首页> 图书频道> 政法> 法学

【个人信息保护负责人】

2026年02月27日
版权
第五十二条 【 个人信息保护负责人】

处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。

个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。

【条文主旨】

本条是关于个人信息保护负责人制度的规定。

【条文理解】

本条规定了个人信息保护负责人制度。个人信息保护负责人是个人信息保护法为个人信息处理者设定的一项重要义务,能够对个人信息处理者是否在个人信息安全事项上“履职尽责”进行有效监督。

个人信息保护负责人制度不是个人信息保护法凭空建构的一项制度,而是有赖于比较法层面的制度实践以及我国个人信息保护法治本土探索的经验总结。2000年,欧盟理事会发布的《关于欧共体机构和组织的个人数据处理相关的个人保护以及此种数据自由流动的规章》提出了“数据保护官”(Data Protection Officer)制度的雏形。其后在个人信息保护法领域具有重要影响力的GDPR对“数据保护官”制度进行了完善,其中第三十七条至第三十九条分别对数据保护官的指定(designation)、职位(position)和职务(task)进行了规定,要求在政府部门和企业中设置数据保护官,承担起监督个人信息处理活动的职能。之后,除了大型跨国企业尤其是互联网企业高度重视数据保护官的设立之外,各国也开始在立法中借鉴“数据保护官”制度的先进经验。在我国个人信息保护法治探索的过程中,网络安全法等法律法规对于个人信息保护负责人制度进行了初步探索。网络安全法第二十一条第一款规定了“网络安全负责人”制度,[4]第四十五条和第五十九条第一款又针对网络安全负责人的职责和相应法律责任进行了明确规定,[5]初步搭建起“网络安全负责人”的制度框架。个人信息安全是网络安全的重要内容,尤其在敏感个人信息处理,个人信息跨境传输等事项上,网络安全负责人要承担起相应的安全责任。《中华人民共和国数据安全法》第二十七条第二款也设计了“数据安全负责人”制度。[6]在2018年出台的《信息安全技术 个人信息安全规范》的第十部分,首次出现了个人信息保护负责人的制度设计,该国家标准对设立专职的个人信息保护负责人的法定条件和相应职责等内容进行详细规定。例如,个人信息保护负责人需要组织制定个人信息保护工作计划,建立、维护和更新组织所持有的个人信息清单。此外,广东等地方也发布了当地的首席数据官制度试点工作方案等规范性文件,对个人信息的组织保护进行了有效的地方实验和探索。有学者认为,要求个人信息处理者指定个人信息保护负责人,是组织保障要求延伸到信息处理者组织架构的体现。[7]可以说,在网络安全法和一系列法规、规章、标准的基础上,个人信息保护法以专门条文规定“个人信息保护负责人”制度,肯定了前期个人信息保护的法治探索,具有充分的必要性。

个人信息保护法草案在对个人信息处理者的各项义务进行制度设计的过程中,就已经将设置个人信息处理者作为一项重要义务进行了规定。个人信息保护法草案一次审议稿第五十一条规定:“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。个人信息处理者应当公开个人信息保护负责人的姓名、联系方式等,并报送履行个人信息保护职责的部门。”考虑到个人信息保护负责人及相关部门的公共性,个人信息保护法草案二次审议稿删去了公布个人信息保护负责人姓名的要求,但是要求将负责人的姓名、联系方式等信息报送网信部门等履行个人信息保护职责的部门。

【适用指南】

对于这一条款的具体理解应当从两个方面展开。一方面,个人信息处理者所处理的个人信息数量要达到国家网信部门规定的要求。这一条款要求国家网信部门后续以实施细则等形式就这一问题进行明确规定,既要确保个人信息处理过程的安全,又要考虑小型个人信息处理者的合规成本。在《信息安全技术 个人信息安全规范》中,满足三个条件之一的个人信息处理者即需要设立个人信息保护负责人:一是从业务角度而言,处理个人信息的从业人员规模大于200人;二是从个人信息的数量而言,处理超过100万人的个人信息,或者预计在12个月内处理超过100万人的个人信息;三是从敏感个人信息的数量而言,处理超过10万人的个人敏感信息。另一方面,个人信息保护负责人的解释包括个人和机构。从个人信息保护负责人制度的流变不难发现,同时包括个人或机构是这一制度的应有之义。例如,网络安全法第二十一条的网络安全负责人,具体包括“安全管理机构、安全管理人员、安全主管、安全管理负责人”等。[8]而在《信息安全技术 个人信息安全规范》中,满足设置条件,个人信息处理者应当设立专职的个人信息保护负责人和个人信息保护工作机构,个人信息保护负责人和个人信息保护工作机构共同承担相应职责。个人信息保护法并未同时规定个人信息保护负责人和个人信息保护工作机构,但是负责人的“文义射程”同时及于个人和机构,避免了同时强制性任命个人和机构容易造成权责分配不清晰,部分职位形同虚设的问题。GDPR所采取的数据保护官制度也并未区分个人或机构,而是以个人代替机构行使权力。个人信息保护负责人在实践中可以依法应需设立。例如,中小型个人信息处理者为了便于信息沟通和成本控制,可以指定一名个人作为个人信息保护负责人;如果个人信息处理者是大型的互联网平台企业或公权力机构,则可以指定特定部门及其负责人同时作为个人信息保护负责人,但需要就其各自职责分工,决策流程等内容进行规定。无论采取何种个人信息保护负责人的方式,都需要依据个人信息保护法第五十二条第二款以及国家网信部门后续的实施细则的规定,披露和报送个人信息负责人的相关信息。

【相关规定】

《中华人民共和国个人信息保护法》第六十条、第六十一条、第六十四条;《中华人民共和国数据安全法》第二十七条;《电信和互联网用户个人信息保护规定》第十三条。