近年来，企业也越来越注重数据处理合规问题的解决。360、蚂蚁金服等先觉的企业接连设立了首席隐私官(Chief privacy officer简称CPO)以实现对用户隐私信息的保护。

GDPR生效之后，一种新型角色被推上风口浪尖，成为世界范围内各大互联网、广告媒体、新闻企业竞相追逐的“香饽饽”。此角色被称作数据保护官（Data Protection Officer简称DPO），GDPR第37至第39条对DPO的委任、职位和任务做出了专门的规定。作为数据规制新时代下的新产物，如何对DPO进行全面、准确的理解从而将其更好地应用于实践中，是企业及其他机构都需要关注的重要话题。

——数据合规的监督者与协调者

数据保护官是GDPR明确指出的企业内承担数据保护合规相关职责的职能角色。对DPO的专门规定体现了GDPR规制范围的扩大化：数据规制不仅表现在具体的数据处理过程中，也反映为对机构组织结构的干预。

从外部合规的角度而言， DPO的设立是GDPR框架下的强制性要求。若上述机构未设立DPO或具体设计违反GDPR的明确规定，则将被认定为是对控制者与处理者责任的违背。

从内部执行的视角上看，DPO这一专门职能角色将在企业具体的数据合规过程中发挥统筹各方的核心作用。因此在对企业内部进行数据合规制度设计时，应当对DPO给予足够的重视。

对于以下情形，GDPR要求其必须设立DPO：①数据处理由公共机构或机关主导（除了司法机关）的情形；如作为政府单位的UK home office已经明确设立了DPO对数据合规进行指导监督。②核心业务需要对数据主体定期进行大规模处理的情形；对于本情形下“核心业务”的判断可以参考企业的性质、营业范围与商业目的等因素。③机构对敏感数据（生物特征、性取向等）进行大规模处理的情形。值得注意的是，GDPR对必须设立DPO的标准中采取了一些具有不确定性的表述（如“核心业务”“大规模处理”），因此若企业在进行判断时应当尽量向监管机构明确自身的设立要求。若经过评估决定不设立DPO，则应该对企业性质、数据处理情况等相关考量因素予以详细记录，以备监管机构的调查。

当然，无论是经过判断认定不属于或明显不属于上述三种类型的企业、机构，其在符合自身情况的基础上自发地设立DPO，是为GDPR所鼓励的。

——选谁呢？

（1）资质要求

在确认要设立DPO之后的第一个问题在于，应当如何选任DPO。

GDPR第37条规定了对于DPO选任的首要考量因素，即专业性的素质。一名合格的DPO不仅需要有丰富的数据保护法律知识、实践经验，还需要有较强的沟通协调能力与统筹能力；另外，为了能够合理地将具体数据处理行为与法律规制联系起来并做出有效的风险评估，DPO应当尽可能地熟悉公司业务、了解相关技术知识。

（2）角色构成

DPO最大的职位特点在于其独立性：一方面，DPO的履职行为不受数据控制者与处理者的指示和干预，后者不得因合规活动对DPO进行惩罚或解雇；相反的，后者应当为其提供良好的工作环境与资源。另一方面，DPO自身不得从事与其履职相冲突的工作，以保障自身的独立判断。具体表现为，DPO不得兼任COO（首席运营官）、CEO（首席执行官）等可能带来利益冲突的职位。

（3）实践中的若干问题

GDPR文本中并未对DPO的具体构成做出详细规定，以致于在实际操作中可能存在一定疑惑，对此笔者将以Q&A形式予以解答：

Q1：DPO是指单个自然人抑或是一个特定机构/委员会

A：GDPR并未对DPO的组织构成进行直接的要求。虽然第38条在引指DPO时使用了“he/she”这一指向自然人的表述方式，但这不意味着DPO只能由单个的自然人担任。笔者认为，DPO的职责包括完成一系列较为复杂、全面的工作任务，既有法律合规的部分，也有具体业务评估、各方联系协调等内容。出于全面履职的考虑，以有明确分工的特定机构作为完成DPO工作的主体是比较可取的。因此企业在决定自身DPO的人员构成时，可以充分考虑自身的情况而做出灵活的选择。

Q2：DPO是否可以委任企业外部人员担任？

A：GDPR第37条规定DPO既可以由企业内部员工组成，也可基于服务合同完成任务。由此可见GDPR对外聘人员担任DPO是认可的。然而就具体的外聘方向上看，提供合规服务的律所似乎是不错的选择，但DPO的职能要求其不仅要有专业的数据合规法律知识，也对数据处理技术等非法律内容有足够的了解。笔者认为外聘DPO同样不适合“单兵种作战”，而需要由拥有不同技能背景的人员诸如律师、技术人员、会计师等共同组成、相互协助。而当此类业务发展足够成熟时，市场中甚至可能形成专门提供此类业务的特定机构，那时合规业务的规范化与专业化便将更上一个台阶。

Q3：DPO可以兼职吗？

A：GDPR第36条认可了兼职DPO的情形，但前提所兼任岗位与DPO履职之间不得冲突。实践中企业可能直接将数据合规工作交给内部的法务人员，但这种工作安排一定要慎之又慎：一方面内部法务由于自身经验、知识结构的局限，较难充分的完成GDPR提出的合规要求，且在时间精力一定的情况下，工作量的提升将可能导致处理单项业务的精细度降低；另一方面，作为法务人员的目标追求与DPO的价值取向是存在一定的差异的，不加考虑地让其兼任将造成利益冲突的风险。

总体而言，企业对DPO的选任要基于自身的情况。对于数据处理行为较为简单、部门间沟通较为便捷的企业，可以考虑只设单名DPO；而对于像腾讯、360等业务复杂的企业，一个人员数量足、技术水平高、合作能力强的DPO团队则是更为合理的选择。

 GDPR所规定的DPO的主要职责与权利归纳如下：

（1）DPO的主要职责

（2）DPO的主要权利

（1）方法与思路

当下我国企业整体的数据合规程度较低，甚至有很多企业在此问题上“身处囹圄而不知”。基于此笔者建议企业采用缺口分析（Gap Analysis）的方法，在全面调查了解自身数据合规状况的基础上，对存在的问题与缺陷进行补正。 

结合DPO工作的内容与特点。数据合规可以参照以下思路：

①全面贯穿：数据合规工作要贯穿数据处理相关的所有活动、各个阶段。

②独立监督：充分发挥DPO这一独立职能角色，对数据合规状况进行客观的评价与监督。

③有据可依：从应对合规检查的角度来说，企业内部的合规工作应全面落实

（2）具体制度设计

从制度操作层面上看，具体的合规方法包括：

①充分利用加密、数据脱敏、去标识化等技术措施，保障用户数据安全，为数据合规奠定技术基础。

② 建立起全面的数据处理行为备案体系，特定数据处理行为必须记录决策者、DPO、操作者三方意见，并将DPO对数据合规的评估情况进行专门记录。

③为DPO配备相应的财政（独立预算）、人事（不因履职而被解雇）、通讯（各方联系渠道）、学习以及监管权限方面的资源，打通DPO与决策者、操作者的交流途径。尤其应当通过平台内部告知、设置专门客服等方式简化数据主体与DPO取得联系、解决相关问题的渠道。

④对内部员工展开定期的数据合规培训。同时建立各部门定期述职机制：数据处理相关部门应定期（季度报告、半年报、年报等）向DPO提交数据合规执行报告，对于紧急事件应当尽快提交临时报告，从而实现“问题早实现、早解决”

⑤.为解决内部员工缺乏意识的问题，可以将数据合规情况纳入员工的绩效考察体系当中，通过对奖金、福利等员工利益的影响，督促相关人员配合DPO工作，履行自身义务。

扎克伯格提醒着大家“不要认为我们已经完成了GDPR的要求”。面对GDPR的挑战，留待我国企业完成的工作还有很多。而DPO这一GDPR框架下的结构设计在一定意义上将成为企业内部合规工作体系化的标志。

近日来东航已经成为了首个设立DPO的国内企业，可以看出DPO的设置绝非纸上谈兵，而是相关企业必须要谨慎考虑而应用于实践的重要制度。

注：感谢实习生黄宇哲为这篇文章做的支持工作。

附录：GDPR对于DPO的规定原文与翻译：

Art. 37
 

1.The controller and the processor shall designate a data protection officer in any case where:

在以下任一情形中，数据控制者与处理者应当委任数据保护官：                                                         

(a) the processing is carried out by a public authority or body, except for courts acting in their judicial capacity;

数据处理是由公共机构或公共实体进行的，法庭履行其司法职责的除外

(b) the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale; or

数据控制者或处理者的核心处理活动天然性地需要大规模对数据主体进行常规和系统化地监控；或者

(c) the core activities of the controller or the processor consist of processing on a large scale of special categories of data pursuant to Article 9 or personal data relating to criminal convictions and offences referred to in Article 10.

数据控制者或管理者地核心活动包含了GDPR第9条所规定的对某种特殊类型数据进行的大规模处理以及第10条所规定的对定罪和违法相关的个人数据的处理。

2. A group of undertakings may appoint a single data protection officer provided that a data protection officer is easily accessible from each establishment.

如果一组企业的任一机构都能容易地与数据保护官取得联系，那么这组企业可以任命一位单独的数据保护官。

3.Where the controller or the processor is a public authority or body, a single data protection officer may be designated for several such authorities or bodies, taking account of their organizational structure and size.

当数据控制者或处理者是一个公共机构或公共实体，基于它们的组织机构与规模，多个此类公共机构或实体可以共同委任一位数据保护官。

4.In cases other than those referred to in paragraph 1, the controller or processor or associations and other bodies representing categories of controllers or processors may or, where required by Union or Member State law shall, designate a data protection officer. The data protection officer may act for such associations and other bodies representing controllers or processors.

除了第一段所规定的情形，在欧盟或成员国法律要求的情形下，数据控制者或处理者、或代表某类控制者或处理者的协会与其他实体可以委任一名数据保护官。对于此类协会，或代表控制者或处理者的其他实体的活动，数据保护官有权代表它们进行活动。

5.The data protection officer shall be designated on the basis of professional qualities and, in particular, expert knowledge of data protection law and practices and the ability to fulfil the tasks referred to in Article 39.

数据保护官的委任必须基于其专业性的素质，其需要具有数据保护法律与实践的专业知识，以及完成第39条所规定任务的能力。

6.The data protection officer may be a staff member of the controller or processor, or fulfil the tasks on the basis of a service contract.

数据保护官可以是数据控制者与处理者的职员或基于服务合同而完成任务。

7. The controller or the processor shall publish the contact details of the data protection officer and communicate them to the supervisory authority.

数据控制者或处理者应当公布数据保护官的具体联系方式，并向监管机构进行报告。

Art.38
 

1. The controller and the processor shall ensure that the data protection officer is involved, properly and in a timely manner, in all issues which relate to the protection of personal data.

数据控制者和处理者应当确保，在所有与个人数据保护有关的事项中，数据保护官都以一种适当而及时的方式介入。

2.The controller and processor shall support the data protection officer in performing the tasks referred to in Article 39 by providing resources necessary to carry out those tasks and access to personal data and processing operations, and to maintain his or her expert knowledge.

数据控制者和处理者应当通过提供完成任务所必须的资源、提供访问个人数据与进行操作处理的权限、维持其专业性知识，来支持数据保护官履行GDPR第39条所规定的职责。

3. The controller and processor shall ensure that the data protection officer does not receive any instructions regarding the exercise of those tasks. 2He or she shall not be dismissed or penalised by the controller or the processor for performing his tasks. 3The data protection officer shall directly report to the highest management level of the controller or the processor.

数据控制者与处理者应当确保个人数据保护官不会受到任何关于履行职责的指示，他（她）不应因完成其任务而被数据控制者或处理者解雇或惩罚。数据保护官有权向数据控制者或处理者的最高管理层进行直接报告。

4. Data subjects may contact the data protection officer with regard to all issues related to processing of their personal data and to the exercise of their rights under this Regulation.

数据主题可以在所有与其自身数据处理相关的事项，以及与行使GDPR所赋予的权利相关的事项中联系数据保护官。

5.The data protection officer shall be bound by secrecy or confidentiality concerning the performance of his or her tasks, in accordance with Union or Member State law.

数据保护官应当遵守欧盟或成员国的法律，在履行自身职责时遵守保密义务。

6.The data protection officer may fulfil other tasks and duties. 2The controller or processor shall ensure that any such tasks and duties do not result in a conflict of interests.

数据保护官可以完成其他的任务或职责。数据控制者或处理者应当确保此类任务与职责不会导致利益的冲突。

Art.39

1. The data protection officer shall have at least the following tasks:

数据保护官至少有以下任务：

(a) to inform and advise the controller or the processor and the employees who carry out processing of their obligations pursuant to this Regulation and to other Union or Member State data protection provisions;

对数据控制者或处理者，以及基于GDPR及其他欧盟或成员国数据保护条款所规定对自身义务进行评估的雇员进行告知并提供建议。

(b)to monitor compliance with this Regulation, with other Union or Member State data protection provisions and with the policies of the controller or processor in relation to the protection of personal data, including the assignment of responsibilities, awareness-raising and training of staff involved in processing operations, and the related audits;

确保对本条例、其他欧盟或成员国数据保护条款、数据控制者或处理者关于个人数据保护政策的遵守，包括分配职责、增强意识、及对数据处理操作过程和相关审查中涉及的职员进行培训。

(c)to provide advice where requested as regards the data protection impact assessment and monitor its performance pursuant to Article 35;

当被要求就数据保护影响评估与根据GDPR第35条对其实施进行监管的事项，应当提供建议。

(d)  to cooperate with the supervisory authority;

与监管机构进行合作。

(e)  to act as the contact point for the supervisory authority on issues relating to processing, including the prior consultation referred to in Article 36, and to consult, where appropriate, with regard to any other matter.

在与处理相关的事项中充当监管机构，上述事项包括GDPR第36条所规定的提前咨询以及其他事项在适当情况下进行的咨询中。

2.The data protection officer shall in the performance of his or her tasks have due regard to the risk associated with processing operations, taking into account the nature, scope, context and purposes of processing.

数据保护官在履行职责时，应当结合处理的性质、范围、语境与目的，对处理操作的风险进行合理的考虑。