当前位置:首页 > 合规类 > IAPP > 考试资讯 > 考试分享 >
2024-04-11 09:14:17
浏览量:0
关注我们,学习更多隐私合规讯息
1
中国有DPO吗?
一、中国法下DPO的内涵和范围
中国法律下并没有DPO这一概念,而是在《网络安全法》、《个人信息保护法》及全《数据安全法》等法律中分别规定了“个人信息保护负责人”、“网络安全管理负责人”、“网络安全负责人”或是“数据安全负责人”等网安数据合规责任人。
上述职位的设置按照企业需求可能有所不同,且职责可能存在一定的交叉重叠。本书中,除另行说明外,DPO的范围将包括上述全部职位。
(一)个人信息保护负责人
我国《个人信息保护法》中并没有关于个人信息保护负责人的明确定义和解释。
该法第52条提及,处理个人信息达到国家互联网信息办公室和/或其地方派出机构(以下简称“网信办”或“网信部门”)规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。
此外,《个人信息保护法》规定“个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门”。
如何能成为数据保护官?
扫码即可立即学习
电脑端观看:http://navo.top/eQvUfi
《个人信息保护法》第53条还规定,中国境外个人信息处理者应当在中国境内设立专门机构或者指定代表,负责个人信息处理活动相关事宜,并将相关机构的名称或代表的姓名和联系方式报送履行个人信息保护职责的部门。
全国信息安全标准化技术委员会(以下简称“信安标委”)对个人信息保护负责人的任命资格和履行职能作出细化规定。2020年,信安标委执行《信息安全技术
个人信息安全规范》(GB/T35273-2020),其中11.1要求“个人信息控制者”任命“个人信息保护负责人”,规定此人应“具有相关管理工作经历和个人信息保护专业知识”、“参与有关个人信息处理活动的重要决策”。
(二)网络安全负责人、网络安全管理负责人、
数据安全负责人
《网络安全法》第21条规定,网络运营者应按照网络安全等级保护制度的要求,确定网络安全负责人,落实网络安全保护责任。
《网络安全法》和《关键信息基础设施安全保护条例》则要求关键信息基础设施(ritiction nfrastucture,CI)运营者(Criticaf0 perator,CIO,又可称为“关基单位”)应设置转门网络安全管理机构和网络安全管里负责人,并对该负责人和关键岗位人员进行安全背景审查。
在若干特定行业,监管机构尝试建立首席数据(信息)官制度。例如,在金融行业中,《银行业金融机构数据治理指引》首次确立“首席数据官自愿设立”制度。
根据《银行业金融机构数据治理指引》第11条规定,银行业金融机构可根据实际情况设立首席数据官。首席数据官是否纳入高级管理人员由银行业金融机构根据经营状况确定,纳入高级管理人员管理的,则应当符合《中国银监会中资商业银行行政许可事项实施办法》等相关行政许可事项的要求。
实践中,也有金融机构首席数据(信息)官升任机构副职领导的案例。金融行业首席数据(信息)官的设立机制,对医药健康、互联网公司等其他数据安全重点监管行业,具有示范参考价值。
二、哪些企业需要指定DPO
《个人信息保护法》要求“处理个人信息达到国家网信部门规定数量的个人信息处理者”应当设立个人信息保护负责人的职位,但相关法律法规未明确“规定数量”的具体标准。因此,哪些企业必须指定个人信息保护负责人仍不明确。
目前,可参照适用的标准包括《数据出境安全评估办法》第4条“关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息”,以及《网络安全审查办法》第7条“掌握超过100万用户个人信息的网络平台运营者”的相关规定,两者均以运营者处理100万用户个人信息的数量为门槛标准。
另外,《信息安全技术个人信息安全规范》(GB/T35273-2020)鼓励企业在以下情形下任命个人信息保护负责人:
(1)主要业务涉及个人信息处理,且从业人员规模大于200人(如200名以上员工);
(2)处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;
(3)处理超过10万人的敏感个人信息。
综合参考上述规定,若处理超过100万人的个人信息或10万人的敏感个人信息,企业宜考虑指定个人信息保护负责人。
按照相关法律法规,只有满足一定条件的企业才需要设立网络安全负责人、网络安全管理负责人、数据安全负责人,其设置的具体情境和条件与个人信息保护负责人有所不同。
为何大企业都要选择含有GDPR知识的合规人才?一起来听听数据合规律师—LUNA老师从业经验分享及就业建议
如企业处理个人信息达到规定量,且被认定为CO,或处理重要数据,相关职位设置可能重合,企业可考虑根据实际情况设立一个或多个职位同时满足上述要求,法律对此并无强制性要求。
实践中,目前国内大部分企业未明确设立具体的DPO职位,而是组建数据隐私合规、法务团队,由该团队的法务总监或数据隐私总监牵头开展个人信息保护和数据合规工作,但该等人员并不必然是企业个人信息保护负责人或网络安全负责人
DPO职位设立情形归纳如表
职位名称 | 相关法律法规 | 设立情形 | 是否强制 |
个人信息保护负责人 | 《个人信息保护法》 | 处理超过100万人的个人信息或10万人的敏感个人信息的个人信息处理者应设立个人信息保护负责人 | 是 |
《数据出境安全评估办法》 | |||
《网络安全审查办法》 | |||
《信息安全技术 个人信息安全规范》(GB/T35273-2020) | |||
网络安全负责人 | 《网络安全法》 | 网络运营者应按照网络安全等级保护制度的要求,确定网络安全负责人 | 是 |
《网络安全等级保护条例(征求意见稿)》 | |||
网络安全管理负责人 | 《网络安全法》 | 关键信息基础设施运营者应设置专业网络安全管理机构和网络安全管理负责人 | 是 |
《关键信息基础设施安全保护条例》 | |||
数据安全负责人 | 《数据安全法》 | 重要数据的处理者应当明确数据安全负责人和管理机构 | 是 |
首席数据(信息)官 | 《银行业金融机构数据治理指引》 | 银行业金融机构可根据实际情况设立首席数据官 | 否 |
2
如何提升数据合规官的能力?
(一)数据保护管理体系的建设能力
首先DPO应当有能力去构建全景式的数据保护管理体系,并组织企业内部门各职能机构来实现数据保护管理体系的落地。
当前国际通行的数据保护管理体系较多,包括美国国家标准与技术研究院(Na of S1 andards and MsT)提供的隐私框架(Privacy Framework)和数据安全框架(CybersecurityFrwok)、s027701隐私信息安全认证以及国际隐私专家协会(Inteationl Associ of Privacy Professionas,IAPP)隐私信息管理框架(Certified Information Privacy Manager,CPM),企业可以根据需求选择适用。
威普爱生-学员CIPM成绩单
综合而言,企业的数据保护管理体系大致可以包括四个方面:
(1)制定并实施治理架构,建立完善相关制度文件;
(2)设立相关职位,由专人、独立的部门负责,建立相关沟通流程和制度;
(3)采取适当的技术措施和其他必要安全管控措施;
(4)对员工等进行隐私意识教育和数据安全、网络安全的相关培训,并对企业的合规状态进行持续监测。
如何学习审计、风控与合规?学习CIPM课程,适用于风险管理、隐私操作、审计、隐私分析、职责划分等相关的从业人员。
因此,若想成为合格的DPO,应注重培养自身体系化的思维方式和能力,全面整体地考虑网络安全数据与个人信息合规的计划、实施和落地,避免出现重大缺失和不足。
(二)从商业角度理解数据价值
并开展利益相关方管理
数据被认为是21世纪的石油”。如果恰当运用,数据便能够能发挥出促进业务发展的核心作用,因此DPO在进行数据合规工作时应当充分了解企业的使命、愿景以及数据在企业发挥的作用等,从而在法律法规强制性要求的基础上作出合理的商业理解,真正成为企业的商业策略伙伴。
以苹果公司在数据合规上的战略部署为例
其内部合规要求高于强制性的法律规定,包括推动追踪透明框架,要求APP主动告知用户是否追踪以及由用户自由选择是否同意被追踪等。
所以DPO应当拥有前瞻法律,从企业的商业角度考量隐私合规与公司发展的关联与结合点的能力。
另外,DPO应尽力避免内部的利益相关方对数据合规等产生抵触或僵化执行,甚至以“过关思维”试图敷衍应对内部控制措施。这需要DPO准确把握利益相关方的利益诉求,平衡各方所需,使其明白合规管理的商业价值所在。
3
DPO数据保护官如何工作?
DPO数据合规官如何展开工作?分享我这几年的工作理念及方式。
在法律法规的基础上,DPO应综合考虑网络安全管理机构、数据合规组织机构和个人信息保护工作机构的制度要求,结合公司组织架构和部门权责,构建数据合规团队并确定职责分工。
具体来说,DPO所牵头组建的数据合规工作组,建议分为领导小组、能力小组实施小组三个不同组别(见图2一1)。
领导小组主要由公司领导和管理层、DPO本人担任主要负责人各业务部门负责人为小组成员,负责制定整体策略,决策数据合规方案:
能力小组由法务合规专家、技术专家(如IT部门员工)、人力资源部门负责人组成,负责制定数据合规要求、跨部门统筹协调等;
实施小组则主要由各业务部门有能力对接领导和能力小组的业务人员组成,可称为“网络安全与数据合规业务伙伴”(Business Partner,BP),负责数据合规的具体落实
学习网络安全知识,了解CIPT课程,学习信息技术、信息安全、软件工程、隐私设计等。
而为应对网络和数据安全事件等突发危机,可考虑在数据合规团队中遴选人员成立网络数据安全事件应对小组和危机管理小组
网络数据安全事件应对小组将主要负责统筹处理一般网路数据安全事件和网络数据安全事态
危机管理小组则需负责重大网络数据安全事件的处理以及对外向监管部门的汇报工作
DPO牵头组建数据合规工作组
领导小组 | 能力小组 | 实施小组 | |||
公司领导和管理层 | 法务合规专家 | 由各业务部门有能力对接领导和能力小组的业务人员 | |||
DPO | 技术专家 | ||||
各业务部门负责人 | 人力资源部门负责人 | ||||
危机管理小组 | 安全事件应对小组 |
图2-1数据合规工作组架构
4
AI(人工智能)技术对数据合规的影响
人工智能(AI)的广泛应用给各个行业带来了革命性的变化。当前人工智能(AI)系统研究、开发和应用的进展已经产生了影响深远的人工智能伦理讨论。那AI(人工智能)究竟影响数据合规哪些方面?
AI对数据合规的影响:
1.人工智能在财务合规管理中的应用
2.人工智能对风险管理和合规性的革命
3.人工智能在医疗保健中的作用
..........
人工智能(AI)已经悄然无声的影响着越来越多的行业,那我们如何防范和学习呢?
我们邀请了拥有CIPP三证拥有者、数据合规经验的资深信息安全专家及国内执业律师——WEI老师,为我们分享“我做DPO数据保护官的这几年及人工智能对数据合规的影响”:
分享内容:
IAPP协会及旗下证书介绍
我为什么选择CIPM&CIPPE,FIP又是什么?
我做DPO数据保护官的这几年
浅谈AI(人工智能)技术对数据合规的影响
特邀嘉宾: WEI
超十年数据合规工作经验
CIPM/CIPPE持证者
Fellow of Information Privacy(FIP)
直播时间:
北京时间:4月11日(周四)下午19:30-21:00
直播间福利:
最低至8折优惠
法律、合规类课程全套考试备考指南
预约前10名可获涉外法律英语免费体验课程,还可享受旗下指定指定课程套餐
更多神秘大礼包,请添加:隐小私(yinxiaosi00),立即激活!
扫码预约直播
电脑端观看:http://navo.top/eQvUfi
更多课程/直播疑惑,扫描下方二维码解答 或+yinxiaosi00
本文部分摘抄于“数据保护官(DPO)法律实务指南,潘永建著”与其他网络,如有疑惑可后台留言,如需转发请备注出处
*整理编辑:A隐小私(yinxiaosi00)
往期直播回顾
扫码即可立即学习
电脑端观看:http://navo.top/VRru6z
扫码即可立即学习
电脑端观看:http://navo.top/yYJRFn
更/多/DPO/文章
更多课程在线听讲
更多课程疑惑,扫描下方二维码解答 或+yinxiaosi00
-END-
年薪百万的数据合规律师需要考哪些合规证书?一起听听老师的分享