APUS研究院 | “數據保護官”都在忙什麼？_風聞

開講之前先補充一句上一期就該説的，“數據保護官”其實就是很多GDPR文章中都提到過的“DPO”，“數據保護官”和“DPO”是中文全稱和英文縮寫的關係。

上期小編給各位大佬介紹了什麼是GDPR下的“數據保護官”，什麼樣的企業需要“數據保護官”，以及沒有“數據保護官”會怎樣。這期小編首次準備趁熱打鐵，再用一篇文章把“數據保護官”給各位大佬講完。老規矩，讀完這篇文章，小編希望各位大佬可以從以下幾個方面瞭解“數據保護官”到底是幹什麼的：

全方位、全流程參與個人數據保護；

監控企業的GDPR合規情況；

風險基礎方法；

數據保護影響評估；以及

記錄留存。

#1 什麼都要參與、越早參與越好

職責開始前小編想先具體討論一下，這麼大一個企業，“數據保護官”應該在什麼時間，什麼場合出現？

GDPR第38條規定，“控制者”和“處理者”必須保證“數據保護官”適當且及時的介入所有與個人數據保護的有關事宜。

這裏先從最好理解的“及時”説起。光看法條，似乎企業存在一個自行判斷“數據保護官”介入時機的裁量權，只要保證是及時的就可以。但是看了WP29小組指南中的相關部分，小編髮現，這個“及時”其實要直接理解成“儘早”，想要GDPR合規，拖延症真的要不得。

比如下面還要詳細説明的“數據保護影響評估”（DPIA）工作中，GDPR法條明文規定，“數據保護官”越早介入越好。

而其他事宜雖然沒有明文規定，但是WP29小組還是泛泛但堅決的表示，從開始階段就諮詢“數據保護官”的意見，可以促進企業的GDPR合規，貫徹“自設計開始合規”的保護理念，並且應被企業確立為標準的內部流程。

“適當”和“所有”相對抽象一些。WP29小組因此也沒有針對“適當”和“所有”本身的內涵進行過多的闡釋，而是從其一貫的風格，針對實踐操作給出了一些意見。

企業應保證“數據保護官”：

經常被邀請參與中層和管理層的會議；

到場可能關涉到數據保護的決策的做出；

意見受到合理重視，如果意見相左，反對原因應書面記錄，等等。

#2 監控企業GDPR合規情況

上期談到過，“數據保護官”的主要任務，就是保證企業個人數據相關事宜符合GDPR的規定。

為了任務的實現，“數據保護官”一個重要職責是監控企業GDPR的合規情況。

WP29小組在指南中將該職責拆解成以下三個部分：

信息收集以確定企業的個人數據處理行為；

分析和核查處理行為的合規情況；以及

對企業進行通知、建議和推薦。

值得注意的是，WP29小組特意明文強調，雖説“數據保護官”有監控的職責，但是如果真的出現了不合規的情況，這個鍋企業是甩不掉的，更不可能甩給“數據保護官”。這個問題，小編在本期結尾還會再多談幾句。

如果還覺着WP29小組的講解不夠落地的話，老規矩，各位大佬看看底下的小框框。

一般來説，監控職責還包括以下具體工作：

 監控數據管理的流程和合規；

參與經理級別會議，保證各項目“自設計開始”的合規；

撰寫並更新企業內部數據保護具體政策；

內部審查並決定是否需要更新企業內部流程從而合規；

對員工進行GDPR合規培訓；

跟蹤法規變化並相應向企業提出合規建議。

**#**3 風險基礎方法

“數據保護官”的時間、精力和資源總是有限的，因此GDPR和WP29小組特別要求“數據保護官”在履行職責時採取“風險基礎方法”。

“風險基礎方法”從更高的層面上來説也是GDPR企業合規義務設置的思路。

含義很簡單，就是風險越高的越優先處理，越投入更多的資源去認真對待，風險低的優先級相應調低。

在瞭解了“風險基礎方法”的含義後，小編還是想再給各位大佬強調一下，風險基礎方法的前提是“數據保護官”的時間、精力和資源總是有限的。在安排工作時，千萬不要將風險小的行為直接忽略掉，正確的做法是調低其優先級，和投入相應的資源。

具體來説，如下“數據保護官”工作場景涉及到風險基礎方法的使用。

WP29小組中指南中提到，“數據保護官”決定某一事項是否應該進行“數據保護影響評估”時，應該採取風險基礎方法。此外還應就公司的某一領域是否應該接受審查，是否應對負責數據處理的管理人員和員工是否應該接受GDPR培訓，是否應重點關注某一數據處理行為等決定的做出採取風險基礎方法。

**#**4  數據保護影響評估

參與“數據保護影響評估”，是“數據保護官”工作的重頭戲。

“數據保護影響評估”，是“控制者”，也就是企業自身，發起的行為，旨在（1）描述某一數據處理行為、（2）評估該行為的必要性和合比例性以及（3）幫助企業管理因處理行為產生的自然人權利和自由的風險。“數據保護影響評估”，是GDPR針對高風險處理行為要求企業採取的重要的合規手段。

篇幅有限，小編這裏這裏不會展開談評估本身，而是重點關注“數據保護官”在這一企業行為中扮演的角色和需要履行的具體工作。

“數據保護官”介入評估的基礎邏輯是GDPR規定的“從設計階段開始”保護的理念，具體的工作方法論就是上文提到的“風險基礎方法”。

從基礎邏輯出發，GDPR要求企業在決策是否進行 “數據保護影響評估”時，必須徵求數據保護官的意見。反過來，GDPR規定，在被徵求意見時，“數據保護官”也必須發表意見。

徵求意見時，應至少涵蓋以下具體問題：

是否進行評估；

評估時應採取的具體方法論（methodology）；

應由公司自行評估，還是應該外包；

應採取何種安全措施降低任何有關數據主體權利和自由的風險；

評估是否正確進行，並且取得了GDPR合規的結論。

#5記錄****留存

遵循WP29小組的編排方式，給記錄留存職責單闢一個部分出來。

上文也提到，“數據保護官”需要監控企業GDPR合規情況，因此其職責中包括留存相關的記錄也是合乎邏輯的。

記錄本身的重要性不言而喻。一方面，“數據保護官”可以通過記錄瞭解和掌握企業的合規情況，也可以根據記錄更有效的對於企業提出有針對性的合規建議和推薦。另一方面，在發生數據安全事件或者其他相關場合時，企業或者相應的數據保護機關也可以有資料對於企業整體的數據保護情況做出一個清晰的評估。

“數據保護官”最常見的記錄方式就是製作數據庫存盤點（data inventory）或者數據流轉圖（data map）。下圖是一個比較常見的數據庫存盤點的截圖：

尾聲

花了兩期時間，小編把個人認為“數據保護官”比較重要的點就給各位大佬講完了。當然，實踐中進行相應的決策或者內部人員調整一定會碰到各種各樣的問題，小編非常歡迎各位大佬進行留言互動，小編一定會認真回覆噠！

這裏還想嘮叨一句。請各位大佬一定要理解 “數據保護官”的合規邏輯。“數據保護官”不是一個專門用來給企業背鍋的角色，但是設置“數據保護官”本身，是相關數據保護機關在考量相關企業GDPR合規程度時一個非常重要的因素。另外，如果認真遵循GDPR的規定，相信“數據保護官”也一定會在企業個人數據保護工作中做出重要的貢獻。

最後還是那句老話，GDPR合規無小事，各位大佬我們下期再見！

（本文謹代表APUS研究院觀點，並非正式法律意見。如有問題歡迎隨時溝通。）

APUS研究院

APUS旗下專注於全球互聯網發展研究的智庫平台，是面向未來移動互聯網創新變革的孵化器及加速器。