浅议个人信息保护官制度

　　今年两会期间，全国人大代表张兆安提议，尽快制定个人信息保护法，建立个人信息保护官制度。个人信息保护制度的设立，不仅需要个人维权的民事手段，还应当有行政监管和企业内部的监管。事实上，欧美及韩国已建立相应制度。

　　如已经正式生效的欧盟《通用数据保护条例》（简称《条例》），明确规定了个人信息保护官的权利与责任。其中，第37条至第39条规定：（1）依照《条例》向个人信息控制者和处理者以及其他有义务遵守该法则的雇员发出通知或建议；（2）监督其所在机构对《条例》的遵守情况，包括责任的分配、意识的提升、参与信息处理的员工的培训以及相关审计；（3）为其所在机构提供有关数据保护影响评估的建议并对评估工作进行监督；（4）与监管机构保持协作，就数据处理问题充当监管机构的联络人；（5）就信息处理等有关事项，直接向个人信息控制者或处理者的最高管理层报告；（6）接受个人信息主体就有关个人信息处理所进行的联络；（7）对其所进行的任务和工作进行保密，由个人信息控制者或处理者公开个人信息保护官的联系方式，并告知监管机构等。

　　近年来，我国互联网企业发展迅猛，如何让“中国智慧”更快融入国际互联网经济社会发展，成为互联网企业必须实施“走出去”战略，必须考虑的问题。笔者认为，从顶层设计角度看，设立个人信息保护官，至少有两点优势：

　　首先，可以规避世界贸易中有关个人信息事项的违规风险，降低企业成本，提高其国际竞争力。国际社会中对个人信息保护的要求日益高涨，世界上多个国家和国际组织的相关立法陆续出台，互联网企业有关个人信息行为的合规必要性也“水涨船高”。对企业而言，就个人信息保护设立个人信息保护官，以专业人士视角对有关个人信息的收集处理等行为，进行内部企业员工培训，企业内部审核以及个人信息风险评估等工作，使之符合相关国家法律规定。这不但有利于降低企业因违规造成的成本支出，而且在个人信息被侵权之前堵截其源头，减少企业因修复技术漏洞而产生的成本。当然也有助于我国互联网企业树立国际良好形象，提升其商誉，建立用户信任，巩固企业与用户的关系，从而提高企业竞争力。

　　其次，个人信息保护官可以加强企业与监管机构就个人信息保护进行沟通，提升监管效率。个人信息保护官是企业中专门负责个人信息保护事项的法律工作人员。其主要承担就个人信息相关任务向企业高层直接报告的义务，也承担与监管机构保持联络，充当监管机构与企业的联络点。一旦涉及个人信息的问题发生，企业可以第一时间取得与监管机构的联络，获得有关技术的支持及其他配套保护服务工作的帮助。与此同时，个人信息保护官是企业内部监管的负责人，其负有合理关注数据处理行为风险的义务。内部监管与外部监管双管齐下，有利于提高对企业个人信息处理行为的监管效率。因此，建立个人信息保护官制度意义重大。

　　（作者系韩国国立忠北大学科技法专业在读博士研究生）