×

打开微信,扫一扫二维码
订阅我们的微信公众号

首页 锦天城概况 专业领域 行业领域 专业人员 全球网络 新闻资讯 出版刊物 加入我们 联系我们 订阅下载 锦天城二十周年 CN EN JP
首页 > 出版刊物 > 专业文章 > 个人信息保护负责人及相关职位对比表

个人信息保护负责人及相关职位对比表

作者:史军 吴鹏飞 2022-08-303279
[摘要]前段时间,有几家企业来了解是否要依据《网络安全法》、《个人信息保护法》、《数据安全法》设立网络安全负责人、个人信息保护负责人、数据安全负责人等职位,以及这些职位的任职要求和法律责任等问题。个别外资客户还提出能否聘请律所/律师来担任这些职位,因为GDPR设置的DPO是可以外聘的。我们就比较了我国相关法律规定下几个类似职位以及GDPR下DPO的职责范围、是否必须设置、任职要求和个人法律责任等方面,做了如下的表格。

前段时间,有几家企业来了解是否要依据《网络安全法》、《个人信息保护法》、《数据安全法》设立网络安全负责人、个人信息保护负责人、数据安全负责人等职位,以及这些职位的任职要求和法律责任等问题。个别外资客户还提出能否聘请律所/律师来担任这些职位,因为GDPR设置的DPO是可以外聘的。我们就比较了我国相关法律规定下几个类似职位以及GDPR下DPO的职责范围、是否必须设置、任职要求和个人法律责任等方面,做了如下的表格。


image.png


从以上表格可以看出相关法律下上述职位的主要特点。


1、一般企业作为网络运营者需要设立网络安全负责人。而网络运营者的定义较为宽泛,包括网络的所有者、管理者和网络服务提供者。


2、只有满足一定条件的企业才需要设立网络安全管理负责人、个人信息保护负责人、数据安全负责人。具体来说:关键信息基础设施的运营者应当设置网络安全管理负责人和专门安全管理机构;相关国家标准规定处理超过100万人的个人信息或处理超过10万人的个人敏感信息的个人信息处理者应当指定个人信息保护负责人;重要数据的处理者应当明确数据安全负责人和管理机构。


3、依法应任命相关职位而未及时任命的,企业可能面临警告、罚款等行政处罚。具体来说:我们已经检索到企业因没有确定上述网络安全负责人,而被行政处罚的案例;《个人信息保护法》未直接规定未依法设立个人信息保护负责人的法律后果,但可能被视为未履行个人信息保护义务而承担责任;《数据安全法》对未能设立数据安全负责人和管理机构的重要数据处理者规定了严重的处罚责任。


4、上述职位都有一定的任职要求,且一般不允许外聘。相关法律均规定担任上述职位均应具备专业知识和相关工作经历;虽然未直接明确规定,但我们倾向于认为这些职位不允许外聘,这一点与DPO不同。


5、担任这些职位可能会因为企业违法而承担个人法律责任。相关法律在规定违法企业的行政责任的同时,均规定了企业直接负责的主管人员和其他直接责任人员面临罚款等的行政处罚。我们倾向于认为,上述职位很可能被认定为“直接负责的主管人员和其他直接责任人员”。


从以上内容可以看出,企业在符合一定条件后,确实应按照法律规定设立相关职位,以满足合规要求;另一方面考虑到这些职位都有一定的任职要求,担任相关职位还可能面临个人法律责任,企业应谨慎选择胜任的人选。而对担任这些职位的个人而言,依据法律规定正确履行职责,可能是避免个人责任的最好方式。


篇幅所限,本文未做展开。如果对这个话题感兴趣,我们另外准备了一篇上述各职位的详细介绍,欢迎与我们联系。