《法治周末》記者 孟偉

近日，人力資源社會保障部、中央網信辦聯(lián)合發(fā)布《關于進一步加強人力資源市場規(guī)范管理的通知》，對泄露求職者個人信息的行為針對性提出管理措施，要求“各地人社部門將督導大型網絡招聘服務機構完善技防、人防、制防一體化信息保護措施”。

隨著數據時代的發(fā)展，個人信息被泄露的風險像一把懸在頭頂上達摩克利斯之劍。如今很難阻止企業(yè)或個人對個人信息的收集和使用，因此監(jiān)督個人信息處理行為更為重要。

為監(jiān)督企業(yè)個人信息處理情況，除了建立外部監(jiān)管制度外，2021年起施行的個人信息保護法提出了個人信息保護負責人的內部監(jiān)督制度。對于個人信息保護負責人的適用范圍、資質、職責、獨立性保障等問題，《法治周末》記者采訪了中央財經大學法學院教授劉權。

個人信息保護負責人是什么

《法治周末》：什么是個人信息保護負責人？

劉權：個人信息保護負責人屬于履行公共職能的私人監(jiān)督者。個人信息保護負責人的產生，是政府強化企業(yè)自我規(guī)制以彌補數字時代行政監(jiān)管不足的現實需要。2017年發(fā)布的《信息安全技術 個人信息安全規(guī)范》首次使用“個人信息保護負責人”一詞，2021年起施行的《中華人民共和國個人信息保護法》中將其職能定位為“負責對個人信息處理活動以及采取的保護措施等進行監(jiān)督”。

面對日新月異的數字科技和幾乎無處不在的個人信息處理行為，監(jiān)管部門存在“知識供給不足”、違法信息獲取的滯后性、人財物的有限性等缺陷，導致傳統(tǒng)的行政監(jiān)管日益捉襟見肘、力不從心。自我規(guī)制主體擁有充分的“內部知識”和較高的專業(yè)技術水平，可以通過較低的成本更快捷地回應技術變化，更容易創(chuàng)造出更有力的監(jiān)管手段。

《法治周末》：個人信息保護負責人的職責是什么？

劉權：個人信息保護負責人的使命是為保護個人信息，可以較為有效地監(jiān)督高風險的不合規(guī)處理行為。通過對個人信息處理者的作為和不作為行為進行全面監(jiān)督，如監(jiān)督是否制定并及時更新了個人信息保護政策和相關規(guī)程、是否開展了有效的個人信息保護影響評估、是否定期進行了合規(guī)審計、是否采取了必要的安全保護措施，個人信息保護負責人可以預防和制止不合規(guī)的個人信息處理而達到未雨綢繆的效果。

此外，個人信息保護負責人作為連接紐帶，有利于推動個人信息保護的公私合作治理。通過對內負責對個人信息處理活動以及采取的保護措施等進行監(jiān)督，對外協(xié)助個人信息權益人實現其權利束，并及時向監(jiān)管部門報告相關情況，個人信息保護負責人可以有效協(xié)調多方力量共同保護個人信息。

《法治周末》：個人信息保護負責人應具備哪些條件？

劉權：我國的個人信息保護負責人應當誠實正直，具備法律、經濟、科技、政治等專業(yè)知識，并具有一定的管理和溝通能力。首先，誠實正直應是擔任個人信息保護負責人的首要條件。其次，個人信息保護是一項高度專業(yè)化的活動，個人信息保護負責人必須具備相應的專業(yè)知識，尤其是應熟知網絡與信息法。最后，個人信息保護負責人應具有一定的管理和溝通能力，能夠有效同個人信息處理者、監(jiān)管機構和個人信息權益人溝通。此外，擔任個人信息保護負責人應不違反從業(yè)禁止情形。

符合條件的內部員工和外部人員，都可以被指定為個人信息保護負責人，二者各有利弊。外部人員有可能具備更高的專業(yè)能力，更高的工作效率，但外部人員無法有效掌握企業(yè)內部信息，難以進行有效的溝通協(xié)調，且投入監(jiān)督的時間、精力較為有限，為了更好地對個人信息處理者進行具體、深入的日常監(jiān)督，宜指定符合條件的內部員工擔任個人信息保護負責人，但應從制度上保障其能夠獨立地履行監(jiān)督職責。

保障個人信息保護負責人獨立性

《法治周末》：個人信息保護負責人的設立標準和適用主體方面，在您看來應該如何合理確定呢？

劉權：個人信息保護法第52條要求“處理個人信息達到國家網信部門規(guī)定數量的個人信息處理者”應設立個人信息保護負責人。之所以以個人信息處理數量為標準，是因為處理的個人信息數量越多，對個人甚至對社會、國家造成損害的可能性就越大。然而，盡管個人信息處理數量較少，但如果處理的都是敏感個人信息，也可能造成毀滅性影響。應防止“一刀切”地以個人信息處理數量作為強制設立個人信息保護負責人的標準。因此，在以個人信息處理數量為標準的基礎上，需要進一步區(qū)分個人信息的種類和級別。一般而言，處理的個人信息越重要，個人信息處理數量的門檻應當設置得越低。

目前，社會對個人信息濫用的關注點基本上都集中在對個人和商業(yè)機構上，缺少對國家機關的個人信息處理行為的關注。實際上，無論是私人主體還是公共機構，都存在故意或過失侵犯個人信息的可能。公共機構同時屬于個人信息保護者和個人信息處理者，負有對私主體的個人信息處理進行監(jiān)管的職責，但同時應確保自身進行個人信息處理時合規(guī)，同樣有必要設立個人信息保護負責人。

《法治周末》：為保障個人信息保護負責人的獨立性，您有哪些建議？

劉權：想要使個人信息保護負責人獨立有效地監(jiān)督個人信息處理者，需要完善的配套制度予以保障。其一，個人信息處理者應當將所有相關信息及時提供給個人信息保護負責人，并保障其能夠參與重要會議。個人信息保護負責人在履職時不應受到任何干預，獨立發(fā)表不同意見的權利應得到保障。其二，為個人信息保護負責人提供必要的資源。除必要的物質資源外，還包括履職所應當具備的所有相關條件，如獲得管理高層的支持、充裕的履職時間、適當的人財物支持、訪問其他部門的必要權限、持續(xù)的培訓等。其三，個人信息保護負責人應具有相對獨立的地位，不應受任何部門的直接領導，有權自主開展監(jiān)督活動。如果個人信息保護負責人獨立履職面臨較大的內部阻力，監(jiān)管機構應提供相應的幫助。其四，個人信息保護負責人的法定職責為“監(jiān)督”，不應同時履行存在利益沖突的職責。

我認為，作為數字時代市場需求巨大的個人信息保護負責人，需要通過專門的培養(yǎng)與認證機制予以職業(yè)化，才能有效保障其履職的獨立性和專業(yè)性。必要時可以通過考試等方式，為符合資質的人員頒發(fā)個人信息保護負責人證書。

此外，個人信息處理者不得隨意解雇或懲罰個人信息保護負責人，以保障其能夠安心無憂地獨立行使監(jiān)督職責。即使同樣是企業(yè)的內部員工，對個人信息保護負責人的解雇或懲罰也應當適用更為嚴格的條件和程序。除非基于重大事由，否則不得隨意解雇個人信息保護負責人。個人信息保護負責人的合同越穩(wěn)定，防止不公平解雇的保障措施越多，就越有可能獨立履職。

《法治周末》：如出現個人信息泄露的情形，個人信息保護負責人是否要承擔責任？

劉權：個人信息保護負責人不是真正的“負責人”，而是“監(jiān)督人”，所以不應對個人信息保護負直接責任，只應在監(jiān)督不力或故意違法的情形下承擔責任。

如果個人信息保護負責人沒有過錯，勤勉盡職地進行了獨立有效的監(jiān)督，即使發(fā)生了個人信息損害，也不用對此承擔責任。個人信息保護法第69條規(guī)定了過錯推定原則，即個人信息處理者能證明自己沒有過錯的，即使存在損害也不用承擔侵權責任。過錯推定原則也可適用于個人信息保護負責人，如果其能證明自己有效履行了監(jiān)督職責而沒有過錯，就不用承擔責任。如果個人信息保護負責人存在過錯而沒有獨立有效地履行監(jiān)督職責，應根據過錯大小承擔相應的責任。如果明知或應當知道個人信息處理者的個人信息處理活動違法，或明知或應當知道個人信息處理者沒有采取必要的保護措施，但仍然不提出有效的監(jiān)督建議，不及時向監(jiān)管機構報告，則個人信息保護負責人應承擔相應的責任。如果個人信息保護負責人只是由于過失而沒有獨立有效地履行監(jiān)督職責，應根據過失大小確定責任大小。如果個人信息保護負責人直接參與到個人信息處理活動中導致個人信息損害，或是幫助個人信息處理者掩蓋、銷毀證據，應同個人信息處理者一起承擔連帶責任。