隨著中國個人信息保護史上的里程碑意義的法律——《個人信息保護法》（下稱“《個信法》”）于2021年11月1日的正式生效，一篇《300萬年薪招不到人，誰能勝任首席安全官？》引起互聯網企業的廣泛關注，揭示了國內安全行業人才極度稀缺的現狀。

面對“監管風暴”與“高額懸賞”，安全1號位（本文中“安全1號位”指個人信息保護負責人，或與該崗位權責類似的負責人），準備好了嗎？

重賞之下，必有勇夫？

安全1號位，在沖動接下Offer之前，建議深度思考一個核心問題：企業為何愿意重金招聘，《個信法》的生效對安全1號位意味著什么？ 

根據安全公司Proofpoint對全球1400位CISO（即Chief Information Security Officer，首席信息安全官）對當前網絡安全形勢看法的最新調查《2021 VOICE OF THECISO REPORT》顯示，網絡罪犯利用新冠肺炎疫情給全球經濟帶來的巨大壓力，加劇了網絡犯罪惡意活動，約64%的受訪CISO表示，其所在公司有可能在未來12個月里遭受實質性網絡攻擊，其中英國和德國的CISO擔憂比例高達81%和79%。

在這種全球環境下，國內的立法與執法更是逐步趨嚴。

根據2021年前三季度工業和信息化發展情況新聞發布會上公布的數據，“前三季度已經開展了10批次集中檢測，累計通報了1494款違規APP，下架了408款拒不整改的APP，對違規行為始終保持高壓震懾”。

11月3日，中國網絡空間安全協會發布團體標準《應用商店APP個人信息收集使用上架審核和管理規范（征求意見稿）》，意味著APP、小程序、快應用、H5等其他新形態網絡應用程序，除了上架后面對國家監管部門審核監管外，可能連最開始在應用商店、應用市場、分發網站內的上架審核都可能無法通過。

而這些責任在誰頭上？毋庸置疑，安全1號位。

 GDPR“DPO免責”PK《個信法》“雙罰制”

前述能否上架可能只是企業內部對安全1號位的基本要求，但《個信法》生效后，除了內部責任外，在企業違規處理個人信息或者處理個人信息未履行法定個人信息保護義務的情況下，安全1號位，更是面臨外部行政監管的“雙罰制”。 

歐盟GDPR以及WP29（即歐盟第29條數據保護工作組）的《DPO指南》明確了“組織確保DPO免責”的基本原則，（注：DPO即Data Protection Officer，數據保護官）即GDPR僅針對作為數據控制者的組織進行處罰，并明確要求數據控制者與數據處理者應當確保DPO不會收到任何有關執行其工作任務的指示，DPO不能因執行自身的任務而被解雇或處罰（為免疑義，針對DPO未勤勉盡責的情形，本文中不作論述）。

與該歐盟適用的原則顯著不同，中國《個信法》確立了在個人信息違規領域的“雙罰制”，為作為個人信息保護負責人的自然人戴上了“枷鎖”，除雙罰制外，亦呈現出“兩級制”以及“處罰措施多維度”的特點，具體如下：

其一，“雙罰制”。針對違反《個信法》規定處理個人信息的，或未履行《個信法》規定個人信息保護義務的，除了針對單位進行處罰外，明確了責任人（直接負責的主管人員和其他直接責任人）應承擔的行政責任（見下文“兩級制”與“處罰措施多維度”）；

其二，“兩級制”。《個信法》區分違規的“一般情形”與“情節嚴重”分別設置兩級處罰，單位罰款最高可達5000萬元或上一年度營業額5%，直接負責的主管人員和其他直接責任人員罰款最高可達100萬元；

其三，“處罰措施多維度”。除罰款外，亦規定了針對負責人的“行業禁止令”（禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人）等處罰措施，該等措施與罰款可為“并處”關系。

可見，安全1號位，在企業違規的情況下，存在針對其個人的行政責任，處罰措施上不僅存在最高可達100萬元的罰款，亦可能與行業禁止令并處。

安全1號位，權責剖析

知悉最高違規成本后，安全1號位，更需要知曉的是哪些平臺需要設置個人信息保護負責人，以及個人信息保護負責人的權責？

1. 哪些平臺需要設置個人信息保護負責人？

我們隨機檢索了五家典型互聯網平臺基于《個信法》生效更新的最新隱私政策，其中兩家平臺（美團與微信）已設置個人信息保護負責人，并依據《個信法》要求公開個人信息保護負責人的聯系方式；兩家平臺（淘寶與餓了么）僅設置個人信息保護專職部門，并未公示已設置個人信息保護負責人及其聯系方式；一家平臺（微博）未公示已設置個人信息保護負責人或個人信息保護專職部門。

可以看出，目前各互聯網平臺在個人信息保護負責人的設置上呈現出參差不齊的現象。根據《個信法》的規定，處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人，負責對個人信息處理活動以及采取的保護措施等進行監督。而具體數量尚無明確規定，參考《信息安全技術 個人信息安全規范》（GB/T 35273—2020，下稱《個人信息安全規范》），滿足以下條件之一的組織，應設立專職的個人信息保護負責人和個人信息保護工作機構，負責個人信息安全工作：

(1) 主要業務涉及個人信息處理，且從業人員規模大于200人；

(2) 處理超過100萬人的個人信息，或預計在12個月內處理超過100萬人的個人信息；

(3) 處理超過10萬人的個人敏感信息的。

2. 個人信息保護負責人的權責

《個信法》未對個人信息保護負責人的資質提出要求，根據《個人信息安全規范》的要求，個人信息保護負責人在角色定位上：

(1) 其一，應具有相關管理工作經歷和個人信息保護專業知識；

(2) 其二，應參與有關個人信息處理活動的重要決策直接向組織主要負責人報告工作；

(3) 其三，組織應為其提供必要的資源，保障其獨立履行職責。

針對安全1號位的具體權責，《個信法》明確的原則為“負責對個人信息處理活動以及采取的保護措施等進行監督”，若僅就該原則做文義解釋，安全1號位權責核心在于“監督”，對比GDPR項下DPO的職責（以參與和個人數據保護相關的所有事項為原則，具體負責：為數據控制者、數據處理者及相關數據處理人員提供通知和建議；監督GDPR、成員國數據法規、數據控制者和處理者政策以及相關審計活動的合規性；提供有關數據保護影響評估的建議；與監管機構協作；為監管機構和數據處理活動提供聯絡），范圍小得多。

這將形成安全1號位在中國作為個人信息保護負責人對比歐盟的DPO，其“職責更小，但風險更高”的局面（即DPO權責大，但風險小）。

在《個信法》正式生效前，《個人信息安全規范》亦對安全1號位的職責進行了具體列舉：（1）全面統籌實施組織內部的個人信息安全工作，對個人信息安全負直接責任；（2）組織制定個人信息保護工作計劃并督促落實；（3）制定、簽發、實施、定期更新個人信息保護政策和相關規程；（4）建立、維護和更新組織所持有的個人信息清單（包括個人信息的類型、數量、來源、接收方等）和授權訪問策略；（5）開展個人信息安全影響評估，提出個人信息保護的對策建議，督促整改安全隱患；（6）組織開展個人信息安全培訓；（7）在產品或服務上線發布前進行檢測，避免未知的個人信息收集、使用、共享等處理行為；（8）公布投訴、舉報方式等信息并及時受理投訴舉報；（9）進行安全審計；（10）與監督、管理部門保持溝通，通報或報告個人信息保護和事件處置等情況。

基于權責與風險呈正相關的原則，建議將《個人信息安全規范》的職責作為《個信法》項下安全1號位職責的有效補充，但這亦意味著對安全1號位自身能力與經驗要求的提升。

結語

在信息技術飛速發展，立法日益完善，監管日趨規范，個人信息主體維權意識愈發強烈的大環境下，安全1號位，將是機遇與挑戰并存，夢想與輝煌同在的急缺職位。面對中國對個人信息保護負責人最高可達100萬元的罰款且可并處行業禁止令的嚴厲罰則，安全1號位，你準備好了嗎？  

建議任職前完善管理工作經歷和個人信息保護專業知識，加強自身風險防控意識；任職中依法勤勉盡責履行法定職責，亦可充分利用外部資源，積極尋求外部中介機構支持，優化內部個人信息安全風控體系。