來與GDPR下的“數據保護官”説個Hi！_風聞

這兩天小編正在愁文章選題，隔壁在歐洲開公司的王老闆突然過來問小編，知不知道“數據保護官”（Data Protection Officer）是幹啥的。小編問他咋回事兒，王老闆就説，有人跟他説歐洲做買賣需要僱一個。小編頓時豁然開朗，本期文章就給大家聊一聊“數據保護官”的事情。小編這篇文章只從企業的角度出發。老規矩，小編希望各位大佬在讀完本文後可以瞭解：

啥是“數據保護官”；

什麼樣的公司需要有“數據保護官”；以及

沒有“數據保護官”會有什麼後果。

#1  啥是“數據保護官”

“數據保護官”的主要任務，就是保證其所服務的組織，對於其員工、顧客、供應商以及其他任何人（這些個人即GDPR下的“數據主體”）的個人數據的處理，符合適用的數據保護（比如GDPR）規定。

為了確保“數據保護官”有搞定這個主要任務的能力，GDPR要求，每個企業的“數據保護官”都應該：

有符合這個企業數據處理實際情況（確定因素包括數據的敏感度、複雜程度、數量等）的

專業程度（Expertise level）、專業知識（比如數據保護知識和對於企業數據處理行為的理解等） 以及其他工作能力（比如溝通能力、職業倫理等）。

拿微軟的“數據保護官”舉個例子。至少具有七年以上的數據保護經驗，或者十年以上的有關數據保護、安全和企業風險管理經驗的人才可能被微軟考慮作為候選人。此外，微軟還要求候選人必須具有國際數據保護法律和實踐的專業度。

小編也注意到，也有國家通過立法，鼓勵數據保護機構組織對於“數據保護官”的資質認證，比如法國。不過至少在法國，這種認證是針對個人並且自願進行的，而並非不進行認證就不能擔任“數據保護官”。

“數據保護官”的具體形式是很靈活的，一個人、一隊人、一家公司、一個組織都可以。同時，既可以從公司內部任命，也可以從公司外部選任。如果 “數據保護官”由多人組成，WP29小組的有關指南中提到一定要做好內部的職責分配，並明確一個人作為聯繫人，保證企業內部和有關的數據主體能及時聯繫到“數據保護官”。

還有一種特殊情況，在能夠保證充分、適當履職的情況下，集團公司是可以只在集團層面設置一個“數據保護官”覆蓋全集團。

為了使“數據保護官”可以充分和適當的履職，GDPR對“數據保護官”做出了不能有利益衝突的限制，又規定了**“獨立履職”和“免於因履職遭受處罰乃至解僱”等形式的保護。此外，企業還應該給“數據保護官”提供充分的資源保障**，併合理的確定以及公開“數據保護官”的聯繫方式。凡此種種在WP29的相關指南等相關資料中都有進一步的闡釋，企業“數據保護官”的設置是否滿足這些種種也要結合企業的實際情況進行判斷。

這裏再拿微軟的“數據保護官”舉個例子。為了保證獨立履職和沒有利益衝突，微軟強調其“數據保護官”直接向微軟的首席隱私官彙報。作為充分、適當履職的保障，“數據保護官”有權限調度微軟的員工培訓和客户服務資源。

#2誰需要“數據保護官”

首先，GDPR下的“控制者”或者“處理者”才需要操心這個問題。如果哪位大佬這部分需要補補課，可以看看咱們研究院出品的GDPR實戰指南十七，《一篇文章理清GDPR下的“控制者”和“處理者”》。

如果企業是“控制者”或“處理者”，那麼根據GDPR的規定，有以下兩種情況，就必須設置“數據保護官”。

核心行為中涉及對數據主體有規律的、系統的、大規模的監控；

核心行為中涉及到處理大規模的敏感個人數據，或者與刑事定罪和犯罪行為有關的數據。

不像人話吧，沒事，就讓小編結合WP29小組的相關指南給各位大佬掰扯掰扯上面一看就很關鍵的紅字哈。

**#**核心行為

這裏要分開理解兩種情況。

第一種比較簡單，企業的核心行為就是通過處理個人數據實現的。比如一家通過分析個人數據盈利的個人數據分析公司。

第二種稍微複雜一點，企業的核心行為並非處理個人數據，但是核心行為的實現與處理個人數據密不可分。這種情況下，個人數據處理也應該被看成這個企業的核心行為。

比如一傢俬立醫院的核心行為肯定是提供醫療服務，但是實際上如果不對患者的個人數據進行處理，也提供不好醫療服務。那麼，處理數據行為也應該被視為這家醫院的核心行為。

**#有規律的、**系統的監控

根據WP29小組相關指南，很多種情況都可以被視作“有規律的監控”。比如在給定時間範圍內持續的或者根據一個特定頻率發生的監控，重複發生固定次數的監控，以及持續的或者階段性發生的監控等等。

“系統的監控”指的是根據某種系統發生的監控、提前安排好的、組織好的或者有方法論的，作為一個廣泛的數據收集計劃一部分的監控，或者作為某種策略的一部分的監控。説了這麼多，反過來看，其實就是並非偶然或者意外發生的監控。

最近很流行的，健身可穿戴追蹤設備（比如某米手環等）、行為分析廣告推送啊、閉路電視監控啊，對個人數據都是“有規律的、系統的監控”。

#大規模

企業是否“涉嫌”“大規模”處理其實不太好界定。

處理一個國家、一個地區、一個行業的個人數據那肯定屬於大規模。

處理一個人的個人數據，那肯定不屬於大規模。

不過，大多數企業實際上落在兩個極端中間。

小編個人認為關於這個點，WP29小組的相關指南給出的參考因素實際上意義不大（無外乎從數量啊、佔比啊、期限啊、覆蓋的地域範圍這些來判定）。不過指南給出的以下例子還是能給各位大佬一點感性認識的。

WP29小組相關指南認為，一般達到醫院、保險公司、銀行、行為廣告分析業務的廣告平台等處理個人數據的規模，則很可能會被視作進行了大規模處理。

#3 沒有“數據保護官”會咋樣

首先，小編這裏説的是根據GDPR規定，需要設置“數據保護官”的企業。

同時，光有“數據保護官”，但應付了事也是不行的。小編在第一部分中提到的對於“數據保護官”的種種要求，種種支持和種種保護都不能含糊。

看過咱們研究院之前文章的大佬一定清楚，GDPR從來不吃素。沒有設置或者沒有適當設置“數據保護官”提供的企業，可能最高被處以1000萬歐元或者2%全球營收的罰款。

截止發稿日，小編尚未檢索到現實中的案例可以供各位大佬參考。

尾 聲

小編在這篇文章中沒有寫的是，根據GDPR的規定，“數據保護官”到底都負責哪些工作，開頭提到的那個主要任務，應該如何具體展開。如果哪位大佬感興趣，小編找個機會寫一下（小編知道自己其實Flag已經立了好幾根，其實是在暗示各位大佬積極的給小編留言互動啦）！

最後還是那句話，GDPR合規無小事，各位大佬我們下期再見！

（本文謹代表APUS研究院觀點，並非正式法律意見。如有問題歡迎隨時溝通。）

APUS研究院

APUS旗下專注於全球互聯網發展研究的智庫平台，是面向未來移動互聯網創新變革的孵化器及加速器。