相麗玲 王秀清

(山西大學(xué)經(jīng)濟(jì)與管理學(xué)院 太原 030006)

0 引 言

2018年5月，歐盟新規(guī)《通用數(shù)據(jù)保護(hù)規(guī)范》(GDPR)正式施行，隨之一種新的職位——數(shù)據(jù)保護(hù)官(Data Protection Officer，簡(jiǎn)稱DPO)出現(xiàn)。GDPR在法律條文中，對(duì)DPO的任命條件、地位和職責(zé)等做出了專門的規(guī)定，并形成一種新的個(gè)人數(shù)據(jù)保護(hù)制度。由于其具有重罰與“長(zhǎng)臂管轄”兩把利刃，致使各行各業(yè)不得不重新審視自身的數(shù)據(jù)處理方式和方法。而數(shù)據(jù)保護(hù)官制度建設(shè)的完善，則成為大數(shù)據(jù)時(shí)代為企業(yè)規(guī)避數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)，保護(hù)個(gè)人數(shù)據(jù)安全的有力制度保障之一。

1 基本概念的界定與研究現(xiàn)狀

1.1數(shù)據(jù)保護(hù)官概念的演化早在1978年德國(guó)發(fā)布的《聯(lián)邦數(shù)據(jù)保護(hù)法案》(BDSG)中，就已經(jīng)有了與數(shù)據(jù)保護(hù)官相似職位的制度規(guī)定。原文規(guī)定，符合任命條件的企業(yè)在數(shù)據(jù)處理時(shí)必須任命數(shù)據(jù)保護(hù)官來進(jìn)行監(jiān)督。BDSG中對(duì)DPO的設(shè)立條件、權(quán)力、職責(zé)、地位、問責(zé)機(jī)制都進(jìn)行了規(guī)定，形成了DPO的雛形。1995年歐盟發(fā)布的《數(shù)據(jù)保護(hù)指令》(以下簡(jiǎn)稱《95指令》)中開始使用DPO的概念，并規(guī)定數(shù)據(jù)處理者可以依據(jù)所在國(guó)法律規(guī)定任命DPO，以確保內(nèi)部數(shù)據(jù)合規(guī)與個(gè)人數(shù)據(jù)安全等，對(duì)DPO的職責(zé)權(quán)力等內(nèi)容進(jìn)行了豐富和補(bǔ)充。

由于歐盟《95指令》的DPO制度存在實(shí)施非強(qiáng)制的局限，2011年歐盟提出考慮實(shí)施強(qiáng)制性的DPO制度，這在當(dāng)時(shí)曾引起了激烈爭(zhēng)論。但隨著DPO制度在多個(gè)國(guó)家的不斷實(shí)踐和更新，以及數(shù)據(jù)管理重要性的提高，2018年GDPR明確規(guī)定，所有公共機(jī)關(guān)和符合設(shè)立條件的私營(yíng)企業(yè)或組織，必須依法設(shè)立DPO。這不僅成為推進(jìn)企業(yè)數(shù)據(jù)合規(guī)和數(shù)據(jù)安全的關(guān)鍵，也成為眾多企業(yè)的商業(yè)競(jìng)爭(zhēng)優(yōu)勢(shì)。因此，DPO制度的建立與完善，是大數(shù)據(jù)時(shí)代對(duì)個(gè)人數(shù)據(jù)保護(hù)的必然結(jié)果。歐盟各成員國(guó)可以根據(jù)本國(guó)國(guó)情，以GDPR的DPO制度為基礎(chǔ)作出改進(jìn)。如德國(guó)的新《聯(lián)邦個(gè)人資料保護(hù)法》(BDSG)，與GDPR同日實(shí)施目的是配合GDPR的施行。

1.2數(shù)據(jù)保護(hù)官及其制度的定義

1.2.1 數(shù)據(jù)保護(hù)官的定義 歐盟GDPR中沒有對(duì)DPO進(jìn)行明確的定義。我國(guó)學(xué)者宛玲認(rèn)為，DPO是恰當(dāng)、及時(shí)參與所有個(gè)人數(shù)據(jù)保護(hù)的管理者，負(fù)責(zé)監(jiān)管所在組織機(jī)構(gòu)個(gè)人數(shù)據(jù)安全策略以及保證該策略滿足GDPR合規(guī)性要求[1]。筆者依據(jù)上述DPO概念的演化，認(rèn)為數(shù)據(jù)保護(hù)官是依據(jù)相關(guān)政策或法律規(guī)定，對(duì)企業(yè)或組織機(jī)構(gòu)內(nèi)部個(gè)人數(shù)據(jù)享有獨(dú)立履職權(quán)、直接報(bào)告權(quán)、資源保障權(quán)等權(quán)力，承擔(dān)保護(hù)企業(yè)或組織機(jī)構(gòu)內(nèi)部個(gè)人數(shù)據(jù)安全，設(shè)定、修改、執(zhí)行、普及企業(yè)個(gè)人數(shù)據(jù)保護(hù)制度，進(jìn)行員工培訓(xùn)，安全審計(jì)和監(jiān)督數(shù)據(jù)合規(guī)工作等職責(zé)的職業(yè)角色，又被視為企業(yè)或組織內(nèi)部的“個(gè)人數(shù)據(jù)內(nèi)部監(jiān)督員”。

1.2.2 數(shù)據(jù)保護(hù)官制度的定義 數(shù)據(jù)保護(hù)官制度，是指國(guó)家規(guī)定數(shù)據(jù)保護(hù)官的設(shè)置條件、地位和職責(zé)權(quán)力范圍以及審查與問責(zé)的法律制度。

1.3研究現(xiàn)狀國(guó)內(nèi)外學(xué)者對(duì)數(shù)據(jù)保護(hù)官制度的研究興起于2016年，研究?jī)?nèi)容主要集中在GDPR中DPO規(guī)則的解讀，以及對(duì)DPO角色、地位、職責(zé)、設(shè)置的必要性的認(rèn)識(shí)。Kim Smouter認(rèn)為要適應(yīng)GDPR，首先就要設(shè)置DPO[2]。Daniel Drewer和Vesela Miladinova的研究中將數(shù)據(jù)保護(hù)官比作“數(shù)據(jù)挖掘中的金絲雀”,強(qiáng)調(diào)DPO工作的獨(dú)立性[3]。宛玲的研究中對(duì)國(guó)外DPO的定義、類型、職責(zé)等進(jìn)行了系統(tǒng)的概括[1]。劉佳通過對(duì)GDPR的規(guī)定(包括DPO的職權(quán))進(jìn)行概括，對(duì)我國(guó)征信業(yè)發(fā)展可能受到的影響進(jìn)行了總結(jié)[4]。朱利妍建議在網(wǎng)絡(luò)安全法中明確規(guī)定設(shè)置專門安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人，認(rèn)為“數(shù)據(jù)保護(hù)官”的設(shè)立是必須的[5]。趙冉冉、洪延青、蔣昕妍比較了不同國(guó)家DPO制度的歷史和發(fā)展[6]。肖冬梅、成思雯對(duì)GDPR中歐盟DPO的任命和職責(zé)等進(jìn)行了詳細(xì)剖析[7]。孟潔介紹了企業(yè)數(shù)據(jù)保護(hù)官的任命和作用以及對(duì)數(shù)據(jù)保護(hù)官崗位需求與能力發(fā)展[8]。張弛從技術(shù)角度分析DPO需要的技術(shù)能力以及有效開展隱私合規(guī)和保護(hù)工作[9]。還有部分學(xué)者雖然沒有提到設(shè)置數(shù)據(jù)保護(hù)官制度，但其實(shí)質(zhì)相同。如章寧、田力提出，我國(guó)個(gè)人信息保護(hù)制度應(yīng)設(shè)立獨(dú)立的個(gè)人信息監(jiān)管機(jī)構(gòu)[10]。相麗玲、陳秀蘭建議，我國(guó)應(yīng)重視對(duì)個(gè)人征信數(shù)據(jù)安全的內(nèi)部監(jiān)管[11]。相麗玲、陳婉珠建議，成立專門的組織對(duì)個(gè)人健康醫(yī)療數(shù)據(jù)安全進(jìn)行專門的管理和監(jiān)督[12]。

總之，在現(xiàn)有研究中，國(guó)內(nèi)外學(xué)者從不同的視角以及不同的領(lǐng)域?qū)?shù)據(jù)保護(hù)官制度進(jìn)行了探究，但研究比較零散，缺乏系統(tǒng)性。本文將依據(jù)中外現(xiàn)行的相關(guān)政策與法律法規(guī)(見表1)，從DPO的設(shè)置條件與法定地位、職責(zé)與范圍、問責(zé)機(jī)制三方面對(duì)中外數(shù)據(jù)保護(hù)官制度的主要內(nèi)容展開比較分析。

1.4研究意義綜上所述，目前國(guó)內(nèi)外學(xué)者對(duì)數(shù)據(jù)保護(hù)官制度的研究正處于初步探討階段。然而，在現(xiàn)實(shí)實(shí)踐中，全球企業(yè)與機(jī)構(gòu)都面臨著數(shù)據(jù)合規(guī)問題帶來的巨大風(fēng)險(xiǎn)，系統(tǒng)了解當(dāng)前中外數(shù)據(jù)保護(hù)官制度的主要內(nèi)容與異同，對(duì)于完善我國(guó)數(shù)據(jù)保護(hù)官制度，企業(yè)與組織有效規(guī)避用戶隱私風(fēng)險(xiǎn)，促進(jìn)全球數(shù)據(jù)流動(dòng)與增值，具有現(xiàn)實(shí)與理論意義。

2 中外數(shù)據(jù)保護(hù)官制度主要內(nèi)容的比較

目前最完整的數(shù)據(jù)保護(hù)官制度是GDPR規(guī)定的DPO制度，GDPR允許歐盟成員國(guó)以GDPR的DPO制度為基礎(chǔ)，提出更加適合自己國(guó)家或更詳細(xì)的規(guī)定。因此，各成員國(guó)的DPO制度也存在或多或少的差異。另外，英、日、中、美等在相關(guān)法律法規(guī)規(guī)定了類似的個(gè)人數(shù)據(jù)管理職位，因?yàn)楦鲊?guó)命名習(xí)慣不同，名稱也有所差異。如表1所示。

表1 中外數(shù)據(jù)保護(hù)官的職位名稱設(shè)置

續(xù)表1 中外數(shù)據(jù)保護(hù)官的職位名稱設(shè)置

2.1DPO的法定條件與地位各國(guó)政策中對(duì)DPO的法定條件、法定地位、權(quán)力范圍有所不同(見表2)。

表2 中外數(shù)據(jù)保護(hù)官的法定條件與法定地位

由表2可知：

a.從法定條件和地位來看，不同國(guó)家DPO制度的設(shè)置不同，但對(duì)于個(gè)人要成為數(shù)據(jù)保護(hù)官都有素質(zhì)方面的要求。在法律地位上也有很大差距，但大多數(shù)都有獨(dú)立履職權(quán)。歐盟及其成員國(guó)德國(guó)在DPO制度中都規(guī)定，DPO有獨(dú)立履職權(quán)、直接報(bào)告權(quán)、資源保障權(quán)。這三項(xiàng)權(quán)力保障了DPO履行職責(zé)時(shí)，不僅獨(dú)立于數(shù)據(jù)控制者與處理者之外，還可以直接向最高管理層報(bào)告以及擁有充足的資源。印度在法定條件上強(qiáng)調(diào)數(shù)據(jù)保護(hù)官應(yīng)常駐印度。英國(guó)在立法時(shí)強(qiáng)調(diào)了數(shù)據(jù)保護(hù)官具有更高的權(quán)力，比如民事處罰權(quán)、刑事追責(zé)等。新加坡PDPA中個(gè)人數(shù)據(jù)保護(hù)委員會(huì)要從公職人員和管理局雇員中任命個(gè)人數(shù)據(jù)保護(hù)官，還可任命負(fù)責(zé)個(gè)人數(shù)據(jù)保護(hù)的副專員、負(fù)責(zé)個(gè)人數(shù)據(jù)保護(hù)的助理專員和檢查員，在行使權(quán)力時(shí)具有獨(dú)立性。日本的個(gè)人信息保護(hù)委員會(huì)是具有高度獨(dú)立性的機(jī)關(guān)，來確保妥善處理個(gè)人信息。美國(guó)CISO被定位為高級(jí)行政人員，并且屬于聯(lián)邦政府網(wǎng)絡(luò)安全計(jì)劃的專家和權(quán)威，主要負(fù)責(zé)政府內(nèi)部網(wǎng)絡(luò)與個(gè)人數(shù)據(jù)安全。我國(guó)是要設(shè)立專門的個(gè)人信息保護(hù)負(fù)責(zé)人或機(jī)構(gòu)，來負(fù)責(zé)個(gè)人信息安全工作，但對(duì)負(fù)責(zé)人的法律地位并未詳細(xì)規(guī)定，這也是我國(guó)沒有專門立法的缺陷。

b.數(shù)據(jù)保護(hù)官分為兩種類型。一是屬于政府，有專門的數(shù)據(jù)監(jiān)管機(jī)構(gòu)，如新加坡設(shè)置個(gè)人資料保護(hù)委員會(huì)，數(shù)據(jù)保護(hù)官的職能權(quán)力由委員會(huì)賦予；《英國(guó)新數(shù)據(jù)保護(hù)法案:改革計(jì)劃》中的信息專員，由英國(guó)個(gè)人數(shù)據(jù)保護(hù)機(jī)構(gòu)信息專員辦公室 (ICO)直接任命；日本設(shè)立個(gè)人信息保護(hù)委員會(huì)專門保護(hù)數(shù)據(jù)安全；美國(guó)政府設(shè)立“聯(lián)邦首席信息安全官”。二是屬于企業(yè)。如GDPR、德國(guó)BDSG中的DPO制度主要是針對(duì)企業(yè)；我國(guó)法律中規(guī)定的網(wǎng)絡(luò)安全負(fù)責(zé)人、個(gè)人信息保護(hù)負(fù)責(zé)人也屬于企業(yè)或機(jī)構(gòu)。這種DPO的設(shè)立主要是擁有相關(guān)職業(yè)素養(yǎng)，不論是內(nèi)部人員還是外聘，對(duì)DPO的設(shè)立條件沒有政府嚴(yán)格。

2.2DPO的法定職責(zé)與范圍中外數(shù)據(jù)保護(hù)官的運(yùn)行機(jī)制是通過各國(guó)相關(guān)政策法律規(guī)定的DPO職責(zé)與范圍來實(shí)現(xiàn)的，目前各國(guó)數(shù)據(jù)保護(hù)官法定職責(zé)與范圍的異同詳見表3。

表3 中外數(shù)據(jù)保護(hù)官的法定職責(zé)與范圍

續(xù)表3 中外數(shù)據(jù)保護(hù)官的法定職責(zé)與范圍

表3顯示，由于DPO所屬的類型不同，職責(zé)也有所差別。

屬于企業(yè)的DPO。職責(zé)包括且不限于五方面，分別為數(shù)據(jù)合規(guī)監(jiān)督(DPO最重要的職責(zé))、提出建議(向服務(wù)的企業(yè)或組織機(jī)構(gòu)提出個(gè)人數(shù)據(jù)保護(hù)的建議)、參與評(píng)估(參與個(gè)人數(shù)據(jù)保護(hù)具體工作評(píng)估，監(jiān)督評(píng)估活動(dòng)并提出意見)、進(jìn)行培訓(xùn)(對(duì)數(shù)據(jù)處理相關(guān)人員進(jìn)行培訓(xùn)，為其提供個(gè)人數(shù)據(jù)保護(hù)方面的信息)、溝通協(xié)調(diào)(作為上下溝通的橋梁，一方面與監(jiān)管部門聯(lián)系并及時(shí)反映情況；另一方面與數(shù)據(jù)主體直接溝通和聯(lián)系，協(xié)調(diào)實(shí)現(xiàn)其數(shù)據(jù)權(quán)利)。歐盟、德國(guó)的數(shù)據(jù)保護(hù)法中，所有的職責(zé)范圍規(guī)定與此相似。印度數(shù)據(jù)保護(hù)法案中，DPO除數(shù)據(jù)合規(guī)監(jiān)督和提供建議外，還有向數(shù)據(jù)受托者發(fā)起申訴以及保留數(shù)據(jù)受托者的維護(hù)記錄清單的職責(zé)。我國(guó)對(duì)DPO的職責(zé)除以上五方面外，又著重強(qiáng)調(diào)了對(duì)個(gè)人數(shù)據(jù)的管理和保護(hù)。

屬于政府的DPO。這類DPO的職責(zé)范圍更加廣泛，屬于戰(zhàn)略層面。新加坡的數(shù)據(jù)保護(hù)官在國(guó)際上代表政府處理與個(gè)人資料保護(hù)有關(guān)的事宜。英國(guó)信息專員的職責(zé)是通知和教育數(shù)據(jù)控制者維護(hù)個(gè)人信息權(quán)利、加大公共實(shí)體的公開性以及保護(hù)個(gè)人的數(shù)據(jù)安全。日本個(gè)人信息保護(hù)委員會(huì)在普通職能的基礎(chǔ)上增加國(guó)際合作這一項(xiàng)，日本對(duì)于個(gè)人信息權(quán)利的法律保護(hù)，始終堅(jiān)持積極吸納國(guó)際標(biāo)準(zhǔn)的立場(chǎng)。美國(guó)CISO確定聯(lián)邦網(wǎng)絡(luò)與個(gè)人數(shù)據(jù)安全政策和戰(zhàn)略方向，并監(jiān)督其在整個(gè)政府范圍內(nèi)的實(shí)施。

2.3DPO的問責(zé)機(jī)制各國(guó)對(duì)DPO的問責(zé)機(jī)制主要有兩方面，一方面，若企業(yè)或機(jī)構(gòu)沒有依法設(shè)置數(shù)據(jù)保護(hù)官制度，要面對(duì)的處罰；另一方面，若數(shù)據(jù)保護(hù)官?zèng)]有履行義務(wù)或觸犯法律，例如泄露個(gè)人數(shù)據(jù)，應(yīng)該追究的責(zé)任(見表4)。

表4 中外數(shù)據(jù)保護(hù)官的問責(zé)機(jī)制

表4顯示，若企業(yè)沒有依法設(shè)置數(shù)據(jù)保護(hù)官，大多數(shù)國(guó)家以經(jīng)濟(jì)處罰為主，GDPR遵循重罰原則，對(duì)違規(guī)行為以巨額罰款，設(shè)定了兩個(gè)等級(jí)的處罰：第一等級(jí)，主要針對(duì)觸犯三大類數(shù)據(jù)違法行為的數(shù)據(jù)控制者或處理者(沒有盡到相應(yīng)數(shù)據(jù)保護(hù)義務(wù)；沒有對(duì)數(shù)據(jù)保護(hù)認(rèn)證組織履行義務(wù)；沒有對(duì)監(jiān)管部門履行義務(wù))。第二等級(jí)，針對(duì)觸犯GDPR中規(guī)定的五大類嚴(yán)重違法行為。沒有設(shè)置或者沒有適當(dāng)設(shè)置DPO的企業(yè)應(yīng)受到第一等級(jí)的處罰。德國(guó)、印度、英國(guó)、中國(guó)若沒有依法設(shè)置數(shù)據(jù)保護(hù)官，以罰款為主。由罰款金額可見歐盟與英國(guó)罰款最高。新加坡和日本還增加了監(jiān)禁和有期徒刑，相比較而言更為嚴(yán)厲，更有警示性。

對(duì)于DPO違法獲取、轉(zhuǎn)讓或者出售個(gè)人數(shù)據(jù)或個(gè)人敏感數(shù)據(jù)等行為，在GDPR中沒有具體規(guī)定，可依照各成員國(guó)自己的法規(guī)執(zhí)行。德國(guó)、印度、新加坡、日本規(guī)定DPO做出違法行為可能被處以監(jiān)禁或罰款。英國(guó)沒有相關(guān)具體規(guī)定。我國(guó)網(wǎng)絡(luò)安全負(fù)責(zé)人在履行職責(zé)中將獲取的信息用于其他用途的，依法對(duì)相關(guān)人員給予處分，但并未詳細(xì)說明處分內(nèi)容。

美國(guó)的《網(wǎng)絡(luò)安全國(guó)家行動(dòng)計(jì)劃(CNAP)》中未提及處罰措施，其政策和法律法規(guī)中也基本沒有其他具體關(guān)于DPO的規(guī)定。由于法律制度和立法傳統(tǒng)的不同，美國(guó)更傾向于通過行業(yè)自律和事后投訴來確保數(shù)據(jù)安全有序流動(dòng)。所以，雖然GAFA(谷歌Google、蘋果Apple、臉書Facebook和亞馬遜Amazon)均屬于美國(guó)大數(shù)據(jù)企業(yè)，但由于美國(guó)目前既沒有專門的數(shù)據(jù)保護(hù)法律法規(guī)，也沒有對(duì)應(yīng)的職能部門對(duì)此進(jìn)行監(jiān)管，所以近兩年美國(guó)的大數(shù)據(jù)企業(yè)在跨境數(shù)據(jù)流動(dòng)中，因數(shù)據(jù)合規(guī)問題屢遭歐盟GDPR的巨額罰款。

3 結(jié)論與啟示

3.1結(jié)論整體上看，各國(guó)DPO制度正在日趨完善，成為未來數(shù)據(jù)流動(dòng)的法律保障制度之一。歐盟、日本等大多數(shù)國(guó)家都設(shè)置了專門的數(shù)據(jù)保護(hù)法，對(duì)DPO制度有比較具體的規(guī)定；中國(guó)依靠網(wǎng)絡(luò)安全相關(guān)法律法規(guī)對(duì)DPO制度作了規(guī)定；而美國(guó)則極少在政策與法律法規(guī)中規(guī)定DPO制度。具體差異表現(xiàn)表現(xiàn)在以下三個(gè)方面：

a.在中外不同DPO制度的法定條件和地位的比較中，將數(shù)據(jù)保護(hù)官分為兩種類型——政府和企業(yè)部門，兩種不同類型的DPO在法定條件、地位、權(quán)力方面都有所差異。對(duì)于企業(yè)中的DPO，一般都有獨(dú)立履職權(quán)、直接報(bào)告權(quán)、資源保障權(quán)，通過這三項(xiàng)權(quán)力保障DPO的工作效率。對(duì)于政府的個(gè)人數(shù)據(jù)監(jiān)管機(jī)構(gòu)，一般具有高度獨(dú)立性，這種DPO屬于行政人員，具有更高的權(quán)力，例如英國(guó)信息專員的民事處罰權(quán)、刑事追責(zé)等。

b.在中外不同DPO制度的法定職責(zé)與范圍的比較中，DPO最重要的職責(zé)就是進(jìn)行數(shù)據(jù)合規(guī)監(jiān)督，不同類型DPO的監(jiān)督對(duì)象不同。企業(yè)的DPO監(jiān)督企業(yè)中的個(gè)人數(shù)據(jù)，負(fù)責(zé)向企業(yè)提出建議、參與評(píng)估、進(jìn)行培訓(xùn)、溝通協(xié)調(diào)等；政府的DPO職責(zé)范圍更廣，監(jiān)督的對(duì)象是政府機(jī)構(gòu)內(nèi)部的網(wǎng)絡(luò)與個(gè)人數(shù)據(jù)安全，做出的是戰(zhàn)略性的決策。

c.在中外不同DPO制度問責(zé)機(jī)制的比較中，若企業(yè)沒有依法設(shè)置數(shù)據(jù)保護(hù)官，大多數(shù)國(guó)家以經(jīng)濟(jì)處罰為主；對(duì)于DPO違反法律，一般處以監(jiān)禁或罰款。美國(guó)的CNPA中未提及處罰措施，沒有對(duì)應(yīng)的職能部門對(duì)數(shù)據(jù)安全進(jìn)行保護(hù)，這可能是近兩年美國(guó)企業(yè)頻遭歐盟GDPR巨額罰款的重要原因之一。

3.2啟示與國(guó)外DPO制度相比，我國(guó)沒有設(shè)置專門的數(shù)據(jù)保護(hù)官制度，僅在網(wǎng)絡(luò)安全的相關(guān)法律法規(guī)中有部分涉及，對(duì)DPO的地位和權(quán)力規(guī)定不明晰，對(duì)企業(yè)設(shè)置DPO職位的規(guī)定比較模糊，懲罰制度也比較輕。借鑒國(guó)外數(shù)據(jù)保護(hù)官制度的先進(jìn)經(jīng)驗(yàn)，得出以下三點(diǎn)啟示：

a.我國(guó)在設(shè)置數(shù)據(jù)保護(hù)官時(shí)，一是要規(guī)定數(shù)據(jù)保護(hù)官的委任、地位、職責(zé)和能力素質(zhì)等具體制度，二是要設(shè)立權(quán)威認(rèn)證，加強(qiáng)個(gè)人數(shù)據(jù)保護(hù)監(jiān)督管理，培養(yǎng)優(yōu)秀的個(gè)人數(shù)據(jù)保護(hù)人才。在立法方面，明確規(guī)定企業(yè)和組織機(jī)構(gòu)應(yīng)設(shè)置個(gè)人數(shù)據(jù)保護(hù)專門崗位和專業(yè)人員的條件，對(duì)違反規(guī)定的個(gè)人數(shù)據(jù)管理者給予更加嚴(yán)厲的問責(zé)機(jī)制和懲罰，加強(qiáng)對(duì)監(jiān)管機(jī)構(gòu)的建設(shè)，做好監(jiān)督工作。

b.在立法中強(qiáng)化數(shù)據(jù)保護(hù)官的獨(dú)立履職權(quán)。通過中外數(shù)據(jù)保護(hù)官制度的對(duì)比發(fā)現(xiàn)，我國(guó)《信息安全技術(shù) 個(gè)人信息安全規(guī)范》中，關(guān)于個(gè)人信息保護(hù)負(fù)責(zé)人職權(quán)的主要問題之一，就是如何在數(shù)據(jù)控制者和數(shù)據(jù)處理者之外獨(dú)立行使權(quán)力。借鑒歐盟GDPR以及其他國(guó)家的立法經(jīng)驗(yàn)，我國(guó)可以通過增加個(gè)人信息保護(hù)負(fù)責(zé)人的通知建議權(quán)和約束控制者、處理者不干涉其行使權(quán)力的方式來實(shí)現(xiàn)[14]。但強(qiáng)化個(gè)人信息保護(hù)負(fù)責(zé)人的獨(dú)立履職并不意味著使其具備無法控制的權(quán)力，同時(shí)應(yīng)對(duì)其權(quán)力進(jìn)行約束，立法時(shí)明確其職權(quán)范圍和責(zé)任追究。

c.處理好數(shù)據(jù)保護(hù)官制度所節(jié)約的合規(guī)成本(違規(guī)的高額罰款)和制度本身所帶來的合規(guī)成本(設(shè)置數(shù)據(jù)保護(hù)官的成本)之間的矛盾。設(shè)立數(shù)據(jù)保護(hù)官制度的目的就是為了降低企業(yè)或組織機(jī)構(gòu)的合規(guī)負(fù)擔(dān)，所以在制定數(shù)據(jù)保護(hù)官制度時(shí)，需要權(quán)衡這兩種成本之間的關(guān)系，過重的成本會(huì)不利于企業(yè)或組織機(jī)構(gòu)的發(fā)展，這就與設(shè)立數(shù)據(jù)保護(hù)官制度的目的背道而馳。