个人信息保护相关职位对比表

作者: 史军和吴鹏飞,锦天城律师事务所
0
436
LinkedIn
Facebook
Twitter
Whatsapp
Telegram
Copy link

来,常有企业咨询是否需要依据《网络安全法》《个人信息保护法》《数据安全法》设立网络安全负责人、个人信息保护负责人、数据安全负责人等职位,以及这些职位的任职要求和法律责任等问题。个别外资客户还提出能否聘请律所/律师来担任这些职位,因为一般资料保护规则(GDPR)设置的数据保护官(DPO)是可以外聘的。我们比较了中国相关法律规定下几个类似职位以及GDPR下DPO的职责范围、是否必须设置、任职要求和个人法律责任等方面信息,并进行了如下分析。

Sharon Shi, AllBright Law Offices
史军
高级合伙人
锦天城律师事务所

从右侧表格可以看出相关法律下上述职位的主要特点。

  • 一般企业作为网络运营者需要设立网络安全负责人。而网络运营者的定义较为宽泛,包括网络的所有者、管理者和网络服务提供者。
  • 只有满足一定条件的企业才需要设立网络安全管理负责人、个人信息保护负责人、数据安全负责人。具体来说,关键信息基础设施的运营者应当设置网络安全管理负责人和专门安全管理机构;相关国家标准规定处理超过100万人的个人信息或处理超过10万人的个人敏感信息的个人信息处理者应当指定个人信息保护负责人;重要数据的处理者应当明确数据安全负责人和管理机构。
  • 未依法设置相关职位的企业可能面临警告、罚款等行政处罚。我们已经检索到企业因没有确定上述网络安全负责人,而被行政处罚的案例;《个人信息保护法》未直接规定未依法设立个人信息保护负责人的法律后果,但可能被视为未履行个人信息保护义务而承担责任;《数据安全法》对未能设立数据安全负责人和管理机构的重要数据处理者将予以严重处罚。
Wu Pengfei, AllBright Law Offices
吴鹏
顾问
锦天城律师事务所
  • 上述职位都有一定的任职要求,且一般不允许外聘。相关法律均规定担任上述职位者应具备专业知识和相关工作经历;虽然未直接明确规定,但我们倾向于认为这些职位不允许外聘,这一点与DPO不同。
  • 担任这些职位可能会因为企业违法而承担个人法律责任。相关法律规定违法企业承担行政责任的同时,以上职位的主管和其他负责人亦将面临罚款等的行政处罚。

由上可知,企业在符合一定条件后,确实应按照法律规定设立相关职位,以满足合规要求;另一方面考虑到这些职位都有一定的任职要求,担任相关职位还可能面临个人法律责任,企业应谨慎选择胜任的人选。而对担任这些职位的个人而言,依据法律规定正确履行职责,可能是避免个人责任的最好方式。

锦天城律师事务所高级合伙人史军,顾问吴鹏

Allbright Logo锦天城律师事务所
上海市浦东新区银城中路501号
上海中心大厦11及12层 邮编:200120
电话: +86 21 2051 1000
传真: +86 21 2051 1999
电子信箱:

sharonshi@allbrightlaw.com
wupengfei@allbrightlaw.com

www.allbrightlaw.com

LinkedIn
Facebook
Twitter
Whatsapp
Telegram
Copy link