据合规组织机构和个人信息保护工作机构的制度要求，结合公司组织架构和部门权责，构建数据合规团队并确定职责分工。

具体来说，DPO所牵头组建的数据合规工作组，建议分为领导小组、能力小组实施小组三个不同组别（见图2一1）。

领导小组主要由公司领导和管理层、DPO本人担任主要负责人各业务部门负责人为小组成员，负责制定整体策略，决策数据合规方案：