从数据保护官到首席数据官

          前不久，国家发展改革委等部门印发《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》的通知，擘画了中国数据发展的新蓝图。其中，鼓励企事业单位设立首席数据官成为一大看点。当下，数据的重要性与价值日益凸显，企事业单位设立首席数据官无疑是大势所趋。而放眼世界，回望数据立法、数据保护的历程，亦有诸多值得借鉴之处。

         数据保护官源起西德黑森州法

         纳粹失败后，痛定思痛的西德社会达成共识：国家对个人数据的收集不应失控。黑森州州长决定立法。然而，谁有能力来起草这部史无前例的法案？彼时，黑森州名校法兰克福大学的一位年轻学者斯皮罗斯·西米蒂斯，正在研究电子数据处理。他的家族中，祖孙三代都是法学教授，弟弟后来成为了希腊总理。二战结束后，希腊政治动荡，西米蒂斯兄弟二人赴西德学习。哥哥在法兰克福大学担任劳动法、民法和法律信息学讲席教授，创建数据保护研究所，成为全球公认的数据保护法之父。黑森州立法重任自然落在了他的肩头。35岁的斯皮罗斯·西米蒂斯不辱使命，发挥大陆法系国家成文法之长，领衔起草了世界上第一部数据保护法——1970年《黑森州数据保护法》。新法对行政机关利用计算机技术进行自动化数据处理作出了一系列规定。

         值得一提的是，这部法律的第五条提出：每个数据处理机构必须任命一名数据保护官并确定其职责范围。此后的一切，都是历史。1973年，瑞典制定第一部《数据法》。1977年，西德推出《联邦数据保护法》。1978年，法国也就数据保护立法。1984年，英国议会制定《数据保护法》。领导欧洲委员会数据保护问题专家委员会的西米蒂斯，推动欧共体采纳个人数据保护统一立法模式并于1995年发布《个人数据保护指令》。

         上述指令旨在保护“自然人的基本权利和自由，特别是他们在处理个人数据方面的隐私权”。西米蒂斯指出：“这在保护个人数据和一般的基本权利与自由之间建立了一种功能性的联系，而不是将其保护对象缩小到私人领域。”2010年11月，欧盟委员会发布《欧洲范围内全方位的个人数据保护法》，指出技术飞速发展和全球化给个人数据保护带来了极大挑战，强化数据保护箭在弦上，不得不发。欧盟委员会发起一场声势浩大的多方利益相关者协商，最后提交了2012年1月立法方案，旨在改革欧盟指令。2018年，《通用数据保护条例》（GDPR）呱呱坠地，在欧盟范围正式实施。

          GDPR数据保护官的指定、定位与任务

          总计99条的GDPR，引入数据保护官（DPO）规定。相关法条足足有3条，包括DPO的指定、定位和任务等，以确保其能够扮演好组织合规和个人数据保护的主角。DPO的设立宗旨是确保组织在涉及员工、客户及供应商等个人数据处理时，全面遵循法律法规的严格规定。GDPR第三十七条规定：3种情况下，组织必须强制指定DPO。即，数据处理由公共机构进行（法院除外）；组织核心活动涉及需要大规模、定期和系统性监测数据主体的处理操作；组织核心活动涉及大规模处理特殊类别数据或与刑事定罪和犯罪有关的数据。

         企业未设立DPO或具体设立违反GDPR规定，将被认定为违背数据控制者或处理者法定责任。依据GDPR第八十三条规定，企业可能面临最高1000万欧元或全球年营业额2%的处罚。如何选任DPO？GDPR第三十八条规定DPO选任首要考量因素——专业素质。合格的DPO需要有丰富的数据保护法律知识、实践经验、沟通协调与统筹能力。 DPO的独立性相当重要。GDPR第三十八条第三款保障DPO履职行为不受数据控制者或处理者的指示和干预，后者不得因合规活动惩罚或解雇DPO。2022年6月22日，在一起案件中，欧盟法院判决：必须保护DPO免受任何终止其职责的决定的影响，解雇或处罚的决定将使DPO处于不利地位。这一要求一视同仁地适用于内部员工DPO和外部DPO。GDPR第三十八条第六款要求DPO自身不得从事与其履职相冲突的工作，以保障独立判断。为避免利益冲突，DPO不得兼任首席运营官（COO）、首席执行官（CEO）。

         2023年2月9日，欧盟法院作出一份判决：在存有利益冲突而无法完全独立地履行其职责的情况下，DPO将遭解职。此前，德国联邦劳动法院就一家企业与其前DPO之间的诉讼请求欧盟法院作出初步判决。这名DPO兼任工作委员会主席职务，2017年12月被解除DPO职务。上述企业将其解职理由是“两个职位不相容”，履行两项职能存在利益冲突的风险。欧盟法院强调按照第三十八条，审查必须由DPO独立进行。GDPR第三十九条则规定，DPO应参与和个人数据保护相关的所有事项，具体负责：为数据控制者或处理者及相关数据处理人员提供通知和建议；提供有关数据保护影响评估的建议；与监管机构协作等。

         如何发挥首席数据官的独特优势

         如今，已有137国制定数据保护法或隐私保护法，覆盖了全球70%以上的国家。巴西、韩国、新加坡等53国效仿GDPR，立法要求设立DPO。日本总务省2022年发布《企业隐私治理指南》，建议企业任命DPO。2019年，日本成立DPO协会，着手推动DPO资格认证。坚持行业自律的美国，至少百家大公司设有DPO，如花旗、运通、惠普、微软等。2021年11月1日，我国个人信息保护法施行，借鉴GDPR确立个人信息保护负责人制度。但在实践中，一些个人信息保护负责人独立性弱，依附性强，多为内部人员。此外，在任命、解雇方面，对个人信息保护负责人独立地位的保障不足。

         有鉴于此，近年来，我国多地开始推行首席数据官制度。2021年，广东印发首席数据官制度试点工作方案，各试点市、县（市、区）政府和试点部门分别设立首席数据官。2022年，浙江杭州115家市直部门、市属国有企业设立首席数据官。广东、江苏等省工业和信息化厅发布企业首席数据官制度建设指南，推动企业设立首席数据官。2023年1月1日，《北京市数字经济促进条例》施行，其中第四十八条提出“鼓励各单位设立首席数据官”。

          实践探索中，我国首席数据官制度尚面临职能定位不明确、权责配置不到位、人才建设不充分、评价机制不健全、运行基础薄弱、数据制度体系不完善等困境，改革任重而道远。笔者认为，未来，不妨借鉴域外成功经验，在首席数据官的定位、资格、职权、独立性、专业性、尽职免责等重大问题上推出新举措。在此基础上，才能更好地发挥首席数据官的独特优势，推动数据治理、数据共享开放和开发利用，发出中国声音，贡献中国智慧。

（作者系中国政法大学比较法学研究院讲师）