在网络安全与数据保护方面的法律法规多有企业设置专门的管理机构、保护负责人的要求,以执行该领域内的合规工作安排。该等机构与人员设置是就特定目标进行管理与决策的组织机制基础,也是在评估、审计中衡量某一个被评价主体是否满足合规要素的评定项之一。这一项能否满足的结论,非常客观,几乎没有解释空间。
不同法律法规和标准对于企业内部设置合规管理机构的要求各不相同,但基于企业人力之有限性,以及企业对决策权限机制的设计往往需要整体把控,在安排岗位、职责、权限时,不免需要整体考虑。为便于此,笔者整理了网络安全与数据保护相关的企业内部管理机构设置的要求,以便于在人员选择、权责设置和制定管理制度时作整体统筹安排。
一、个人信息保护负责人和/或个人信息保护机构
[适用对象]
处理个人信息达到国家网信部门规定数量的个人信息处理者,以及开展个人信息跨境处理活动的个人信息处理者和境外接收方(《认证规范2.0》)设置“个人信息保护负责人”。
满足以下条件之一,设置个人信息保护负责人且设置“个人信息保护机构”:
1)主要业务涉及个人信息处理,且从业人员规模大于200人;
2)处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;
3)处理超过10万人的个人敏感信息的。
4)开展个人信息跨境处理活动的个人信息处理者。(《认证规范2.0》)
[设置目的] 响应个人信息保护合规要求;
[主要依据]《个人信息保护法》第52条、《GB/T35273-2020 信息安全技术个人信息安全规范》第11.1款 c)项、《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》(《认证规范2.0》)
[常设/临时] 常设
[职责权限]
1.“个人信息保护负责人”负责对个人信息处理活动以及采取的保护措施等进行监督,参与有关个人信息处理活动的重要决策直接向组织主要负责人报告工作。
2.“个人信息保护负责人”和/或“个人信息保护机构”:
1)全面统筹实施组织内部的个人信息安全工作,对个人信息安全负直接责任;
2)组织制定个人信息保护工作计划并督促落实;
3)制定、签发、实施、定期更新个人信息保护政策和相关规程;
4)建立、维护和更新组织所持有的个人信息清单(包括个人信息的类型、数量、来源、接收方等) 和授权访问策略;
5)开展个人信息安全影响评估,提出个人信息保护的对策建议,督促整改安全隐患;
6)组织开展个人信息安全培训;
7)在产品或服务上线发布前进行检测,避免未知的个人信息收集、使用、共享等处理行为;
8)公布投诉、举报方式等信息并及时受理投诉举报;
9)进行安全审计;
10)与监督、管理部门保持沟通,通报或报告个人信息保护和事件处置等情况。
3.根据《认证规范2.0》,若在个人信息跨境处理场景下,个人信息保护负责人和个人信息保护机构可以进行以下权责划分。其他个人信息处理场景在区分负责人个人与机构权责时,也可参考这种思路进行安排。
[人员要求]
个人信息保护负责人应由具有相关管理工作经历和个人信息保护专业知识的人员担任。
《认证规范2.0》第2.1款要求开展个人信息跨境处理活动的个人信息处理者,其个人信息保护负责人不仅符合上述,还应由本组织的决策层成员担任。
二、个人信息安全影响评估团队
[适用对象] 各类组织
[设置目的] 个人信息安全影响评估工作
[主要依据]《GB/T39335—2020信息安全技术个人信息安全影响评估指南》
[常设/临时] 对于组织设置有定期评估的,该等定期评估的内部分工可常设,其他可根据该次评估的范围、对象等不同,作临时安排。
[组成与分工]
1)“责任部门”或“责任人员”:负责个人信息安全影响评估工作结果的质量,负责个人信息安全影响评估工作流程的制定、实施、改进;具有独立性,不受到被评估方的影响。
2)牵头执行部门:法务部门、合规部门或信息安全部门。
3)产品、服务或项目的负责人:对于具体的产品、服务或项目开展个人信息安全影响评估时,负责确保个人信息安全影响评估活动的开展和顺利进行,并给予相应支持。
4)评估人:由组织确认并任命;负责进行个人信息安全影响评估;负责明确规定个人信息安全影响评估报告的提交对象、个人信息安全影响评估的时间段、是否会公布评估报告或其摘要。
5)评估报告签署人:组织指定,负责签署评估报告。
6)个人信息保护专员:审批报告。
7)组织管理层:为个人信息安全影响评估团队配置必要资源。
[人员要求]
“责任部门”或“责任人员”,由组织指定;自评估,可指定本单位评估、审计岗开展,也可委托外部专业机构开展;检查评估,由对组织有领导关系或富有监督管理职责的上级组织开展,则意味着该等单位的人员,也可由该等单位委托外部专业机构开展。
[职责权限] 负责组织的个人信息安全影响评估。
三、数据安全负责人和管理机构
[适用对象] 重要数据的处理者
[设置目的] 响应数据安全保护合规要求;
[主要依据]《数据安全法》第27条第二款、《网络数据安全条例(征求意见稿)》第28条
[常设/临时] 常设,重要数据的处理者应当明确数据安全负责人和管理机构
[职责权限]
参考《网络数据安全管理条例(征求意见稿)》第28条,数据安全负责人领导数据安全管理机构,有权直接向网信部门和主管、监管部门反映数据安全情况;而数据安全管理机构职责如下:
1)研究提出数据安全相关重大决策建议;
2)制定实施数据安全保护计划和数据安全事件应急预案;
3)开展数据安全风险监测,及时处置数据安全风险和事件;
4)定期组织开展数据安全宣传教育培训、风险评估、应急演练等活动;
5)受理、处置数据安全投诉、举报;
6)按照要求及时向网信部门和主管、监管部门报告数据安全情况。
[人员要求]
数据安全负责人应由本单位法定代表人或主要负责人担任,且具有相关专业知识和管理工作经历。非行业内有特殊要求的单位,如有需要与网信部门和主管机构频繁沟通的,可考虑由决策层分管数据安全的领导担任。参考:
1)《网络数据安全管理条例(征求意见稿)》第28条第二款规定了“数据安全负责人应当具备数据安全专业知识和相关管理工作经历,由数据处理者决策层成员承担,有权直接向网信部门和主管、监管部门反映数据安全情况”。
2)《工业和信息化领域数据安全管理办法(试行)》第十三条第二款规定有“工业和信息化领域重要数据和核心数据处理者,还应当:(一)建立覆盖本单位相关部门的数据安全工作体系,明确数据安全负责人和管理机构,建立常态化沟通与协作机制。本单位法定代表人或者主要负责人是数据安全第一责任人,领导团队中分管数据安全的成员是直接责任人;……”
3)《会计师事务所数据安全管理暂行办法》第八条明确了会计师事务所的首席合伙人(主任会计师)是本所数据安全负责人。
四、网络安全负责人
[适用对象] 网络运营者
[设置目的] 网络运营者履行安全保护义务的合规要求之一。
[依据]《网络安全法》第21条第一款第(一)项、《网络安全法》第三十四条第一款第(一)项(CIIO适用)
第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;……
[常设/临时] 常设
[职责权限、人员要求] 符合网络安全等级保护制度要求,落实网络安全保护工作,法律层面暂无更细化要求。
五、专门安全管理机构和安全管理负责人
[适用对象] 关键信息基础设施的运营者
[设置目的] 响应关键信息基础设施保护的合规要求;
[主要依据]《网络安全法》第34条第一款第(一)项、《关键信息基础设施安全保护条例》第14-16条
[常设/临时]常设
[职责权限]
“专门安全管理机构”具体负责本单位的关键信息基础设施安全保护工作,履行下列职责:
1)建立健全网络安全管理、评价考核制度,拟订关键信息基础设施安全保护计划;
2)组织推动网络安全防护能力建设,开展网络安全监测、检测和风险评估;
3)按照国家及行业网络安全事件应急预案,制定本单位应急预案,定期开展应急演练,处置网络安全事件;
4)认定网络安全关键岗位,组织开展网络安全工作考核,提出奖励和惩处建议;
5)组织网络安全教育、培训;
6)履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度;
7)对关键信息基础设施设计、建设、运行、维护等服务实施安全管理;
8)按照规定报告网络安全事件和重要事项。
此外,“专门安全管理机构”的人员还需参与运营者开展的与网络安全和信息化有关的决策。
[人员要求]
应通过运营者设置的专门安全管理机构对专门安全管理机构负责人和关键岗位人员进行的安全背景审查。审查时,公安机关、国家安全机关应当予以协助。
六、网络安全评估工作组
[适用对象] 大型互联网平台1
[设置目的] 开展网络安全评估工作
[主要依据]《网络安全标准实践指南一大型互联网平台网络安全评估指南V1.0》202406
[常设/临时] 常设
[分工] 平台主要负责人直接领导;各项具体工作由平台主要负责人指定的牵头人组织推动;工作组在主要负责人领导下制定管理制度和工作程序。
[人员要求]
1)“平台主要负责人”:平台经营主体的主要负责人或实际控制人;
2)“高级管理人员”:平台运营者的经理、副经理、首席执行官、首席运营官、财务负责人、人力资源负责人、法务负责人、董事会秘书等,以及公司章程规定的其他人员。
3)其他人员:涉及《指南》第4章评估内容的平台内部机构均需纳入工作组,即工作涉及平台的核心业务连续性、灾难恢复能力、关键软硬件产品供应链安全性、对外提供数据的可控性、数据泄露事件发生后应急处置、平台控制权、用户权益保护的内部机构。
[组织机构职责]
“网络安全评估工作组”的职责是负责大型互联网平台网络安全评估工作,包括:
1) 根据各项业务发生网络安全问题时对社会稳定、公共利益的影响程度,识别核心业务范围,明确网络安全评估范围;
2) 组织开展年度网络安全评估;
3) 研究制定重要事项网络安全评估工作方案并组织开展相关评估工作;
4) 根据网络安全评估中发现的安全问题组织开展整改。
[1] 根据《网络安全标准实践指南一大型互联网平台网络安全评估指南V1.0》202406,第2.1款对“大型互联网平台”的定义,判定时建议考虑在过去的一年期间,在我国累计平均月度活跃用户总数是否不低于5000万,以及提供业务包括但不限于即时通信、社交网络、电子商务、直播、短视频、信息资讯、应用商店、网络预约汽车、网络支付等。
内部管理机构与责任人如何设置——网络安全与数据保护类合规管理要求一览
作者:李佳慧来源:兰台律师事务所

在网络安全与数据保护方面的法律法规多有企业设置专门的管理机构、保护负责人的要求,以执行该领域内的合规工作安排。