關(guān)鍵詞：個(gè)人信息保護(hù)負(fù)責(zé)人；自我規(guī)制；數(shù)據(jù)保護(hù)官；個(gè)人信息處理合規(guī)

《中華人民共和國(guó)個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱《個(gè)人信息保護(hù)法》）第52條強(qiáng)制要求處理個(gè)人信息達(dá)到規(guī)定數(shù)量的個(gè)人信息處理者，應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人。作為彌補(bǔ)政府規(guī)制缺陷的一種自我規(guī)制，個(gè)人信息保護(hù)負(fù)責(zé)人通過(guò)獨(dú)立有效地履行監(jiān)督職能，可以促進(jìn)個(gè)人信息處理合規(guī)，推動(dòng)個(gè)人信息保護(hù)的公私合作治理，從而有利于促進(jìn)數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展。然而，“個(gè)人信息保護(hù)負(fù)責(zé)人”條款較為簡(jiǎn)單，相關(guān)制度極不完善，易導(dǎo)致個(gè)人信息保護(hù)負(fù)責(zé)人有效履行監(jiān)督職責(zé)的預(yù)期制度價(jià)值落空。

個(gè)人信息保護(hù)負(fù)責(zé)人制度正在我國(guó)得到廣泛實(shí)施，但當(dāng)前幾乎沒(méi)有專門(mén)的研究。個(gè)人信息保護(hù)負(fù)責(zé)人制度源于歐盟的數(shù)據(jù)保護(hù)官（Data Protection Officer）制度，國(guó)內(nèi)外學(xué)者們對(duì)后者進(jìn)行了相對(duì)較多的研究。有學(xué)者認(rèn)為，數(shù)據(jù)保護(hù)官擔(dān)任“看門(mén)狗”角色，是不受企業(yè)干預(yù)的具有獨(dú)立性的特殊職位，可以促進(jìn)數(shù)據(jù)合規(guī)、減輕監(jiān)管機(jī)構(gòu)負(fù)擔(dān)，有利于維護(hù)數(shù)據(jù)主體的合法權(quán)益。在考察數(shù)據(jù)保護(hù)官的基礎(chǔ)上，我國(guó)一些學(xué)者提出企業(yè)需要對(duì)接國(guó)際標(biāo)準(zhǔn)，根據(jù)強(qiáng)制與自愿結(jié)合的原則設(shè)立數(shù)據(jù)保護(hù)官。還有學(xué)者主張，政府部門(mén)在處理規(guī)模較大的數(shù)據(jù)、特殊數(shù)據(jù)、敏感數(shù)據(jù)時(shí)，可以任命專門(mén)的數(shù)據(jù)安全監(jiān)管人員。雖然我國(guó)已設(shè)立了個(gè)人信息保護(hù)負(fù)責(zé)人制度，但其不同于歐盟的數(shù)據(jù)保護(hù)官制度，而且當(dāng)前我國(guó)的個(gè)人信息保護(hù)負(fù)責(zé)人制度在規(guī)范性與有效性方面存在不足。本文將立足中國(guó)、放眼世界，結(jié)合歐盟的數(shù)據(jù)保護(hù)官制度，剖析個(gè)人信息保護(hù)負(fù)責(zé)人的法律地位及其功能，探討個(gè)人信息保護(hù)負(fù)責(zé)人的適用范圍、資質(zhì)、職責(zé)、獨(dú)立性保障等問(wèn)題，以期推動(dòng)個(gè)人信息保護(hù)法治的不斷完善。

一、個(gè)人信息保護(hù)負(fù)責(zé)人的法律地位及其功能

為了在激烈的全球數(shù)字市場(chǎng)競(jìng)爭(zhēng)中不被淘汰，個(gè)人信息處理者具有巨大的壓力和動(dòng)力不斷提升個(gè)人信息保護(hù)水平。那么，政府為什么還要改變企業(yè)治理結(jié)構(gòu)，而強(qiáng)制個(gè)人信息處理者設(shè)立新型的個(gè)人信息保護(hù)負(fù)責(zé)人職位呢？

（一）個(gè)人信息保護(hù)負(fù)責(zé)人：履行公共職能的私人監(jiān)督者

個(gè)人信息保護(hù)負(fù)責(zé)人屬于履行公共職能的私人監(jiān)督者。個(gè)人信息保護(hù)負(fù)責(zé)人的產(chǎn)生，是政府強(qiáng)化企業(yè)自我規(guī)制以彌補(bǔ)數(shù)字時(shí)代行政監(jiān)管不足的現(xiàn)實(shí)需要。2017年發(fā)布的《信息安全技術(shù)個(gè)人信息安全規(guī)范》首次使用“個(gè)人信息保護(hù)負(fù)責(zé)人”一詞，2020年公布的《中華人民共和國(guó)個(gè)人信息保護(hù)法（草案）》（以下簡(jiǎn)稱《個(gè)人信息保護(hù)法（草案）》）予以采用，2021年正式通過(guò)的版本予以最終確定，將其職能定位為“負(fù)責(zé)對(duì)個(gè)人信息處理活動(dòng)以及采取的保護(hù)措施等進(jìn)行監(jiān)督”。面對(duì)日新月異的數(shù)字科技和幾乎無(wú)處不在的個(gè)人信息處理行為，監(jiān)管部門(mén)存在“知識(shí)供給不足”、違法信息獲取的滯后性、人財(cái)物的有限性等缺陷，導(dǎo)致傳統(tǒng)的行政監(jiān)管日益捉襟見(jiàn)肘、力不從心。自我規(guī)制主體擁有充分的“內(nèi)部知識(shí)”和較高的專業(yè)技術(shù)水平，可以通過(guò)較低的成本更快捷地回應(yīng)技術(shù)變化，更容易創(chuàng)造出更有力的監(jiān)管手段。

我國(guó)的個(gè)人信息保護(hù)負(fù)責(zé)人制度源于對(duì)歐盟數(shù)據(jù)保護(hù)官制度的借鑒。歐盟數(shù)據(jù)保護(hù)官產(chǎn)生的緣由，在于強(qiáng)化企業(yè)的自我規(guī)制，減輕行政監(jiān)管的壓力。1977年頒布的德國(guó)《聯(lián)邦數(shù)據(jù)保護(hù)法》率先在全球規(guī)定了數(shù)據(jù)保護(hù)官制度，第4d條規(guī)定數(shù)據(jù)控制者如果設(shè)立了數(shù)據(jù)保護(hù)官，在啟動(dòng)數(shù)據(jù)自動(dòng)化處理程序前，就不用向聯(lián)邦數(shù)據(jù)保護(hù)和信息自由專員進(jìn)行登記。德國(guó)通過(guò)要求公司任命數(shù)據(jù)保護(hù)官擔(dān)任“看門(mén)狗”角色，強(qiáng)制企業(yè)進(jìn)行自我規(guī)制，以補(bǔ)充政府?dāng)?shù)據(jù)保護(hù)機(jī)構(gòu)的監(jiān)管。荷蘭、挪威、瑞典和瑞士等國(guó)家允許公司選擇任命一名數(shù)據(jù)保護(hù)官，以取代向數(shù)據(jù)保護(hù)機(jī)構(gòu)提交更多實(shí)質(zhì)性文件。1995年歐盟發(fā)布的《關(guān)于涉及個(gè)人數(shù)據(jù)處理的個(gè)人保護(hù)以及此類數(shù)據(jù)自由流通的第95/46/EC號(hào)指令》（以下簡(jiǎn)稱《數(shù)據(jù)保護(hù)指令》）規(guī)定了數(shù)據(jù)保護(hù)官，重要目的之一為“簡(jiǎn)化或豁免報(bào)告義務(wù)”。《數(shù)據(jù)保護(hù)指令》第18條規(guī)定，如果數(shù)據(jù)控制者任命了數(shù)據(jù)保護(hù)官，以確保數(shù)據(jù)處理不可能對(duì)數(shù)據(jù)主體的權(quán)利和自由產(chǎn)生不利影響，成員國(guó)可以簡(jiǎn)化或免除數(shù)據(jù)控制者的報(bào)告義務(wù)?！稊?shù)據(jù)保護(hù)指令》第19條規(guī)定的報(bào)告義務(wù)內(nèi)容包括數(shù)據(jù)控制者的名稱和地址、數(shù)據(jù)處理目的、數(shù)據(jù)種類、向第三國(guó)轉(zhuǎn)移數(shù)據(jù)的計(jì)劃等事項(xiàng)。2016年4月歐盟通過(guò)的于2018年5月實(shí)施的《通用數(shù)據(jù)保護(hù)條例》，要求符合條件的組織必須設(shè)立數(shù)據(jù)保護(hù)官，對(duì)數(shù)據(jù)保護(hù)官的任命、地位和職責(zé)進(jìn)行了系統(tǒng)規(guī)定。為了進(jìn)一步闡釋數(shù)據(jù)保護(hù)官制度，歐盟第29條數(shù)據(jù)保護(hù)工作組于2016年發(fā)布《數(shù)據(jù)保護(hù)官指南》。2022年歐洲議會(huì)通過(guò)的《數(shù)字服務(wù)法》第32條要求超大型平臺(tái)應(yīng)當(dāng)設(shè)立合規(guī)官（Compliance Officers），負(fù)責(zé)監(jiān)督遵守本規(guī)定的情況。合規(guī)官同數(shù)據(jù)保護(hù)官相似，但職能更廣泛，不限于數(shù)據(jù)保護(hù)。

數(shù)據(jù)保護(hù)官實(shí)際上承擔(dān)了監(jiān)管機(jī)構(gòu)的部分公共職能。在數(shù)據(jù)保護(hù)官產(chǎn)生之前，數(shù)據(jù)控制者、處理者被要求向監(jiān)管機(jī)構(gòu)承擔(dān)更多的通知、報(bào)告等義務(wù)。如果數(shù)據(jù)控制者、處理者設(shè)立了數(shù)據(jù)保護(hù)官，向監(jiān)管機(jī)構(gòu)的報(bào)告義務(wù)就可以得到簡(jiǎn)化或豁免，這實(shí)際上意味著自我規(guī)制的加強(qiáng)和行政干預(yù)的減少。數(shù)據(jù)保護(hù)官制度完善了數(shù)據(jù)控制者、處理者的內(nèi)部管理體系，加強(qiáng)了其內(nèi)部的數(shù)據(jù)保護(hù)力度，具有非常重要的實(shí)踐意義與良性效果。數(shù)據(jù)保護(hù)官條款通過(guò)要求設(shè)置不受阻礙的隱私專家，必然導(dǎo)致公司的結(jié)構(gòu)性變化，可能會(huì)增加對(duì)全球數(shù)據(jù)主體的隱私保護(hù)。總而言之，無(wú)論是域外的數(shù)據(jù)保護(hù)官，還是我國(guó)的個(gè)人信息保護(hù)負(fù)責(zé)人，都體現(xiàn)了數(shù)字時(shí)代政府對(duì)企業(yè)自我規(guī)制的強(qiáng)化。一種由行政機(jī)關(guān)批準(zhǔn)或要求私人行為者在該機(jī)關(guān)的監(jiān)督之下進(jìn)行自我規(guī)制的制度設(shè)置，將發(fā)揮日益重要的功能。

（二）個(gè)人信息保護(hù)負(fù)責(zé)人的制度功能

其一，監(jiān)督個(gè)人信息處理者以促進(jìn)個(gè)人信息處理合規(guī)。個(gè)人信息處理在產(chǎn)生大量社會(huì)財(cái)富的同時(shí)，也引發(fā)了日益普遍的信息風(fēng)險(xiǎn)，侵害個(gè)人信息權(quán)益的風(fēng)險(xiǎn)已經(jīng)呈現(xiàn)出逐漸加劇的態(tài)勢(shì)。然而，數(shù)據(jù)已成為數(shù)字時(shí)代的關(guān)鍵生產(chǎn)要素，不能為了安全而罔顧發(fā)展，個(gè)人信息保護(hù)的重點(diǎn)不在于阻止個(gè)人信息的收集使用，而在于監(jiān)督個(gè)人信息處理行為。個(gè)人信息天然具有公共性和交互性，具有固有的人格和天然的財(cái)產(chǎn)雙重價(jià)值，保障其有序自由流動(dòng)和高效利用意義重大。個(gè)人信息保護(hù)負(fù)責(zé)人的使命為保護(hù)個(gè)人信息，可以較為有效地阻止追求商業(yè)利潤(rùn)最大化的不合規(guī)處理行為。通過(guò)對(duì)個(gè)人信息處理者的作為和不作為行為進(jìn)行全面監(jiān)督，如監(jiān)督是否制定并及時(shí)更新了個(gè)人信息保護(hù)政策和相關(guān)規(guī)程、是否開(kāi)展了有效的個(gè)人信息保護(hù)影響評(píng)估、是否定期進(jìn)行了合規(guī)審計(jì)、是否采取了必要的安全保護(hù)措施，個(gè)人信息保護(hù)負(fù)責(zé)人可以預(yù)防和制止不合規(guī)的個(gè)人信息處理而達(dá)到未雨綢繆的效果。通過(guò)聘請(qǐng)有能力的知名個(gè)人信息保護(hù)負(fù)責(zé)人，有助于提升個(gè)人信息處理者的企業(yè)形象，可以增強(qiáng)監(jiān)管部門(mén)、合作伙伴、社會(huì)公眾等主體的信任感，從而有利于增加企業(yè)的競(jìng)爭(zhēng)優(yōu)勢(shì)。未來(lái)全球競(jìng)爭(zhēng)力強(qiáng)的個(gè)人信息處理者，一定是個(gè)人信息保護(hù)良好的互聯(lián)網(wǎng)企業(yè)。

不合規(guī)的個(gè)人信息處理行為，不僅可能會(huì)對(duì)品牌和利潤(rùn)產(chǎn)生重大而長(zhǎng)期的不利影響，甚至還會(huì)導(dǎo)致整個(gè)行業(yè)商業(yè)模式的消亡。由于個(gè)人信息處理不合規(guī)，個(gè)人信息處理者可能被實(shí)施高額罰款、停業(yè)整頓、吊銷證照等嚴(yán)厲的行政處罰，相關(guān)人員可能被判處刑罰。除了政府調(diào)查和處罰造成的不利影響外，個(gè)人信息處理不合規(guī)還容易引起媒體的關(guān)注和評(píng)論，而這可能對(duì)企業(yè)造成致命的影響，尤其是社交媒體不夠謹(jǐn)慎的評(píng)論?；謴?fù)企業(yè)品牌和聲譽(yù)，是一項(xiàng)漫長(zhǎng)而昂貴的工作。

其二，作為連接紐帶而推動(dòng)個(gè)人信息保護(hù)的公私合作治理。通過(guò)對(duì)內(nèi)負(fù)責(zé)對(duì)個(gè)人信息處理活動(dòng)以及采取的保護(hù)措施等進(jìn)行監(jiān)督，對(duì)外協(xié)助個(gè)人信息權(quán)益人實(shí)現(xiàn)其權(quán)利束，并及時(shí)向監(jiān)管部門(mén)報(bào)告相關(guān)情況，個(gè)人信息保護(hù)負(fù)責(zé)人可以有效協(xié)調(diào)多方力量共同保護(hù)個(gè)人信息?！秱€(gè)人信息保護(hù)法》第52條要求個(gè)人信息處理者向全社會(huì)公開(kāi)個(gè)人信息保護(hù)負(fù)責(zé)人的聯(lián)系方式，向政府相關(guān)部門(mén)報(bào)送個(gè)人信息保護(hù)負(fù)責(zé)人的姓名、聯(lián)系方式等信息，實(shí)際上希望通過(guò)強(qiáng)化個(gè)人信息保護(hù)負(fù)責(zé)人的溝通功能而實(shí)現(xiàn)公私合作治理。

首先，個(gè)人信息保護(hù)負(fù)責(zé)人是個(gè)人和個(gè)人信息處理者之間的紐帶。通過(guò)協(xié)助個(gè)人信息權(quán)益人實(shí)現(xiàn)其權(quán)利束，個(gè)人信息保護(hù)負(fù)責(zé)人可以促進(jìn)個(gè)人對(duì)個(gè)人信息處理者進(jìn)行有效的制衡。《個(gè)人信息保護(hù)法》第四章明確了個(gè)人的知情權(quán)、決定權(quán)、查閱權(quán)、復(fù)制權(quán)、更正權(quán)、補(bǔ)充權(quán)、刪除權(quán)、可攜權(quán)等權(quán)利束，這些權(quán)利既是國(guó)家對(duì)個(gè)人信息處理者的監(jiān)管策略，也是個(gè)人制衡個(gè)人信息處理者的工具。對(duì)權(quán)利束的保障，核心在于確保其制衡效果得到有效發(fā)揮。然而，普通個(gè)人由于欠缺專業(yè)知識(shí)可能不知如何實(shí)現(xiàn)自己的權(quán)利，權(quán)利被侵犯后往往也不知如何有效尋求救濟(jì)，如果向法院提起訴訟，則面臨較為繁瑣的司法程序。個(gè)人通過(guò)提交違法證據(jù)而直接向個(gè)人信息保護(hù)負(fù)責(zé)人投訴和舉報(bào)，要求其依法監(jiān)督個(gè)人信息處理者，能夠更有效地保護(hù)自己的權(quán)利。由于具有豐富的個(gè)人信息保護(hù)知識(shí)和經(jīng)驗(yàn)，且更了解所屬的個(gè)人信息處理者，個(gè)人信息保護(hù)負(fù)責(zé)人可以更專業(yè)、更迅速地制止侵犯?jìng)€(gè)人信息權(quán)利束的行為。

其次，個(gè)人信息保護(hù)負(fù)責(zé)人是個(gè)人信息處理者和監(jiān)管部門(mén)之間的紐帶。通過(guò)常態(tài)化的日常溝通，向監(jiān)管部門(mén)報(bào)告?zhèn)€人信息處理者的個(gè)人信息保護(hù)和事件處置等情況，有利于政府更好地實(shí)施監(jiān)管。對(duì)于經(jīng)過(guò)有效的督促后但個(gè)人信息處理者仍不改正的違法行為，個(gè)人信息保護(hù)負(fù)責(zé)人通過(guò)直接向監(jiān)管部門(mén)報(bào)告，可以有效緩解信息不對(duì)稱問(wèn)題，有利于行政執(zhí)法?？偠灾?，個(gè)人信息保護(hù)負(fù)責(zé)人屬于個(gè)人信息處理者、個(gè)人信息權(quán)益人、監(jiān)管部門(mén)等多元主體之間的連接紐帶，對(duì)于推動(dòng)個(gè)人信息保護(hù)的公私合作治理具有重要價(jià)值。

綜上，個(gè)人信息保護(hù)負(fù)責(zé)人的產(chǎn)生，是強(qiáng)化個(gè)人信息處理者自我規(guī)制以彌補(bǔ)政府規(guī)制缺陷的現(xiàn)實(shí)需要，有助于促進(jìn)個(gè)人信息處理合規(guī)，有利于推動(dòng)個(gè)人信息保護(hù)的公私合作治理。此外，普遍違法或大規(guī)模處理個(gè)人信息還會(huì)引發(fā)系統(tǒng)性公共風(fēng)險(xiǎn)，個(gè)人信息保護(hù)負(fù)責(zé)人制度還有利于維護(hù)社會(huì)公共安全乃至國(guó)家安全。《關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見(jiàn)》明確要求“加快培育數(shù)據(jù)要素市場(chǎng)”，《中華人民共和國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十四個(gè)五年規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要》專章規(guī)劃“打造數(shù)字經(jīng)濟(jì)新優(yōu)勢(shì)”，數(shù)字時(shí)代個(gè)人信息處理范圍必將更加廣泛，處理頻率必將更加頻繁，個(gè)人信息安全必將存在更多的風(fēng)險(xiǎn)。個(gè)人信息保護(hù)負(fù)責(zé)人的價(jià)值必將得到不斷凸顯，個(gè)人信息保護(hù)負(fù)責(zé)人制度的科學(xué)合理運(yùn)行至關(guān)重要。

二、合理確定個(gè)人信息保護(hù)負(fù)責(zé)人的設(shè)立標(biāo)準(zhǔn)和適用主體

數(shù)字時(shí)代的個(gè)人信息保護(hù)負(fù)責(zé)人具有重要價(jià)值，那么應(yīng)以何種標(biāo)準(zhǔn)強(qiáng)制哪些個(gè)人信息處理者設(shè)立該職位呢？公共機(jī)構(gòu)是否也應(yīng)設(shè)立個(gè)人信息保護(hù)負(fù)責(zé)人？厘清個(gè)人信息保護(hù)負(fù)責(zé)人的適用標(biāo)準(zhǔn)和適用主體范圍，有助于全面發(fā)揮該制度的預(yù)期功能。

（一）區(qū)分個(gè)人信息類型和級(jí)別設(shè)置數(shù)量標(biāo)準(zhǔn)

對(duì)于是否以及根據(jù)何種標(biāo)準(zhǔn)強(qiáng)制企業(yè)設(shè)立數(shù)據(jù)保護(hù)官，在歐盟曾存在較大的爭(zhēng)議。支持者認(rèn)為，數(shù)據(jù)保護(hù)官在保護(hù)數(shù)據(jù)的同時(shí)，成為數(shù)據(jù)控制者同數(shù)據(jù)主體間的橋梁，可以減少與數(shù)據(jù)泄露相關(guān)的損失。反對(duì)者則認(rèn)為不應(yīng)當(dāng)設(shè)立數(shù)據(jù)保護(hù)官制度，因?yàn)闀?huì)給企業(yè)增加新的財(cái)務(wù)負(fù)擔(dān)，可能會(huì)導(dǎo)致在職員工因擔(dān)任數(shù)據(jù)保護(hù)官而承擔(dān)過(guò)大的工作量和工作壓力。數(shù)字時(shí)代的數(shù)據(jù)處理日益增多，數(shù)據(jù)保護(hù)的重要性日益凸顯，歐盟率先確立了以企業(yè)規(guī)模為標(biāo)準(zhǔn)的強(qiáng)制性的數(shù)據(jù)保護(hù)官制度?！锻ㄓ脭?shù)據(jù)保護(hù)條例——?dú)W盟委員會(huì)2012年建議案》第35條要求擁有250人及以上的企業(yè)進(jìn)行數(shù)據(jù)處理時(shí)必須設(shè)立數(shù)據(jù)保護(hù)官。德國(guó)《聯(lián)邦數(shù)據(jù)保護(hù)法》規(guī)定，雇傭超過(guò)9人長(zhǎng)期從事自動(dòng)化數(shù)據(jù)處理，或雇傭至少20人從事非自動(dòng)化數(shù)據(jù)處理的私營(yíng)機(jī)構(gòu)，必須任命數(shù)據(jù)保護(hù)官。《通用數(shù)據(jù)保護(hù)條例》第37條規(guī)定了企業(yè)必須設(shè)立數(shù)據(jù)保護(hù)官的兩種情形：（1）基于數(shù)據(jù)處理的性質(zhì)、范圍和（或）目的，數(shù)據(jù)控制者或處理者的核心活動(dòng)需要對(duì)數(shù)據(jù)主體進(jìn)行定期的大規(guī)模系統(tǒng)化監(jiān)控：（2）數(shù)據(jù)控制者或處理者的核心活動(dòng)包含根據(jù)第9條處理大規(guī)模特殊類別的數(shù)據(jù)，以及根據(jù)第10條處理刑事定罪和罪行的數(shù)據(jù)?！锻ㄓ脭?shù)據(jù)保護(hù)條例》序言第97條強(qiáng)調(diào)，對(duì)于私營(yíng)部門(mén)而言，核心活動(dòng)是數(shù)據(jù)控制者的主營(yíng)業(yè)務(wù)，而非輔助業(yè)務(wù)。

企業(yè)規(guī)模不應(yīng)成為強(qiáng)制設(shè)立個(gè)人信息保護(hù)負(fù)責(zé)人的決定性標(biāo)準(zhǔn)。其一，企業(yè)規(guī)模越大，并不必然就會(huì)處理更多的個(gè)人信息。其二，數(shù)字經(jīng)濟(jì)行業(yè)差別較大，規(guī)模較大的企業(yè)處理的個(gè)人信息造成的影響，可能不如一些小型但處理重要個(gè)人信息的企業(yè)，如人臉識(shí)別企業(yè)。其三，企業(yè)越大往往越在乎聲譽(yù)，規(guī)模越大的企業(yè)，守法誠(chéng)信經(jīng)營(yíng)狀況一般會(huì)更好。即使法律沒(méi)有強(qiáng)制規(guī)定，大型企業(yè)也可能制定嚴(yán)苛的內(nèi)部規(guī)章制度以加強(qiáng)自我規(guī)制。而對(duì)于一些中小微企業(yè)而言，由于本身不知名可能不太重視自己的聲譽(yù)，往往為了追求眼前利益而更容易違法侵犯?jìng)€(gè)人信息，可能更需要設(shè)立個(gè)人信息保護(hù)負(fù)責(zé)人。企業(yè)規(guī)模曾經(jīng)是我國(guó)設(shè)立個(gè)人信息保護(hù)負(fù)責(zé)人的重要標(biāo)準(zhǔn)之一，我國(guó)2017年發(fā)布的《信息安全技術(shù)個(gè)人信息安全規(guī)范》，以企業(yè)規(guī)模和個(gè)人信息處理數(shù)量為標(biāo)準(zhǔn)，明確兩種情形必須設(shè)立個(gè)人信息保護(hù)負(fù)責(zé)人?！秱€(gè)人信息保護(hù)法》最終放棄了企業(yè)規(guī)模標(biāo)準(zhǔn)，第52條要求“處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門(mén)規(guī)定數(shù)量的個(gè)人信息處理者”應(yīng)設(shè)立個(gè)人信息保護(hù)負(fù)責(zé)人。然而，應(yīng)防止“一刀切”地以個(gè)人信息處理數(shù)量作為強(qiáng)制設(shè)立個(gè)人信息保護(hù)負(fù)責(zé)人的標(biāo)準(zhǔn)。

之所以以個(gè)人信息處理數(shù)量為標(biāo)準(zhǔn)，是因?yàn)樘幚淼膫€(gè)人信息數(shù)量越多，對(duì)個(gè)人甚至對(duì)社會(huì)、國(guó)家造成損害的可能性就越大。然而，盡管個(gè)人信息處理數(shù)量較少，但如果處理的都是敏感個(gè)人信息，也可能造成毀滅性影響?！秱€(gè)人信息保護(hù)法》區(qū)分了敏感個(gè)人信息和一般個(gè)人信息，第51條明確要求“對(duì)個(gè)人信息實(shí)行分類管理”?！毒W(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——網(wǎng)絡(luò)數(shù)據(jù)分類分級(jí)指引》按照涉及的自然人特征，將個(gè)人信息分為個(gè)人基本資料、個(gè)人身份信息、個(gè)人生物識(shí)別信息、網(wǎng)絡(luò)身份標(biāo)識(shí)信息等16個(gè)類別。因此，在以個(gè)人信息處理數(shù)量為標(biāo)準(zhǔn)的基礎(chǔ)上，需要進(jìn)一步區(qū)分個(gè)人信息的種類和級(jí)別。一般而言，處理的個(gè)人信息越重要，個(gè)人信息處理數(shù)量的門(mén)檻應(yīng)當(dāng)設(shè)置得越低。

在類型化必須設(shè)立個(gè)人信息保護(hù)負(fù)責(zé)人法定情形的同時(shí)，還應(yīng)通過(guò)激勵(lì)相容機(jī)制促進(jìn)個(gè)人信息處理者自愿設(shè)立個(gè)人信息保護(hù)負(fù)責(zé)人。傳統(tǒng)的命令控制型監(jiān)管采取的是威懾式策略，注重事前立規(guī)和事后懲戒，監(jiān)管者與被監(jiān)管者之間缺乏動(dòng)態(tài)、平等的對(duì)話溝通，導(dǎo)致監(jiān)管效能低下。需要調(diào)動(dòng)信息控制者的積極性，設(shè)計(jì)激勵(lì)相容的機(jī)制，促使信息控制者主動(dòng)承擔(dān)個(gè)人信息保護(hù)義務(wù)。雖然個(gè)人信息保護(hù)負(fù)責(zé)人具有重要的時(shí)代價(jià)值，但如果一律強(qiáng)制所有個(gè)人信息處理者設(shè)立個(gè)人信息保護(hù)負(fù)責(zé)人，則可能對(duì)企業(yè)尤其是對(duì)中小微企業(yè)造成過(guò)大的運(yùn)營(yíng)成本，從而不利于數(shù)字經(jīng)濟(jì)發(fā)展；但如果完全實(shí)行自愿，個(gè)人信息處理者很可能為了節(jié)省成本而不設(shè)立個(gè)人信息保護(hù)負(fù)責(zé)人，從而不利于個(gè)人信息保護(hù)。宜根據(jù)強(qiáng)制和自愿相結(jié)合的原則，不斷完善個(gè)人信息保護(hù)負(fù)責(zé)人的設(shè)立標(biāo)準(zhǔn)?！秱€(gè)人信息保護(hù)法》只規(guī)定了應(yīng)當(dāng)設(shè)立個(gè)人信息保護(hù)負(fù)責(zé)人的情形，缺乏“可以式”條款?！锻ㄓ脭?shù)據(jù)保護(hù)條例》第37條第4項(xiàng)規(guī)定，對(duì)于不符合強(qiáng)制的情形，數(shù)據(jù)控制者、處理者、協(xié)會(huì)，或代表各種控制者和處理者的其他機(jī)構(gòu)，可以根據(jù)歐盟或成員國(guó)法律任命數(shù)據(jù)保護(hù)官。第29條數(shù)據(jù)保護(hù)工作組在《數(shù)據(jù)保護(hù)官指南》中，鼓勵(lì)自愿設(shè)立數(shù)據(jù)保護(hù)官。

（二）公共機(jī)構(gòu)應(yīng)當(dāng)設(shè)立個(gè)人信息保護(hù)負(fù)責(zé)人

《個(gè)人信息保護(hù)法》并沒(méi)有明確規(guī)定公共機(jī)構(gòu)是否應(yīng)當(dāng)設(shè)立個(gè)人信息保護(hù)負(fù)責(zé)人，不利于個(gè)人信息的全面保護(hù)。對(duì)個(gè)人信息濫用的各種指責(zé)，基本上都集中在對(duì)個(gè)人和商業(yè)機(jī)構(gòu)上，國(guó)家機(jī)關(guān)的個(gè)人信息處理行為很少被曝光或檢討。一些個(gè)人信息泄露事件暴露出有些國(guó)家機(jī)關(guān)存在個(gè)人信息保護(hù)意識(shí)不強(qiáng)、處理流程不規(guī)范、安全保護(hù)措施不到位等問(wèn)題。無(wú)論是私主體還是公共機(jī)構(gòu)，都存在故意或過(guò)失侵犯?jìng)€(gè)人信息的可能。雖然公共機(jī)構(gòu)有相對(duì)健全的民主監(jiān)督機(jī)制，不存在利潤(rùn)最大化的商業(yè)目標(biāo)追求，但具有強(qiáng)大權(quán)力的公共機(jī)構(gòu)一旦違法侵犯或不當(dāng)處理個(gè)人信息，就可能帶來(lái)更嚴(yán)重的損害。公共機(jī)構(gòu)同時(shí)屬于個(gè)人信息保護(hù)者和個(gè)人信息處理者，負(fù)有對(duì)私主體的個(gè)人信息處理進(jìn)行監(jiān)管的職責(zé)，但同時(shí)應(yīng)確保自身進(jìn)行個(gè)人信息處理時(shí)合規(guī)，所以同樣有必要設(shè)立個(gè)人信息保護(hù)負(fù)責(zé)人。

域外的數(shù)據(jù)保護(hù)官制度，不僅僅適用于私主體。1977年德國(guó)頒布的《聯(lián)邦數(shù)據(jù)保護(hù)法》第4f條規(guī)定，自動(dòng)處理個(gè)人數(shù)據(jù)的公共機(jī)構(gòu)必須以書(shū)面形式任命數(shù)據(jù)保護(hù)官。2001年歐洲發(fā)布的《關(guān)于歐共體機(jī)構(gòu)和組織所處理的個(gè)人數(shù)據(jù)的保護(hù)及此類數(shù)據(jù)的自由流通的第45/2001號(hào)條例》，要求歐共體機(jī)構(gòu)和組織應(yīng)當(dāng)至少任命一名數(shù)據(jù)保護(hù)官，以確保數(shù)據(jù)主體的權(quán)利和自由不會(huì)受到處理操作的不利影響。2016年歐洲發(fā)布的《關(guān)于主管當(dāng)局為預(yù)防、調(diào)查、偵查或起訴刑事犯罪或執(zhí)行刑事處罰以及此類數(shù)據(jù)的自由流動(dòng)而處理個(gè)人數(shù)據(jù)方面的自然人保護(hù)問(wèn)題，并廢除理事會(huì)2008/977/JHA號(hào)框架決定的2016/680號(hào)指令》，第32條規(guī)定除了法院和其他獨(dú)立的司法機(jī)構(gòu)，成員國(guó)機(jī)構(gòu)應(yīng)當(dāng)設(shè)立數(shù)據(jù)保護(hù)官?！锻ㄓ脭?shù)據(jù)保護(hù)條例》序言第17條進(jìn)一步明確第45/2001號(hào)條例，適用于歐盟各機(jī)構(gòu)、部門(mén)、辦公室和代理機(jī)構(gòu)，但相關(guān)內(nèi)容應(yīng)進(jìn)行修正。《通用數(shù)據(jù)保護(hù)條例》正文第37條規(guī)定除了行使司法職能的法院以外，進(jìn)行數(shù)據(jù)處理的公共機(jī)構(gòu)都必須設(shè)立數(shù)據(jù)保護(hù)官?？梢?jiàn)，雖然存在例外適用情形，但公共機(jī)構(gòu)設(shè)立數(shù)據(jù)保護(hù)官，一直都是歐盟法規(guī)定的強(qiáng)制義務(wù)。

雖然我國(guó)一些地方正探索設(shè)立首席數(shù)據(jù)官，但其明顯不同于個(gè)人信息保護(hù)負(fù)責(zé)人。例如，2021年廣東省人民政府辦公廳發(fā)布《廣東省首席數(shù)據(jù)官制度試點(diǎn)工作方案》，明確首席數(shù)據(jù)官通過(guò)履行“推進(jìn)數(shù)字政府建設(shè)”“統(tǒng)籌數(shù)據(jù)管理和融合創(chuàng)新”等職責(zé)，實(shí)現(xiàn)“創(chuàng)新數(shù)據(jù)共享開(kāi)放和開(kāi)發(fā)利用模式，提高數(shù)據(jù)治理和數(shù)據(jù)運(yùn)營(yíng)能力”的目的。2022年公布的《廣州市數(shù)字經(jīng)濟(jì)促進(jìn)條例》要求“探索推行首席數(shù)據(jù)官等數(shù)據(jù)管理創(chuàng)新制度”。2021年公布的《上海市數(shù)據(jù)條例》將首席數(shù)據(jù)官的適用范圍擴(kuò)大到“各區(qū)、各部門(mén)、各企業(yè)事業(yè)單位”。無(wú)論是政府還是企業(yè)設(shè)立的首席數(shù)據(jù)官，都有別于個(gè)人信息保護(hù)負(fù)責(zé)人。政府首席數(shù)據(jù)官的主要職責(zé)是提升領(lǐng)導(dǎo)與業(yè)務(wù)人員對(duì)數(shù)據(jù)的價(jià)值認(rèn)知，并將其運(yùn)用到?jīng)Q策、流程與事務(wù)處理的優(yōu)化轉(zhuǎn)型上。企業(yè)首席數(shù)據(jù)官主要承擔(dān)最大化商業(yè)價(jià)值、挖掘新的商業(yè)機(jī)會(huì)、數(shù)據(jù)質(zhì)量管理等職責(zé)，主要扮演數(shù)據(jù)管理者、商業(yè)價(jià)值挖掘者、決策制定者、協(xié)調(diào)者、數(shù)據(jù)概念及技能推廣者等角色。首席數(shù)據(jù)官一般直接負(fù)責(zé)管理和利用數(shù)據(jù)，在性質(zhì)和職能上明顯不同于履行監(jiān)督職責(zé)的個(gè)人信息保護(hù)負(fù)責(zé)人。如果涉及個(gè)人信息處理，政府和企業(yè)在首席數(shù)據(jù)官之外，還應(yīng)依法設(shè)立個(gè)人信息保護(hù)人，定位于專門(mén)監(jiān)督公共機(jī)構(gòu)的個(gè)人信息處理行為。

應(yīng)當(dāng)設(shè)立個(gè)人信息保護(hù)負(fù)責(zé)人的公共機(jī)構(gòu)，不限于國(guó)家機(jī)關(guān)，還應(yīng)包括法律、法規(guī)、規(guī)章授權(quán)的公共組織。德國(guó)《聯(lián)邦數(shù)據(jù)保護(hù)法》第2條規(guī)定，公共機(jī)構(gòu)包括行政機(jī)關(guān)、司法機(jī)關(guān)和其他公法機(jī)構(gòu)，以及公法上的社團(tuán)、營(yíng)造物、財(cái)團(tuán)等。《通用數(shù)據(jù)保護(hù)條例》并沒(méi)有明確什么是“公共機(jī)構(gòu)”，第29條數(shù)據(jù)保護(hù)工作組在《數(shù)據(jù)保護(hù)官指南》中指出，“公共機(jī)構(gòu)”不僅包括國(guó)家、地區(qū)和地方機(jī)構(gòu)，還包括受公法管轄的其他機(jī)構(gòu)。執(zhí)行公共任務(wù)的非公共機(jī)構(gòu)，如公共交通服務(wù)、水和能源供應(yīng)、道路基礎(chǔ)設(shè)施、公共服務(wù)廣播等領(lǐng)域的組織，雖然沒(méi)有義務(wù)但最好設(shè)立數(shù)據(jù)保護(hù)官，因?yàn)閳?zhí)行公共任務(wù)的私主體同公共機(jī)構(gòu)處理數(shù)據(jù)非常相似，而且個(gè)人通常對(duì)于是否以及如何處理他們的數(shù)據(jù)幾乎或根本沒(méi)有選擇權(quán)。我國(guó)存在大量與人民群眾利益密切相關(guān)的公共企事業(yè)單位，如供水、供電、供氣、供熱公司等，明顯不同于普通的私主體，但在數(shù)字時(shí)代正進(jìn)行日益廣泛的個(gè)人信息處理，應(yīng)將這些公共企事業(yè)單位視為“準(zhǔn)公共機(jī)構(gòu)”，明確其設(shè)定個(gè)人信息保護(hù)負(fù)責(zé)人的義務(wù)。

綜上，公共機(jī)構(gòu)應(yīng)當(dāng)設(shè)立個(gè)人信息保護(hù)負(fù)責(zé)人。作為個(gè)人信息保護(hù)者的公共機(jī)構(gòu)，應(yīng)當(dāng)及時(shí)采取有效措施預(yù)防和懲治侵害個(gè)人信息權(quán)益的行為：作為個(gè)人信息處理者的公共機(jī)構(gòu)，同私主體一樣應(yīng)當(dāng)根據(jù)合法、正當(dāng)、必要和誠(chéng)信原則處理個(gè)人信息，并接受個(gè)人信息保護(hù)負(fù)責(zé)人的專門(mén)監(jiān)督。《個(gè)人信息保護(hù)法》第52條“處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門(mén)規(guī)定數(shù)量的個(gè)人信息處理者應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人”中的“個(gè)人信息處理者”，可以也應(yīng)當(dāng)囊括公共機(jī)構(gòu)。個(gè)人信息權(quán)益具有外部約束力，無(wú)論是私主體還是公共機(jī)構(gòu)，都應(yīng)遵守《個(gè)人信息保護(hù)法》的規(guī)定。

三、個(gè)人信息保護(hù)負(fù)責(zé)人資質(zhì)的具體化和“監(jiān)督”困境

《個(gè)人信息保護(hù)法》第52條要求個(gè)人信息處理者“指定”個(gè)人信息保護(hù)負(fù)責(zé)人履行“監(jiān)督”職責(zé)，但并沒(méi)有明確資質(zhì)條件，也并未賦予其獨(dú)立的法律地位。“個(gè)人信息保護(hù)負(fù)責(zé)人”的職位名稱存在重大缺陷，易導(dǎo)致監(jiān)督職責(zé)和非監(jiān)督職責(zé)的合一。

（一）個(gè)人信息保護(hù)負(fù)責(zé)人資質(zhì)的具體化

個(gè)人信息保護(hù)負(fù)責(zé)人是數(shù)字時(shí)代的新興職位，明確資質(zhì)條件，對(duì)于其制度功能的有效發(fā)揮至關(guān)重要。具備什么條件的人可以成為個(gè)人信息保護(hù)負(fù)責(zé)人？外部人員可否被指定？個(gè)人信息保護(hù)負(fù)責(zé)人可否被共享？這些問(wèn)題亟待明確。2020年修正的國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)個(gè)人信息安全規(guī)范》規(guī)定，個(gè)人信息保護(hù)負(fù)責(zé)人“應(yīng)由具有相關(guān)管理工作經(jīng)歷和個(gè)人信息保護(hù)專業(yè)知識(shí)的人員擔(dān)任”?！锻ㄓ脭?shù)據(jù)保護(hù)條例》第37條第5項(xiàng)規(guī)定，數(shù)據(jù)保護(hù)官的任命應(yīng)基于職業(yè)素質(zhì)，尤其是應(yīng)基于數(shù)據(jù)保護(hù)法的專業(yè)知識(shí)，并具有履職的經(jīng)驗(yàn)與能力。《通用數(shù)據(jù)保護(hù)條例》序言第97條規(guī)定，必要的專家知識(shí)水平應(yīng)根據(jù)所執(zhí)行的數(shù)據(jù)處理操作和所處理的個(gè)人數(shù)據(jù)所需的保護(hù)程度確定。《數(shù)據(jù)保護(hù)官指南》進(jìn)一步明確數(shù)據(jù)保護(hù)官應(yīng)當(dāng)正直、具有高尚的職業(yè)道德，專業(yè)水平必須與數(shù)據(jù)處理的敏感性、復(fù)雜性和數(shù)據(jù)量相稱。

我國(guó)的個(gè)人信息保護(hù)負(fù)責(zé)人應(yīng)當(dāng)誠(chéng)實(shí)正直，具備法律、經(jīng)濟(jì)、科技、政治等專業(yè)知識(shí)，并具有一定的管理和溝通能力。首先，誠(chéng)實(shí)正直應(yīng)是擔(dān)任個(gè)人信息保護(hù)負(fù)責(zé)人的首要條件。勤勉盡職地保護(hù)個(gè)人信息，不屈服于個(gè)人信息處理者的不當(dāng)干預(yù)，積極配合監(jiān)管機(jī)構(gòu)執(zhí)法，均需要良好的個(gè)人品行。其次，個(gè)人信息保護(hù)是一項(xiàng)高度專業(yè)化的活動(dòng)，個(gè)人信息保護(hù)負(fù)責(zé)人必須具備相應(yīng)的專業(yè)知識(shí)，尤其是應(yīng)熟知網(wǎng)絡(luò)與信息法。最后，個(gè)人信息保護(hù)負(fù)責(zé)人應(yīng)具有一定的管理和溝通能力，能夠有效同個(gè)人信息處理者、監(jiān)管機(jī)構(gòu)和個(gè)人信息權(quán)益人溝通。此外，擔(dān)任個(gè)人信息保護(hù)負(fù)責(zé)人應(yīng)不違反從業(yè)禁止情形。向歐盟提供服務(wù)、商品的我國(guó)企業(yè)，應(yīng)根據(jù)《通用數(shù)據(jù)保護(hù)條例》的標(biāo)準(zhǔn)設(shè)立數(shù)據(jù)保護(hù)官。

符合條件的內(nèi)部員工和外部人員，都可以被指定為個(gè)人信息保護(hù)負(fù)責(zé)人，但二者各有利弊。其一，內(nèi)部員工往往更熟悉個(gè)人信息處理的實(shí)際操作、流程和問(wèn)題，并且可以更好地了解員工的擔(dān)憂和安全漏洞的相關(guān)信息。外部人員可能具有更多經(jīng)驗(yàn)和專業(yè)知識(shí)，能夠更好地感知行業(yè)標(biāo)準(zhǔn)。其二，任命內(nèi)部員工有利于保護(hù)相關(guān)內(nèi)部信息和機(jī)密，但任命外部人員意味著要開(kāi)放公司的系統(tǒng)、流程、安全措施和數(shù)據(jù)。其三，通過(guò)按小時(shí)、按月或按年付費(fèi)聘用外部人員，可以提高其工作效率?！锻ㄓ脭?shù)據(jù)保護(hù)條例》第37條第6項(xiàng)規(guī)定，數(shù)據(jù)保護(hù)官可以是數(shù)據(jù)控制者、處理者的員工，或是基于服務(wù)合同而聘請(qǐng)的外部人員?！稊?shù)據(jù)保護(hù)官指南》指出如果聘請(qǐng)團(tuán)隊(duì)，每個(gè)成員都必須符合數(shù)據(jù)保護(hù)官的資質(zhì)條件。

由于外部人員無(wú)法有效掌握企業(yè)內(nèi)部信息，難以進(jìn)行有效的溝通協(xié)調(diào)，而且投入監(jiān)督的時(shí)間、精力較為有限，為了更好地對(duì)個(gè)人信息處理者進(jìn)行具體、深入的日常監(jiān)督，宜指定符合條件的內(nèi)部員工擔(dān)任個(gè)人信息保護(hù)負(fù)責(zé)人。實(shí)際上，《個(gè)人信息保護(hù)法》專門(mén)規(guī)定了外部監(jiān)督，其第58條明確要求提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者，成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督。由內(nèi)部員工擔(dān)任個(gè)人信息保護(hù)負(fù)責(zé)人，可以解決有學(xué)者所認(rèn)為的個(gè)人信息保護(hù)負(fù)責(zé)人同外部成員組成的獨(dú)立機(jī)構(gòu)職能存在重疊的問(wèn)題。雖然同樣都履行監(jiān)督職能確實(shí)存在交叉，但個(gè)人信息保護(hù)負(fù)責(zé)人和獨(dú)立機(jī)構(gòu)的設(shè)立資質(zhì)條件、監(jiān)督內(nèi)容、監(jiān)督方式等有所不同，由二者共同開(kāi)展內(nèi)外監(jiān)督，有利于更好地保護(hù)個(gè)人信息。

對(duì)于可否共享個(gè)人信息保護(hù)負(fù)責(zé)人，《個(gè)人信息保護(hù)法》沒(méi)有明確規(guī)定?！锻ㄓ脭?shù)據(jù)保護(hù)條例》第37條第2項(xiàng)規(guī)定，如果每家企業(yè)能夠很方便地聯(lián)系數(shù)據(jù)保護(hù)官，企業(yè)集團(tuán)可以只任命一人擔(dān)任數(shù)據(jù)保護(hù)官。第3項(xiàng)規(guī)定，當(dāng)數(shù)據(jù)控制者、處理者是公共機(jī)構(gòu)時(shí)，可根據(jù)其組織結(jié)構(gòu)和規(guī)模，為多個(gè)機(jī)構(gòu)指定一名數(shù)據(jù)保護(hù)官。公共或共享的數(shù)據(jù)保護(hù)官是一種替代方案，特別是有利于無(wú)法任命全職數(shù)據(jù)保護(hù)官的小型組織。組織之間“共享”數(shù)據(jù)保護(hù)官，必須以這些機(jī)構(gòu)在其職能、地理位置、組織等方面存在密切關(guān)系為事實(shí)條件。為了更好地保護(hù)個(gè)人信息，原則上符合條件的每個(gè)獨(dú)立的個(gè)人信息處理者，至少應(yīng)當(dāng)指定一名個(gè)人信息保護(hù)負(fù)責(zé)人，企業(yè)集團(tuán)可以根據(jù)具體情況決定是否共享個(gè)人信息保護(hù)負(fù)責(zé)人。

個(gè)人信息保護(hù)負(fù)責(zé)人確定后，應(yīng)公開(kāi)其有效的個(gè)人信息。對(duì)于個(gè)人信息保護(hù)負(fù)責(zé)人的姓名、電話等重要個(gè)人信息，是否應(yīng)公開(kāi)呢？2020年公布的《個(gè)人信息保護(hù)法（草案）》第51條第2款要求“個(gè)人信息處理者應(yīng)當(dāng)公開(kāi)個(gè)人信息保護(hù)負(fù)責(zé)人的姓名、聯(lián)系方式等，并報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門(mén)”。2021年公布的《個(gè)人信息保護(hù)法（草案二審稿）》第52條第2款作了調(diào)整，并不要求向社會(huì)公開(kāi)個(gè)人信息保護(hù)負(fù)責(zé)人的姓名，三審最終通過(guò)的版本未作改變。為了更好地保護(hù)個(gè)人利益和公共利益，個(gè)人信息保護(hù)負(fù)責(zé)人的聯(lián)系方式公開(kāi)，應(yīng)區(qū)分為三種情況：一是向社會(huì)公開(kāi)。為了防止被不當(dāng)騷擾，且由于個(gè)人信息保護(hù)負(fù)責(zé)人會(huì)發(fā)生變動(dòng)，一般不宜向社會(huì)公布個(gè)人信息保護(hù)負(fù)責(zé)人的姓名、聯(lián)系電話等重要個(gè)人信息，但應(yīng)當(dāng)公布有效的電子郵箱、在線客服鏈接、通信地址等聯(lián)系方式?！稊?shù)據(jù)保護(hù)官指南》指出，雖然《通用數(shù)據(jù)保護(hù)條例》沒(méi)有強(qiáng)制要求公開(kāi)數(shù)據(jù)保護(hù)官的姓名，但公開(kāi)姓名是一個(gè)很好的實(shí)踐，是否有必要公開(kāi)姓名由數(shù)據(jù)控制者、處理者自己決定。我國(guó)企業(yè)基本上沒(méi)有向社會(huì)公開(kāi)個(gè)人信息保護(hù)負(fù)責(zé)人的姓名和聯(lián)系電話。二是向政府公開(kāi)。由于涉及政府規(guī)制執(zhí)法，且政府可以進(jìn)行相對(duì)較好的保密工作，應(yīng)將個(gè)人信息保護(hù)負(fù)責(zé)人的姓名、聯(lián)系方式等信息報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門(mén)。三是在個(gè)人信息處理者內(nèi)部公開(kāi)。為了更好地進(jìn)行內(nèi)部溝通協(xié)調(diào)，便于履職，應(yīng)在個(gè)人信息處理者內(nèi)部公開(kāi)個(gè)人信息保護(hù)負(fù)責(zé)人的姓名、聯(lián)系方式等更多的信息。

（二）個(gè)人信息保護(hù)負(fù)責(zé)人的“監(jiān)督”困境

《個(gè)人信息保護(hù)法》第52條規(guī)定個(gè)人信息保護(hù)負(fù)責(zé)人“負(fù)責(zé)對(duì)個(gè)人信息處理活動(dòng)以及采取的保護(hù)措施等進(jìn)行監(jiān)督”，但并沒(méi)有明確賦予其獨(dú)立的法律地位，導(dǎo)致個(gè)人信息保護(hù)負(fù)責(zé)人獨(dú)立履行“監(jiān)督”職責(zé)存在困境。雖然個(gè)人信息保護(hù)負(fù)責(zé)人所要保護(hù)的是個(gè)人信息，但卻是由個(gè)人信息處理者指定并支付薪資福利。作為內(nèi)部員工的個(gè)人信息保護(hù)負(fù)責(zé)人，同個(gè)人信息處理者是利益共同體，當(dāng)個(gè)人信息保護(hù)同商業(yè)利益追求發(fā)生沖突時(shí)，個(gè)人信息保護(hù)負(fù)責(zé)人很難獨(dú)立有效地履行監(jiān)督的職責(zé)。雖然理論上個(gè)人信息保護(hù)越好，企業(yè)的競(jìng)爭(zhēng)力就會(huì)越強(qiáng)，但現(xiàn)實(shí)中很多個(gè)人信息處理者并不會(huì)清醒地認(rèn)識(shí)到這一點(diǎn)，甚至可能故意無(wú)視長(zhǎng)遠(yuǎn)利益，為了追求利潤(rùn)最大化而忽視甚至故意侵犯?jìng)€(gè)人信息的現(xiàn)象并不少見(jiàn)。部分個(gè)人信息處理者即使不故意違法處理個(gè)人信息，也極易從事高收益但風(fēng)險(xiǎn)極大的個(gè)人信息處理活動(dòng)。當(dāng)發(fā)生利益沖突時(shí)，具有短期經(jīng)濟(jì)理性的個(gè)人信息保護(hù)負(fù)責(zé)人很容易同個(gè)人信息處理者共同損害個(gè)人信息主體的利益。

而且，“個(gè)人信息保護(hù)負(fù)責(zé)人”的職位名稱存在缺陷，其應(yīng)然職責(zé)涵蓋范圍過(guò)于寬泛，不利于監(jiān)督職責(zé)的獨(dú)立履行?！秱€(gè)人信息保護(hù)法》第52條一方面稱為“個(gè)人信息保護(hù)負(fù)責(zé)人”，另一方面又將其法定職責(zé)定位為“監(jiān)督”，但至少?gòu)淖置嬉馑忌峡矗柏?fù)責(zé)”的內(nèi)涵明顯寬于“監(jiān)督”。對(duì)個(gè)人信息保護(hù)“負(fù)責(zé)”，既應(yīng)消極不侵犯?jìng)€(gè)人信息，在處理個(gè)人信息時(shí)遵守各種合規(guī)要求，又應(yīng)采取必要措施積極保護(hù)個(gè)人信息，而“監(jiān)督”是對(duì)個(gè)人信息處理者作為或不作為行為的監(jiān)察督促?！皞€(gè)人信息保護(hù)負(fù)責(zé)人”的職位名稱源于2017年發(fā)布的《信息安全技術(shù)個(gè)人信息安全規(guī)范》，該規(guī)范不完全列舉了個(gè)人信息保護(hù)負(fù)責(zé)人的七項(xiàng)寬泛職責(zé)，其中第一項(xiàng)為“全面統(tǒng)籌實(shí)施組織內(nèi)部的個(gè)人信息安全工作，對(duì)個(gè)人信息安全負(fù)直接責(zé)任”。2020年修正的《信息安全技術(shù)個(gè)人信息安全規(guī)范》又為個(gè)人信息保護(hù)負(fù)責(zé)人增加了“組織制定個(gè)人信息保護(hù)工作計(jì)劃并督促落實(shí)”“公布投訴、舉報(bào)方式等信息并及時(shí)受理投訴舉報(bào)”“與監(jiān)督、管理部門(mén)保持溝通，通報(bào)或報(bào)告?zhèn)€人信息保護(hù)和事件處置等情況”三項(xiàng)職責(zé)。由上考察可知，個(gè)人信息保護(hù)負(fù)責(zé)人的職責(zé)一直較為寬泛，無(wú)論在應(yīng)然上還是實(shí)然上都明顯不限于“監(jiān)督”，需要“對(duì)個(gè)人信息安全負(fù)直接責(zé)任”。2021年頒布的《個(gè)人信息保護(hù)法》延續(xù)使用了“個(gè)人信息保護(hù)負(fù)責(zé)人”一詞，但將其法定職責(zé)限縮為“監(jiān)督”。

我國(guó)個(gè)人信息保護(hù)負(fù)責(zé)人制度源于對(duì)歐盟數(shù)據(jù)保護(hù)官制度的借鑒，但卻不適當(dāng)?shù)匦薷牧嗣Q和職責(zé)。歐盟使用的是“數(shù)據(jù)保護(hù)官”而非“數(shù)據(jù)保護(hù)負(fù)責(zé)官”，其主要職責(zé)在于監(jiān)督數(shù)據(jù)控制者、處理者，但并不對(duì)數(shù)據(jù)保護(hù)承擔(dān)直接責(zé)任?！锻ㄓ脭?shù)據(jù)保護(hù)條例》第39條對(duì)數(shù)據(jù)保護(hù)官的職責(zé)進(jìn)行了不完全列舉，包括提出合規(guī)建議、監(jiān)督數(shù)據(jù)處理、對(duì)數(shù)據(jù)保護(hù)影響評(píng)估提出建議、配合監(jiān)管機(jī)構(gòu)等方面?！稊?shù)據(jù)保護(hù)官指南》重申并細(xì)化了數(shù)據(jù)保護(hù)官的職責(zé)：（1）監(jiān)督對(duì)《通用數(shù)據(jù)保護(hù)條例》的遵守情況；（2）協(xié)助數(shù)據(jù)保護(hù)影響評(píng)估；（3）與監(jiān)管機(jī)構(gòu)合作并充當(dāng)連接點(diǎn)；（4）識(shí)別數(shù)據(jù)處理的風(fēng)險(xiǎn)；（5）保存數(shù)據(jù)處理記錄。數(shù)據(jù)保護(hù)官屬于第三方職位，承擔(dān)著數(shù)據(jù)控制者、處理者的顧問(wèn)角色，有利于促進(jìn)公司和公共機(jī)構(gòu)進(jìn)行正確管理。我國(guó)的個(gè)人信息保護(hù)負(fù)責(zé)人則被視為是企業(yè)內(nèi)部的專業(yè)負(fù)責(zé)人員，而非獨(dú)立于企業(yè)的監(jiān)督人員。

四、個(gè)人信息保護(hù)負(fù)責(zé)人的獨(dú)立性保障

個(gè)人信息保護(hù)負(fù)責(zé)人極易受到個(gè)人信息處理者的支配和控制，“監(jiān)督”易流于形式。作為一種受強(qiáng)制的自我規(guī)制機(jī)制，個(gè)人信息保護(hù)負(fù)責(zé)人制度體現(xiàn)了政府部分職能向市場(chǎng)和社會(huì)的轉(zhuǎn)移。為了防止個(gè)人信息保護(hù)負(fù)責(zé)人的制度價(jià)值落空，需要明確個(gè)人信息保護(hù)負(fù)責(zé)人的獨(dú)立監(jiān)督地位，修正“個(gè)人信息保護(hù)負(fù)責(zé)人”的職位名稱，完善獨(dú)立履行監(jiān)督職責(zé)的制度保障，并合理配置監(jiān)督責(zé)任。

（一）明確個(gè)人信息保護(hù)負(fù)責(zé)人的獨(dú)立監(jiān)督地位并修正職位名稱

個(gè)人信息保護(hù)負(fù)責(zé)人的產(chǎn)生具有時(shí)代必然性，其承接了政府保護(hù)個(gè)人信息的部分職能，“有利于實(shí)現(xiàn)以政府為中心的規(guī)制國(guó)向市場(chǎng)與社會(huì)放權(quán)”。通過(guò)強(qiáng)化個(gè)人信息處理者的自我規(guī)制，要求其依法設(shè)立個(gè)人信息保護(hù)負(fù)責(zé)人履行內(nèi)部監(jiān)督職責(zé)，可以減輕政府保護(hù)個(gè)人信息的公共任務(wù)負(fù)擔(dān)，提升個(gè)人信息保護(hù)效能。為了能夠更加有效地監(jiān)督個(gè)人信息處理者，應(yīng)當(dāng)明確個(gè)人信息保護(hù)負(fù)責(zé)人的獨(dú)立法律地位，并將“個(gè)人信息保護(hù)負(fù)責(zé)人”修正為“個(gè)人信息保護(hù)監(jiān)督人”“個(gè)人信息保護(hù)監(jiān)督負(fù)責(zé)人”等名稱。如果一方面使用“個(gè)人信息保護(hù)負(fù)責(zé)人”的職位名稱，另一方面又將其職責(zé)定位為“監(jiān)督”，由于名不符實(shí)，必將導(dǎo)致實(shí)踐的混亂。一些個(gè)人信息處理者的高級(jí)管理人員或相關(guān)決策層成員被指定為個(gè)人信息保護(hù)負(fù)責(zé)人，既直接參與個(gè)人信息處理過(guò)程，又負(fù)責(zé)監(jiān)督個(gè)人信息處理活動(dòng)，從而出現(xiàn)既當(dāng)運(yùn)動(dòng)員又當(dāng)裁判員的窘境。法定職責(zé)定位為“監(jiān)督”但又稱為“個(gè)人信息保護(hù)負(fù)責(zé)人”，不僅容易導(dǎo)致監(jiān)督職責(zé)和非監(jiān)督職責(zé)的混同，而且容易使該職位人員承擔(dān)不該承擔(dān)的責(zé)任，甚至成為“替罪羊”。本來(lái)是個(gè)人信息處理者違法處理或沒(méi)有采取必要的保護(hù)措施，但最終可能以“個(gè)人信息保護(hù)負(fù)責(zé)人”沒(méi)有有效“負(fù)責(zé)”為由追究責(zé)任，權(quán)責(zé)分離的不公平現(xiàn)象由此而生。

個(gè)人信息保護(hù)的真正負(fù)責(zé)人，應(yīng)當(dāng)是個(gè)人信息處理者?！秱€(gè)人信息保護(hù)法》第9條明確規(guī)定：“個(gè)人信息處理者應(yīng)當(dāng)對(duì)其個(gè)人信息處理活動(dòng)負(fù)責(zé)”，個(gè)人信息處理者有義務(wù)在合法、正當(dāng)、必要范圍內(nèi)處理個(gè)人信息，并積極采取有效的組織、技術(shù)等保護(hù)措施。個(gè)人信息處理者為個(gè)人信息保護(hù)的直接負(fù)責(zé)人，承擔(dān)個(gè)人信息保護(hù)的主體責(zé)任。如果違法處理個(gè)人信息，或未履行個(gè)人信息保護(hù)義務(wù)，在我國(guó)確立的雙罰制的背景下，應(yīng)由個(gè)人信息處理者、直接負(fù)責(zé)的主管人員、其他直接責(zé)任人共同承擔(dān)責(zé)任。

個(gè)人信息處理者可以自主設(shè)立分管個(gè)人信息保護(hù)的專門(mén)職位，任命人員全面負(fù)責(zé)本組織的個(gè)人信息保護(hù)工作。1994年美國(guó)威瑞森通信公司率先設(shè)立了首席隱私官（CPO），如今國(guó)內(nèi)外很多企業(yè)都自發(fā)設(shè)立了首席隱私官。通過(guò)參與制定公司目標(biāo)的高級(jí)別論壇，首席隱私官將隱私從附屬“附加項(xiàng)”轉(zhuǎn)變成為公司決策制定中的戰(zhàn)略性問(wèn)題。首席隱私官的活動(dòng)具有戰(zhàn)略性和私益性，其不僅負(fù)責(zé)保障本組織的活動(dòng)不侵犯隱私，還負(fù)責(zé)在現(xiàn)行法律制度下最大程度尋求數(shù)據(jù)利用創(chuàng)新以促進(jìn)利潤(rùn)增長(zhǎng)。相比于個(gè)人信息保護(hù)負(fù)責(zé)人監(jiān)督個(gè)人信息處理行為的唯一使命，首席隱私官的職責(zé)范圍更廣，公共性和獨(dú)立性更低。首席隱私官一般屬于個(gè)人信息控制者、處理者的高級(jí)管理人員，需要服從等級(jí)化的管理，而致力于“監(jiān)督”的“個(gè)人信息保護(hù)負(fù)責(zé)人”同首席隱私官職位存在本質(zhì)差別。

除了首席隱私官外，網(wǎng)絡(luò)安全負(fù)責(zé)人、數(shù)據(jù)安全負(fù)責(zé)人、數(shù)據(jù)安全責(zé)任人也屬于分管負(fù)責(zé)人，在職責(zé)上明顯不同于專門(mén)行使監(jiān)督職責(zé)的個(gè)人信息保護(hù)負(fù)責(zé)人?！吨腥A人民共和國(guó)網(wǎng)絡(luò)安全法》第21條要求網(wǎng)絡(luò)運(yùn)營(yíng)者“確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任”。網(wǎng)絡(luò)安全負(fù)責(zé)人的職責(zé)并不是監(jiān)督，而是進(jìn)行網(wǎng)絡(luò)安全保護(hù)，屬于法律強(qiáng)制網(wǎng)絡(luò)運(yùn)營(yíng)者設(shè)立的負(fù)責(zé)網(wǎng)絡(luò)安全保護(hù)的專門(mén)人員?！吨腥A人民共和國(guó)數(shù)據(jù)安全法》第27條要求“重要數(shù)據(jù)的處理者應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)，落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任”，數(shù)據(jù)安全負(fù)責(zé)人由數(shù)據(jù)處理者決策層成員承擔(dān)。2022年發(fā)布的《信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》提出網(wǎng)絡(luò)運(yùn)營(yíng)者如果處理重要數(shù)據(jù)和敏感個(gè)人信息，應(yīng)明確“數(shù)據(jù)安全責(zé)任人”“參與有關(guān)數(shù)據(jù)處理的重要決策”。由此可見(jiàn)，我國(guó)語(yǔ)境中的“負(fù)責(zé)人”是指對(duì)某些事項(xiàng)全面負(fù)責(zé)的責(zé)任人，具有決策權(quán)和管理權(quán)，其負(fù)責(zé)的領(lǐng)域出現(xiàn)問(wèn)題時(shí)需要承擔(dān)相應(yīng)的領(lǐng)導(dǎo)責(zé)任。作為專門(mén)負(fù)責(zé)監(jiān)督個(gè)人信息處理活動(dòng)的人員，顯然不宜稱為“個(gè)人信息保護(hù)負(fù)責(zé)人”。

個(gè)人信息保護(hù)負(fù)責(zé)人應(yīng)獨(dú)立履行監(jiān)督職責(zé)。在監(jiān)督內(nèi)容上，應(yīng)對(duì)個(gè)人信息處理者作為和不作為行為的全過(guò)程進(jìn)行監(jiān)督。對(duì)于事前監(jiān)督，應(yīng)監(jiān)督個(gè)人信息處理者是否制定并及時(shí)更新了個(gè)人信息保護(hù)政策和相關(guān)規(guī)程、是否采取了必要的安全保護(hù)措施、是否定期對(duì)從業(yè)人員進(jìn)行安全教育和培訓(xùn)等。對(duì)于事中監(jiān)督，應(yīng)監(jiān)督個(gè)人信息處理全過(guò)程是否合法合規(guī)，如是否過(guò)度收集信息、是否依法開(kāi)展了有效的個(gè)人信息保護(hù)影響評(píng)估、是否定期進(jìn)行了合規(guī)審計(jì)等。對(duì)于事后監(jiān)督，應(yīng)監(jiān)督個(gè)人信息處理者事后是否積極作為，如在發(fā)生或者可能發(fā)生損害時(shí)是否立即采取了補(bǔ)救措施。如果用戶投訴認(rèn)為自己的個(gè)人信息權(quán)益受到了個(gè)人信息處理者的侵犯，個(gè)人信息保護(hù)負(fù)責(zé)人應(yīng)當(dāng)及時(shí)進(jìn)行公正的調(diào)查。在履行監(jiān)督職責(zé)過(guò)程中，對(duì)于發(fā)現(xiàn)的個(gè)人信息處理違法問(wèn)題，個(gè)人信息保護(hù)負(fù)責(zé)人有義務(wù)及時(shí)向政府規(guī)制部門(mén)報(bào)告，而不是幫助個(gè)人信息處理者掩蓋或銷毀證據(jù)。

（二）完善獨(dú)立履行監(jiān)督職責(zé)的制度保障

“個(gè)人信息保護(hù)負(fù)責(zé)人應(yīng)當(dāng)具有獨(dú)立性，個(gè)人信息處理者應(yīng)當(dāng)為個(gè)人信息保護(hù)負(fù)責(zé)人依法獨(dú)立履職提供必要的條件?！庇箓€(gè)人信息保護(hù)負(fù)責(zé)人獨(dú)立有效地監(jiān)督個(gè)人信息處理者，需要完善的配套制度予以保障。

其一，充分保障個(gè)人信息保護(hù)負(fù)責(zé)人的知情權(quán)。充分知情是有效監(jiān)督的前提，個(gè)人信息處理者應(yīng)當(dāng)將所有相關(guān)信息及時(shí)提供給個(gè)人信息保護(hù)負(fù)責(zé)人，并保障其能夠參與重要會(huì)議。個(gè)人信息保護(hù)負(fù)責(zé)人在履職時(shí)不應(yīng)受到任何干預(yù)，獨(dú)立發(fā)表不同意見(jiàn)的權(quán)利應(yīng)得到保障?！锻ㄓ脭?shù)據(jù)保護(hù)條例》第38條第1項(xiàng)規(guī)定，數(shù)據(jù)控制者、處理者應(yīng)當(dāng)確保數(shù)據(jù)保護(hù)官能夠適當(dāng)、及時(shí)參與所有有關(guān)個(gè)人數(shù)據(jù)保護(hù)的事務(wù)?！稊?shù)據(jù)保護(hù)官指南》指出，數(shù)據(jù)保護(hù)官盡早介入所有涉及數(shù)據(jù)保護(hù)的問(wèn)題至關(guān)重要，應(yīng)當(dāng)確保其定期參加中高層管理會(huì)議。數(shù)據(jù)保護(hù)官是設(shè)立在企業(yè)內(nèi)部的崗位，但在一定程度上扮演著監(jiān)管部門(mén)的角色。數(shù)據(jù)保護(hù)官應(yīng)保持警惕，并拒絕參與可能對(duì)履職產(chǎn)生指示、壓力的交流活動(dòng)。如何在崗位設(shè)計(jì)上保障數(shù)據(jù)保護(hù)官不受企業(yè)影響而作出獨(dú)立判斷，同時(shí)又使其能深入到企業(yè)的業(yè)務(wù)中去，是一個(gè)現(xiàn)實(shí)難題。我國(guó)的個(gè)人信息保護(hù)負(fù)責(zé)人面臨同樣的問(wèn)題，如何同個(gè)人信息處理者保持適當(dāng)距離但又能充分掌握相關(guān)信息，對(duì)于獨(dú)立有效地履行監(jiān)督職責(zé)至關(guān)重要。

其二，為個(gè)人信息保護(hù)負(fù)責(zé)人提供必要的資源。只有具備相應(yīng)的資源，才能保障個(gè)人信息保護(hù)負(fù)責(zé)人順利履行監(jiān)督職責(zé)。應(yīng)當(dāng)為個(gè)人信息保護(hù)負(fù)責(zé)人提供獨(dú)立的預(yù)算和經(jīng)費(fèi)保障。由于監(jiān)督職責(zé)任務(wù)較重，也為了防止被不當(dāng)利益所誘惑，應(yīng)為個(gè)人信息保護(hù)負(fù)責(zé)人提供較高的薪資福利。必要的資源不限于物質(zhì)資源，還包括履職所應(yīng)當(dāng)具備的所有相關(guān)條件?！缎畔踩夹g(shù)個(gè)人信息安全規(guī)范》簡(jiǎn)單地規(guī)定應(yīng)為個(gè)人信息保護(hù)負(fù)責(zé)人“提供必要的資源”，保障其獨(dú)立履行職責(zé)。《數(shù)據(jù)保護(hù)官指南》指出，必要的資源包括獲得管理高層的支持、充裕的履職時(shí)間、適當(dāng)?shù)娜素?cái)物支持、訪問(wèn)其他部門(mén)的必要權(quán)限、持續(xù)的培訓(xùn)等。由于個(gè)人信息保護(hù)負(fù)責(zé)人致力于監(jiān)督個(gè)人信息處理合規(guī)，著眼于風(fēng)險(xiǎn)防控，極易導(dǎo)致企業(yè)短期利潤(rùn)下降，所以獲得管理高層和相關(guān)業(yè)務(wù)部門(mén)的實(shí)質(zhì)支持尤為關(guān)鍵。

其三，確保個(gè)人信息保護(hù)負(fù)責(zé)人不受干預(yù)，并使其能夠便利地向最高管理層報(bào)告。個(gè)人信息保護(hù)負(fù)責(zé)人應(yīng)具有相對(duì)獨(dú)立的地位，不應(yīng)受任何部門(mén)的直接領(lǐng)導(dǎo)，有權(quán)自主開(kāi)展監(jiān)督活動(dòng)。個(gè)人信息處理者不得干預(yù)個(gè)人信息保護(hù)負(fù)責(zé)人正常履職，不得指示或強(qiáng)迫其就相關(guān)問(wèn)題發(fā)表特定觀點(diǎn)。如果個(gè)人信息保護(hù)負(fù)責(zé)人獨(dú)立履職面臨較大的內(nèi)部阻力，監(jiān)管機(jī)構(gòu)應(yīng)提供相應(yīng)的幫助?！锻ㄓ脭?shù)據(jù)保護(hù)條例》第38條第3項(xiàng)規(guī)定，數(shù)據(jù)控制者、處理者應(yīng)當(dāng)確保數(shù)據(jù)保護(hù)官不會(huì)收到任何有關(guān)執(zhí)行工作任務(wù)的指示。該項(xiàng)規(guī)定是為了確保數(shù)據(jù)保護(hù)官在執(zhí)行任務(wù)時(shí)的獨(dú)立性，使其能夠在沒(méi)有壓力、第三方干擾、無(wú)根據(jù)的指示或恐嚇下有信心地完成任務(wù)。應(yīng)當(dāng)保障個(gè)人信息保護(hù)負(fù)責(zé)人向最高管理層報(bào)告的權(quán)利，以減少較低層級(jí)管理人員和相關(guān)部門(mén)對(duì)個(gè)人信息保護(hù)監(jiān)督工作的干預(yù)，并引起最高管理層對(duì)個(gè)人信息保護(hù)問(wèn)題的重視。

其四，禁止個(gè)人信息保護(hù)負(fù)責(zé)人兼任與監(jiān)督職責(zé)相沖突的職位。個(gè)人信息保護(hù)負(fù)責(zé)人的法定職責(zé)為“監(jiān)督”，不應(yīng)同時(shí)履行存在利益沖突的職責(zé)?！锻ㄓ脭?shù)據(jù)保護(hù)條例》第38條規(guī)定數(shù)據(jù)保護(hù)官可以履行其他任務(wù)和職務(wù)，但數(shù)據(jù)控制者或處理者應(yīng)當(dāng)確保不會(huì)導(dǎo)致利益沖突。《數(shù)據(jù)保護(hù)官指南》進(jìn)一步明確，同數(shù)據(jù)保護(hù)官相沖突的角色既包括高級(jí)管理職位，如首席執(zhí)行官、首席運(yùn)營(yíng)官、首席財(cái)務(wù)官、營(yíng)銷部門(mén)主管、人力資源主管，也包括其他能夠決定數(shù)據(jù)處理目的和方式的較低級(jí)別的職位。此外，如果外部的數(shù)據(jù)保護(hù)官被要求在涉及數(shù)據(jù)保護(hù)問(wèn)題的案件中代表控制者或處理者出庭，也可能會(huì)出現(xiàn)利益沖突。因此，為了獨(dú)立有效地監(jiān)督個(gè)人信息處理行為，個(gè)人信息保護(hù)負(fù)責(zé)人不得兼任與監(jiān)督職責(zé)相沖突的職位。

為了更有效地發(fā)揮個(gè)人信息保護(hù)負(fù)責(zé)人的監(jiān)督功能，有必要大力推動(dòng)個(gè)人信息保護(hù)負(fù)責(zé)人的職業(yè)化。必要時(shí)可以通過(guò)考試等方式，為符合資質(zhì)的人員頒發(fā)個(gè)人信息保護(hù)負(fù)責(zé)人證書(shū)。無(wú)論是立法機(jī)關(guān)還是監(jiān)管部門(mén)，“都可以通過(guò)要求由持證的專業(yè)人士進(jìn)行獨(dú)立的監(jiān)督或?qū)徲?jì)，來(lái)促進(jìn)第三方參與監(jiān)督”?！锻ㄓ脭?shù)據(jù)保護(hù)條例》對(duì)數(shù)據(jù)保護(hù)官的技能提出了嚴(yán)格要求，但并沒(méi)有明確如何使數(shù)據(jù)保護(hù)官真正擁有相應(yīng)的能力。有學(xué)者認(rèn)為，認(rèn)證可能是確保整個(gè)歐洲的數(shù)據(jù)保護(hù)官能力一致性的有效方式，但認(rèn)證在可靠性等方面存在缺陷。當(dāng)前少數(shù)國(guó)家對(duì)數(shù)據(jù)保護(hù)官的執(zhí)業(yè)資格作了規(guī)定，如盧森堡要求數(shù)據(jù)保護(hù)官在獲得任命前必須先經(jīng)過(guò)數(shù)據(jù)保護(hù)局主導(dǎo)的審核，申請(qǐng)者應(yīng)達(dá)到一定的學(xué)術(shù)水平。一些領(lǐng)域已經(jīng)建立了個(gè)人數(shù)據(jù)保護(hù)人才的培養(yǎng)和權(quán)威認(rèn)證機(jī)制，如國(guó)際隱私專業(yè)協(xié)會(huì)認(rèn)證的注冊(cè)信息隱私經(jīng)理（CIPM）、注冊(cè)信息隱私技術(shù)專家（CIPT），美國(guó)醫(yī)療行業(yè)認(rèn)證的醫(yī)療信息與隱私安全員（HCISPP）。作為數(shù)字時(shí)代市場(chǎng)需求巨大的個(gè)人信息保護(hù)負(fù)責(zé)人，需要通過(guò)專門(mén)的培養(yǎng)與認(rèn)證機(jī)制予以職業(yè)化，才能有效保障其履職的獨(dú)立性和專業(yè)性。

（三）合理配置監(jiān)督責(zé)任

責(zé)任配置的合理與否，直接關(guān)系到個(gè)人信息保護(hù)負(fù)責(zé)人履職的獨(dú)立有效性。雖然使命為保護(hù)個(gè)人信息，但個(gè)人信息保護(hù)負(fù)責(zé)人在履行監(jiān)督職責(zé)時(shí)，可能首要考慮的是自己是否會(huì)受到不利影響。2017年發(fā)布、2020年修正的《信息安全技術(shù)個(gè)人信息安全規(guī)范》均明確規(guī)定，個(gè)人信息保護(hù)負(fù)責(zé)人“對(duì)個(gè)人信息安全負(fù)直接責(zé)任”?！秱€(gè)人信息保護(hù)法》第66條只是規(guī)定不得擔(dān)任個(gè)人信息保護(hù)負(fù)責(zé)人的從業(yè)禁止情形，對(duì)于已指定的個(gè)人信息保護(hù)負(fù)責(zé)人違法如何追究責(zé)任，則缺乏明確規(guī)定。歐盟數(shù)據(jù)保護(hù)官不對(duì)數(shù)據(jù)保護(hù)承擔(dān)個(gè)人責(zé)任，《通用數(shù)據(jù)保護(hù)條例》第38條第3項(xiàng)明確規(guī)定數(shù)據(jù)保護(hù)官不應(yīng)因履行職責(zé)而被解雇或受處罰?！稊?shù)據(jù)保護(hù)官指南》進(jìn)一步強(qiáng)調(diào)，數(shù)據(jù)保護(hù)合規(guī)性是控制者或處理者的責(zé)任，數(shù)據(jù)保護(hù)官不承擔(dān)個(gè)人責(zé)任。任命數(shù)據(jù)保護(hù)官，并沒(méi)有改變數(shù)據(jù)控制者、處理者的責(zé)任。進(jìn)行合規(guī)性監(jiān)督，并不意味著在出現(xiàn)不合規(guī)情況時(shí)由數(shù)據(jù)保護(hù)官個(gè)人負(fù)責(zé)。由于個(gè)人信息保護(hù)負(fù)責(zé)人不是真正的“負(fù)責(zé)人”，而是“監(jiān)督人”，所以不應(yīng)對(duì)個(gè)人信息保護(hù)負(fù)直接責(zé)任，只應(yīng)在監(jiān)督不力或故意違法的情形下承擔(dān)責(zé)任。應(yīng)科學(xué)設(shè)立私法責(zé)任和公法責(zé)任，以保障個(gè)人信息保護(hù)負(fù)責(zé)人獨(dú)立履行監(jiān)督職責(zé)。

如果個(gè)人信息保護(hù)負(fù)責(zé)人沒(méi)有過(guò)錯(cuò)，勤勉盡職地進(jìn)行了獨(dú)立有效的監(jiān)督，即使發(fā)生了個(gè)人信息損害，也不用對(duì)此承擔(dān)責(zé)任?！秱€(gè)人信息保護(hù)法》第69條規(guī)定了過(guò)錯(cuò)推定原則，即個(gè)人信息處理者能證明自己沒(méi)有過(guò)錯(cuò)的，即使存在損害也不用承擔(dān)侵權(quán)責(zé)任。過(guò)錯(cuò)推定原則也可適用于個(gè)人信息保護(hù)負(fù)責(zé)人，如果其能證明自己有效履行了監(jiān)督職責(zé)而沒(méi)有過(guò)錯(cuò)，就不用承擔(dān)責(zé)任。如果個(gè)人信息保護(hù)負(fù)責(zé)人存在過(guò)錯(cuò)而沒(méi)有獨(dú)立有效地履行監(jiān)督職責(zé)，應(yīng)根據(jù)過(guò)錯(cuò)大小承擔(dān)相應(yīng)的責(zé)任。如果明知或應(yīng)當(dāng)知道個(gè)人信息處理者的個(gè)人信息處理活動(dòng)違法，或明知或應(yīng)當(dāng)知道個(gè)人信息處理者沒(méi)有采取必要的保護(hù)措施，但仍然不提出有效的監(jiān)督建議，不及時(shí)向監(jiān)管機(jī)構(gòu)報(bào)告，則個(gè)人信息保護(hù)負(fù)責(zé)人應(yīng)承擔(dān)相應(yīng)的責(zé)任。如果個(gè)人信息保護(hù)負(fù)責(zé)人只是由于過(guò)失而沒(méi)有獨(dú)立有效地履行監(jiān)督職責(zé)，應(yīng)根據(jù)過(guò)失大小確定責(zé)任大小。如果個(gè)人信息保護(hù)負(fù)責(zé)人直接參與到個(gè)人信息處理活動(dòng)中導(dǎo)致個(gè)人信息損害，或是幫助個(gè)人信息處理者掩蓋、銷毀證據(jù)，應(yīng)同個(gè)人信息處理者一起承擔(dān)連帶責(zé)任。

個(gè)人信息處理者不得隨意解雇或懲罰個(gè)人信息保護(hù)負(fù)責(zé)人，以保障其能夠安心無(wú)憂地獨(dú)立行使監(jiān)督職責(zé)。即使同樣是企業(yè)的內(nèi)部員工，對(duì)個(gè)人信息保護(hù)負(fù)責(zé)人的解雇或懲罰也應(yīng)當(dāng)適用更為嚴(yán)格的條件和程序。除非基于重大事由，否則不得隨意解雇個(gè)人信息保護(hù)負(fù)責(zé)人。個(gè)人信息保護(hù)負(fù)責(zé)人的合同越穩(wěn)定，防止不公平解雇的保障措施越多，就越有可能獨(dú)立履職。只有因個(gè)人信息保護(hù)負(fù)責(zé)人不認(rèn)真或違法履行監(jiān)督職責(zé)而出現(xiàn)嚴(yán)重后果時(shí)，個(gè)人信息處理者才可依法或根據(jù)合同約定追究相應(yīng)的責(zé)任。如果個(gè)人信息保護(hù)負(fù)責(zé)人違反法定義務(wù)，政府相關(guān)職能部門(mén)應(yīng)根據(jù)具體情形給予行政處罰：構(gòu)成犯罪的，應(yīng)當(dāng)承擔(dān)侵犯公民個(gè)人信息罪、破壞計(jì)算機(jī)信息系統(tǒng)罪等對(duì)應(yīng)的刑事責(zé)任。

結(jié)語(yǔ)：邁向受規(guī)制的自我規(guī)制

“人生而渴望自由，卻無(wú)時(shí)無(wú)刻不身處網(wǎng)絡(luò)中：人生而渴望平靜的生活，卻每分每秒都無(wú)處躲藏?！睌?shù)字時(shí)代的個(gè)人信息保護(hù)，雖然需要有為政府積極預(yù)防和懲治侵害個(gè)人信息權(quán)益的行為，但單靠政府直接對(duì)個(gè)人信息處理者進(jìn)行全面有效的監(jiān)管已愈發(fā)困難，新興的個(gè)人信息保護(hù)負(fù)責(zé)人應(yīng)時(shí)而生?！秱€(gè)人信息保護(hù)法》第52條通過(guò)強(qiáng)制符合條件的個(gè)人信息處理者設(shè)立個(gè)人信息保護(hù)負(fù)責(zé)人，有助于克服數(shù)字時(shí)代政府規(guī)制的不足。通過(guò)對(duì)個(gè)人信息處理活動(dòng)以及采取的保護(hù)措施等進(jìn)行監(jiān)督，個(gè)人信息保護(hù)負(fù)責(zé)人可以促進(jìn)個(gè)人信息處理合規(guī)，有利于推動(dòng)實(shí)現(xiàn)個(gè)人信息保護(hù)的公私合作治理。為了全面發(fā)揮作為自我規(guī)制的個(gè)人信息保護(hù)負(fù)責(zé)人的制度功能，設(shè)置數(shù)量標(biāo)準(zhǔn)時(shí)應(yīng)區(qū)分個(gè)人信息類型和級(jí)別，并明確符合條件的私主體和公共機(jī)構(gòu)均應(yīng)設(shè)立具有獨(dú)立法律地位的個(gè)人信息保護(hù)負(fù)責(zé)人。為保證個(gè)人信息保護(hù)負(fù)責(zé)人能夠獨(dú)立有效地監(jiān)督個(gè)人信息處理者，應(yīng)充分保障其知情權(quán)、提供必要的履職資源、使其能夠便利地向最高管理層報(bào)告、禁止兼任與監(jiān)督職責(zé)相沖突的職位。個(gè)人信息保護(hù)負(fù)責(zé)人屬于監(jiān)督人，不是個(gè)人信息保護(hù)的直接責(zé)任人，不應(yīng)泛化其責(zé)任。作為政府規(guī)制的有益補(bǔ)充，個(gè)人信息保護(hù)負(fù)責(zé)人制度旨在借助具有信息、知識(shí)、技術(shù)、效率等優(yōu)勢(shì)的個(gè)人信息處理者實(shí)施自我規(guī)制，來(lái)實(shí)現(xiàn)個(gè)人信息保護(hù)的公共目的。然而，自我規(guī)制存在透明度不夠、過(guò)度關(guān)注私人利益等內(nèi)在缺陷，只有受到政府有效規(guī)制的自我規(guī)制才能發(fā)揮更大的作用。如何有效實(shí)現(xiàn)自我規(guī)制和政府規(guī)制的有機(jī)統(tǒng)一，促使個(gè)人信息保護(hù)負(fù)責(zé)人勤勉盡責(zé)地獨(dú)立履行監(jiān)督職責(zé)仍需要不斷探索。