一、 有关企业机构及职位设立的要求

根据我们的初步梳理，《网安法》、《关键信息基础设施安全保护条例》（“《关基条例》”）、《网络安全等级保护条例（征求意见稿）》（“《网安条例》”）、《数安法》、《数据安全管理办法（征求意见稿）》（“《数安办法》”）、《网络数据安全管理条例（征求意见稿）》（“《数安条例》”）、《个保法》、《信息安全技术个人信息安全规范》（“《国标35273》”）等法律法规、标准中均有明确企业应当设置专门机构、职位的要求。虽然相关规则要求企业设立的数据合规专门机构和专职人员的名称和要求均有所差异，总结起来主要包括网络安全、数据和个人信息保护三个方面的专门管理机构及负责人。

（一） 网络安全负责人及机构

网络安全负责人。根据《网安法》及相关配套规则的要求，网络运营者应当设立网络安全负责人，但对于网络安全负责人的具体职责，《网安法》并未予以明确，仅笼统规定确保网络安全防护职责的落实。此外，《网安条例》第20条也规定了网络运营者应当设置类似的职位——“网络安全等级保护工作责任人”，并明确对于第三级以上网络运营者[1]，包括关键信息基础设施运营者[2]，其网络安全负责人应当履行以下职责：对网络安全保护负总责，领导安全保护和重大网络安全事件处置工作，组织研究解决重大网络安全问题。并需对该负责人和关键岗位的人员进行安全背景审查，落实持证上岗。[3]

网络安全管理机构。与网络安全负责人适用于所有网络运营者不同，网络安全管理机构只适用于第三级以上网络运营者和关键信息基础设施运营者。其职责包括：（1）建立网络安全管理、评价考核制度，拟订安全保护计划；（2）建设网络安全防护能力，开展网络安全监测、检测和风险评估；（3）制定本单位应急预案，定期开展应急演练，处置网络安全事件；（4）认定网络安全关键岗位，组织考核，提出奖励和惩处建议；（5）组织网络安全教育、培训；（6）履行个人信息和数据安全保护责任，建立相应保护制度；（7）对关键信息基础设施设计、建设、运行、维护等服务实施安全管理。（8）按照规定报告网络安全事件和重要事项。[4]

（二） 数据安全负责人及机构

数据安全负责人。根据《数安法》、《数安条例》和《数安办法》的规定，数据安全负责人并非所有网络运营者都必须设置，而仅适用于以经营为目的收集重要数据[5]或个人敏感信息的网络运营者。数据安全负责人应当具备数据安全专业知识和相关管理工作经历，由数据处理者决策层成员承担，并且有权直接向网信部门和主管、监管部门反映数据安全情况。[6]其具体职责包括：（1）组织制定数据保护计划并督促落实；（2）组织开展数据安全风险评估，督促整改安全隐患；（3）按要求向有关部门和网信部门报告数据安全保护和事件处置情况；（4）受理并处理用户投诉和举报。数据安全责任人由具有相关管理工作经历和数据安全专业知识的人员担任，参与有关数据活动的重要决策，直接向网络运营者的主要负责人报告工作。[7]

数据安全管理机构。该机构仅适用于重要数据处理者。机构的职责主要包括：（1）研究提出数据安全相关重大决策建议；（2）制定实施数据安全保护计划和数据安全事件应急预案；（3）开展数据安全风险监测，及时处置数据安全风险和事件；（4）定期组织开展数据安全宣传教育培训、风险评估、应急演练等活动；（5）受理、处置数据安全投诉、举报；（6）按照要求及时向网信部门和主管、监管部门报告数据安全情况。[8]

（三） 个人信息保护负责人及机构

个人信息保护负责人。《个保法》第52条规定，处理个人信息达到国家网信部门规定数量[9]的个人信息处理者应当设立个人信息保护负责人，但“国家网信部门规定数量”目前尚未明确。参考网信办2021年10月发布的《数据出境安全评估办法》该数量标准可能是“一百万”。此外，《汽车数据安全管理若干规定（试行）》第3条规定“涉及个人信息主体超过10万人的个人信息”就构成重要数据，如果是汽车行业的个人信息处理者则很可能处理个人信息达到10万人就需要设立个人信息保护负责人。

个人信息保护负责人的职责包括：（1）研究提出数据安全相关重大决策建议；（2）制定实施数据安全保护计划和数据安全事件应急预案；（3）开展数据安全风险监测，及时处置数据安全风险和事件；（4）定期组织开展数据安全宣传教育培训、风险评估、应急演练等活动；（5）受理、处置数据安全投诉、举报；（6）按照要求及时向网信部门和主管、监管部门报告数据安全情况。[10]

个人信息保护工作机构。关于个人信息保护的专门机构，《个保法》仅明确要求提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者（也就是大型互联网平台企业）应当成立主要由外部成员组成的独立机构，负责对其个人信息保护情况进行监督。这一要求显然是有别于上文提到的企业网络安全管理机构和数据安全管理机构的设置要求。此外，对于境外的个人信息处理者则要求在中国国内设立专门机构或者指定代表，这里的专门机构可以是境外个人信息处理者的关联公司或者代表处，目的是代表其处理在国内的个人信息保护相关事务。

（四）关于责任承担

在《网安法》《数安法》《个保法》中数据合规的责任承担采取“双罚制”，即企业及主要负责人或直接责任人均可能因为企业的违规行为受到处罚。执法实践中，也已经出现因未设置网络安全负责人而受到行政处罚的案例[11]。因此，根据相关法律法规的要求在企业内部设置专门的机构以及专门的岗位成为企业数据合规工作的重点，企业应该特别关注。

为便于理解和对比，我们基于以上内容梳理成了表格的形式。

二、常见问题讨论

（一）三类机构及职位是否可以兼任？

上文所述机构及职位主要基于“网络安全”、“数据安全”及“个人信息保护”三个数据合规领域下的概念产生。其中“网络安全”概念的外延最为宽泛，涵盖了“网络运行安全”、“网络产品和服务的安全”、“数据及个人信息的安全”、“网络安全等级保护”等子概念。因此，通常认为网络安全管理机构及负责人的工作职责内，也将包含数据安全及个人信息保护的内容。

此外，“数据”与“个人信息”本身也是一对存在重叠的概念，《数安法》中将数据界定为“任何以电子或者其他方式对信息的记录”，可见数据为信息的表现形式，而个人信息则为信息的一类。因此，实务当中，数据安全管理机构及负责人与个人信息保护负责人的工作职责必然会存在交叉和重合。

网络安全负责人、数据安全负责人以及个人信息保护负责人三个职位是否可以由一人兼任，相信是很多企业遇到的问题。鉴于当前法律中并未明确禁止兼任，且除个别特殊职位外，多使用“确定”、“明确”等表述，我们倾向于认为三大法的立法本意是要求企业在符合条件的情况下必须设立职位来承担相应的安全保护职责，至于不同法律法规要求的职位是否可以兼任，暂时并没有明确的禁止性规定。结合“网络安全”、“数据安全”和“个人信息保护”等概念本身存在包含、重叠的关系，企业如果考虑到合规成本等因素任命一位符合条件的员工兼任三个职位，具有一定的合理性。

（二）数据安全专职人员是否可以外聘？

参考欧盟GDPR对于数据保护官（Data Protection Officer, DPO）的规定，该职位既可以是企业内部的部门或员工，也可以是与企业签署协议的外聘第三方机构或个人。就国内而言，除《个保法》第58条明确要求提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者设置外部监督机构外，尚未有其他法律法规明确要求企业必须建立外聘的数据合规机构。就网络安全负责人、数据安全负责人以及个人信息负责人而言，法律并没有排除企业聘请外部专业人员担任相关职位的可能性，但在数据合规“双罚制”背景下，外聘人员担任相关职位显然会更为谨慎。据我们了解的情况，实务当中必须设立该等职位的企业通常会由内部法务部门或合规团队的员工担任该等职务，很少出现外聘人员担任该等职务的情况。

（三）外籍人员是否可以担任数据合规相关负责人？

目前法律尚未明确相关职位只能由中国公民担任，但结合相关职位的职责、权限以及其管理的数据的重要性及机密性，我们倾向于认为对于境内的至少关键信息基础设施的网络安全负责人、重要数据安全负责人等职位最好由中国籍员工担任。如果是境外公司，《个保法》第53条明确要求境外的个人信息处理者须在境内设立专门机构或者指定代表处理个人信息保护相关事务，那么在设立了该等中国机构或代表的前提下，个人信息安全负责人由公司总部的员工担任应该是可行的。

注释：

[1] 网络经营者的等级划分参见《网安条例》第十五条，“根据网络在国家安全、经济建设、社会生活中的重要程度，以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后，对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素，网络分为五个安全保护等级。

  （一）第一级，一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害，但不危害国家安全、社会秩序和公共利益的一般网络。

  （二）第二级，一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害，或者对社会秩序和公共利益造成危害，但不危害国家安全的一般网络。

  （三）第三级，一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害，或者会对社会秩序和社会公共利益造成严重危害，或者对国家安全造成危害的重要网络。

  （四）第四级，一旦受到破坏会对社会秩序和公共利益造成特别严重危害，或者对国家安全造成严重危害的特别重要网络。

  （五）第五级，一旦受到破坏后会对国家安全造成特别严重危害的极其重要网络。”

[2] 关键基础设施定义参见《关基条例》第二条，“关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。”

[3] 《网安法》第34条、《网安条例》第21条、《关基条例》第13-15条

[4] 《网安法》第34条、《网安条例》第21条、《关基条例》第13-15条

[5] 《数安办法》第38条规定 “重要数据是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据，如未公开的政府信息，大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等”。

[6] 《数安法》第27条、《数安条例》第28条

[7] 《数安办法》第17-18条

[8] 《数安法》第27条、《数安条例》第28条

[9] 该数量目前尚不明确，

[10] 《个保法》第52条

[11] 台州市黄岩现代机械设备有限公司网络运营者不履行网络安全保护义务案(台公(黄)(城东)行罚决字[2021]01452号)

特别声明

本文仅供参考，不构成律师的正式意见，不应被看作是采取任何法律行动或进行法律决策的依据。文中所述仅代表作者个人观点，并不反映作者所服务的任何机构或客户的立场。