劉江山

(對外經(jīng)濟貿(mào)易大學(xué)法學(xué)院，北京 100029)

2018年5月25日，歐盟 《通用數(shù)據(jù)保護(hù)條例》 (General Data Protection Regulation，GDPR)開始正式實施，取代之前由成員國選擇適用的歐盟 《數(shù)據(jù)保護(hù)令》，適用于全體歐盟成員國，標(biāo)志著歐盟對個人數(shù)據(jù)和個人隱私的保護(hù)進(jìn)入新時代。歐盟是中國最大的貿(mào)易伙伴，雙邊經(jīng)貿(mào)合作發(fā)展極為迅速。中國的電信、金融、公共服務(wù)、基礎(chǔ)設(shè)施、電商、互聯(lián)網(wǎng)等企業(yè)在歐洲有相當(dāng)規(guī)模的業(yè)務(wù)或投資涉及個人數(shù)據(jù)處理。在歐盟進(jìn)行業(yè)務(wù)或投資就應(yīng)當(dāng)遵守歐盟及其成員國的法律。GDPR適用歐盟全境，在歐盟的中國企業(yè)要遵守其相關(guān)規(guī)定。同時，中國學(xué)界應(yīng)給予GDPR足夠關(guān)注并進(jìn)行深入研究，為幫助中國企業(yè)在歐洲更好地合規(guī)經(jīng)營創(chuàng)造條件。GDPR可以研究的內(nèi)容非常廣泛，包括通用數(shù)據(jù)保護(hù)的基本制度和理論，也包括企業(yè)數(shù)據(jù)保護(hù)的合規(guī)性問題。在GDPR諸多保護(hù)個人數(shù)據(jù)的制度、措施和要求中，數(shù)據(jù)保護(hù)官 (Data Protection Officers，DPO)制度就很值得關(guān)注和研究。

數(shù)據(jù)保護(hù)官制度起源于歐盟成員國，德國和法國早就通過立法的方式設(shè)立了數(shù)據(jù)保護(hù)官制度，1977年的 《德國數(shù)據(jù)保護(hù)法》就規(guī)定了數(shù)據(jù)保護(hù)官制度，法國國家層面的數(shù)據(jù)保護(hù)法也規(guī)定了數(shù)據(jù)保護(hù)官制度。德國和法國的數(shù)據(jù)保護(hù)官制度內(nèi)容與GDPR的相關(guān)規(guī)定相比差異較大。在GDPR公布之前，歐盟法律框架內(nèi)數(shù)據(jù)保護(hù)官制度亦已經(jīng)存在。歐盟的 《數(shù)據(jù)保護(hù)令》對數(shù)據(jù)保護(hù)官做了規(guī)定。經(jīng)過歐盟及其成員國多年實踐，數(shù)據(jù)保護(hù)官制度日趨完善，并成為GDPR中一項重要的個人數(shù)據(jù)保護(hù)制度。依據(jù)GDPR的規(guī)定，數(shù)據(jù)保護(hù)官是在特定條件下各歐盟成員國的機構(gòu)或企業(yè)都需要強制聘請的一個職位。本文通過對GDPR中的數(shù)據(jù)保護(hù)制度進(jìn)行研究來解讀以下問題：哪些企業(yè)需要聘任數(shù)據(jù)保護(hù)官？數(shù)據(jù)保護(hù)官的專業(yè)能力包括哪些？GDPR為數(shù)據(jù)保護(hù)官履職提供什么保障？數(shù)據(jù)保護(hù)官的工作內(nèi)容有哪些？

1 數(shù)據(jù)保護(hù)官的聘任

數(shù)據(jù)保護(hù)官是GDPR規(guī)定的在特定條件下強制要求企業(yè)或組織應(yīng)聘任的保護(hù)個人數(shù)據(jù)的專職崗位。從GDPR的規(guī)定看，只要不是被明顯排除在強制要求聘任之外，相關(guān)的數(shù)據(jù)控制者或數(shù)據(jù)處理者都應(yīng)當(dāng)聘任數(shù)據(jù)保護(hù)官。當(dāng)然，不屬于GDPR規(guī)定范圍內(nèi)強制要求聘任數(shù)據(jù)保護(hù)官的數(shù)據(jù)控制者或數(shù)據(jù)處理者也可以自愿聘請數(shù)據(jù)保護(hù)官在企業(yè)或組織里任職。通過分析可以發(fā)現(xiàn)，強制要求聘任數(shù)據(jù)保護(hù)官的有兩類主體：一類是處理數(shù)據(jù)的公共機構(gòu)或團體，另外一類是數(shù)據(jù)控制者或數(shù)據(jù)處理者。GDPR對兩類主體聘任數(shù)據(jù)保護(hù)官分別做了規(guī)定。

1.1 強制性聘任數(shù)據(jù)保護(hù)官1.1.1 公共機構(gòu)或團體

簡單來說，公共機構(gòu)就是為了實現(xiàn)給生產(chǎn)創(chuàng)收企業(yè)提供融資、建設(shè)或運營支持之目的，通過立法授權(quán)全國或地方政府之外的組織執(zhí)行特定公共職能的組織[1]。從字面理解，公共機構(gòu)或團體可以是公共交通、供水供熱、基礎(chǔ)設(shè)施、公共服務(wù)等。GDPR并沒有給出公共機構(gòu)或團體的概念，在歐盟的相關(guān)指南里，認(rèn)為公共機構(gòu)或團體由歐盟成員國法律確定[2]。英國在適應(yīng)英國 《人權(quán)法1998》第6條第2款的司法實踐中，對公共機構(gòu)做了一些澄清。有英國法官認(rèn)為 《人權(quán)法1998》第6條中的公共機構(gòu)還應(yīng)包括，雖然一個企業(yè)沒有法律的授權(quán)且不在受政府體系控制，但控制了原告進(jìn)入公共市場準(zhǔn)入權(quán)，并發(fā)揮管理職能的作用[3]。在這種理解下，履行公共職能的私營部門應(yīng)當(dāng)聘任數(shù)據(jù)保護(hù)官。事實上，對于那些履行公共職能但沒有公共組織地位的機構(gòu)，應(yīng)按照GDPR規(guī)定聘任數(shù)據(jù)保護(hù)官，可以提升他們在數(shù)據(jù)保護(hù)方面的合規(guī)性。

1.1.2 數(shù)據(jù)控制者或數(shù)據(jù)處理者

對 “數(shù)據(jù)控制者或數(shù)據(jù)處理者”的概念理解要依照GDPR規(guī)定來進(jìn)行。GDPR規(guī)定依據(jù)其性質(zhì)、范圍和/或目的，數(shù)據(jù)控制者或數(shù)據(jù)處理者的核心活動是對規(guī)模巨大的數(shù)據(jù)主體進(jìn)行監(jiān)控需要而進(jìn)行常規(guī)的和系統(tǒng)的數(shù)據(jù)操作處理[4]。從上述規(guī)定看，要理解 “數(shù)據(jù)控制者或數(shù)據(jù)處理者”的具體標(biāo)準(zhǔn)，可從核心活動、規(guī)模巨大、常規(guī)的和系統(tǒng)的數(shù)據(jù)監(jiān)控三個要素展開。

(1)核心活動。核心活動是指依據(jù)性質(zhì)、范圍或目的，為了實現(xiàn)數(shù)據(jù)控制者或數(shù)據(jù)處理者處理數(shù)據(jù)目標(biāo)所必需的操作。核心活動不應(yīng)該被狹義地解釋為數(shù)據(jù)控制者或數(shù)據(jù)處理者進(jìn)行數(shù)據(jù)處理不可或缺的活動。例如，銀行的核心活動是以客戶為中心進(jìn)行賬務(wù)處理，但是，如果銀行不對客戶賬號數(shù)據(jù)進(jìn)行處理就很難實現(xiàn)其業(yè)務(wù)目的，因此，銀行對存款人的個人信息數(shù)據(jù)進(jìn)行加工處理。在這種情況下，應(yīng)當(dāng)認(rèn)為銀行的活動是數(shù)據(jù)處理的核心活動，應(yīng)當(dāng)聘請數(shù)據(jù)保護(hù)官。又如，電信企業(yè)向客戶提供通信服務(wù)，通信服務(wù)是公司的核心業(yè)務(wù)，不可避免地要從事大規(guī)模的個人信息和數(shù)據(jù)處理，因此，該類公司應(yīng)當(dāng)聘任數(shù)據(jù)保護(hù)官。此外，要將企業(yè)內(nèi)部的數(shù)據(jù)處理與核心活動區(qū)分出來，比如說，很多企業(yè)需要給員工支付工資，其工作過程與數(shù)據(jù)緊密相關(guān)，甚至可以說是企業(yè)的核心活動或主要業(yè)務(wù)。但是，這種情況應(yīng)認(rèn)為是企業(yè)的輔助功能而不是核心業(yè)務(wù)。

(2)處理數(shù)據(jù)規(guī)模巨大。規(guī)模巨大是一個相對模糊的概念，很難精確界定處理數(shù)據(jù)達(dá)到什么規(guī)模算是達(dá)到規(guī)模巨大。盡管如此，仍然可以從法律實踐層面發(fā)展出對 “規(guī)模巨大”進(jìn)行合理解釋的方法。可以從多個維度來確認(rèn)規(guī)模巨大：①一方面是從涉及數(shù)據(jù)主體的絕對數(shù)量上看。比如，涉及數(shù)據(jù)主體的數(shù)量達(dá)到百萬、千萬甚至上億的數(shù)量級；另一方面是涉及數(shù)據(jù)主體在整個數(shù)據(jù)處理體量中的比例。同一種類型的數(shù)據(jù)處理比例在整個行業(yè)數(shù)據(jù)處理中占比很高。②從數(shù)據(jù)處理的具體數(shù)量級來看。可以根據(jù)數(shù)據(jù)的格式、數(shù)據(jù)的信息量或數(shù)據(jù)涉及的信息范圍來進(jìn)行衡量。數(shù)據(jù)的量是一個動態(tài)，會隨著技術(shù)進(jìn)步和社會發(fā)展不斷變化。③可以從處理數(shù)據(jù)的期限、方式和效果來確定。比如，對長期數(shù)據(jù)處理和短期數(shù)據(jù)處理進(jìn)行區(qū)分，長期處理個人數(shù)據(jù)就會比暫時處理個人數(shù)據(jù)更容易被認(rèn)定為規(guī)模巨大的可能性高。④根據(jù)涉及數(shù)據(jù)的地理或行政區(qū)域來確定。比如說，在歐盟一個成員國內(nèi)的村鎮(zhèn)內(nèi)處理當(dāng)?shù)鼐用竦臄?shù)據(jù)，一般就不會被認(rèn)定為處理數(shù)據(jù)規(guī)模巨大。如果處理數(shù)據(jù)是在整個歐盟或全世界，容易被認(rèn)定為數(shù)據(jù)處理規(guī)模巨大。下面的例子應(yīng)當(dāng)被視為數(shù)據(jù)處理規(guī)模巨大：公共交通運輸企業(yè)，如鐵路客運、航空客運企業(yè)應(yīng)當(dāng)被視為處理數(shù)據(jù)規(guī)模巨大；知名醫(yī)院日常診療處理的大量病人數(shù)據(jù)；跨國電商在提供服務(wù)的過程中以統(tǒng)計為目的實時處理地方消費者數(shù)據(jù)；通過搜索引擎處理個人數(shù)據(jù)發(fā)布行為廣告；電信或互聯(lián)網(wǎng)服務(wù)提供商處理相關(guān)內(nèi)容、交通、位置的數(shù)據(jù)等。當(dāng)然，還有很多情況不構(gòu)成數(shù)據(jù)處理規(guī)模巨大情形，比如，家庭醫(yī)生為診療處理病人數(shù)據(jù)、律師給客戶提供服務(wù)時處理個人信息或數(shù)據(jù)。

(3)采取常規(guī)和系統(tǒng)的監(jiān)控行為。監(jiān)控行為是指使用個人數(shù)據(jù)處理技術(shù)帶來的后果，即處理自然人數(shù)據(jù)，尤其是處理個人數(shù)據(jù)，是通過分析該自然人的喜好、行為和態(tài)度來分析或預(yù)測其行為做出與該自然人相關(guān)的決定[5]。雖然GDPR并沒有給出常規(guī)和系統(tǒng)監(jiān)控的定義，但是毫無疑問監(jiān)控應(yīng)當(dāng)包含所有互聯(lián)網(wǎng)上跟蹤和處理數(shù)據(jù)的全部形式，且并不限于線上環(huán)境的監(jiān)控和跟蹤，只要是對數(shù)據(jù)主體的行為進(jìn)行監(jiān)控就屬于監(jiān)控行為。常規(guī)監(jiān)控包括在特定時間段不間斷發(fā)生的監(jiān)控；在固定時間反復(fù)發(fā)生的監(jiān)控；穩(wěn)定的或定期進(jìn)行的監(jiān)控。系統(tǒng)性監(jiān)控包括依據(jù)系統(tǒng)產(chǎn)生的監(jiān)控；事先安排、組織或設(shè)計的監(jiān)控；因數(shù)據(jù)收集方案產(chǎn)生的監(jiān)控。常規(guī)的和系統(tǒng)監(jiān)控的具體業(yè)務(wù)類型可以是運營電信網(wǎng)絡(luò)；提供電信服務(wù)；電子郵件定向推送；數(shù)據(jù)驅(qū)動型市場營銷；以風(fēng)險評估為目的處理和增信數(shù)據(jù) (例如增信、保險單據(jù)、防止欺詐、探測洗錢)；地方性交通部門 (例如出行軟件；粘性方案；行為定向廣告)；穿戴設(shè)備健康數(shù)據(jù)監(jiān)控；閉路電視；連接裝置 (例如智能計量表、智能車、自動化房子等)。從業(yè)務(wù)性質(zhì)來看，銀行就需要對客戶的賬戶進(jìn)行常規(guī)和系統(tǒng)的監(jiān)控，來確認(rèn)客戶的交易是否合規(guī)，是否遵守相關(guān)反洗錢、反欺詐或反資助恐怖主義的相關(guān)規(guī)定。

通過上述分析可以發(fā)現(xiàn)，成為數(shù)據(jù)控制者或數(shù)據(jù)處理者需要同時滿足三個條件，才是GDPR所規(guī)定的數(shù)據(jù)控制者或數(shù)據(jù)處理者。

1.1.3 涉及特殊類別數(shù)據(jù)處理的數(shù)據(jù)控制者或數(shù)據(jù)處理者

GDPR規(guī)定，數(shù)據(jù)控制者或數(shù)據(jù)處理者的核心活動包含了第9條規(guī)定的對某種特殊類型數(shù)據(jù)的處理規(guī)模巨大和第10條規(guī)定的對定罪和違法相關(guān)的個人數(shù)據(jù)的處理要求聘任數(shù)據(jù)保護(hù)官[6]。上述規(guī)定的特殊類型的數(shù)據(jù)主要是指個人敏感信息。敏感信息是指一旦遭到泄露或修改，會對標(biāo)識的信息主體造成不良影響的個人信息[7]。這些特殊類別的數(shù)據(jù)包括涉及個人種族、政治觀念、宗教信仰、所屬工會等；涉及健康或數(shù)據(jù)主體性生活性傾向的信息；基因信息、生物識別信息、個人違法或犯罪信息等。

1.2 非強制性或自愿聘任數(shù)據(jù)保護(hù)官

GDPR規(guī)定范圍之外的數(shù)據(jù)控制或數(shù)據(jù)處理機構(gòu)并沒有強制要求聘任數(shù)據(jù)保護(hù)官。如果一個機構(gòu)要有效減輕其在GDPR中的相關(guān)責(zé)任，包括采取有效的隱私保護(hù)，就可以選擇按照GDPR規(guī)定，讓自己的員工承擔(dān)更多的個人數(shù)據(jù)信息保護(hù)責(zé)任。GDPR規(guī)定了類似數(shù)據(jù)保護(hù)官的崗位或自愿性質(zhì)的數(shù)據(jù)保護(hù)官，這樣規(guī)定的核心要求就是，數(shù)據(jù)控制者或處理者需要在單位內(nèi)部履行保護(hù)數(shù)據(jù)的職責(zé)。

1.3 數(shù)據(jù)保護(hù)官共同聘任機制

GDPR還規(guī)定，同一數(shù)據(jù)保護(hù)官可以在多個機構(gòu)任職，只要能夠勝任工作，且便于監(jiān)管機構(gòu)和聘任單位聯(lián)絡(luò)。此處的同一數(shù)據(jù)保護(hù)官可以是個人，也可以是專門從事數(shù)據(jù)保護(hù)的專業(yè)機構(gòu)。數(shù)據(jù)保護(hù)官的職責(zé)就是向數(shù)據(jù)處理者和數(shù)據(jù)控制者及其執(zhí)行與GDPR有關(guān)的數(shù)據(jù)處理的雇員提供告知和建議。便于聯(lián)絡(luò)是指數(shù)據(jù)保護(hù)官是數(shù)據(jù)主體、監(jiān)管機構(gòu)、組織內(nèi)部數(shù)據(jù)保護(hù)的工作聯(lián)系點，能夠保證數(shù)據(jù)保護(hù)官內(nèi)外聯(lián)絡(luò)暢通。這需要數(shù)據(jù)保護(hù)官公布詳細(xì)聯(lián)絡(luò)信息，包括通訊地址、聯(lián)系電話和電子郵箱等。數(shù)據(jù)控制者或數(shù)據(jù)處理者要保證公眾和監(jiān)管機構(gòu)能夠在公開場所獲取數(shù)據(jù)保護(hù)官的聯(lián)絡(luò)信息。為了保護(hù)隱私或商業(yè)秘密，數(shù)據(jù)保護(hù)官的名稱或姓名可以不向社會公眾公布，但應(yīng)當(dāng)告知監(jiān)管機構(gòu)。共同聘任機制有兩方面的好處，一是能有效減少數(shù)據(jù)控制者或數(shù)據(jù)處理者的數(shù)據(jù)保護(hù)成本；二是鼓勵數(shù)據(jù)保護(hù)的中介機構(gòu)專業(yè)化。

2 數(shù)據(jù)保護(hù)官的專業(yè)能力要求及聘任

數(shù)據(jù)保護(hù)官是專業(yè)性要求比較高的職位，要擔(dān)任這個職務(wù)必須具備相關(guān)的法律知識、熟悉個人數(shù)據(jù)保護(hù)政策、掌握數(shù)字信息技術(shù)等。故此，GDPR規(guī)定了數(shù)據(jù)保護(hù)官任職的專業(yè)能力要求，包括數(shù)據(jù)保護(hù)法律專業(yè)知識、數(shù)據(jù)保護(hù)的實務(wù)能力以及能夠履行GDPR規(guī)定的職責(zé)。鑒于歐盟各成員在數(shù)據(jù)保護(hù)領(lǐng)域的法律會存在差異，各成員可以采用GDPR中的條款，或者自行出臺法律規(guī)定數(shù)據(jù)保護(hù)官的專業(yè)能力要求。由于數(shù)據(jù)控制者或數(shù)據(jù)處理者需要采取措施保護(hù)敏感、復(fù)雜的海量數(shù)據(jù)，其專業(yè)技能至少應(yīng)包括以下幾方面：

(1)熟悉并了解歐盟及其所在成員國的相關(guān)數(shù)據(jù)保護(hù)的法律和實踐。從便利和專業(yè)能力上來講，個人作為數(shù)據(jù)保護(hù)官熟悉的成員國法律數(shù)量相對有限。如果是數(shù)據(jù)保護(hù)的專業(yè)機構(gòu)有能力聘任更多的專業(yè)人才，能在更多的國家開展數(shù)據(jù)保護(hù)業(yè)務(wù)

(2)熟悉數(shù)據(jù)控制者或數(shù)據(jù)處理者對數(shù)據(jù)進(jìn)行操作處理的業(yè)務(wù)流程和內(nèi)容。如果數(shù)據(jù)處理活動涉及特別復(fù)雜，又是對大規(guī)模敏感數(shù)據(jù)的處理，數(shù)據(jù)保護(hù)官就要熟悉法律對敏感數(shù)據(jù)的保護(hù)要求，同時能夠完全理解數(shù)據(jù)處理活動中的各種技術(shù)。

(3)數(shù)據(jù)保護(hù)官要熟悉數(shù)據(jù)信息系統(tǒng)和數(shù)據(jù)安全保護(hù)的相關(guān)技術(shù)。GDPR的重點是保護(hù)個人數(shù)據(jù)隱私和安全，數(shù)據(jù)保護(hù)官只有在對網(wǎng)絡(luò)和電子通信系統(tǒng)的數(shù)據(jù)處理和安全有一定的專業(yè)能力才能保護(hù)好相關(guān)數(shù)據(jù)。

(4)數(shù)據(jù)保護(hù)官要熟悉數(shù)據(jù)控制者和數(shù)據(jù)處理者的業(yè)務(wù)和組織機構(gòu)。數(shù)據(jù)保護(hù)官應(yīng)了解其服務(wù)機構(gòu)的業(yè)務(wù)性質(zhì)，比如，涉及處理敏感信息數(shù)據(jù)的企業(yè)，數(shù)據(jù)保護(hù)的要求就會更高；又如，處理兒童數(shù)據(jù)信息的企業(yè)，會有相應(yīng)的保護(hù)數(shù)據(jù)的特別要求。數(shù)據(jù)保護(hù)官還應(yīng)當(dāng)熟悉其服務(wù)機構(gòu)的行政規(guī)制和程序，只有這樣才可以及時向各職能機構(gòu)提出數(shù)據(jù)保護(hù)的要求，或針對特定事件采取數(shù)據(jù)保護(hù)措施。

(5)數(shù)據(jù)保護(hù)官要有能力在其服務(wù)的機構(gòu)內(nèi)培養(yǎng)出一種數(shù)據(jù)保護(hù)的企業(yè)文化。數(shù)據(jù)保護(hù)的企業(yè)文化對于數(shù)據(jù)控制者或數(shù)據(jù)處理者降低數(shù)據(jù)保護(hù)的合規(guī)風(fēng)險和實際風(fēng)險都是至關(guān)重要的。通過制度在數(shù)據(jù)保護(hù)者或數(shù)據(jù)處理者內(nèi)部形成一種對違反數(shù)據(jù)保護(hù)行為應(yīng)受到道德上和心理上譴責(zé)的文化，創(chuàng)造出數(shù)據(jù)保護(hù)的良性環(huán)境。促使員工遵守GDPR中的核心條款，具體包括數(shù)據(jù)處理的原則、數(shù)據(jù)主體的權(quán)利、設(shè)計和違規(guī)的數(shù)據(jù)保護(hù)行為的后果、保存處理數(shù)據(jù)活動的記錄、提高處理數(shù)據(jù)的安全性、及時糾正數(shù)據(jù)違規(guī)行為、與員工進(jìn)行數(shù)據(jù)保護(hù)交流等。雖然GDPR并沒有具體規(guī)定數(shù)據(jù)保護(hù)官的職業(yè)能力水平，但是從上述五個方面對數(shù)據(jù)保護(hù)官進(jìn)行精挑細(xì)選，才能聘到合格的數(shù)據(jù)保護(hù)官。

數(shù)據(jù)控制者或數(shù)據(jù)處理者可以聘用內(nèi)部員工或外部機構(gòu)或個人擔(dān)任數(shù)據(jù)保護(hù)官，但無論是內(nèi)聘還是外聘數(shù)據(jù)保護(hù)官，都要簽訂數(shù)據(jù)保護(hù)服務(wù)合同。數(shù)據(jù)保護(hù)服務(wù)合同是數(shù)據(jù)保護(hù)官履職的法律基礎(chǔ)。如果是外聘機構(gòu)擔(dān)任數(shù)據(jù)保護(hù)官時，很多時候是一個團隊，他們同樣必須遵守GDPR規(guī)定的所有要求和條件，如要求不存在利益沖突。為了避免利益沖突，法律上清楚明確要求，數(shù)據(jù)保護(hù)官團隊?wèi)?yīng)當(dāng)有良好的組織能力，有專人擔(dān)任領(lǐng)導(dǎo)職責(zé)，團隊成員之間分工明確，能夠以團隊的方式來履行GDPR規(guī)定的各項數(shù)據(jù)保護(hù)任務(wù)。GDPR中關(guān)于數(shù)據(jù)保護(hù)官的規(guī)定適用所有團隊成員。為了確保履職的確定性，外聘團隊可以在數(shù)據(jù)保護(hù)合同中明確約定數(shù)據(jù)保護(hù)官團隊的職責(zé)范圍，在合同中明確專人負(fù)責(zé)客戶的對外聯(lián)絡(luò)工作，公布和提交數(shù)據(jù)保護(hù)官的詳細(xì)聯(lián)系方式。保證數(shù)據(jù)主體和監(jiān)管機構(gòu)能夠直接輕松地與數(shù)據(jù)保護(hù)官聯(lián)系，不需要通過其他人。聯(lián)系內(nèi)容應(yīng)當(dāng)包括電話、通訊地址、電子郵件等。為了更方便公眾聯(lián)系，有條件的機構(gòu)可以設(shè)立聯(lián)系專線，機構(gòu)網(wǎng)站公布地址等。此外，雖然GDPR沒有規(guī)定要求公開數(shù)據(jù)保護(hù)官的姓名，但是向監(jiān)管機構(gòu)提交其姓名是數(shù)據(jù)保護(hù)官作為聯(lián)絡(luò)點的關(guān)鍵。

3 數(shù)據(jù)保護(hù)官的工作保障

數(shù)據(jù)保護(hù)官要開展工作，需要數(shù)據(jù)控制者或數(shù)據(jù)處理者的配合，并提供基本的工作條件。因此，GDPR規(guī)定應(yīng)保障和促進(jìn)數(shù)據(jù)保護(hù)官能順利履職。數(shù)據(jù)保護(hù)官的工作范圍主要是處理所有與個人數(shù)據(jù)保護(hù)有關(guān)的事務(wù)。數(shù)據(jù)控制者或數(shù)據(jù)處理者需保證數(shù)據(jù)保護(hù)官能夠以適當(dāng)?shù)姆绞皆谶m當(dāng)?shù)臅r間參與所有涉及個人數(shù)據(jù)保護(hù)的事務(wù)[8]。數(shù)據(jù)保護(hù)官應(yīng)盡可能早地介入所有與個人數(shù)據(jù)保護(hù)有關(guān)的事務(wù)，這些事務(wù)主要包括以下幾方面：

一是在數(shù)據(jù)保護(hù)影響評估問題上，GDPR規(guī)定要數(shù)據(jù)控制者在進(jìn)行影響評估時應(yīng)當(dāng)征求數(shù)據(jù)保護(hù)官的意見。數(shù)據(jù)保護(hù)影響評估是歐盟機構(gòu)內(nèi)部對個人數(shù)據(jù)保護(hù)措施效果進(jìn)行評估的常用方法。對于評估中好的地方繼續(xù)保持，對于不足之處及時找到改進(jìn)的方法。影響評估法經(jīng)常被歐盟用于對立法、執(zhí)法等方面的效果進(jìn)行評估。

二是對數(shù)據(jù)保護(hù)方面工作情況和進(jìn)展，數(shù)據(jù)保護(hù)者或數(shù)據(jù)控制者應(yīng)當(dāng)及時通知數(shù)據(jù)保護(hù)官，對數(shù)據(jù)處理中的各類問題應(yīng)當(dāng)咨詢數(shù)據(jù)保護(hù)官。

三是數(shù)據(jù)控制者或處理者發(fā)布數(shù)據(jù)保護(hù)指南時，應(yīng)當(dāng)聽取數(shù)據(jù)保護(hù)官的意見。公司內(nèi)部應(yīng)當(dāng)把數(shù)據(jù)保護(hù)官當(dāng)作是可以商討數(shù)據(jù)保護(hù)工作的合作者，是公司內(nèi)個人數(shù)據(jù)保護(hù)的核心組成部分。在具體工作方式上，數(shù)據(jù)控制者和數(shù)據(jù)處理者可以要求數(shù)據(jù)保護(hù)官定期參加內(nèi)部中高級管理會議；出席對數(shù)據(jù)保護(hù)有影響的決策會議；就數(shù)據(jù)保護(hù)的相關(guān)信息應(yīng)當(dāng)盡早向數(shù)據(jù)保護(hù)官提供，并征求其意見；數(shù)據(jù)控制者和數(shù)據(jù)處理者對數(shù)據(jù)保護(hù)官提出的意見應(yīng)當(dāng)給予充分考慮；如果不同意數(shù)據(jù)保護(hù)官的意見要及時給予解釋和說明；出現(xiàn)數(shù)據(jù)違規(guī)行為或事故時，數(shù)據(jù)保護(hù)官應(yīng)及時給出解決方案或處理意見。要履行上述數(shù)據(jù)保護(hù)的工作內(nèi)容和實現(xiàn)數(shù)據(jù)保護(hù)的目標(biāo)，數(shù)據(jù)控制者和數(shù)據(jù)處理者可以從以下幾方面來給數(shù)據(jù)保護(hù)官的工作提供支持。

3.1 提供必要的資源

履行數(shù)據(jù)保護(hù)職責(zé)必須有充分有效的處理與數(shù)據(jù)有關(guān)的各類資源。GDPR要求數(shù)據(jù)控制者或數(shù)據(jù)處理者向數(shù)據(jù)保護(hù)官提供必要的資源以保障其完成工作。在業(yè)務(wù)上具體包括進(jìn)入個人數(shù)據(jù)庫、進(jìn)行數(shù)據(jù)處理操作，維持?jǐn)?shù)據(jù)保護(hù)官的專業(yè)能力；在職位上給予數(shù)據(jù)保護(hù)官支持，給予其高級管理人員待遇 (董事會層面)；在工作任務(wù)上保證數(shù)據(jù)保護(hù)官有充分的時間履行職責(zé)；提供履職的資金和基本工作條件 (包括辦公場所、條件、設(shè)備和人員)；向全體員工公布數(shù)據(jù)保護(hù)官的聘任，保證單位所有工作人員都能夠認(rèn)識數(shù)據(jù)保護(hù)官；人力資源、法律、IT、安全等相關(guān)職能部門應(yīng)當(dāng)為數(shù)據(jù)保護(hù)官履職提供支持；對數(shù)據(jù)保護(hù)官進(jìn)行持續(xù)培訓(xùn)，確保其有機會獲得數(shù)據(jù)保護(hù)方面的知識更新，比如，鼓勵數(shù)據(jù)保護(hù)官參與各項培訓(xùn)，如隱私論壇、工作坊之類的活動；依據(jù)業(yè)務(wù)規(guī)模和內(nèi)部結(jié)構(gòu)設(shè)立數(shù)據(jù)保護(hù)官團隊，明確團隊的內(nèi)部結(jié)構(gòu)和每個團隊成員的分工。如果是外部團隊，應(yīng)當(dāng)能夠有效執(zhí)行數(shù)據(jù)保護(hù)官的職責(zé)。總之，數(shù)據(jù)處理操作越復(fù)雜、敏感，數(shù)據(jù)保護(hù)官就需要越多的內(nèi)部資源來保證其履行工作職責(zé)。

3.2 數(shù)據(jù)保護(hù)官履職應(yīng)保持獨立性

在數(shù)據(jù)控制者或數(shù)據(jù)處理者內(nèi)部應(yīng)當(dāng)確保數(shù)據(jù)保護(hù)官履職是有充分的自主權(quán)，不應(yīng)干涉數(shù)據(jù)保護(hù)官的工作。無論數(shù)據(jù)保護(hù)官是否是其雇員，在履職時都應(yīng)當(dāng)具有一定的獨立性。數(shù)據(jù)控制者或數(shù)據(jù)處理者不得以明示或暗示的方式要求數(shù)據(jù)保護(hù)官進(jìn)行工作，比如，要求工作達(dá)到特定效果；按照有利于聘任方的方式處理投訴；決定是否與監(jiān)管機構(gòu)進(jìn)行聯(lián)絡(luò)等。應(yīng)當(dāng)注意的是，盡管GDPR規(guī)定了數(shù)據(jù)保護(hù)官的工作不受數(shù)據(jù)控制者或數(shù)據(jù)處理者干涉，但是數(shù)據(jù)保護(hù)官并沒有超出GDPR規(guī)定之外的決策權(quán)力。

3.3 數(shù)據(jù)保護(hù)官履職時不受解聘或處罰

數(shù)據(jù)保護(hù)官履職受GDPR保護(hù)。數(shù)據(jù)保護(hù)官履職時，數(shù)據(jù)控制者或數(shù)據(jù)處理者不能解雇或處罰數(shù)據(jù)保護(hù)官[8]。這樣做的目的是為了增強數(shù)據(jù)保護(hù)官的自治權(quán)，確保數(shù)據(jù)保護(hù)官的獨立性，使之能夠充分履行數(shù)據(jù)保護(hù)的工作職責(zé)。比如，數(shù)據(jù)保護(hù)官認(rèn)定特定程序存在較高風(fēng)險，建議數(shù)據(jù)控制者或數(shù)據(jù)處理者執(zhí)行數(shù)據(jù)保護(hù)影響評估，即便數(shù)據(jù)控制者或數(shù)據(jù)處理者不同意進(jìn)行數(shù)據(jù)保護(hù)影響的情況下，也不能解聘數(shù)據(jù)保護(hù)官。但事實上，數(shù)據(jù)控制者或數(shù)據(jù)處理者能夠給數(shù)據(jù)保護(hù)官的處罰形式多種多樣，可以是直接或間接的，可以是不晉升或推遲晉升，可以是妨礙崗位提升，甚至還可以是不給員工福利。從GDPR的規(guī)定來看，數(shù)據(jù)保護(hù)官因履職受到上述任何一種或多種處罰，無論數(shù)據(jù)控制者或數(shù)據(jù)處理者實際執(zhí)行與否，就違反了GDPR的相關(guān)規(guī)定。盡管GDPR沒有規(guī)定在什么時候或條件下解聘或替代數(shù)據(jù)保護(hù)官，但是數(shù)據(jù)控制者或數(shù)據(jù)處理者還是可以依據(jù)各成員國法律或勞動合同解聘數(shù)據(jù)保護(hù)官，唯獨不能因為其履行數(shù)據(jù)保護(hù)職責(zé)而解聘。如果數(shù)據(jù)控制者或數(shù)據(jù)處理者與數(shù)據(jù)保護(hù)官的數(shù)據(jù)保護(hù)服務(wù)合同約定期限長，數(shù)據(jù)保護(hù)官獨立工作時被解聘，就容易存在違反GDPR規(guī)定的情形。當(dāng)然，具備法定理由也可以解聘數(shù)據(jù)保護(hù)官，例如數(shù)據(jù)保護(hù)官有偷竊、心理或身體疾病、性騷擾、重大過失等行為。

3.4 利益沖突

數(shù)據(jù)保護(hù)官除了保護(hù)個人數(shù)據(jù)外，還可以執(zhí)行數(shù)據(jù)控制者或數(shù)據(jù)處理者安排的其他任務(wù)。但是，數(shù)據(jù)控制者或數(shù)據(jù)處理者應(yīng)保證數(shù)據(jù)保護(hù)官承擔(dān)其他任務(wù)時不會導(dǎo)致利益沖突[8]。保持?jǐn)?shù)據(jù)保護(hù)官履職的獨立性，最重要的就是防止利益沖突。數(shù)據(jù)控制者或數(shù)據(jù)處理者不能要求數(shù)據(jù)保護(hù)官從事不利于個人數(shù)據(jù)保護(hù)的相關(guān)工作。從經(jīng)驗上看，數(shù)據(jù)控制者或數(shù)據(jù)處理者內(nèi)部與數(shù)據(jù)保護(hù)官存在利益沖突的管理職務(wù)包括首席執(zhí)行官、首席運營官、財務(wù)總監(jiān)、醫(yī)療總監(jiān)、市場總監(jiān)、人力資源總監(jiān)、IT部門負(fù)責(zé)等。另外，還要注意防范與某些非管理職務(wù)之間的利益沖突。外聘的數(shù)據(jù)保護(hù)官同樣可能存在利益沖突，例如，外聘律師代表數(shù)據(jù)控制者或數(shù)據(jù)處理者到法院進(jìn)行與個人數(shù)據(jù)保護(hù)相關(guān)的訴訟。數(shù)據(jù)控制者或數(shù)據(jù)處理者應(yīng)當(dāng)采取積極措施防止可能產(chǎn)生的利益沖突，具體而言可以有以下方式：識別與數(shù)據(jù)保護(hù)官不相容的工作崗位；制定內(nèi)部規(guī)則有效避免利益沖突；對利益沖突的概念進(jìn)行較為寬泛的解釋；明確說明數(shù)據(jù)保護(hù)官不能從事與之有利益沖的工作，通過明示的方式提高單位在這方面的意識；通過合同約定數(shù)據(jù)保護(hù)官應(yīng)當(dāng)避免利益沖突；在聘任時，告知數(shù)據(jù)保護(hù)官要避免各種形式的利益沖突。

4 數(shù)據(jù)保護(hù)官的工作內(nèi)容

4.1 監(jiān)督數(shù)據(jù)控制者或數(shù)據(jù)處理者對GDPR規(guī)定的遵守情況

數(shù)據(jù)保護(hù)官應(yīng)該幫助數(shù)據(jù)控制者或數(shù)據(jù)處理者內(nèi)部遵守GDPR相關(guān)規(guī)定。提高數(shù)據(jù)控制者或數(shù)據(jù)處理的數(shù)據(jù)保護(hù)方面的合規(guī)性，具體包括：收集信息識別數(shù)據(jù)處理活動；分析和檢查數(shù)據(jù)處理活動的合規(guī)性；向數(shù)據(jù)控制者或數(shù)據(jù)處理者通知、建議、發(fā)布建議。對合規(guī)性進(jìn)行監(jiān)督，并不是說數(shù)據(jù)保護(hù)官要對數(shù)據(jù)控制者或數(shù)據(jù)處理者的不合規(guī)性負(fù)責(zé)。GDPR規(guī)定非常明確，是數(shù)據(jù)控制者或數(shù)據(jù)處理者承擔(dān)合規(guī)責(zé)任，而不是數(shù)據(jù)保護(hù)官。要求數(shù)據(jù)控制者或數(shù)據(jù)處理者采取適當(dāng)?shù)募夹g(shù)和組織措施，保證并能夠證明數(shù)據(jù)處理符合GDPR相關(guān)規(guī)定。

4.2 數(shù)據(jù)保護(hù)官在數(shù)據(jù)保護(hù)影響評估中的作用

數(shù)據(jù)控制者或數(shù)據(jù)處理者必要時需要進(jìn)行數(shù)據(jù)保護(hù)影響評估。在數(shù)據(jù)保護(hù)影響評估中，數(shù)據(jù)保護(hù)官的角色非常重要也非常有用。GDPR規(guī)定在進(jìn)行數(shù)據(jù)保護(hù)影響評估設(shè)計時，數(shù)據(jù)控制者或數(shù)據(jù)處理者應(yīng)當(dāng)征求數(shù)據(jù)保護(hù)官的意見。數(shù)據(jù)保護(hù)官的職責(zé)就是進(jìn)行數(shù)據(jù)保護(hù)影響評估時提供意見，監(jiān)督數(shù)據(jù)控制者或數(shù)據(jù)處理執(zhí)行GDPR相關(guān)規(guī)定的情況。

在數(shù)據(jù)保護(hù)影響評估時，數(shù)據(jù)保護(hù)官應(yīng)當(dāng)對以下問題提供建議：是否執(zhí)行數(shù)據(jù)保護(hù)影響評估；進(jìn)行數(shù)據(jù)保護(hù)影響評估采用什么方法；數(shù)據(jù)保護(hù)影響評估是內(nèi)部操作還是外包；采取哪些技術(shù)上的和組織結(jié)構(gòu)上的措施能夠減少對數(shù)據(jù)主體的權(quán)利和利益的負(fù)面影響；數(shù)據(jù)保護(hù)影響評估是否能正確執(zhí)行；數(shù)據(jù)保護(hù)影響評估是否符合GDPR的相關(guān)規(guī)定等問題。如果數(shù)據(jù)控制者或數(shù)據(jù)處理者不同意數(shù)據(jù)保護(hù)官的意見，數(shù)據(jù)保護(hù)影響評估文件中應(yīng)載明不予考慮的原因。在執(zhí)行數(shù)據(jù)保護(hù)影響評估時，數(shù)據(jù)控制者或數(shù)據(jù)處理者應(yīng)當(dāng)為數(shù)據(jù)保護(hù)官履職提供便利條件。比如，在數(shù)據(jù)保護(hù)服務(wù)合同中明確約定數(shù)據(jù)保護(hù)官的具體工作及工作范圍，并通知相關(guān)人員配合數(shù)據(jù)保護(hù)官的工作。

4.3 與監(jiān)管機構(gòu)合作

數(shù)據(jù)保護(hù)官應(yīng)當(dāng)與監(jiān)管機構(gòu)展開合作，并且是監(jiān)管機構(gòu)進(jìn)行個人數(shù)據(jù)保護(hù)的聯(lián)絡(luò)點，包括咨詢、提供數(shù)據(jù)、報告等，如條件許可，應(yīng)包括個人數(shù)據(jù)監(jiān)管有關(guān)的全部工作。數(shù)據(jù)保護(hù)官作為聯(lián)絡(luò)點，將數(shù)據(jù)控制者或數(shù)據(jù)處理者與監(jiān)管機構(gòu)的數(shù)據(jù)保護(hù)監(jiān)管工作相互聯(lián)系起來，為數(shù)據(jù)保護(hù)工作的開展提供便利，可以方便三者之間傳遞信息和相關(guān)文件，也便于監(jiān)管機構(gòu)對數(shù)據(jù)控制者或數(shù)據(jù)處理者保護(hù)個人數(shù)據(jù)方面的工作行使調(diào)查、糾正、授權(quán)和建議的監(jiān)管職責(zé)。數(shù)據(jù)保護(hù)官應(yīng)當(dāng)依據(jù)歐盟或成員國法律，承擔(dān)履行工作中的保密義務(wù)。但保密義務(wù)不包括數(shù)據(jù)保護(hù)官與監(jiān)管機構(gòu)聯(lián)絡(luò)或?qū)で笠庖?。只要條件符合，數(shù)據(jù)保護(hù)官可以向監(jiān)管機構(gòu)咨詢?nèi)魏蜗嚓P(guān)問題。

4.4 基于風(fēng)險的工作方法

數(shù)據(jù)保護(hù)應(yīng)當(dāng)識別數(shù)據(jù)處理操作風(fēng)險，并考慮數(shù)據(jù)處理的性質(zhì)、范圍、背景和目的，這就要求數(shù)據(jù)保護(hù)官優(yōu)先關(guān)注數(shù)據(jù)保護(hù)中的高風(fēng)險問題。當(dāng)然，這并不是說數(shù)據(jù)保護(hù)官可以忽視數(shù)據(jù)處理操作中合規(guī)性和數(shù)據(jù)保護(hù)中的低風(fēng)險問題。但要強調(diào)的是，數(shù)據(jù)保護(hù)官首先應(yīng)當(dāng)關(guān)注高風(fēng)險領(lǐng)域。選擇性和實用性方法可以幫助數(shù)據(jù)保護(hù)官給數(shù)據(jù)控制者或數(shù)據(jù)處理者提供建議，在執(zhí)行數(shù)據(jù)保護(hù)影響評價時應(yīng)當(dāng)采取什么方法，哪些方面需要外部數(shù)據(jù)保護(hù)審計，哪些方面可以內(nèi)部數(shù)據(jù)保護(hù)審計，哪些數(shù)據(jù)處理會占用更多的時間和資源。

4.5 數(shù)據(jù)保護(hù)官在記錄保存方面的作用

保存數(shù)據(jù)處理操作記錄是數(shù)據(jù)控制者或數(shù)據(jù)處理者的責(zé)任。數(shù)據(jù)保護(hù)官在處理數(shù)據(jù)控制者或數(shù)據(jù)處理者的內(nèi)部數(shù)據(jù)時，要對不同部門提供的信息進(jìn)行分類和登記，這一定在很多成員國法律或適用歐盟各機構(gòu)或單位的數(shù)據(jù)保護(hù)規(guī)則中都有相關(guān)規(guī)定。因為記錄數(shù)據(jù)處理，是數(shù)據(jù)保護(hù)開展工作、監(jiān)督合規(guī)性、通知數(shù)據(jù)控制者或數(shù)據(jù)處理，并提出合理化建議的前提。總之，數(shù)據(jù)處理過程的存儲和記錄，可以幫助數(shù)據(jù)控制者或數(shù)據(jù)處理和監(jiān)管機構(gòu)對內(nèi)部數(shù)據(jù)處理活動有全面了解。所以，記錄和存儲數(shù)據(jù)處理記錄是合規(guī)的前提，也是保護(hù)個人數(shù)據(jù)的一個非常有效的措施。

5 結(jié)論

從數(shù)據(jù)保護(hù)官制度要求來看，符合GDPR規(guī)定條件的中國企業(yè)需要按照規(guī)定聘請數(shù)據(jù)保護(hù)官，而規(guī)模較大的從事數(shù)據(jù)處理或數(shù)據(jù)控制的中國企業(yè)可能需要聘請一個數(shù)據(jù)保護(hù)官團隊，以保證企業(yè)在數(shù)據(jù)保護(hù)方面的合規(guī)經(jīng)營。然而，中國企業(yè)對數(shù)據(jù)保護(hù)官的職責(zé)和定位的認(rèn)識都剛剛起步，往往容易忽略數(shù)據(jù)保護(hù)官的重要性，導(dǎo)致數(shù)據(jù)保護(hù)方面的不足，最終不得不面臨巨額罰款或嚴(yán)厲處罰。因此，我國在歐盟經(jīng)營的企業(yè)，涉及到控制或處理個人數(shù)據(jù)相關(guān)業(yè)務(wù)時應(yīng)當(dāng)保持謹(jǐn)慎。要認(rèn)真了解數(shù)據(jù)保護(hù)官制度的各方面要求和規(guī)定，并按照GDPR的規(guī)定加強個人數(shù)據(jù)保護(hù)，及時聘任數(shù)據(jù)保護(hù)官，以保證企業(yè)在涉及收集、處理、使用個人數(shù)據(jù)時合法、合規(guī)性。