灵活用工平台如何打造数据安全合规体系（下）

——数据安全应当责任到人

2021-07-19

引言

在《灵活用工平台如何打造数据安全合规体系》一文中，以灵工平台如何搜集处理数据作为起点，通过自查评估发现风险点，并厘清责任之后，清晰地识别出灵工平台在违反数据安全管理义务时要面临的法定责任。本文将重点回归到平台和人的具体职责如何来承担数据合规责任。

一、法定要求：专人落实数据信息的管理保护义务

通过梳理所有与数据处理者^[1]应履行的义务相关的境内法律规范，我们整理发现，众多法律规范中一个重要的共通点就是要求数据处理者有专人落实相关的数据信息管理与保护义务，否则需要承担罚款、停业整顿、吊销营业执照甚至刑事责任等处罚，具体整理如下表：

（一）境内法规

可见，为维护社会利益与公民的合法权利，保证个人信息（包括敏感信息、儿童信息）、重要数据与网络系统的安全，对于灵工平台等集成了大量信息数据的数据处理者，国家正逐步要求其在体系内构建数据与信息安全的个人责任制，以促使数据安全保护制度的高效有序运转实施。

（二）域外经验

与此同时，欧盟2018年颁布的《通用数据保护条例》（“GDPR”）规定，部分企业必须设置数据保护官（DPO）：如核心业务涉及对数据主体进行定期大规模、系统性的监控的企业；大规模处理敏感数据的企业。应该设置DPO却未设置的企业属于违规，将面临最高1000万欧元或企业全球年营业额2%的处罚（两者取高值）。

在WP29^[2]出具的《Guidelines on Data Protection Officers》（DPO’s）中对于“大规模”、“系统性”和“特殊数据”都做了非常详细的解释，简要列举如下图：

因此，不论是国内还是国际，监管思路均是将数据与信息管理和保护的责任落实到具体的责任人，若违反上述法律法规对于设置数据保护/个人信息保护等相关负责人的要求，等同于在一定程度上增加了数据合规的风险，因此就没有按照要求配置负责人也规定了相应的法律责任。

二、稳步升级：灵工平台如何设置责任人？

现行的法律法规中，对于数据信息的个人责任制度的法律法规略显纷杂，灵工平台究竟是应当设置“个人信息保护负责人”、“数据安全负责人”还是“数据安全官（DPO）”？笔者认为，应当根据灵工平台的发展阶段，结合收集处理数据的范围、体量、地域等维度，来设立不同的责任人。

（一）初级阶段：个人信息保护负责人

根据《个人信息保护（草案）》中提及“处理数量”这个界定标准，同时国标《个人信息安全规范》的第11.1款（c）中规定：“满足以下条件之一的组织，应设立专职的个人信息保护负责人和个人信息保护工作机构，负责个人信息安全工作：

• 主要业务涉及个人信息处理，且从业人员规模大于200人；

• 处理超过100万人的个人信息，或预计在12个月内处理超过100万人的个人信息；

• 处理超过10万人的个人敏感信息的。

《个人信息安全规范》的第3.2款对个人敏感信息内涵和范围进行了更为详细的规定：将身份证件号码等个人身份信息，指纹、基因等个人生物识别信息，交易信息、银行账号在内的个人财产信息，医疗记录等健康生理信息，通信记录、聊天内容、行踪轨迹、住宿信息等等内容，纳入个人敏感信息范围。

对于灵工平台而言，处理个人敏感信息是平台的基本服务内容，因此很容易触犯上述三个条件，尤其是容易触犯第三条处理数量达到10万人次的条件，因此个人信息保护负责人可以称为灵工平台的必备岗位。笔者建议，灵工平台在个人信息保护法即将出台的当下，重点关注个人信息保护负责人的人员配备和岗位设置，严格履行个人信息保护义务。

（二）中级阶段：数据安全负责人

虽然《数据安全法》中提及“重要数据”这个界定标准，由于实施细则尚未出台，对于“重要数据”的定义尚且模糊，但从已发布的法律法规和征求意见稿，我们得出以下结论：

• “重要数据”不等同于“个人信息”。即便有些法律法规和规范性文件对于“重要数据”与“个人信息”存在混用，但从《个人信息保护法（草案）》和《数据安全法》等最上层立法来看，还是将数据、个人信息予以区分，且对其义务履行规定亦有所差异。

• 将依据不同行业制定“数据安全目录”。根据《数据安全法》，国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。

由此，当灵工平台的规模体量、商业模式足可对于“公共利益”“社会保障”等方面造成影响，或垂直领域的灵工平台涉及到该行业的“数据安全目录”时，则必须承担相应的社会义务，设立“数据安全负责人”。

（三）高级阶段：数据保护官（DPO）

根据《GDPR》的规定，即使中国公司在欧洲没有分支机构，但如果其提供的产品与服务收集并处理了欧洲自然人的数据，那该公司就也需要遵守《GDPR》相关规定。

也就是说，当灵工平台迈出国门走向世界后，将会面临更加严格的数据信息管理与保护义务，设置DPO也成了必备条件。

并且，灵工平台设置DPO职位，不仅仅是灵工平台向境外发展的合规需要，更是在境内数据监管趋严的背景下现实合规需求。DPO实际上相当于灵工平台半独立地位的数据安全合规检查顾问。因此，鉴于目前国际上对于DPO的岗位/职位能力认证已经有相对成熟的国际认证体系，其要求标准较高，职责及能力要求较为明确，根据“举重以明轻”的原则，在灵工平台数据合规“责任到人”的监管背景下，建议即使灵工平台目前尚未有国际战略布局，亦可以借鉴该等认证的知识体系，培养自身所需的个人信息保护/数据安全负责人。

三、具体职责：责任人的具体职责范围

虽然《数据安全法》等国内目前的法律法规以及规范性法律文件中，并没有明确数据负责人应当具体履行的职责内容，但可以通过借鉴《个人信息安全规范》、GDPR和相应的对于数据安全官的国际认证中对于灵工数据安全负责人应履行的职责内容，具体梳理如下：

第一，全面策划实施组灵工平台相关的数据安全保护工作。包括但不限于数据安全管理制度的制定、数据保护工作计划的实施、数据安全管理团队的选任、管理权限的赋予等，对数据安全负直接责任；

第二，分析解读最新的法律法规等文件，监督灵工平台日常运营是否符合法规要求。结合灵工平台的具体数据处理场景，定期更新数据安全管理制度与工作计划，分析灵工平台可能面对的数据处理违规等风险；

第三，牵头开展灵工平台的个人信息安全影响评估，提出个人信息保护的对策建议，督促整改安全隐患。例如，灵工平台基于不同的模式会采用不同个人数据采集方式，拟采用的采集方式是否满足最小必要原则，这些都需要进行安全影响评估；

第四，积极配合主管部门监管工作。如就灵工平台的数据处理活动进行日常咨询、如期递交相关报告、配合监管部门获得所需数据和信息等。

第五，协调各方人员，避免数据安全事件。灵工平台新的功能发布前、或与新的服务商、数据处理机构合作前进行检测、尽调，避免出现数据安全事件；积极组织开展灵工平台相关工作人员的个人信息安全培训工作，增强平台内人员的数据合规意识，并不定期匿名抽查；

第六、法律法规规定的其他义务。如数据留存、删除、投诉举报途径披露、数据安全事件报告等。

所以基于灵工平台的功能特性，个人信息保护/数据安全负责人将承担着重要的对内对外的数据安全相关的所有与合规紧密结合的工作，责任重大。

四、结语

平台的合规体系打造需要借助最佳实践的认证体系，通过流程构建起数据安全管理制度；人的责任落实需要明确数据安全负责人，只有人和组织的共同协作，才能真正构建起《数据安全法》下的数据合规体系。

笔者从平台的视角出发，在《灵活用工平台如何打造数据安全合规体系》一文中，已经梳理了通过借助ISO27001认证和三级等保认证，这两个认证都可以有效、快速帮助平台构建起整体合规管理体系。但是，平台作为一个组织，推行一个制度，通过一个认证，并不十分困难，真正的困难在于认证体系在组织中的有效实施，并得到真正实践，同时不断优化改进，而这一切的重点，笔者认为，在于人。这就是为什么《数据安全法》特别强调，需要明确数据安全负责人。这从组织行为学的角度亦证明，责任只有真正落实到人，激发善意和潜能，组织才真正有生命力。

本系列文章从个人信息保护/数据安全负责人如何在法律法规中的明确，到具体负责人缺位下的法定责任，再到负责人的具体职责，将灵工平台数据保护负责人做了全方位的分析，结论很清晰：个人信息保护/数据安全负责人将是灵工平台的法定标配。

文中备注：

[1]若根据《GDPR》，灵工平台可能会由于采用的不同模式被认定为数据处理者、数据控制者或共同控制者；但我国现行法律法规并未作出“数据处理者”与“数据控制者”的区分，因而根据我国法律界定，在此统一把灵工平台模糊定位为数据处理者。

[2]第29条数据保护工作组(The Article 29 Working Party，简称WP29),由所有欧盟各成员国个人数据保护机构的代表组成,于2018年5月25日解散。

本文作者：