即将于2025年1月1日实施的《网络数据安全管理条例》(下称“网数条例”)第三十条规定,“重要数据的处理者应当明确网络数据安全负责人……网络数据安全负责人应当具备网络数据安全专业知识和相关管理工作经历,由网络数据处理者管理层成员担任,有权直接向有关主管部门报告网络数据安全情况。”同时,《网数条例》第二十八条还规定,“网络数据处理者处理1000万人以上个人信息的,还应当遵守本条例第三十条……的规定。”
从法律解释的角度,并结合相关实务经验,汇业黄春林律师团队就业界普遍关注的“网络数据安全负责人”有关问题,简要分析如下,仅供参考。
一、哪些企业必须明确网络数据安全负责人?
(1)重要数据处理者:根据《数据安全法》第二十七条和《网数条例》第三十条等规定,重要数据的处理者应当明确网络数据安全负责人。我国对重要数据采取“目录清单+识别申报+确认告知”的管理模式。
(2)千万级个人信息处理者:根据《个人信息保护法》第五十二条和《网数条例》第二十八条等规定,处理1000万人以上个人信息的个人信息处理者应当明确网络数据安全负责人。根据近期监管实践,这里的人数包括个人信息处理者在基准日合法处理的所有主体(包括会员、用户、交易相对人、员工等),统计可以按照人头去重,但不得通过数量拆分等方式恶意逃避法律责任。实务中,不具有管理、人事、系统及业务等独立性的集团各公司,一般应当合并统计人数。
除了以上企业外,参照《个人信息安全规范》及目前主流行业实践,主要面向C端用户的企业(例如金融、交通、汽车、零售、医药、互联网等),亦建议明确网络数据安全负责人。
二、网络数据安全负责人如何产生,是否可以兼任?
《数据安全法》《网数条例》(含征求意见稿)规定的网络数据安全负责人的产生方式为“明确”, 《个人信息保护法》规定的个人信息保护负责人的产生方式为“指定”,《网络安全法》规定的网络安全负责人的产生方式为“确定”。但是,《网络安全法》《关键信息基础设施安全保护条例》规定,关键信息基础设施运营者(下称“CIIO”)的安全负责人的产生方式为“设置”,且要求是“专门”。
因此,根据以上法律规定并结合法律解释技术,参照数据出境安全评估及标准合同备案项目实践,同时参考《个人信息安全规范》等标准文件,企业可以通过任命书、上岗通知、内部政策、制度附件等方式明确网络数据安全负责人。此外,根据“举重明轻”的法律解释原则,只有CIIO的安全负责人需要“专门设置”,CIIO以外的其他企业并无专门设置网络数据安全负责人的法定义务,可以明确企业现有人员(例如DPO、法务负责人、合规负责人、CISO等)同时兼任“数据安全负责人”、“网络数据安全负责人”、“个人信息保护负责人”等。
但是,从责任及风险隔离角度,并参考《个人信息安全规范》等标准文件,主要面向C端用户的企业(例如金融、交通、汽车、零售、医药、互联网等),亦建议设置专门的人员负责网络数据安全、个人信息保护等工作。此外,根据《儿童个人信息网络保护规定》等规定,应当指定专人负责儿童个人信息保护。
最后,实体层面,不具有管理、人事、系统及业务等独立性的集团各公司,或者同一实体旗下的不同品牌的网络数据安全负责人通常可以由1人兼任。
三、担任网络数据安全负责人需要符合
什么条件?
《网数条例》及其征求意见稿,以及早先发布的《数据安全管理办法(征求意见稿)》,网络数据安全负责人的任职条件是一脉相承的,即需要具备“网络数据安全专业知识”和“相关管理工作经历”。参考电信业务许可申请、ICP备案及公安联网备案等规定的安全负责人任职条件要求,“网络数据安全专业知识”通常需要提供相关的考试、证书、学习及学历背景等材料提供支撑,“相关管理工作经历”通常需要提供相关的任命文件、任职经历、项目经验等材料提供支撑。
考虑到“有权直接向有关主管部门报告网络数据安全情况”及“负责对个人信息处理活动以及采取的保护措施等进行监督”等法律实质要求,参考电信业务许可申请、ICP备案及公安联网备案等规定,建议网络数据安全负责人由企业(含集团)内部中国籍人员担任。但是,参照数据出境安全评估及标准合同备案项目实践,网络数据安全负责人并无劳动合同及国籍等限制条件。
对于特殊行业企业而言,还应当对网络数据安全负责人进行安全背景审查,以确保其没有影响任职的风险履历等。
四、如何理解“管理层成员”的职级要求?
从《数据安全管理办法(征求意见稿)》到《网数条例(征求意见稿)》再到《网数条例》,网络数据安全负责人的职级要求有个历史变化的过程。《数据安全管理办法(征求意见稿)》规定的是“直接向网络运营者的主要负责人报告工作”,而《网数条例(征求意见稿)》规定的是“决策层成员”, 《网数条例》规定的是“管理层成员”。回顾这一历史过程,并参考其他法律中关于“决策层”和“管理层”的文义解释,这里的职级要求应该是有一个明显的“下放”趋势。
此外,“管理层成员”显然不能简单的等同于《公司法》上的“高级管理人员”。但由于上位法没有一个明确的法律定义,参考上市公司、金融机构监管有关规定,“管理层成员”应当包括董监高及根据公司内部法律文件合理确定的享受特定待遇的人员,但职级必须能够满足“有权直接向有关主管部门报告网络数据安全情况”及“负责对个人信息处理活动以及采取的保护措施等进行监督”等法律实质要求。对于国内企业来说,职级建议参考《企业国有产权向管理层转让暂行规定》等规定的“单位负责人以及领导班子其他成员”;对于外资企业来说,职级建议为副总经理/副总裁级别,但最低不宜低于总监级别。
五、业界通常由谁担任网络数据安全负责人?
不同性质、地区的企业,通常由不同的人员担任网络数据安全负责人。比较常见的模式有如下几种:专职DPO,网安负责人、IT负责人、法务负责人、合规负责人或公关负责人兼任,等等。由其他部门负责人兼任的,通常会确定由相关部门人员共同组成的网络数据安全管理机构,该机构通常还会至少有1名专职成员。此外,通常还会为兼任的网络数据安全负责人提供与之相适应的职级薪酬、岗位补贴、责任补助等。
六、网络数据安全负责人的职责是什么?
《个人信息保护法》规定的个人信息保护负责人的职责是“进行监督”。《网数条例》仅规定了网络数据安全管理机构的责任,并未规定网络数据安全负责人的职责,但至少应当包括“向有关主管部门报告网络数据安全情况”的职责。而《网数条例(征求意见稿)》规定,数据安全负责人“领导”数据安全管理机构的工作。
因此,考虑到任职要求的“管理工作经历”和职级要求的“管理层成员”,网络数据安全负责人作为网络数据安全管理机构的实际负责人,全面领导、主持企业数据安全工作,包括但不限于组织制定管理制度,组织定期开展风险评估与教育培训,组织处置风险事件,组织受理投诉及举报,等等。详细职责也可以根据部门设置现状及可比行业实践等情况具体设置,或者参考《个人信息安全规范》《网络数据处理安全要求》《互联网交互式服务安全保护要求》等相关内容。
七、网络数据安全负责人的教育培训有什么
要求?
《网数条例(征求意见稿)》详细规定了网络数据安全负责人的培训要求,即“每年教育培训时间不得少于二十小时”, 《网数条例》摈弃了这一细节规定。但是,根据《个人信息保护法》《数据安全法》等规定,企业应当“定期对从业人员进行安全教育和培训”。因此,从企业勤勉合规免责等角度,建议企业每年应当对网络数据安全负责人及网络数据安全管理机构的其他成员开展教育培训工作,培训内容应当有别于面向全公司成员的普及型培训。
八、网络数据安全负责人是否可以担任境外集团的指定代表?
《网数条例》进一步细化了《个人信息保护法》第五十三条的规定,但并未详细规定境内指定代表的任职条件。综合考虑企业保密、成本及监管便利性等因素,由境外集团在境内关联公司的网络数据安全负责人担任指定代表,或许是一种比较好的实践。当然,考虑到境外集团的涉政风险不可控性,从风险隔离的角度,也可以由境内关联公司的网络数据安全管理机构的其他成员)。此外,也可以参照新加坡等地实践,探索由外部中介机构成员担任指定代表。
九、如何报送、披露网络数据安全负责人?
《网数条例》并未延续《个人信息保护法》《网数条例(征求意见稿)》等规定的单独报送的要求,而是规定重要数据处理者在年度风险评估报告中同步申报“网络数据安全负责人姓名和联系方式”。但是,千万级个人信息处理者并无年度风险评估的法律义务,其办理网络数据安全负责人报送的路径暂不明确。考虑到《网数条例》关于加强制度衔接的政策导向,以及受理机构的同一性,建议可以在数据出境安全评估、合规审计等程序中同步实现报送,以切实减轻企业合规负担。
《网数条例》并未要求企业通过隐私政策、社会责任报告等方式向公众披露网络数据安全负责人姓名和联系方式。
十、网络数据安全负责人有什么特别法律
责任?
不论是《数据安全法》《个人信息保护法》,还是《网数条例》,都没有单独针对网络数据安全负责人的特别法律责任,其中针对企业个人的,主要是 “直接负责的主管人员和其他直接责任人员”。
至于网络数据安全负责人是否会被认定为“直接负责的主管人员”,还要看网络数据安全负责人在特定的业务活动及数据处理活动中是否承担“主管”责任,以及是否存在主观上的过错和因果关系等等。实践中,网络数据安全负责人可以通过制定操作规程、购买专项保险、咨询专业机构等方式降低任职风险。
