隨著中國個(gè)人信息保護(hù)史上的里程碑意義的法律——《個(gè)人信息保護(hù)法》（下稱“《個(gè)信法》”）于2021年11月1日的正式生效，一篇《300萬年薪招不到人，誰能勝任首席安全官？》引起互聯(lián)網(wǎng)企業(yè)的廣泛關(guān)注，揭示了國內(nèi)安全行業(yè)人才極度稀缺的現(xiàn)狀。

面對(duì)“監(jiān)管風(fēng)暴”與“高額懸賞”，安全1號(hào)位（本文中“安全1號(hào)位”指個(gè)人信息保護(hù)負(fù)責(zé)人，或與該崗位權(quán)責(zé)類似的負(fù)責(zé)人），準(zhǔn)備好了嗎？

重賞之下，必有勇夫？

安全1號(hào)位，在沖動(dòng)接下Offer之前，建議深度思考一個(gè)核心問題：企業(yè)為何愿意重金招聘，《個(gè)信法》的生效對(duì)安全1號(hào)位意味著什么？ 

根據(jù)安全公司Proofpoint對(duì)全球1400位CISO（即Chief Information Security Officer，首席信息安全官）對(duì)當(dāng)前網(wǎng)絡(luò)安全形勢(shì)看法的最新調(diào)查《2021 VOICE OF THECISO REPORT》顯示，網(wǎng)絡(luò)罪犯利用新冠肺炎疫情給全球經(jīng)濟(jì)帶來的巨大壓力，加劇了網(wǎng)絡(luò)犯罪惡意活動(dòng)，約64%的受訪CISO表示，其所在公司有可能在未來12個(gè)月里遭受實(shí)質(zhì)性網(wǎng)絡(luò)攻擊，其中英國和德國的CISO擔(dān)憂比例高達(dá)81%和79%。

在這種全球環(huán)境下，國內(nèi)的立法與執(zhí)法更是逐步趨嚴(yán)。

根據(jù)2021年前三季度工業(yè)和信息化發(fā)展情況新聞發(fā)布會(huì)上公布的數(shù)據(jù)，“前三季度已經(jīng)開展了10批次集中檢測，累計(jì)通報(bào)了1494款違規(guī)APP，下架了408款拒不整改的APP，對(duì)違規(guī)行為始終保持高壓震懾”。

11月3日，中國網(wǎng)絡(luò)空間安全協(xié)會(huì)發(fā)布團(tuán)體標(biāo)準(zhǔn)《應(yīng)用商店APP個(gè)人信息收集使用上架審核和管理規(guī)范（征求意見稿）》，意味著APP、小程序、快應(yīng)用、H5等其他新形態(tài)網(wǎng)絡(luò)應(yīng)用程序，除了上架后面對(duì)國家監(jiān)管部門審核監(jiān)管外，可能連最開始在應(yīng)用商店、應(yīng)用市場、分發(fā)網(wǎng)站內(nèi)的上架審核都可能無法通過。

而這些責(zé)任在誰頭上？毋庸置疑，安全1號(hào)位。

 GDPR“DPO免責(zé)”PK《個(gè)信法》“雙罰制”

前述能否上架可能只是企業(yè)內(nèi)部對(duì)安全1號(hào)位的基本要求，但《個(gè)信法》生效后，除了內(nèi)部責(zé)任外，在企業(yè)違規(guī)處理個(gè)人信息或者處理個(gè)人信息未履行法定個(gè)人信息保護(hù)義務(wù)的情況下，安全1號(hào)位，更是面臨外部行政監(jiān)管的“雙罰制”。 

歐盟GDPR以及WP29（即歐盟第29條數(shù)據(jù)保護(hù)工作組）的《DPO指南》明確了“組織確保DPO免責(zé)”的基本原則，（注：DPO即Data Protection Officer，數(shù)據(jù)保護(hù)官）即GDPR僅針對(duì)作為數(shù)據(jù)控制者的組織進(jìn)行處罰，并明確要求數(shù)據(jù)控制者與數(shù)據(jù)處理者應(yīng)當(dāng)確保DPO不會(huì)收到任何有關(guān)執(zhí)行其工作任務(wù)的指示，DPO不能因執(zhí)行自身的任務(wù)而被解雇或處罰（為免疑義，針對(duì)DPO未勤勉盡責(zé)的情形，本文中不作論述）。

與該歐盟適用的原則顯著不同，中國《個(gè)信法》確立了在個(gè)人信息違規(guī)領(lǐng)域的“雙罰制”，為作為個(gè)人信息保護(hù)負(fù)責(zé)人的自然人戴上了“枷鎖”，除雙罰制外，亦呈現(xiàn)出“兩級(jí)制”以及“處罰措施多維度”的特點(diǎn)，具體如下：

其一，“雙罰制”。針對(duì)違反《個(gè)信法》規(guī)定處理個(gè)人信息的，或未履行《個(gè)信法》規(guī)定個(gè)人信息保護(hù)義務(wù)的，除了針對(duì)單位進(jìn)行處罰外，明確了責(zé)任人（直接負(fù)責(zé)的主管人員和其他直接責(zé)任人）應(yīng)承擔(dān)的行政責(zé)任（見下文“兩級(jí)制”與“處罰措施多維度”）；

其二，“兩級(jí)制”。《個(gè)信法》區(qū)分違規(guī)的“一般情形”與“情節(jié)嚴(yán)重”分別設(shè)置兩級(jí)處罰，單位罰款最高可達(dá)5000萬元或上一年度營業(yè)額5%，直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員罰款最高可達(dá)100萬元；

其三，“處罰措施多維度”。除罰款外，亦規(guī)定了針對(duì)負(fù)責(zé)人的“行業(yè)禁止令”（禁止其在一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的董事、監(jiān)事、高級(jí)管理人員和個(gè)人信息保護(hù)負(fù)責(zé)人）等處罰措施，該等措施與罰款可為“并處”關(guān)系。

可見，安全1號(hào)位，在企業(yè)違規(guī)的情況下，存在針對(duì)其個(gè)人的行政責(zé)任，處罰措施上不僅存在最高可達(dá)100萬元的罰款，亦可能與行業(yè)禁止令并處。

安全1號(hào)位，權(quán)責(zé)剖析

知悉最高違規(guī)成本后，安全1號(hào)位，更需要知曉的是哪些平臺(tái)需要設(shè)置個(gè)人信息保護(hù)負(fù)責(zé)人，以及個(gè)人信息保護(hù)負(fù)責(zé)人的權(quán)責(zé)？

1. 哪些平臺(tái)需要設(shè)置個(gè)人信息保護(hù)負(fù)責(zé)人？

我們隨機(jī)檢索了五家典型互聯(lián)網(wǎng)平臺(tái)基于《個(gè)信法》生效更新的最新隱私政策，其中兩家平臺(tái)（美團(tuán)與微信）已設(shè)置個(gè)人信息保護(hù)負(fù)責(zé)人，并依據(jù)《個(gè)信法》要求公開個(gè)人信息保護(hù)負(fù)責(zé)人的聯(lián)系方式；兩家平臺(tái)（淘寶與餓了么）僅設(shè)置個(gè)人信息保護(hù)專職部門，并未公示已設(shè)置個(gè)人信息保護(hù)負(fù)責(zé)人及其聯(lián)系方式；一家平臺(tái)（微博）未公示已設(shè)置個(gè)人信息保護(hù)負(fù)責(zé)人或個(gè)人信息保護(hù)專職部門。

可以看出，目前各互聯(lián)網(wǎng)平臺(tái)在個(gè)人信息保護(hù)負(fù)責(zé)人的設(shè)置上呈現(xiàn)出參差不齊的現(xiàn)象。根據(jù)《個(gè)信法》的規(guī)定，處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人，負(fù)責(zé)對(duì)個(gè)人信息處理活動(dòng)以及采取的保護(hù)措施等進(jìn)行監(jiān)督。而具體數(shù)量尚無明確規(guī)定，參考《信息安全技術(shù) 個(gè)人信息安全規(guī)范》（GB/T 35273—2020，下稱《個(gè)人信息安全規(guī)范》），滿足以下條件之一的組織，應(yīng)設(shè)立專職的個(gè)人信息保護(hù)負(fù)責(zé)人和個(gè)人信息保護(hù)工作機(jī)構(gòu)，負(fù)責(zé)個(gè)人信息安全工作：

(1) 主要業(yè)務(wù)涉及個(gè)人信息處理，且從業(yè)人員規(guī)模大于200人；

(2) 處理超過100萬人的個(gè)人信息，或預(yù)計(jì)在12個(gè)月內(nèi)處理超過100萬人的個(gè)人信息；

(3) 處理超過10萬人的個(gè)人敏感信息的。

2. 個(gè)人信息保護(hù)負(fù)責(zé)人的權(quán)責(zé)

《個(gè)信法》未對(duì)個(gè)人信息保護(hù)負(fù)責(zé)人的資質(zhì)提出要求，根據(jù)《個(gè)人信息安全規(guī)范》的要求，個(gè)人信息保護(hù)負(fù)責(zé)人在角色定位上：

(1) 其一，應(yīng)具有相關(guān)管理工作經(jīng)歷和個(gè)人信息保護(hù)專業(yè)知識(shí)；

(2) 其二，應(yīng)參與有關(guān)個(gè)人信息處理活動(dòng)的重要決策直接向組織主要負(fù)責(zé)人報(bào)告工作；

(3) 其三，組織應(yīng)為其提供必要的資源，保障其獨(dú)立履行職責(zé)。

針對(duì)安全1號(hào)位的具體權(quán)責(zé)，《個(gè)信法》明確的原則為“負(fù)責(zé)對(duì)個(gè)人信息處理活動(dòng)以及采取的保護(hù)措施等進(jìn)行監(jiān)督”，若僅就該原則做文義解釋，安全1號(hào)位權(quán)責(zé)核心在于“監(jiān)督”，對(duì)比GDPR項(xiàng)下DPO的職責(zé)（以參與和個(gè)人數(shù)據(jù)保護(hù)相關(guān)的所有事項(xiàng)為原則，具體負(fù)責(zé)：為數(shù)據(jù)控制者、數(shù)據(jù)處理者及相關(guān)數(shù)據(jù)處理人員提供通知和建議；監(jiān)督GDPR、成員國數(shù)據(jù)法規(guī)、數(shù)據(jù)控制者和處理者政策以及相關(guān)審計(jì)活動(dòng)的合規(guī)性；提供有關(guān)數(shù)據(jù)保護(hù)影響評(píng)估的建議；與監(jiān)管機(jī)構(gòu)協(xié)作；為監(jiān)管機(jī)構(gòu)和數(shù)據(jù)處理活動(dòng)提供聯(lián)絡(luò)），范圍小得多。

這將形成安全1號(hào)位在中國作為個(gè)人信息保護(hù)負(fù)責(zé)人對(duì)比歐盟的DPO，其“職責(zé)更小，但風(fēng)險(xiǎn)更高”的局面（即DPO權(quán)責(zé)大，但風(fēng)險(xiǎn)小）。

在《個(gè)信法》正式生效前，《個(gè)人信息安全規(guī)范》亦對(duì)安全1號(hào)位的職責(zé)進(jìn)行了具體列舉：（1）全面統(tǒng)籌實(shí)施組織內(nèi)部的個(gè)人信息安全工作，對(duì)個(gè)人信息安全負(fù)直接責(zé)任；（2）組織制定個(gè)人信息保護(hù)工作計(jì)劃并督促落實(shí)；（3）制定、簽發(fā)、實(shí)施、定期更新個(gè)人信息保護(hù)政策和相關(guān)規(guī)程；（4）建立、維護(hù)和更新組織所持有的個(gè)人信息清單（包括個(gè)人信息的類型、數(shù)量、來源、接收方等）和授權(quán)訪問策略；（5）開展個(gè)人信息安全影響評(píng)估，提出個(gè)人信息保護(hù)的對(duì)策建議，督促整改安全隱患；（6）組織開展個(gè)人信息安全培訓(xùn)；（7）在產(chǎn)品或服務(wù)上線發(fā)布前進(jìn)行檢測，避免未知的個(gè)人信息收集、使用、共享等處理行為；（8）公布投訴、舉報(bào)方式等信息并及時(shí)受理投訴舉報(bào)；（9）進(jìn)行安全審計(jì)；（10）與監(jiān)督、管理部門保持溝通，通報(bào)或報(bào)告?zhèn)€人信息保護(hù)和事件處置等情況。

基于權(quán)責(zé)與風(fēng)險(xiǎn)呈正相關(guān)的原則，建議將《個(gè)人信息安全規(guī)范》的職責(zé)作為《個(gè)信法》項(xiàng)下安全1號(hào)位職責(zé)的有效補(bǔ)充，但這亦意味著對(duì)安全1號(hào)位自身能力與經(jīng)驗(yàn)要求的提升。

結(jié)語

在信息技術(shù)飛速發(fā)展，立法日益完善，監(jiān)管日趨規(guī)范，個(gè)人信息主體維權(quán)意識(shí)愈發(fā)強(qiáng)烈的大環(huán)境下，安全1號(hào)位，將是機(jī)遇與挑戰(zhàn)并存，夢(mèng)想與輝煌同在的急缺職位。面對(duì)中國對(duì)個(gè)人信息保護(hù)負(fù)責(zé)人最高可達(dá)100萬元的罰款且可并處行業(yè)禁止令的嚴(yán)厲罰則，安全1號(hào)位，你準(zhǔn)備好了嗎？  

建議任職前完善管理工作經(jīng)歷和個(gè)人信息保護(hù)專業(yè)知識(shí)，加強(qiáng)自身風(fēng)險(xiǎn)防控意識(shí)；任職中依法勤勉盡責(zé)履行法定職責(zé)，亦可充分利用外部資源，積極尋求外部中介機(jī)構(gòu)支持，優(yōu)化內(nèi)部個(gè)人信息安全風(fēng)控體系。