關(guān)鍵詞：個人信息保護負責人；自我規(guī)制；數(shù)據(jù)保護官；個人信息處理合規(guī)

《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）第52條強制要求處理個人信息達到規(guī)定數(shù)量的個人信息處理者，應(yīng)當指定個人信息保護負責人。作為彌補政府規(guī)制缺陷的一種自我規(guī)制，個人信息保護負責人通過獨立有效地履行監(jiān)督職能，可以促進個人信息處理合規(guī)，推動個人信息保護的公私合作治理，從而有利于促進數(shù)字經(jīng)濟高質(zhì)量發(fā)展。然而，“個人信息保護負責人”條款較為簡單，相關(guān)制度極不完善，易導致個人信息保護負責人有效履行監(jiān)督職責的預(yù)期制度價值落空。

個人信息保護負責人制度正在我國得到廣泛實施，但當前幾乎沒有專門的研究。個人信息保護負責人制度源于歐盟的數(shù)據(jù)保護官（Data Protection Officer）制度，國內(nèi)外學者們對后者進行了相對較多的研究。有學者認為，數(shù)據(jù)保護官擔任“看門狗”角色，是不受企業(yè)干預(yù)的具有獨立性的特殊職位，可以促進數(shù)據(jù)合規(guī)、減輕監(jiān)管機構(gòu)負擔，有利于維護數(shù)據(jù)主體的合法權(quán)益。在考察數(shù)據(jù)保護官的基礎(chǔ)上，我國一些學者提出企業(yè)需要對接國際標準，根據(jù)強制與自愿結(jié)合的原則設(shè)立數(shù)據(jù)保護官。還有學者主張，政府部門在處理規(guī)模較大的數(shù)據(jù)、特殊數(shù)據(jù)、敏感數(shù)據(jù)時，可以任命專門的數(shù)據(jù)安全監(jiān)管人員。雖然我國已設(shè)立了個人信息保護負責人制度，但其不同于歐盟的數(shù)據(jù)保護官制度，而且當前我國的個人信息保護負責人制度在規(guī)范性與有效性方面存在不足。本文將立足中國、放眼世界，結(jié)合歐盟的數(shù)據(jù)保護官制度，剖析個人信息保護負責人的法律地位及其功能，探討個人信息保護負責人的適用范圍、資質(zhì)、職責、獨立性保障等問題，以期推動個人信息保護法治的不斷完善。

一、個人信息保護負責人的法律地位及其功能

為了在激烈的全球數(shù)字市場競爭中不被淘汰，個人信息處理者具有巨大的壓力和動力不斷提升個人信息保護水平。那么，政府為什么還要改變企業(yè)治理結(jié)構(gòu)，而強制個人信息處理者設(shè)立新型的個人信息保護負責人職位呢？

（一）個人信息保護負責人：履行公共職能的私人監(jiān)督者

個人信息保護負責人屬于履行公共職能的私人監(jiān)督者。個人信息保護負責人的產(chǎn)生，是政府強化企業(yè)自我規(guī)制以彌補數(shù)字時代行政監(jiān)管不足的現(xiàn)實需要。2017年發(fā)布的《信息安全技術(shù)個人信息安全規(guī)范》首次使用“個人信息保護負責人”一詞，2020年公布的《中華人民共和國個人信息保護法（草案）》（以下簡稱《個人信息保護法（草案）》）予以采用，2021年正式通過的版本予以最終確定，將其職能定位為“負責對個人信息處理活動以及采取的保護措施等進行監(jiān)督”。面對日新月異的數(shù)字科技和幾乎無處不在的個人信息處理行為，監(jiān)管部門存在“知識供給不足”、違法信息獲取的滯后性、人財物的有限性等缺陷，導致傳統(tǒng)的行政監(jiān)管日益捉襟見肘、力不從心。自我規(guī)制主體擁有充分的“內(nèi)部知識”和較高的專業(yè)技術(shù)水平，可以通過較低的成本更快捷地回應(yīng)技術(shù)變化，更容易創(chuàng)造出更有力的監(jiān)管手段。

我國的個人信息保護負責人制度源于對歐盟數(shù)據(jù)保護官制度的借鑒。歐盟數(shù)據(jù)保護官產(chǎn)生的緣由，在于強化企業(yè)的自我規(guī)制，減輕行政監(jiān)管的壓力。1977年頒布的德國《聯(lián)邦數(shù)據(jù)保護法》率先在全球規(guī)定了數(shù)據(jù)保護官制度，第4d條規(guī)定數(shù)據(jù)控制者如果設(shè)立了數(shù)據(jù)保護官，在啟動數(shù)據(jù)自動化處理程序前，就不用向聯(lián)邦數(shù)據(jù)保護和信息自由專員進行登記。德國通過要求公司任命數(shù)據(jù)保護官擔任“看門狗”角色，強制企業(yè)進行自我規(guī)制，以補充政府數(shù)據(jù)保護機構(gòu)的監(jiān)管。荷蘭、挪威、瑞典和瑞士等國家允許公司選擇任命一名數(shù)據(jù)保護官，以取代向數(shù)據(jù)保護機構(gòu)提交更多實質(zhì)性文件。1995年歐盟發(fā)布的《關(guān)于涉及個人數(shù)據(jù)處理的個人保護以及此類數(shù)據(jù)自由流通的第95/46/EC號指令》（以下簡稱《數(shù)據(jù)保護指令》）規(guī)定了數(shù)據(jù)保護官，重要目的之一為“簡化或豁免報告義務(wù)”?！稊?shù)據(jù)保護指令》第18條規(guī)定，如果數(shù)據(jù)控制者任命了數(shù)據(jù)保護官，以確保數(shù)據(jù)處理不可能對數(shù)據(jù)主體的權(quán)利和自由產(chǎn)生不利影響，成員國可以簡化或免除數(shù)據(jù)控制者的報告義務(wù)。《數(shù)據(jù)保護指令》第19條規(guī)定的報告義務(wù)內(nèi)容包括數(shù)據(jù)控制者的名稱和地址、數(shù)據(jù)處理目的、數(shù)據(jù)種類、向第三國轉(zhuǎn)移數(shù)據(jù)的計劃等事項。2016年4月歐盟通過的于2018年5月實施的《通用數(shù)據(jù)保護條例》，要求符合條件的組織必須設(shè)立數(shù)據(jù)保護官，對數(shù)據(jù)保護官的任命、地位和職責進行了系統(tǒng)規(guī)定。為了進一步闡釋數(shù)據(jù)保護官制度，歐盟第29條數(shù)據(jù)保護工作組于2016年發(fā)布《數(shù)據(jù)保護官指南》。2022年歐洲議會通過的《數(shù)字服務(wù)法》第32條要求超大型平臺應(yīng)當設(shè)立合規(guī)官（Compliance Officers），負責監(jiān)督遵守本規(guī)定的情況。合規(guī)官同數(shù)據(jù)保護官相似，但職能更廣泛，不限于數(shù)據(jù)保護。

數(shù)據(jù)保護官實際上承擔了監(jiān)管機構(gòu)的部分公共職能。在數(shù)據(jù)保護官產(chǎn)生之前，數(shù)據(jù)控制者、處理者被要求向監(jiān)管機構(gòu)承擔更多的通知、報告等義務(wù)。如果數(shù)據(jù)控制者、處理者設(shè)立了數(shù)據(jù)保護官，向監(jiān)管機構(gòu)的報告義務(wù)就可以得到簡化或豁免，這實際上意味著自我規(guī)制的加強和行政干預(yù)的減少。數(shù)據(jù)保護官制度完善了數(shù)據(jù)控制者、處理者的內(nèi)部管理體系，加強了其內(nèi)部的數(shù)據(jù)保護力度，具有非常重要的實踐意義與良性效果。數(shù)據(jù)保護官條款通過要求設(shè)置不受阻礙的隱私專家，必然導致公司的結(jié)構(gòu)性變化，可能會增加對全球數(shù)據(jù)主體的隱私保護?？偠灾瑹o論是域外的數(shù)據(jù)保護官，還是我國的個人信息保護負責人，都體現(xiàn)了數(shù)字時代政府對企業(yè)自我規(guī)制的強化。一種由行政機關(guān)批準或要求私人行為者在該機關(guān)的監(jiān)督之下進行自我規(guī)制的制度設(shè)置，將發(fā)揮日益重要的功能。

（二）個人信息保護負責人的制度功能

其一，監(jiān)督個人信息處理者以促進個人信息處理合規(guī)。個人信息處理在產(chǎn)生大量社會財富的同時，也引發(fā)了日益普遍的信息風險，侵害個人信息權(quán)益的風險已經(jīng)呈現(xiàn)出逐漸加劇的態(tài)勢。然而，數(shù)據(jù)已成為數(shù)字時代的關(guān)鍵生產(chǎn)要素，不能為了安全而罔顧發(fā)展，個人信息保護的重點不在于阻止個人信息的收集使用，而在于監(jiān)督個人信息處理行為。個人信息天然具有公共性和交互性，具有固有的人格和天然的財產(chǎn)雙重價值，保障其有序自由流動和高效利用意義重大。個人信息保護負責人的使命為保護個人信息，可以較為有效地阻止追求商業(yè)利潤最大化的不合規(guī)處理行為。通過對個人信息處理者的作為和不作為行為進行全面監(jiān)督，如監(jiān)督是否制定并及時更新了個人信息保護政策和相關(guān)規(guī)程、是否開展了有效的個人信息保護影響評估、是否定期進行了合規(guī)審計、是否采取了必要的安全保護措施，個人信息保護負責人可以預(yù)防和制止不合規(guī)的個人信息處理而達到未雨綢繆的效果。通過聘請有能力的知名個人信息保護負責人，有助于提升個人信息處理者的企業(yè)形象，可以增強監(jiān)管部門、合作伙伴、社會公眾等主體的信任感，從而有利于增加企業(yè)的競爭優(yōu)勢。未來全球競爭力強的個人信息處理者，一定是個人信息保護良好的互聯(lián)網(wǎng)企業(yè)。

不合規(guī)的個人信息處理行為，不僅可能會對品牌和利潤產(chǎn)生重大而長期的不利影響，甚至還會導致整個行業(yè)商業(yè)模式的消亡。由于個人信息處理不合規(guī)，個人信息處理者可能被實施高額罰款、停業(yè)整頓、吊銷證照等嚴厲的行政處罰，相關(guān)人員可能被判處刑罰。除了政府調(diào)查和處罰造成的不利影響外，個人信息處理不合規(guī)還容易引起媒體的關(guān)注和評論，而這可能對企業(yè)造成致命的影響，尤其是社交媒體不夠謹慎的評論?；謴推髽I(yè)品牌和聲譽，是一項漫長而昂貴的工作。

其二，作為連接紐帶而推動個人信息保護的公私合作治理。通過對內(nèi)負責對個人信息處理活動以及采取的保護措施等進行監(jiān)督，對外協(xié)助個人信息權(quán)益人實現(xiàn)其權(quán)利束，并及時向監(jiān)管部門報告相關(guān)情況，個人信息保護負責人可以有效協(xié)調(diào)多方力量共同保護個人信息?！秱€人信息保護法》第52條要求個人信息處理者向全社會公開個人信息保護負責人的聯(lián)系方式，向政府相關(guān)部門報送個人信息保護負責人的姓名、聯(lián)系方式等信息，實際上希望通過強化個人信息保護負責人的溝通功能而實現(xiàn)公私合作治理。

首先，個人信息保護負責人是個人和個人信息處理者之間的紐帶。通過協(xié)助個人信息權(quán)益人實現(xiàn)其權(quán)利束，個人信息保護負責人可以促進個人對個人信息處理者進行有效的制衡?！秱€人信息保護法》第四章明確了個人的知情權(quán)、決定權(quán)、查閱權(quán)、復制權(quán)、更正權(quán)、補充權(quán)、刪除權(quán)、可攜權(quán)等權(quán)利束，這些權(quán)利既是國家對個人信息處理者的監(jiān)管策略，也是個人制衡個人信息處理者的工具。對權(quán)利束的保障，核心在于確保其制衡效果得到有效發(fā)揮。然而，普通個人由于欠缺專業(yè)知識可能不知如何實現(xiàn)自己的權(quán)利，權(quán)利被侵犯后往往也不知如何有效尋求救濟，如果向法院提起訴訟，則面臨較為繁瑣的司法程序。個人通過提交違法證據(jù)而直接向個人信息保護負責人投訴和舉報，要求其依法監(jiān)督個人信息處理者，能夠更有效地保護自己的權(quán)利。由于具有豐富的個人信息保護知識和經(jīng)驗，且更了解所屬的個人信息處理者，個人信息保護負責人可以更專業(yè)、更迅速地制止侵犯個人信息權(quán)利束的行為。

其次，個人信息保護負責人是個人信息處理者和監(jiān)管部門之間的紐帶。通過常態(tài)化的日常溝通，向監(jiān)管部門報告?zhèn)€人信息處理者的個人信息保護和事件處置等情況，有利于政府更好地實施監(jiān)管。對于經(jīng)過有效的督促后但個人信息處理者仍不改正的違法行為，個人信息保護負責人通過直接向監(jiān)管部門報告，可以有效緩解信息不對稱問題，有利于行政執(zhí)法?？偠灾?，個人信息保護負責人屬于個人信息處理者、個人信息權(quán)益人、監(jiān)管部門等多元主體之間的連接紐帶，對于推動個人信息保護的公私合作治理具有重要價值。

綜上，個人信息保護負責人的產(chǎn)生，是強化個人信息處理者自我規(guī)制以彌補政府規(guī)制缺陷的現(xiàn)實需要，有助于促進個人信息處理合規(guī)，有利于推動個人信息保護的公私合作治理。此外，普遍違法或大規(guī)模處理個人信息還會引發(fā)系統(tǒng)性公共風險，個人信息保護負責人制度還有利于維護社會公共安全乃至國家安全?！蛾P(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》明確要求“加快培育數(shù)據(jù)要素市場”，《中華人民共和國國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和2035年遠景目標綱要》專章規(guī)劃“打造數(shù)字經(jīng)濟新優(yōu)勢”，數(shù)字時代個人信息處理范圍必將更加廣泛，處理頻率必將更加頻繁，個人信息安全必將存在更多的風險。個人信息保護負責人的價值必將得到不斷凸顯，個人信息保護負責人制度的科學合理運行至關(guān)重要。

二、合理確定個人信息保護負責人的設(shè)立標準和適用主體

數(shù)字時代的個人信息保護負責人具有重要價值，那么應(yīng)以何種標準強制哪些個人信息處理者設(shè)立該職位呢？公共機構(gòu)是否也應(yīng)設(shè)立個人信息保護負責人？厘清個人信息保護負責人的適用標準和適用主體范圍，有助于全面發(fā)揮該制度的預(yù)期功能。

（一）區(qū)分個人信息類型和級別設(shè)置數(shù)量標準

對于是否以及根據(jù)何種標準強制企業(yè)設(shè)立數(shù)據(jù)保護官，在歐盟曾存在較大的爭議。支持者認為，數(shù)據(jù)保護官在保護數(shù)據(jù)的同時，成為數(shù)據(jù)控制者同數(shù)據(jù)主體間的橋梁，可以減少與數(shù)據(jù)泄露相關(guān)的損失。反對者則認為不應(yīng)當設(shè)立數(shù)據(jù)保護官制度，因為會給企業(yè)增加新的財務(wù)負擔，可能會導致在職員工因擔任數(shù)據(jù)保護官而承擔過大的工作量和工作壓力。數(shù)字時代的數(shù)據(jù)處理日益增多，數(shù)據(jù)保護的重要性日益凸顯，歐盟率先確立了以企業(yè)規(guī)模為標準的強制性的數(shù)據(jù)保護官制度。《通用數(shù)據(jù)保護條例——歐盟委員會2012年建議案》第35條要求擁有250人及以上的企業(yè)進行數(shù)據(jù)處理時必須設(shè)立數(shù)據(jù)保護官。德國《聯(lián)邦數(shù)據(jù)保護法》規(guī)定，雇傭超過9人長期從事自動化數(shù)據(jù)處理，或雇傭至少20人從事非自動化數(shù)據(jù)處理的私營機構(gòu)，必須任命數(shù)據(jù)保護官?！锻ㄓ脭?shù)據(jù)保護條例》第37條規(guī)定了企業(yè)必須設(shè)立數(shù)據(jù)保護官的兩種情形：（1）基于數(shù)據(jù)處理的性質(zhì)、范圍和（或）目的，數(shù)據(jù)控制者或處理者的核心活動需要對數(shù)據(jù)主體進行定期的大規(guī)模系統(tǒng)化監(jiān)控：（2）數(shù)據(jù)控制者或處理者的核心活動包含根據(jù)第9條處理大規(guī)模特殊類別的數(shù)據(jù)，以及根據(jù)第10條處理刑事定罪和罪行的數(shù)據(jù)?！锻ㄓ脭?shù)據(jù)保護條例》序言第97條強調(diào)，對于私營部門而言，核心活動是數(shù)據(jù)控制者的主營業(yè)務(wù)，而非輔助業(yè)務(wù)。

企業(yè)規(guī)模不應(yīng)成為強制設(shè)立個人信息保護負責人的決定性標準。其一，企業(yè)規(guī)模越大，并不必然就會處理更多的個人信息。其二，數(shù)字經(jīng)濟行業(yè)差別較大，規(guī)模較大的企業(yè)處理的個人信息造成的影響，可能不如一些小型但處理重要個人信息的企業(yè)，如人臉識別企業(yè)。其三，企業(yè)越大往往越在乎聲譽，規(guī)模越大的企業(yè)，守法誠信經(jīng)營狀況一般會更好。即使法律沒有強制規(guī)定，大型企業(yè)也可能制定嚴苛的內(nèi)部規(guī)章制度以加強自我規(guī)制。而對于一些中小微企業(yè)而言，由于本身不知名可能不太重視自己的聲譽，往往為了追求眼前利益而更容易違法侵犯個人信息，可能更需要設(shè)立個人信息保護負責人。企業(yè)規(guī)模曾經(jīng)是我國設(shè)立個人信息保護負責人的重要標準之一，我國2017年發(fā)布的《信息安全技術(shù)個人信息安全規(guī)范》，以企業(yè)規(guī)模和個人信息處理數(shù)量為標準，明確兩種情形必須設(shè)立個人信息保護負責人。《個人信息保護法》最終放棄了企業(yè)規(guī)模標準，第52條要求“處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者”應(yīng)設(shè)立個人信息保護負責人。然而，應(yīng)防止“一刀切”地以個人信息處理數(shù)量作為強制設(shè)立個人信息保護負責人的標準。

之所以以個人信息處理數(shù)量為標準，是因為處理的個人信息數(shù)量越多，對個人甚至對社會、國家造成損害的可能性就越大。然而，盡管個人信息處理數(shù)量較少，但如果處理的都是敏感個人信息，也可能造成毀滅性影響?！秱€人信息保護法》區(qū)分了敏感個人信息和一般個人信息，第51條明確要求“對個人信息實行分類管理”?！毒W(wǎng)絡(luò)安全標準實踐指南——網(wǎng)絡(luò)數(shù)據(jù)分類分級指引》按照涉及的自然人特征，將個人信息分為個人基本資料、個人身份信息、個人生物識別信息、網(wǎng)絡(luò)身份標識信息等16個類別。因此，在以個人信息處理數(shù)量為標準的基礎(chǔ)上，需要進一步區(qū)分個人信息的種類和級別。一般而言，處理的個人信息越重要，個人信息處理數(shù)量的門檻應(yīng)當設(shè)置得越低。

在類型化必須設(shè)立個人信息保護負責人法定情形的同時，還應(yīng)通過激勵相容機制促進個人信息處理者自愿設(shè)立個人信息保護負責人。傳統(tǒng)的命令控制型監(jiān)管采取的是威懾式策略，注重事前立規(guī)和事后懲戒，監(jiān)管者與被監(jiān)管者之間缺乏動態(tài)、平等的對話溝通，導致監(jiān)管效能低下。需要調(diào)動信息控制者的積極性，設(shè)計激勵相容的機制，促使信息控制者主動承擔個人信息保護義務(wù)。雖然個人信息保護負責人具有重要的時代價值，但如果一律強制所有個人信息處理者設(shè)立個人信息保護負責人，則可能對企業(yè)尤其是對中小微企業(yè)造成過大的運營成本，從而不利于數(shù)字經(jīng)濟發(fā)展；但如果完全實行自愿，個人信息處理者很可能為了節(jié)省成本而不設(shè)立個人信息保護負責人，從而不利于個人信息保護。宜根據(jù)強制和自愿相結(jié)合的原則，不斷完善個人信息保護負責人的設(shè)立標準?！秱€人信息保護法》只規(guī)定了應(yīng)當設(shè)立個人信息保護負責人的情形，缺乏“可以式”條款?！锻ㄓ脭?shù)據(jù)保護條例》第37條第4項規(guī)定，對于不符合強制的情形，數(shù)據(jù)控制者、處理者、協(xié)會，或代表各種控制者和處理者的其他機構(gòu)，可以根據(jù)歐盟或成員國法律任命數(shù)據(jù)保護官。第29條數(shù)據(jù)保護工作組在《數(shù)據(jù)保護官指南》中，鼓勵自愿設(shè)立數(shù)據(jù)保護官。

（二）公共機構(gòu)應(yīng)當設(shè)立個人信息保護負責人

《個人信息保護法》并沒有明確規(guī)定公共機構(gòu)是否應(yīng)當設(shè)立個人信息保護負責人，不利于個人信息的全面保護。對個人信息濫用的各種指責，基本上都集中在對個人和商業(yè)機構(gòu)上，國家機關(guān)的個人信息處理行為很少被曝光或檢討。一些個人信息泄露事件暴露出有些國家機關(guān)存在個人信息保護意識不強、處理流程不規(guī)范、安全保護措施不到位等問題。無論是私主體還是公共機構(gòu)，都存在故意或過失侵犯個人信息的可能。雖然公共機構(gòu)有相對健全的民主監(jiān)督機制，不存在利潤最大化的商業(yè)目標追求，但具有強大權(quán)力的公共機構(gòu)一旦違法侵犯或不當處理個人信息，就可能帶來更嚴重的損害。公共機構(gòu)同時屬于個人信息保護者和個人信息處理者，負有對私主體的個人信息處理進行監(jiān)管的職責，但同時應(yīng)確保自身進行個人信息處理時合規(guī)，所以同樣有必要設(shè)立個人信息保護負責人。

域外的數(shù)據(jù)保護官制度，不僅僅適用于私主體。1977年德國頒布的《聯(lián)邦數(shù)據(jù)保護法》第4f條規(guī)定，自動處理個人數(shù)據(jù)的公共機構(gòu)必須以書面形式任命數(shù)據(jù)保護官。2001年歐洲發(fā)布的《關(guān)于歐共體機構(gòu)和組織所處理的個人數(shù)據(jù)的保護及此類數(shù)據(jù)的自由流通的第45/2001號條例》，要求歐共體機構(gòu)和組織應(yīng)當至少任命一名數(shù)據(jù)保護官，以確保數(shù)據(jù)主體的權(quán)利和自由不會受到處理操作的不利影響。2016年歐洲發(fā)布的《關(guān)于主管當局為預(yù)防、調(diào)查、偵查或起訴刑事犯罪或執(zhí)行刑事處罰以及此類數(shù)據(jù)的自由流動而處理個人數(shù)據(jù)方面的自然人保護問題，并廢除理事會2008/977/JHA號框架決定的2016/680號指令》，第32條規(guī)定除了法院和其他獨立的司法機構(gòu)，成員國機構(gòu)應(yīng)當設(shè)立數(shù)據(jù)保護官?！锻ㄓ脭?shù)據(jù)保護條例》序言第17條進一步明確第45/2001號條例，適用于歐盟各機構(gòu)、部門、辦公室和代理機構(gòu)，但相關(guān)內(nèi)容應(yīng)進行修正。《通用數(shù)據(jù)保護條例》正文第37條規(guī)定除了行使司法職能的法院以外，進行數(shù)據(jù)處理的公共機構(gòu)都必須設(shè)立數(shù)據(jù)保護官?？梢?，雖然存在例外適用情形，但公共機構(gòu)設(shè)立數(shù)據(jù)保護官，一直都是歐盟法規(guī)定的強制義務(wù)。

雖然我國一些地方正探索設(shè)立首席數(shù)據(jù)官，但其明顯不同于個人信息保護負責人。例如，2021年廣東省人民政府辦公廳發(fā)布《廣東省首席數(shù)據(jù)官制度試點工作方案》，明確首席數(shù)據(jù)官通過履行“推進數(shù)字政府建設(shè)”“統(tǒng)籌數(shù)據(jù)管理和融合創(chuàng)新”等職責，實現(xiàn)“創(chuàng)新數(shù)據(jù)共享開放和開發(fā)利用模式，提高數(shù)據(jù)治理和數(shù)據(jù)運營能力”的目的。2022年公布的《廣州市數(shù)字經(jīng)濟促進條例》要求“探索推行首席數(shù)據(jù)官等數(shù)據(jù)管理創(chuàng)新制度”。2021年公布的《上海市數(shù)據(jù)條例》將首席數(shù)據(jù)官的適用范圍擴大到“各區(qū)、各部門、各企業(yè)事業(yè)單位”。無論是政府還是企業(yè)設(shè)立的首席數(shù)據(jù)官，都有別于個人信息保護負責人。政府首席數(shù)據(jù)官的主要職責是提升領(lǐng)導與業(yè)務(wù)人員對數(shù)據(jù)的價值認知，并將其運用到?jīng)Q策、流程與事務(wù)處理的優(yōu)化轉(zhuǎn)型上。企業(yè)首席數(shù)據(jù)官主要承擔最大化商業(yè)價值、挖掘新的商業(yè)機會、數(shù)據(jù)質(zhì)量管理等職責，主要扮演數(shù)據(jù)管理者、商業(yè)價值挖掘者、決策制定者、協(xié)調(diào)者、數(shù)據(jù)概念及技能推廣者等角色。首席數(shù)據(jù)官一般直接負責管理和利用數(shù)據(jù)，在性質(zhì)和職能上明顯不同于履行監(jiān)督職責的個人信息保護負責人。如果涉及個人信息處理，政府和企業(yè)在首席數(shù)據(jù)官之外，還應(yīng)依法設(shè)立個人信息保護人，定位于專門監(jiān)督公共機構(gòu)的個人信息處理行為。

應(yīng)當設(shè)立個人信息保護負責人的公共機構(gòu)，不限于國家機關(guān)，還應(yīng)包括法律、法規(guī)、規(guī)章授權(quán)的公共組織。德國《聯(lián)邦數(shù)據(jù)保護法》第2條規(guī)定，公共機構(gòu)包括行政機關(guān)、司法機關(guān)和其他公法機構(gòu)，以及公法上的社團、營造物、財團等。《通用數(shù)據(jù)保護條例》并沒有明確什么是“公共機構(gòu)”，第29條數(shù)據(jù)保護工作組在《數(shù)據(jù)保護官指南》中指出，“公共機構(gòu)”不僅包括國家、地區(qū)和地方機構(gòu)，還包括受公法管轄的其他機構(gòu)。執(zhí)行公共任務(wù)的非公共機構(gòu)，如公共交通服務(wù)、水和能源供應(yīng)、道路基礎(chǔ)設(shè)施、公共服務(wù)廣播等領(lǐng)域的組織，雖然沒有義務(wù)但最好設(shè)立數(shù)據(jù)保護官，因為執(zhí)行公共任務(wù)的私主體同公共機構(gòu)處理數(shù)據(jù)非常相似，而且個人通常對于是否以及如何處理他們的數(shù)據(jù)幾乎或根本沒有選擇權(quán)。我國存在大量與人民群眾利益密切相關(guān)的公共企事業(yè)單位，如供水、供電、供氣、供熱公司等，明顯不同于普通的私主體，但在數(shù)字時代正進行日益廣泛的個人信息處理，應(yīng)將這些公共企事業(yè)單位視為“準公共機構(gòu)”，明確其設(shè)定個人信息保護負責人的義務(wù)。

綜上，公共機構(gòu)應(yīng)當設(shè)立個人信息保護負責人。作為個人信息保護者的公共機構(gòu)，應(yīng)當及時采取有效措施預(yù)防和懲治侵害個人信息權(quán)益的行為：作為個人信息處理者的公共機構(gòu)，同私主體一樣應(yīng)當根據(jù)合法、正當、必要和誠信原則處理個人信息，并接受個人信息保護負責人的專門監(jiān)督?！秱€人信息保護法》第52條“處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者應(yīng)當指定個人信息保護負責人”中的“個人信息處理者”，可以也應(yīng)當囊括公共機構(gòu)。個人信息權(quán)益具有外部約束力，無論是私主體還是公共機構(gòu)，都應(yīng)遵守《個人信息保護法》的規(guī)定。

三、個人信息保護負責人資質(zhì)的具體化和“監(jiān)督”困境

《個人信息保護法》第52條要求個人信息處理者“指定”個人信息保護負責人履行“監(jiān)督”職責，但并沒有明確資質(zhì)條件，也并未賦予其獨立的法律地位?！皞€人信息保護負責人”的職位名稱存在重大缺陷，易導致監(jiān)督職責和非監(jiān)督職責的合一。

（一）個人信息保護負責人資質(zhì)的具體化

個人信息保護負責人是數(shù)字時代的新興職位，明確資質(zhì)條件，對于其制度功能的有效發(fā)揮至關(guān)重要。具備什么條件的人可以成為個人信息保護負責人？外部人員可否被指定？個人信息保護負責人可否被共享？這些問題亟待明確。2020年修正的國家標準《信息安全技術(shù)個人信息安全規(guī)范》規(guī)定，個人信息保護負責人“應(yīng)由具有相關(guān)管理工作經(jīng)歷和個人信息保護專業(yè)知識的人員擔任”?！锻ㄓ脭?shù)據(jù)保護條例》第37條第5項規(guī)定，數(shù)據(jù)保護官的任命應(yīng)基于職業(yè)素質(zhì)，尤其是應(yīng)基于數(shù)據(jù)保護法的專業(yè)知識，并具有履職的經(jīng)驗與能力?！锻ㄓ脭?shù)據(jù)保護條例》序言第97條規(guī)定，必要的專家知識水平應(yīng)根據(jù)所執(zhí)行的數(shù)據(jù)處理操作和所處理的個人數(shù)據(jù)所需的保護程度確定?！稊?shù)據(jù)保護官指南》進一步明確數(shù)據(jù)保護官應(yīng)當正直、具有高尚的職業(yè)道德，專業(yè)水平必須與數(shù)據(jù)處理的敏感性、復雜性和數(shù)據(jù)量相稱。

我國的個人信息保護負責人應(yīng)當誠實正直，具備法律、經(jīng)濟、科技、政治等專業(yè)知識，并具有一定的管理和溝通能力。首先，誠實正直應(yīng)是擔任個人信息保護負責人的首要條件。勤勉盡職地保護個人信息，不屈服于個人信息處理者的不當干預(yù)，積極配合監(jiān)管機構(gòu)執(zhí)法，均需要良好的個人品行。其次，個人信息保護是一項高度專業(yè)化的活動，個人信息保護負責人必須具備相應(yīng)的專業(yè)知識，尤其是應(yīng)熟知網(wǎng)絡(luò)與信息法。最后，個人信息保護負責人應(yīng)具有一定的管理和溝通能力，能夠有效同個人信息處理者、監(jiān)管機構(gòu)和個人信息權(quán)益人溝通。此外，擔任個人信息保護負責人應(yīng)不違反從業(yè)禁止情形。向歐盟提供服務(wù)、商品的我國企業(yè)，應(yīng)根據(jù)《通用數(shù)據(jù)保護條例》的標準設(shè)立數(shù)據(jù)保護官。

符合條件的內(nèi)部員工和外部人員，都可以被指定為個人信息保護負責人，但二者各有利弊。其一，內(nèi)部員工往往更熟悉個人信息處理的實際操作、流程和問題，并且可以更好地了解員工的擔憂和安全漏洞的相關(guān)信息。外部人員可能具有更多經(jīng)驗和專業(yè)知識，能夠更好地感知行業(yè)標準。其二，任命內(nèi)部員工有利于保護相關(guān)內(nèi)部信息和機密，但任命外部人員意味著要開放公司的系統(tǒng)、流程、安全措施和數(shù)據(jù)。其三，通過按小時、按月或按年付費聘用外部人員，可以提高其工作效率?！锻ㄓ脭?shù)據(jù)保護條例》第37條第6項規(guī)定，數(shù)據(jù)保護官可以是數(shù)據(jù)控制者、處理者的員工，或是基于服務(wù)合同而聘請的外部人員?！稊?shù)據(jù)保護官指南》指出如果聘請團隊，每個成員都必須符合數(shù)據(jù)保護官的資質(zhì)條件。

由于外部人員無法有效掌握企業(yè)內(nèi)部信息，難以進行有效的溝通協(xié)調(diào)，而且投入監(jiān)督的時間、精力較為有限，為了更好地對個人信息處理者進行具體、深入的日常監(jiān)督，宜指定符合條件的內(nèi)部員工擔任個人信息保護負責人。實際上，《個人信息保護法》專門規(guī)定了外部監(jiān)督，其第58條明確要求提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復雜的個人信息處理者，成立主要由外部成員組成的獨立機構(gòu)對個人信息保護情況進行監(jiān)督。由內(nèi)部員工擔任個人信息保護負責人，可以解決有學者所認為的個人信息保護負責人同外部成員組成的獨立機構(gòu)職能存在重疊的問題。雖然同樣都履行監(jiān)督職能確實存在交叉，但個人信息保護負責人和獨立機構(gòu)的設(shè)立資質(zhì)條件、監(jiān)督內(nèi)容、監(jiān)督方式等有所不同，由二者共同開展內(nèi)外監(jiān)督，有利于更好地保護個人信息。

對于可否共享個人信息保護負責人，《個人信息保護法》沒有明確規(guī)定。《通用數(shù)據(jù)保護條例》第37條第2項規(guī)定，如果每家企業(yè)能夠很方便地聯(lián)系數(shù)據(jù)保護官，企業(yè)集團可以只任命一人擔任數(shù)據(jù)保護官。第3項規(guī)定，當數(shù)據(jù)控制者、處理者是公共機構(gòu)時，可根據(jù)其組織結(jié)構(gòu)和規(guī)模，為多個機構(gòu)指定一名數(shù)據(jù)保護官。公共或共享的數(shù)據(jù)保護官是一種替代方案，特別是有利于無法任命全職數(shù)據(jù)保護官的小型組織。組織之間“共享”數(shù)據(jù)保護官，必須以這些機構(gòu)在其職能、地理位置、組織等方面存在密切關(guān)系為事實條件。為了更好地保護個人信息，原則上符合條件的每個獨立的個人信息處理者，至少應(yīng)當指定一名個人信息保護負責人，企業(yè)集團可以根據(jù)具體情況決定是否共享個人信息保護負責人。

個人信息保護負責人確定后，應(yīng)公開其有效的個人信息。對于個人信息保護負責人的姓名、電話等重要個人信息，是否應(yīng)公開呢？2020年公布的《個人信息保護法（草案）》第51條第2款要求“個人信息處理者應(yīng)當公開個人信息保護負責人的姓名、聯(lián)系方式等，并報送履行個人信息保護職責的部門”。2021年公布的《個人信息保護法（草案二審稿）》第52條第2款作了調(diào)整，并不要求向社會公開個人信息保護負責人的姓名，三審最終通過的版本未作改變。為了更好地保護個人利益和公共利益，個人信息保護負責人的聯(lián)系方式公開，應(yīng)區(qū)分為三種情況：一是向社會公開。為了防止被不當騷擾，且由于個人信息保護負責人會發(fā)生變動，一般不宜向社會公布個人信息保護負責人的姓名、聯(lián)系電話等重要個人信息，但應(yīng)當公布有效的電子郵箱、在線客服鏈接、通信地址等聯(lián)系方式。《數(shù)據(jù)保護官指南》指出，雖然《通用數(shù)據(jù)保護條例》沒有強制要求公開數(shù)據(jù)保護官的姓名，但公開姓名是一個很好的實踐，是否有必要公開姓名由數(shù)據(jù)控制者、處理者自己決定。我國企業(yè)基本上沒有向社會公開個人信息保護負責人的姓名和聯(lián)系電話。二是向政府公開。由于涉及政府規(guī)制執(zhí)法，且政府可以進行相對較好的保密工作，應(yīng)將個人信息保護負責人的姓名、聯(lián)系方式等信息報送履行個人信息保護職責的部門。三是在個人信息處理者內(nèi)部公開。為了更好地進行內(nèi)部溝通協(xié)調(diào)，便于履職，應(yīng)在個人信息處理者內(nèi)部公開個人信息保護負責人的姓名、聯(lián)系方式等更多的信息。

（二）個人信息保護負責人的“監(jiān)督”困境

《個人信息保護法》第52條規(guī)定個人信息保護負責人“負責對個人信息處理活動以及采取的保護措施等進行監(jiān)督”，但并沒有明確賦予其獨立的法律地位，導致個人信息保護負責人獨立履行“監(jiān)督”職責存在困境。雖然個人信息保護負責人所要保護的是個人信息，但卻是由個人信息處理者指定并支付薪資福利。作為內(nèi)部員工的個人信息保護負責人，同個人信息處理者是利益共同體，當個人信息保護同商業(yè)利益追求發(fā)生沖突時，個人信息保護負責人很難獨立有效地履行監(jiān)督的職責。雖然理論上個人信息保護越好，企業(yè)的競爭力就會越強，但現(xiàn)實中很多個人信息處理者并不會清醒地認識到這一點，甚至可能故意無視長遠利益，為了追求利潤最大化而忽視甚至故意侵犯個人信息的現(xiàn)象并不少見。部分個人信息處理者即使不故意違法處理個人信息，也極易從事高收益但風險極大的個人信息處理活動。當發(fā)生利益沖突時，具有短期經(jīng)濟理性的個人信息保護負責人很容易同個人信息處理者共同損害個人信息主體的利益。

而且，“個人信息保護負責人”的職位名稱存在缺陷，其應(yīng)然職責涵蓋范圍過于寬泛，不利于監(jiān)督職責的獨立履行?！秱€人信息保護法》第52條一方面稱為“個人信息保護負責人”，另一方面又將其法定職責定位為“監(jiān)督”，但至少從字面意思上看，“負責”的內(nèi)涵明顯寬于“監(jiān)督”。對個人信息保護“負責”，既應(yīng)消極不侵犯個人信息，在處理個人信息時遵守各種合規(guī)要求，又應(yīng)采取必要措施積極保護個人信息，而“監(jiān)督”是對個人信息處理者作為或不作為行為的監(jiān)察督促?！皞€人信息保護負責人”的職位名稱源于2017年發(fā)布的《信息安全技術(shù)個人信息安全規(guī)范》，該規(guī)范不完全列舉了個人信息保護負責人的七項寬泛職責，其中第一項為“全面統(tǒng)籌實施組織內(nèi)部的個人信息安全工作，對個人信息安全負直接責任”。2020年修正的《信息安全技術(shù)個人信息安全規(guī)范》又為個人信息保護負責人增加了“組織制定個人信息保護工作計劃并督促落實”“公布投訴、舉報方式等信息并及時受理投訴舉報”“與監(jiān)督、管理部門保持溝通，通報或報告?zhèn)€人信息保護和事件處置等情況”三項職責。由上考察可知，個人信息保護負責人的職責一直較為寬泛，無論在應(yīng)然上還是實然上都明顯不限于“監(jiān)督”，需要“對個人信息安全負直接責任”。2021年頒布的《個人信息保護法》延續(xù)使用了“個人信息保護負責人”一詞，但將其法定職責限縮為“監(jiān)督”。

我國個人信息保護負責人制度源于對歐盟數(shù)據(jù)保護官制度的借鑒，但卻不適當?shù)匦薷牧嗣Q和職責。歐盟使用的是“數(shù)據(jù)保護官”而非“數(shù)據(jù)保護負責官”，其主要職責在于監(jiān)督數(shù)據(jù)控制者、處理者，但并不對數(shù)據(jù)保護承擔直接責任?！锻ㄓ脭?shù)據(jù)保護條例》第39條對數(shù)據(jù)保護官的職責進行了不完全列舉，包括提出合規(guī)建議、監(jiān)督數(shù)據(jù)處理、對數(shù)據(jù)保護影響評估提出建議、配合監(jiān)管機構(gòu)等方面。《數(shù)據(jù)保護官指南》重申并細化了數(shù)據(jù)保護官的職責：（1）監(jiān)督對《通用數(shù)據(jù)保護條例》的遵守情況；（2）協(xié)助數(shù)據(jù)保護影響評估；（3）與監(jiān)管機構(gòu)合作并充當連接點；（4）識別數(shù)據(jù)處理的風險；（5）保存數(shù)據(jù)處理記錄。數(shù)據(jù)保護官屬于第三方職位，承擔著數(shù)據(jù)控制者、處理者的顧問角色，有利于促進公司和公共機構(gòu)進行正確管理。我國的個人信息保護負責人則被視為是企業(yè)內(nèi)部的專業(yè)負責人員，而非獨立于企業(yè)的監(jiān)督人員。

四、個人信息保護負責人的獨立性保障

個人信息保護負責人極易受到個人信息處理者的支配和控制，“監(jiān)督”易流于形式。作為一種受強制的自我規(guī)制機制，個人信息保護負責人制度體現(xiàn)了政府部分職能向市場和社會的轉(zhuǎn)移。為了防止個人信息保護負責人的制度價值落空，需要明確個人信息保護負責人的獨立監(jiān)督地位，修正“個人信息保護負責人”的職位名稱，完善獨立履行監(jiān)督職責的制度保障，并合理配置監(jiān)督責任。

（一）明確個人信息保護負責人的獨立監(jiān)督地位并修正職位名稱

個人信息保護負責人的產(chǎn)生具有時代必然性，其承接了政府保護個人信息的部分職能，“有利于實現(xiàn)以政府為中心的規(guī)制國向市場與社會放權(quán)”。通過強化個人信息處理者的自我規(guī)制，要求其依法設(shè)立個人信息保護負責人履行內(nèi)部監(jiān)督職責，可以減輕政府保護個人信息的公共任務(wù)負擔，提升個人信息保護效能。為了能夠更加有效地監(jiān)督個人信息處理者，應(yīng)當明確個人信息保護負責人的獨立法律地位，并將“個人信息保護負責人”修正為“個人信息保護監(jiān)督人”“個人信息保護監(jiān)督負責人”等名稱。如果一方面使用“個人信息保護負責人”的職位名稱，另一方面又將其職責定位為“監(jiān)督”，由于名不符實，必將導致實踐的混亂。一些個人信息處理者的高級管理人員或相關(guān)決策層成員被指定為個人信息保護負責人，既直接參與個人信息處理過程，又負責監(jiān)督個人信息處理活動，從而出現(xiàn)既當運動員又當裁判員的窘境。法定職責定位為“監(jiān)督”但又稱為“個人信息保護負責人”，不僅容易導致監(jiān)督職責和非監(jiān)督職責的混同，而且容易使該職位人員承擔不該承擔的責任，甚至成為“替罪羊”。本來是個人信息處理者違法處理或沒有采取必要的保護措施，但最終可能以“個人信息保護負責人”沒有有效“負責”為由追究責任，權(quán)責分離的不公平現(xiàn)象由此而生。

個人信息保護的真正負責人，應(yīng)當是個人信息處理者?！秱€人信息保護法》第9條明確規(guī)定：“個人信息處理者應(yīng)當對其個人信息處理活動負責”，個人信息處理者有義務(wù)在合法、正當、必要范圍內(nèi)處理個人信息，并積極采取有效的組織、技術(shù)等保護措施。個人信息處理者為個人信息保護的直接負責人，承擔個人信息保護的主體責任。如果違法處理個人信息，或未履行個人信息保護義務(wù)，在我國確立的雙罰制的背景下，應(yīng)由個人信息處理者、直接負責的主管人員、其他直接責任人共同承擔責任。

個人信息處理者可以自主設(shè)立分管個人信息保護的專門職位，任命人員全面負責本組織的個人信息保護工作。1994年美國威瑞森通信公司率先設(shè)立了首席隱私官（CPO），如今國內(nèi)外很多企業(yè)都自發(fā)設(shè)立了首席隱私官。通過參與制定公司目標的高級別論壇，首席隱私官將隱私從附屬“附加項”轉(zhuǎn)變成為公司決策制定中的戰(zhàn)略性問題。首席隱私官的活動具有戰(zhàn)略性和私益性，其不僅負責保障本組織的活動不侵犯隱私，還負責在現(xiàn)行法律制度下最大程度尋求數(shù)據(jù)利用創(chuàng)新以促進利潤增長。相比于個人信息保護負責人監(jiān)督個人信息處理行為的唯一使命，首席隱私官的職責范圍更廣，公共性和獨立性更低。首席隱私官一般屬于個人信息控制者、處理者的高級管理人員，需要服從等級化的管理，而致力于“監(jiān)督”的“個人信息保護負責人”同首席隱私官職位存在本質(zhì)差別。

除了首席隱私官外，網(wǎng)絡(luò)安全負責人、數(shù)據(jù)安全負責人、數(shù)據(jù)安全責任人也屬于分管負責人，在職責上明顯不同于專門行使監(jiān)督職責的個人信息保護負責人?！吨腥A人民共和國網(wǎng)絡(luò)安全法》第21條要求網(wǎng)絡(luò)運營者“確定網(wǎng)絡(luò)安全負責人，落實網(wǎng)絡(luò)安全保護責任”。網(wǎng)絡(luò)安全負責人的職責并不是監(jiān)督，而是進行網(wǎng)絡(luò)安全保護，屬于法律強制網(wǎng)絡(luò)運營者設(shè)立的負責網(wǎng)絡(luò)安全保護的專門人員?！吨腥A人民共和國數(shù)據(jù)安全法》第27條要求“重要數(shù)據(jù)的處理者應(yīng)當明確數(shù)據(jù)安全負責人和管理機構(gòu)，落實數(shù)據(jù)安全保護責任”，數(shù)據(jù)安全負責人由數(shù)據(jù)處理者決策層成員承擔。2022年發(fā)布的《信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》提出網(wǎng)絡(luò)運營者如果處理重要數(shù)據(jù)和敏感個人信息，應(yīng)明確“數(shù)據(jù)安全責任人”“參與有關(guān)數(shù)據(jù)處理的重要決策”。由此可見，我國語境中的“負責人”是指對某些事項全面負責的責任人，具有決策權(quán)和管理權(quán)，其負責的領(lǐng)域出現(xiàn)問題時需要承擔相應(yīng)的領(lǐng)導責任。作為專門負責監(jiān)督個人信息處理活動的人員，顯然不宜稱為“個人信息保護負責人”。

個人信息保護負責人應(yīng)獨立履行監(jiān)督職責。在監(jiān)督內(nèi)容上，應(yīng)對個人信息處理者作為和不作為行為的全過程進行監(jiān)督。對于事前監(jiān)督，應(yīng)監(jiān)督個人信息處理者是否制定并及時更新了個人信息保護政策和相關(guān)規(guī)程、是否采取了必要的安全保護措施、是否定期對從業(yè)人員進行安全教育和培訓等。對于事中監(jiān)督，應(yīng)監(jiān)督個人信息處理全過程是否合法合規(guī)，如是否過度收集信息、是否依法開展了有效的個人信息保護影響評估、是否定期進行了合規(guī)審計等。對于事后監(jiān)督，應(yīng)監(jiān)督個人信息處理者事后是否積極作為，如在發(fā)生或者可能發(fā)生損害時是否立即采取了補救措施。如果用戶投訴認為自己的個人信息權(quán)益受到了個人信息處理者的侵犯，個人信息保護負責人應(yīng)當及時進行公正的調(diào)查。在履行監(jiān)督職責過程中，對于發(fā)現(xiàn)的個人信息處理違法問題，個人信息保護負責人有義務(wù)及時向政府規(guī)制部門報告，而不是幫助個人信息處理者掩蓋或銷毀證據(jù)。

（二）完善獨立履行監(jiān)督職責的制度保障

“個人信息保護負責人應(yīng)當具有獨立性，個人信息處理者應(yīng)當為個人信息保護負責人依法獨立履職提供必要的條件?！庇箓€人信息保護負責人獨立有效地監(jiān)督個人信息處理者，需要完善的配套制度予以保障。

其一，充分保障個人信息保護負責人的知情權(quán)。充分知情是有效監(jiān)督的前提，個人信息處理者應(yīng)當將所有相關(guān)信息及時提供給個人信息保護負責人，并保障其能夠參與重要會議。個人信息保護負責人在履職時不應(yīng)受到任何干預(yù)，獨立發(fā)表不同意見的權(quán)利應(yīng)得到保障。《通用數(shù)據(jù)保護條例》第38條第1項規(guī)定，數(shù)據(jù)控制者、處理者應(yīng)當確保數(shù)據(jù)保護官能夠適當、及時參與所有有關(guān)個人數(shù)據(jù)保護的事務(wù)?！稊?shù)據(jù)保護官指南》指出，數(shù)據(jù)保護官盡早介入所有涉及數(shù)據(jù)保護的問題至關(guān)重要，應(yīng)當確保其定期參加中高層管理會議。數(shù)據(jù)保護官是設(shè)立在企業(yè)內(nèi)部的崗位，但在一定程度上扮演著監(jiān)管部門的角色。數(shù)據(jù)保護官應(yīng)保持警惕，并拒絕參與可能對履職產(chǎn)生指示、壓力的交流活動。如何在崗位設(shè)計上保障數(shù)據(jù)保護官不受企業(yè)影響而作出獨立判斷，同時又使其能深入到企業(yè)的業(yè)務(wù)中去，是一個現(xiàn)實難題。我國的個人信息保護負責人面臨同樣的問題，如何同個人信息處理者保持適當距離但又能充分掌握相關(guān)信息，對于獨立有效地履行監(jiān)督職責至關(guān)重要。

其二，為個人信息保護負責人提供必要的資源。只有具備相應(yīng)的資源，才能保障個人信息保護負責人順利履行監(jiān)督職責。應(yīng)當為個人信息保護負責人提供獨立的預(yù)算和經(jīng)費保障。由于監(jiān)督職責任務(wù)較重，也為了防止被不當利益所誘惑，應(yīng)為個人信息保護負責人提供較高的薪資福利。必要的資源不限于物質(zhì)資源，還包括履職所應(yīng)當具備的所有相關(guān)條件?！缎畔踩夹g(shù)個人信息安全規(guī)范》簡單地規(guī)定應(yīng)為個人信息保護負責人“提供必要的資源”，保障其獨立履行職責?！稊?shù)據(jù)保護官指南》指出，必要的資源包括獲得管理高層的支持、充裕的履職時間、適當?shù)娜素斘镏С帧⒃L問其他部門的必要權(quán)限、持續(xù)的培訓等。由于個人信息保護負責人致力于監(jiān)督個人信息處理合規(guī)，著眼于風險防控，極易導致企業(yè)短期利潤下降，所以獲得管理高層和相關(guān)業(yè)務(wù)部門的實質(zhì)支持尤為關(guān)鍵。

其三，確保個人信息保護負責人不受干預(yù)，并使其能夠便利地向最高管理層報告。個人信息保護負責人應(yīng)具有相對獨立的地位，不應(yīng)受任何部門的直接領(lǐng)導，有權(quán)自主開展監(jiān)督活動。個人信息處理者不得干預(yù)個人信息保護負責人正常履職，不得指示或強迫其就相關(guān)問題發(fā)表特定觀點。如果個人信息保護負責人獨立履職面臨較大的內(nèi)部阻力，監(jiān)管機構(gòu)應(yīng)提供相應(yīng)的幫助。《通用數(shù)據(jù)保護條例》第38條第3項規(guī)定，數(shù)據(jù)控制者、處理者應(yīng)當確保數(shù)據(jù)保護官不會收到任何有關(guān)執(zhí)行工作任務(wù)的指示。該項規(guī)定是為了確保數(shù)據(jù)保護官在執(zhí)行任務(wù)時的獨立性，使其能夠在沒有壓力、第三方干擾、無根據(jù)的指示或恐嚇下有信心地完成任務(wù)。應(yīng)當保障個人信息保護負責人向最高管理層報告的權(quán)利，以減少較低層級管理人員和相關(guān)部門對個人信息保護監(jiān)督工作的干預(yù)，并引起最高管理層對個人信息保護問題的重視。

其四，禁止個人信息保護負責人兼任與監(jiān)督職責相沖突的職位。個人信息保護負責人的法定職責為“監(jiān)督”，不應(yīng)同時履行存在利益沖突的職責?！锻ㄓ脭?shù)據(jù)保護條例》第38條規(guī)定數(shù)據(jù)保護官可以履行其他任務(wù)和職務(wù)，但數(shù)據(jù)控制者或處理者應(yīng)當確保不會導致利益沖突?！稊?shù)據(jù)保護官指南》進一步明確，同數(shù)據(jù)保護官相沖突的角色既包括高級管理職位，如首席執(zhí)行官、首席運營官、首席財務(wù)官、營銷部門主管、人力資源主管，也包括其他能夠決定數(shù)據(jù)處理目的和方式的較低級別的職位。此外，如果外部的數(shù)據(jù)保護官被要求在涉及數(shù)據(jù)保護問題的案件中代表控制者或處理者出庭，也可能會出現(xiàn)利益沖突。因此，為了獨立有效地監(jiān)督個人信息處理行為，個人信息保護負責人不得兼任與監(jiān)督職責相沖突的職位。

為了更有效地發(fā)揮個人信息保護負責人的監(jiān)督功能，有必要大力推動個人信息保護負責人的職業(yè)化。必要時可以通過考試等方式，為符合資質(zhì)的人員頒發(fā)個人信息保護負責人證書。無論是立法機關(guān)還是監(jiān)管部門，“都可以通過要求由持證的專業(yè)人士進行獨立的監(jiān)督或?qū)徲?，來促進第三方參與監(jiān)督”?！锻ㄓ脭?shù)據(jù)保護條例》對數(shù)據(jù)保護官的技能提出了嚴格要求，但并沒有明確如何使數(shù)據(jù)保護官真正擁有相應(yīng)的能力。有學者認為，認證可能是確保整個歐洲的數(shù)據(jù)保護官能力一致性的有效方式，但認證在可靠性等方面存在缺陷。當前少數(shù)國家對數(shù)據(jù)保護官的執(zhí)業(yè)資格作了規(guī)定，如盧森堡要求數(shù)據(jù)保護官在獲得任命前必須先經(jīng)過數(shù)據(jù)保護局主導的審核，申請者應(yīng)達到一定的學術(shù)水平。一些領(lǐng)域已經(jīng)建立了個人數(shù)據(jù)保護人才的培養(yǎng)和權(quán)威認證機制，如國際隱私專業(yè)協(xié)會認證的注冊信息隱私經(jīng)理（CIPM）、注冊信息隱私技術(shù)專家（CIPT），美國醫(yī)療行業(yè)認證的醫(yī)療信息與隱私安全員（HCISPP）。作為數(shù)字時代市場需求巨大的個人信息保護負責人，需要通過專門的培養(yǎng)與認證機制予以職業(yè)化，才能有效保障其履職的獨立性和專業(yè)性。

（三）合理配置監(jiān)督責任

責任配置的合理與否，直接關(guān)系到個人信息保護負責人履職的獨立有效性。雖然使命為保護個人信息，但個人信息保護負責人在履行監(jiān)督職責時，可能首要考慮的是自己是否會受到不利影響。2017年發(fā)布、2020年修正的《信息安全技術(shù)個人信息安全規(guī)范》均明確規(guī)定，個人信息保護負責人“對個人信息安全負直接責任”?！秱€人信息保護法》第66條只是規(guī)定不得擔任個人信息保護負責人的從業(yè)禁止情形，對于已指定的個人信息保護負責人違法如何追究責任，則缺乏明確規(guī)定。歐盟數(shù)據(jù)保護官不對數(shù)據(jù)保護承擔個人責任，《通用數(shù)據(jù)保護條例》第38條第3項明確規(guī)定數(shù)據(jù)保護官不應(yīng)因履行職責而被解雇或受處罰。《數(shù)據(jù)保護官指南》進一步強調(diào)，數(shù)據(jù)保護合規(guī)性是控制者或處理者的責任，數(shù)據(jù)保護官不承擔個人責任。任命數(shù)據(jù)保護官，并沒有改變數(shù)據(jù)控制者、處理者的責任。進行合規(guī)性監(jiān)督，并不意味著在出現(xiàn)不合規(guī)情況時由數(shù)據(jù)保護官個人負責。由于個人信息保護負責人不是真正的“負責人”，而是“監(jiān)督人”，所以不應(yīng)對個人信息保護負直接責任，只應(yīng)在監(jiān)督不力或故意違法的情形下承擔責任。應(yīng)科學設(shè)立私法責任和公法責任，以保障個人信息保護負責人獨立履行監(jiān)督職責。

如果個人信息保護負責人沒有過錯，勤勉盡職地進行了獨立有效的監(jiān)督，即使發(fā)生了個人信息損害，也不用對此承擔責任?！秱€人信息保護法》第69條規(guī)定了過錯推定原則，即個人信息處理者能證明自己沒有過錯的，即使存在損害也不用承擔侵權(quán)責任。過錯推定原則也可適用于個人信息保護負責人，如果其能證明自己有效履行了監(jiān)督職責而沒有過錯，就不用承擔責任。如果個人信息保護負責人存在過錯而沒有獨立有效地履行監(jiān)督職責，應(yīng)根據(jù)過錯大小承擔相應(yīng)的責任。如果明知或應(yīng)當知道個人信息處理者的個人信息處理活動違法，或明知或應(yīng)當知道個人信息處理者沒有采取必要的保護措施，但仍然不提出有效的監(jiān)督建議，不及時向監(jiān)管機構(gòu)報告，則個人信息保護負責人應(yīng)承擔相應(yīng)的責任。如果個人信息保護負責人只是由于過失而沒有獨立有效地履行監(jiān)督職責，應(yīng)根據(jù)過失大小確定責任大小。如果個人信息保護負責人直接參與到個人信息處理活動中導致個人信息損害，或是幫助個人信息處理者掩蓋、銷毀證據(jù)，應(yīng)同個人信息處理者一起承擔連帶責任。

個人信息處理者不得隨意解雇或懲罰個人信息保護負責人，以保障其能夠安心無憂地獨立行使監(jiān)督職責。即使同樣是企業(yè)的內(nèi)部員工，對個人信息保護負責人的解雇或懲罰也應(yīng)當適用更為嚴格的條件和程序。除非基于重大事由，否則不得隨意解雇個人信息保護負責人。個人信息保護負責人的合同越穩(wěn)定，防止不公平解雇的保障措施越多，就越有可能獨立履職。只有因個人信息保護負責人不認真或違法履行監(jiān)督職責而出現(xiàn)嚴重后果時，個人信息處理者才可依法或根據(jù)合同約定追究相應(yīng)的責任。如果個人信息保護負責人違反法定義務(wù)，政府相關(guān)職能部門應(yīng)根據(jù)具體情形給予行政處罰：構(gòu)成犯罪的，應(yīng)當承擔侵犯公民個人信息罪、破壞計算機信息系統(tǒng)罪等對應(yīng)的刑事責任。

結(jié)語：邁向受規(guī)制的自我規(guī)制

“人生而渴望自由，卻無時無刻不身處網(wǎng)絡(luò)中：人生而渴望平靜的生活，卻每分每秒都無處躲藏?！睌?shù)字時代的個人信息保護，雖然需要有為政府積極預(yù)防和懲治侵害個人信息權(quán)益的行為，但單靠政府直接對個人信息處理者進行全面有效的監(jiān)管已愈發(fā)困難，新興的個人信息保護負責人應(yīng)時而生?！秱€人信息保護法》第52條通過強制符合條件的個人信息處理者設(shè)立個人信息保護負責人，有助于克服數(shù)字時代政府規(guī)制的不足。通過對個人信息處理活動以及采取的保護措施等進行監(jiān)督，個人信息保護負責人可以促進個人信息處理合規(guī)，有利于推動實現(xiàn)個人信息保護的公私合作治理。為了全面發(fā)揮作為自我規(guī)制的個人信息保護負責人的制度功能，設(shè)置數(shù)量標準時應(yīng)區(qū)分個人信息類型和級別，并明確符合條件的私主體和公共機構(gòu)均應(yīng)設(shè)立具有獨立法律地位的個人信息保護負責人。為保證個人信息保護負責人能夠獨立有效地監(jiān)督個人信息處理者，應(yīng)充分保障其知情權(quán)、提供必要的履職資源、使其能夠便利地向最高管理層報告、禁止兼任與監(jiān)督職責相沖突的職位。個人信息保護負責人屬于監(jiān)督人，不是個人信息保護的直接責任人，不應(yīng)泛化其責任。作為政府規(guī)制的有益補充，個人信息保護負責人制度旨在借助具有信息、知識、技術(shù)、效率等優(yōu)勢的個人信息處理者實施自我規(guī)制，來實現(xiàn)個人信息保護的公共目的。然而，自我規(guī)制存在透明度不夠、過度關(guān)注私人利益等內(nèi)在缺陷，只有受到政府有效規(guī)制的自我規(guī)制才能發(fā)揮更大的作用。如何有效實現(xiàn)自我規(guī)制和政府規(guī)制的有機統(tǒng)一，促使個人信息保護負責人勤勉盡責地獨立履行監(jiān)督職責仍需要不斷探索。