互联网出海实战指南：数据安全官的风险及应对

小提示：您能找到这篇{互联网出海实战指南：数据安全官的风险及应对}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的互联网出海实战指南：数据安全官的风险及应对内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

编辑：王捷 魏彤

出海注：本文是资深出海法律顾问 Jackie Wong （微信公众号ID：Legal-Jackie）发布在出海的专栏文章，转载须保留本段文字，并注明作者和来源。商业转载/使用请前往资深联系，寻求作者授权。

在前四篇关于 DPO 系列文章中，我们有序地给大家深入浅出地介绍了“DPO 是什么？为什么要设立 DPO？什么公司需要有 DPO？没有的话会有哪些结果？DPO 在实际业务过程中的具体工作内容什么？企业需要对 DPO 提供哪些支持？DPO 由谁来担任？是否可以外包？”等等，并蹭到疫情的热点，以著名的不存在考研网站pornhub为例，从 DPO 的角度分析了他们的隐私政策。

接下来的这一篇，我们来聊一下 DPO 个人责任风险的问题，通过阅读，你会解决以下问题：

1.  不同国家不同适用法下的 DPO 可能承担哪些个人责任？

2.  DPO 的个人责任如何触发？

3.  DPO 的个人责任可能涉及哪些处罚方向？

4.  如何从 DPO 个人的角度进行风险减轻和应对？

01 DPO 个人责任风险

前文中说到，虽然 GDPR 明文禁止 DPO 因为履行职责而被免职或惩罚（art 38（3）），但是除了被所服务的机构免职或惩罚之外，DPO 的特殊职业性质，明显会给任职的个人或组织带来一些其他的法律风险。

由于 GDPR 并没有明文规定有关数据保护专员的个人责任的事项，所以此处所说的风险一般指向所属国私法可能加之其上的刑事民事和行政处罚。下面我们列举几个国家是如何在其数据保护法条文中明确规定数据保护官的法律责任的：

爱尔兰

爱尔兰目前的数据法规为《2003 年数据保护法令》（Data Protection Act 2003），监管机构为数据保护委员会办公室（ODPC）。

这份数据法令直接规定了刑事处罚同时面向企业和个人，不过数据保护官的风险在爱尔兰主要集中在罚款上，具体如下：

当关于个人数据的保护要求遭到违反，而该违反得到了公司主管或数据保护官员的同意或默许，或是又主管或数据保护官员的疏忽大意导致，此时对于可以适用于简易程序的罪行处以最高三千欧元的罚款，当情形更加严重可提起公诉时处罚最高十万欧元罚金。

英国

同是欧洲岛国，相比爱尔兰，英国的数据管辖法规就有名得多，《2018 年大不列颠数据保护法令》（DPA），也严格得多。

比如在罚金方面，英国直接规定，未能遵守执法通知或故意提供错误信息，那罚金就就不是三五千欧的事情了，注意一下，上不封顶了。

更可怕的是，这个上不封顶，并不是仅仅针对于公司，如果此处违规的是公司，满足某些条件（该违反得到了公司主管或数据保护官员的同意或默许，或是由主管或数据保护官员的疏忽大意导致）的情况下，此处的涉事管理层就有可能惹火上身，获得一份个人刑事责任，同样上不封顶。

看下来上面两个欧洲国家有一个共同点，就是数据保护官仅仅需要担心不要在刑事上惹祸上身就好，即便搞出问题，罚些（此处是虚指，其实是很多钱）钱也可以了事，怎么讲，亚洲就不太一样了，民事刑事损害赔偿加监禁。

新加坡

先说管辖法律，新加坡目前生效的是《2012 年新加坡个人数据保护法》（PDPA），执法机构是数据保护委员会。

刑事罚金和上述两个差别不大，也是公司犯错，数据保护官可能承担转承责任。具体到数额上是：如果违反的是“谢绝来电”的要求，最高处以一万块新币；如果违反的一般数据保护责任，那罚金的上限就立刻飙升至一百万新币。

除了罚金，在刑事方面，数据保护官如果某些违反事项，此时还会伴随着一到三年的监禁处罚。

再如果引起了私人诉讼，损害赔偿也可能紧接着产生。

菲律宾

菲律宾的数据法规为《2012 年菲律宾数据保护法》（DPA），话说能缩写成 DPA 的各国数据法可真不少。该法对可能的违反事项进行了列举，如：未授权的数据处理、由于疏忽导致的数据使用，不合理的处理、以未授权的理由进行处理、故意的数据泄露、安全事件的隐瞒、恶意披露和未经授权的披露。

上述行为会导致被国家隐私委员会罚款十万比索到五百万比索（合十万美金差不多），伴随六个月到七年不等的监禁。

对数据安全官的个人责任指向方式也和上述国家差不多，即：如果公司是违法主体，同时负责人参与了／因为疏忽大意导游戏高防解决方案致了导致了该违反的发生，那么，DPO开下门，“查水表了”。

例子举到这里，下面说说如何应对这些潜在风险。

02 解决措施

在民事赔偿方面，毋庸置疑，保险先行。各位数据安全官朋友，签合同入职的时候，如果雇主没有给上错误与疏漏保险（E&O insurance），建议大家评估风险，谨慎决定。具体的各 E&O 保险的条款和侧重也是各不相同，还是要仔细阅读。（对于聘用外部 DPO 时候，外部 DPO 该怎么保护自己，可否也提一下？外部的就不提了，一个是区别不大，一个是这么写其实不方便我们获客。）

刑事责任上，鉴于大部分的 E&O 保险都把刑事部分排除在覆盖范围外，建议大家把更多的注意力集中在公司的网络责任政策上。至少在数据泄露事件会是被覆盖在这份网络责任政策中的（大多数情况下）。

通过者五篇 DPO 系列文章，我们已经了解和掌握了关于 DPO 是什么？为什么要设立 DPO网络营销实施？什么公司需要有DPO？没有的话会有哪些结果？DPO 在实际业务过程中的具体工作内容什么？企业需要对DPO提供哪些支持？DPO由谁来担任？是否可以外包？和数据安全官的工作有什么责任风险？等等知识点，还蹭了一下科罗娜病毒的热点，以著名的不存在考研网站pornhub为例，从DPO的角度分析了他们的隐私政策。到了该系列收尾的时刻，我们从理论和实务的角度给出海企业提出以下建议。

对出海企业的建议

出海企业需要首先对自己在出海地数据法律框架下是否有设立 DPO 的法定义务进行评估，并对违反义务不设立 DPO 而需要承担的法律责任与后果进行清楚的了解，例如印度个人数据保护法案明确要求，对于重要数据受托者必须任命 DPO，否则需要承担最高五千万卢比或上一财年全球营收 2% 的罚款，以较高者为准。

如果企业决定设立 DPO，则需要根据自身情况和需求选择专业背景的内部人员或聘用专业的外部律师担任 DPO 的职责，在跨国集团企业设立统一的数据保护官员或部门的情况下，要尤为关注集团内部都可被该数据保护官触达，包括考量集团 DPO 对当地语言和法律的熟悉程度。并为 DPO 履行其职责提供所需的足够的支持，赋予充分的决策权和独立开展工作的权力，让 DPO 可以充分参与企业数据保护和隐私设计的全过程，及时获得与监管机构的必要信息（详见第四篇内容）。

如果企业决定不设立 DPO，也需要记录与该决定有关的内部评估以证明其已考虑过所有关相关因素。

对 DPO 的建议

DPO 是一个对专业性、职业性素养以及实务工作能力要求非常高的角色，涉及各类的具体要求，一旦被任命为 DPO，责任是非常重大的，不仅要尽职履行好应有的职责和义务，专注于为企业解决实际的商业需求，而且也需要时刻提高自己专业技能，以及自己不熟悉领域中的相应技能，通过采用简单高效的方式和措施，与企业内部人员进行交流，实现 DPO 的职责目标以及为企业提供切实可行的数据保护目的。

当数据控制者决定不采纳 DPO 的建议时候，DPO 需要记录与该决定有关的内部评估以证明其已考虑过所有大学+危机公关知乎关相关因素。

在为企业避免数据合规风险的同时，关注该职位特有的个人风险，提前关注错误与疏漏保险的覆盖范围，消除后顾之忧

DPO 制度不是为了企业外在镀金，更不是一个纸上谈兵的设置，DPO 的设立应成为互联网企业需要重点考虑的数据保护关键制度之一。

DPO 之路，任重而道远。

【声明】本文内容可能会因法律法规修改而变更，司法实践中依个案实际情况来处理。本文仅代表作者目前所持的理论观点，不代表作者供职机构或其他相关机构的意见。本文仅为交流之用，所有内容不构成对任何个案的意见、建议或观点。作者和发布平台明示不对任何根据本文任何内容的作为或不作为所导致的后果承担责任。