GDPR要求企业内部设立专门数据保护职位（即设置“欧盟数据保护官”和“欧盟境内代表人”），作为沟通渠道响应数据主体权利请求，配合数据监管机构调查、不受企业决策影响的客观独立履行职责。

这意味着，对于落入GDPR管辖范围的中国企业（判断中国企业是否受GDPR管辖，详见系列文章[1]），无论在欧盟是否设有经营场所，在满足一定前提的情况下，应当按照GDPR要求在企业内部设置专门数据保护职位。究竟哪些受GDPR管辖的中国企业应当设立“数据保护官”和“欧盟境内代表人”的专门职位？该专门职位的任职要求和职责内容具体是什么？未依法设置该职位可能带来的法律后果是什么？该专门职位与其他企业部门之间的有怎样的关系？

本文结合GDPR的规定和第29条数据保护工作小组（Article 29 Data Protection Working Party）在2017年4月发布的《数据保护官指南》（Guidelines on Data Protection Officiers (‘DPOs’)），对中国企业设立欧盟数据保护官的前提条件、任职要求、职责范围进行梳理，以期为中国企业出海欧洲做出指引。

一、欧盟数据保护官是否必须设立？

需要明确的是，GDPR并不要求所有企业必须设立欧盟数据保护官。GDPR第三十七条第1款规定了三种必须设立欧盟数据保护官的情况（针对中国企业仅有两种必须设立欧盟数据保护官的情形）。除上表列明的第三十七条第1款规定的两种情形，其他情形下企业并不必须设立数据保护官。

需要特别注意的是，在一定情况下，中国企业虽然不符合GDPR应当设置欧盟数据保护官的情形，但符合欧盟成员法律应当设置数据保护官的情形，也应当设置数据保护官的专门职位。例如，德国联邦数据保护法案第三十八条（Bundesdatenschutzgesetzt (BDSG)）规定，如果企业有20名以上员工需要经常性自动处理用户个人信息，或数据处理活动需要进行数据保护影响评估，或以业务传输、匿名传输或市场研究的目的处理个人信息，企业应当设立数据保护官。

所以实践中，中国企业判断是否需要根据GDPR设置欧盟数据保护官，不仅需要GDPR第三十七条第1款企业应当设置数据保护官的要求，也应当确认欧盟成员国法律是否规定了GDPR第三十七条第1款三种情形外应当设置数据保护官的情形。

（一）中国企业应当设置欧盟数据保护官——企业的核心活动涉及经常性且系统性的大规模监控的数据处理活动

1. 企业的核心活动是否涉及数据处理活动？

企业的核心活动一般是指实现企业核心目标所必需的关键操作，在实践中可以结合企业的营业范围和商业目的进行判断。企业核心活动是否涉及数据处理活动的判断，应当注重核心业务范围和数据处理活动的联系，主要有以下两种情形，

（1）企业的核心业务是处理个人数据

例如数据分析公司，公司主营业务涉及利用数据分析消费者行为和预测消费者喜好，因此认为数据分析公司的核心业务是处理个人数据。

（2）企业的核心业务并不是处理个人数据，但核心业务的实现必须通过处理个人数据实现

例如，医院的核心活动是提供医疗服务并非处理健康数据，但医院在不处理健康数据的前提下无法提供安全有效的医疗服务。由于医院核心业务必须通过处理个人健康数据来实现，所以处理健康数据被视为医院的核心活动之一，结合医院处理个人健康数据属于经常性且系统性的大规模监控，所以医院应当设置欧盟数据保护官。

2. 什么是经常性且系统性的大规模监控?

（1）大规模

GDPR并没有定义什么是委任数据保护官前提条件中的“大规模处理”，仅在前言第91条中提供了数据保护影响评估中“大规模处理”的认定指南，对此《数据保护官指南》指出，GDPR前言91条针对“数据保护影响评估”的背景，并不一定以完全相同的方式适用于“数据保护官”委任前提条款。所以什么是本条项下的大规模处理是一个有待在实务中细化的问题。对此《数据保护官指南》中也指出：随着时间的推移，可能会形成一种标准做法，以更具体和/或定量的方式判断某些类型的处理活动属于"大规模"。

《数据保护官指南》提出了“大规模”的一些参考指标：

· 数据量和/或正在处理的不同数据

· 数据处理活动的持续时间

· 处理活动的地理范围

《数据保护官指南》列举了一些大规模处理的实例：

· 医院在正常业务过程中对病人数据的处理

· 处理使用城市公共交通系统的个人的旅行数据（例如，通过旅行卡的追踪)

· 某国际快餐连锁店为统计目的对顾客的实时地理定位数据进行处理

· 为统计目的，由专门提供该服务的处理者进行处理

· 保险公司或银行在正常业务过程中对客户数据的处理

· 搜索引擎为行为广告处理个人数据

· 电话或互联网服务提供商对数据（内容、流量、位置）的处理

《数据保护官指南》同时列举了一些明确不构成大规模处理的实例：

· 个人医生对病人数据的处理

· 个人律师处理与刑事定罪和犯罪有关的个人数据

GDPR前言第91条提供了在数据保护影响评估中“大规模”的参考指标：

· 大规模数据处理活动是指，在区域、国家或超国家层面上处理数据，并可能影响到大量的数据主体且可能导致高风险的数据处理活动。

· 除此之外，大规模数据处理活动应当排除个人医生、其他医疗专家或律师对其病人或客户的数据处理。

各国数据保护机构在数据保护影响评估中“大规模”的参考指标

• 爱沙尼亚DPA在处理特殊类别的个人数据和/或与刑事定罪和违法行为有关的数据的情况下，门槛是5000人。如果处理与金融和支付服务有关的数据，电子签名等数字信任服务以及通信数据，实时地理位置数据，具有法律效力的特征分析有关的数据，这一门槛将翻倍至10,000人。这些数据被爱沙尼亚DPA认为具有较高的风险。最后，对于所有其他数据，大规模阈值被设定为50,000人，这意味着任何涵盖50,000人以上的数据库将触发DPIA要求。

  
  

• 荷兰DPA发布了专门针对医疗行业大规模处理的指南。医院、药店、普通诊所中心和护理团体的数据处理，总是被认为是大规模的。对于规模较小的普通诊所或单独工作的药剂师，以及专业医疗护理中心，如果在诊所登记的病人超过10,000名，或超过10,000名病人接受普通治疗，并且所有病人的档案都在一个单一的档案系统中保存，则数据处理是大规模的。

  
  

• 捷克DPA认为超过10,000个数据主体这个阈值的数据处理是大规模的。然而，超过20个处理分支机构或超过20名雇员的处理也被认为是大规模的。最后，各组织需要考虑数据处理是在地区层面，还是在（国家间）层面，后者更有可能是大规模的。

  
  

• 德国DPA已经发布了一份关于需要进行DPIA的数据处理操作的概述。在这份文件中，它将大规模处理定义为覆盖500万以上人口的数据处理业务，或覆盖至少40%的相关人口的数据处理业务。因此，后者的门槛取决于正在处理的数据类型以及处理操作中涉及的数据主体。

简而言之，如果是处理一个国家、一个地区、一个行业的个人数据，很有可能被认为是“大规模处理”，另外各国DPA关于“数据保护影响评估”的“大规模处理”的具体数字可供参考，但同时应当结合《数据保护官指南》中的参考指标，从数据处理的总数量、整体占比、覆盖地域范围、时间周期等进行综合判断。

（2）经常性且系统性的监控

GDPR并未明确定义 “经常性且系统性的监控”的具体含义。

GDPR前言（Recital）第 24条中对“监控”进行具体解释：

为了确定一项处理活动是否可被视为监控数据主体的行为，应确定自然人是否在互联网上被跟踪，包括随后可能使用的个人信息保护技术，其中包括对自然人进行分析，特别是为了做出有关数据主体的决定，分析或预测她或他的个人喜好、行为和态度。

《数据保护官指南》解释“经常性”的含义是指以下一项或多项内容：

· 持续的或在特定时期内以特定间隔发生的

· 反复出现或在固定时间内重复出现

· 不断地或定期地发生

《数据保护官指南》解释“系统性”的含义是指以下一项或多项内容：

· 根据一个系统发生的

· 预先安排的、有组织的或有方法的

· 作为数据收集总体计划的一部分而进行的

· 作为战略的一部分进行的

简而言之，系统性和经常性的监控，并不是偶然的或者意外发生的，而是提前安排，有计划地发生的监控。例如数据驱动的营销活动，位置跟踪，行为广告，智能手表、智能汽车、家庭自动化等。

（二）中国企业应当设置数据保护官——企业的核心活动涉及大规模特殊类别数据和刑事违法行为相关的数据处理

（1）GDPR 第九条规定了特殊类别数据

GDPR第九条第1款对特殊类别数据进行了列举，即对种族、民族出身、政治观点、宗教或哲学信仰、工会成员的个人数据处理，以及对以识别自然人为目的的基因数据、生物特征数据、自然人的健康、性生活或性取向的数据处理应当被禁止。

（2）GDPR第十条规定了刑事违法的相关数据

GDPR第十条 根据第六条第1款处理与刑事定罪和犯罪有关的个人资料或相关的安全措施时，只有在官方当局控制下或在欧盟或成员国法律授权的情况下才能进行。任何全面的刑事定罪登记册应只在官方机构的控制下保存。

因此，如果中国企业受到官方当局或成员国法律授权处理刑事违法的相关数据，则必须设立数据保护官。

二、中国企业应如何选任欧盟数据保护官？

GDPR对数据保护官没有具体的“资格证”任职要求（如律师资格证、数据保护管资格证等）要求，但对企业委任人选的专业素质提出了事实性要求，包括需要具有数据法律知识和实践的专业素质、且有能力完成数据保护官职责。

（一）具有数据保护法律和实践的专业知识

根据第三十九条规定的欧盟数据保护官的职责内容，我们可以认为欧盟数据保护官应当是对欧盟数据保护相关法律法规有深入了解。考虑到中国企业商业互动常常涉及到个人信息跨国传输，则中国企业设置的欧盟数据保护官最好同时具有欧盟和中国数据法的专业知识。

（二）具有完成数据保护官职责的能力

根据第三十九条规定的欧盟数据保护官的职责内容，我们可以认为欧盟数据保护官应当对企业管理和IT技术有一定了解——了解企业管理可以有效增加管和企业其他部门的沟通效率，了解IT技术可以有效与IT部门和产品开发部门沟通，落实设计隐私和默认隐私等涉及产品设计过程中的隐私要求。

三、中国企业如何确保和支持欧盟数据保护官履行职责？

（一）欧盟数据保护官的职责范围

数据保护官的职责规定在GDPR第三十九条第1款和GDPR第三十八条第4-5款

根据GDPR第三十八条和第三十九条的相关规定，欧盟数据保护官应当对内确保和促进企业的数据合规义务的履行，对外则需要承担与数据安全机构和数据主体的沟通，其具体职责包括：

1.  通知和建议控制者、处理者、及其履行数据处理义务的员工；

2. 监督企业数据处理是否符合GDPR，是否符合其他欧盟法及成员国法，是否符合控制者/处理者的有关个人信息保护政策，包括责任分配、增强意识、对处理活动中涉及的人员进行培训，和相关的审计；

3. 应要求对数据保护影响评估提供建议，并根据第三十五条监督数据保护影响评估的实施；

4. 与监管部门进行合作；

5. 作为监管部门的联系人，包括第三十六条规定的事前咨询和其他相关事项的咨询；

6. 数据主体可以就任何个人信息处理事项、行使数据主体权利联系欧盟数据保护官；

7. 欧盟数据保护官履行职责时应当承担保密义务。

（二）中国企业义务——确保和支持欧盟数据保护官履行职责

欧盟数据保护官作为企业数据保护的专门职位，承担了第三十九条规定的法定职责，为了确保其行使法定职责的独立性、法定职责可以在企业内部落地且切实发挥作用，GDPR第三十八条对企业提出了确保和支持数据保护官履行职责的义务，具体包括以下内容：

1.  控制者和处理者应当确保，数据保护官应当以恰当和及时的方式，介入所有与个人信息保护活动相关的事项

2. 控制者和处理者应当支持数据保护官履行职责，为其提供履行职责所必须的数据访问、数据处理操作的必要资源，同时也为其提供保持数据保护官专业知识的必要资源。

3. 控制者和处理者应当确保，数据保护官不会收到任何关于如何履行其职责的指示。数据保护官不能因完成其职责被解雇。数据保护官可以直接向最高管理层报告。

4. 数据保护官可以承担（除第三十九条）其他职责，控制者和处理者应当确保，其他职责不会（与数据保护官职责）发生利益冲突。

四、核心问题解答

1. 中小型企业等规模较小的企业是否需要设立数据保护官？

企业规模并非设立数据保护官的决定因素。

事实上，设立数据保护官和企业规模大小并无直接关系，关键是符合GDPR对处理活动和处理数据类别的要求，且符合成员国法律的特别规定。简单依据企业规模确定是否设立数据保护官是常见的错误认识。

2. 数据保护官是否可由本企业高管兼任？

GDPR第三十七条第6款规定，数据保护官可以是控制者或处理者的一名职员，也可以基于服务合同履行数据保护职责。可见，数据保护官可由外部专业人员或机构担任，也可是企业职员，进而也可以由企业的高管兼任。

值得提示的是，GDPR第三十九条要求数据保护官客观独立履行职责，不受企业决策影响客观事实和结论。从这个角度来看，由企业内部高管兼任，事实上很难避免存在利益冲突，导致数据保护管的独立性受到质疑，所以条件允许的情况下，我们不建议由内部高管（如CEO,COO,CFO,市场总监,HR部门主管,IT部门主管）兼任数据保护官。即便企业决定由由高管担任数据保护官，也建议在任命之前，谨慎审查利益冲突和评估其能否独立履职的情况。

3. 数据处理者也需要设置数据保护官吗

根据GDPR第三十七条，数据控制者和数据处理者均需要设置数据保护官。

注释：

[1] 中国企业走出去的数据合规系列（一）：如何分析GDPR是否适用：判断思路与步骤中国企业走出去的数据合规系列（二）：——GDPR是否适用：典型案例速问速答

特别声明

本文仅供参考，不构成律师的正式意见，不应被看作是采取任何法律行动或进行法律决策的依据。文中所述仅代表作者个人观点，并不反映作者所服务的任何机构或客户的立场。