个人信息保护责任部门与人员
1.应明确法定代表人或主要负责人负全面领导责任
(1)相关规定
根据《个人信息安全规范》第11.1a)条,网络运营者应明确其法定代表人或主要负责人对个人信息安全负全面领导责任,包括为个人信息安全工作提供人力、财力、物力保障等。
(2)理解适用
明确法定代表人或主要负责人对个人信息安全负全面领导责任,目的在于引起网络运营者的足够重视,特别是最高层管理人员的重视,只有这样,才能更好地提升个人信息安全在整个组织运营中的重视程度。而为个人信息安全工作提供人力、财力、物力保障等,也是个人信息安全工作能够顺利、有效开展的基础条件之一。
2.应任命个人信息保护负责人和个人信息保护工作机构
(1)相关规定
根据《个人信息安全规范》第11.1b)条,网络运营者应任命个人信息保护负责人和个人信息保护工作机构,个人信息保护负责人应由具有相关管理工作经历和个人信息保护专业知识的人员担任,参与有关个人信息处理活动的重要决策直接向组织主要负责人报告工作。
根据《个人信息安全规范》第11.1c)条,满足以下条件之一的组织,网络运营者应设立专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息安全工作:1)主要业务涉及个人信息处理,且从业人员规模大于200人;2)处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;3)处理超过10万人的个人敏感信息的。
(2)理解适用
《个人信息安全规范》第11.1b)条明确了三个要点:第一,应任命个人信息保护负责人和个人信息保护工作机构,专职或者兼职均可,对于需要专职的情况在第11.1c)条规定中进行了明确。第二,个人信息保护负责人的任职要求,即具有相关管理工作经历和个人信息保护专业知识。这也就意味着,有着个人信息保护相关工作经验的人才将会成为紧缺人才。第三,工作汇报对象,参与有关个人信息处理活动的重要决策直接向组织主要负责人报告工作。直接向组织主要负责人报告工作,意味着个人信息保护负责人在参与有关个人信息处理活动的重要决策时,其地位和影响力得以显著上升。
《个人信息安全规范》第11.1c)条明确了设立专职的个人信息保护负责人和个人信息保护工作机构的条件,其中前两个条件主要从业务、从业人数和处理个人信息数量的角度出发,第三个条件则从处理个人信息的类型出发。对于第三个条件的具体要求,相较于征求意见稿,《个人信息安全规范》将“处理个人敏感信息”调整为“处理超过10万人的个人敏感信息”,实际上放宽了要求,否则按照征求意见稿的要求,多数网络运营者很容易触发该条件而需要设置专职负责人和工作机构。
对于个人信息保护负责人,实践中未决的问题主要集中于其是否可以重复任职方面,具体包括:(1)网络安全负责人、个人信息保护负责人是否可以为同一人担任;(2)集团公司模式下,是否可以统一任命一位个人信息保护负责人。前述问题,在现有规定的基础上似乎可以理解为均可,但确切意见有待监管部门的进一步明确。
3.个人信息保护负责人和个人信息保护工作机构的职责
(1)相关规定
根据《个人信息安全规范》第11.1d)条,个人信息保护负责人和个人信息保护工作机构的职责应包括但不限于:1)全面统筹实施组织内部的个人信息安全工作,对个人信息安全负直接责任;2)组织制定个人信息保护工作计划并督促落实;3)制定、签发、实施、定期更新个人信息保护政策和相关规程;4)建立、维护和更新组织所持有的个人信息清单(包括个人信息的类型、数量、来源、接收方等)和授权访问策略;5)开展个人信息安全影响评估,提出个人信息保护的对策建议,督促整改安全隐患;6)组织开展个人信息安全培训;7)在产品或服务上线发布前进行检测,避免未知的个人信息收集、使用、共享等处理行为;8)公布投诉、举报方式等信息并及时受理投诉举报;9)进行安全审计;10)与监督、管理部门保持沟通,通报或报告个人信息保护和事件处置等情况。
(2)理解适用
前述规定详细地列举了个人信息保护负责人和个人信息保护工作机构的职责,基本涵盖了个人信息保护工作开展的方方面面。由此可以看出,除具备个人信息保护专业知识外,个人信息保护负责人也需要具备良好的沟通能力和协调能力:对内统筹,个人信息保护负责人应牵头制定数据安全方案、负责培训等;对外对接,个人信息保护负责人应负责与监管部门、媒体和客户的对接,通报或报告个人信息保护和事件处置等情况,受理客户的投诉举报。
4.应为个人信息保护负责人和个人信息保护工作机构提供履职保障
(1)相关规定
根据《个人信息安全规范》第11.1e)条,应为个人信息保护负责人和个人信息保护工作机构提供必要的资源,保障其独立履行职责。
(2)理解适用
前述规定旨在要求为个人信息保护负责人和个人信息保护工作机构提供履职保障。其中,必要的资源可以理解为人力、财力、物力保障等。通过必要的资源支持,确保个人信息保护负责人有能力、有动力独立履行职责。