新经济与法｜为何300万年薪招不到首席安全官？

随着中国个人信息保护史上的里程碑意义的法律——《个人信息保护法》（下称“《个信法》”）于2021年11月1日的正式生效，一篇《300万年薪招不到人，谁能胜任首席安全官？》引起互联网企业的广泛关注，揭示了国内安全行业人才极度稀缺的现状。

面对“监管风暴”与“高额悬赏”，安全1号位（本文中“安全1号位”指个人信息保护负责人，或与该岗位权责类似的负责人），准备好了吗？

重赏之下，必有勇夫？

安全1号位，在冲动接下Offer之前，建议深度思考一个核心问题：企业为何愿意重金招聘，《个信法》的生效对安全1号位意味着什么？ 

根据安全公司Proofpoint对全球1400位CISO（即Chief Information Security Officer，首席信息安全官）对当前网络安全形势看法的最新调查《2021 VOICE OF THECISO REPORT》显示，网络罪犯利用新冠肺炎疫情给全球经济带来的巨大压力，加剧了网络犯罪恶意活动，约64%的受访CISO表示，其所在公司有可能在未来12个月里遭受实质性网络攻击，其中英国和德国的CISO担忧比例高达81%和79%。

在这种全球环境下，国内的立法与执法更是逐步趋严。

根据2021年前三季度工业和信息化发展情况新闻发布会上公布的数据，“前三季度已经开展了10批次集中检测，累计通报了1494款违规APP，下架了408款拒不整改的APP，对违规行为始终保持高压震慑”。

11月3日，中国网络空间安全协会发布团体标准《应用商店APP个人信息收集使用上架审核和管理规范（征求意见稿）》，意味着APP、小程序、快应用、H5等其他新形态网络应用程序，除了上架后面对国家监管部门审核监管外，可能连最开始在应用商店、应用市场、分发网站内的上架审核都可能无法通过。

而这些责任在谁头上？毋庸置疑，安全1号位。

 GDPR“DPO免责”PK《个信法》“双罚制”

前述能否上架可能只是企业内部对安全1号位的基本要求，但《个信法》生效后，除了内部责任外，在企业违规处理个人信息或者处理个人信息未履行法定个人信息保护义务的情况下，安全1号位，更是面临外部行政监管的“双罚制”。 

欧盟GDPR以及WP29（即欧盟第29条数据保护工作组）的《DPO指南》明确了“组织确保DPO免责”的基本原则，（注：DPO即Data Protection Officer，数据保护官）即GDPR仅针对作为数据控制者的组织进行处罚，并明确要求数据控制者与数据处理者应当确保DPO不会收到任何有关执行其工作任务的指示，DPO不能因执行自身的任务而被解雇或处罚（为免疑义，针对DPO未勤勉尽责的情形，本文中不作论述）。

与该欧盟适用的原则显著不同，中国《个信法》确立了在个人信息违规领域的“双罚制”，为作为个人信息保护负责人的自然人戴上了“枷锁”，除双罚制外，亦呈现出“两级制”以及“处罚措施多维度”的特点，具体如下：

其一，“双罚制”。针对违反《个信法》规定处理个人信息的，或未履行《个信法》规定个人信息保护义务的，除了针对单位进行处罚外，明确了责任人（直接负责的主管人员和其他直接责任人）应承担的行政责任（见下文“两级制”与“处罚措施多维度”）；

其二，“两级制”。《个信法》区分违规的“一般情形”与“情节严重”分别设置两级处罚，单位罚款最高可达5000万元或上一年度营业额5%，直接负责的主管人员和其他直接责任人员罚款最高可达100万元；

其三，“处罚措施多维度”。除罚款外，亦规定了针对负责人的“行业禁止令”（禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人）等处罚措施，该等措施与罚款可为“并处”关系。

可见，安全1号位，在企业违规的情况下，存在针对其个人的行政责任，处罚措施上不仅存在最高可达100万元的罚款，亦可能与行业禁止令并处。

安全1号位，权责剖析

知悉最高违规成本后，安全1号位，更需要知晓的是哪些平台需要设置个人信息保护负责人，以及个人信息保护负责人的权责？

1. 哪些平台需要设置个人信息保护负责人？

我们随机检索了五家典型互联网平台基于《个信法》生效更新的最新隐私政策，其中两家平台（美团与微信）已设置个人信息保护负责人，并依据《个信法》要求公开个人信息保护负责人的联系方式；两家平台（淘宝与饿了么）仅设置个人信息保护专职部门，并未公示已设置个人信息保护负责人及其联系方式；一家平台（微博）未公示已设置个人信息保护负责人或个人信息保护专职部门。

可以看出，目前各互联网平台在个人信息保护负责人的设置上呈现出参差不齐的现象。根据《个信法》的规定，处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。而具体数量尚无明确规定，参考《信息安全技术 个人信息安全规范》（GB/T 35273—2020，下称《个人信息安全规范》），满足以下条件之一的组织，应设立专职的个人信息保护负责人和个人信息保护工作机构，负责个人信息安全工作：

(1) 主要业务涉及个人信息处理，且从业人员规模大于200人；

(2) 处理超过100万人的个人信息，或预计在12个月内处理超过100万人的个人信息；

(3) 处理超过10万人的个人敏感信息的。

2. 个人信息保护负责人的权责

《个信法》未对个人信息保护负责人的资质提出要求，根据《个人信息安全规范》的要求，个人信息保护负责人在角色定位上：

(1) 其一，应具有相关管理工作经历和个人信息保护专业知识；

(2) 其二，应参与有关个人信息处理活动的重要决策直接向组织主要负责人报告工作；

(3) 其三，组织应为其提供必要的资源，保障其独立履行职责。

针对安全1号位的具体权责，《个信法》明确的原则为“负责对个人信息处理活动以及采取的保护措施等进行监督”，若仅就该原则做文义解释，安全1号位权责核心在于“监督”，对比GDPR项下DPO的职责（以参与和个人数据保护相关的所有事项为原则，具体负责：为数据控制者、数据处理者及相关数据处理人员提供通知和建议；监督GDPR、成员国数据法规、数据控制者和处理者政策以及相关审计活动的合规性；提供有关数据保护影响评估的建议；与监管机构协作；为监管机构和数据处理活动提供联络），范围小得多。

这将形成安全1号位在中国作为个人信息保护负责人对比欧盟的DPO，其“职责更小，但风险更高”的局面（即DPO权责大，但风险小）。

在《个信法》正式生效前，《个人信息安全规范》亦对安全1号位的职责进行了具体列举：（1）全面统筹实施组织内部的个人信息安全工作，对个人信息安全负直接责任；（2）组织制定个人信息保护工作计划并督促落实；（3）制定、签发、实施、定期更新个人信息保护政策和相关规程；（4）建立、维护和更新组织所持有的个人信息清单（包括个人信息的类型、数量、来源、接收方等）和授权访问策略；（5）开展个人信息安全影响评估，提出个人信息保护的对策建议，督促整改安全隐患；（6）组织开展个人信息安全培训；（7）在产品或服务上线发布前进行检测，避免未知的个人信息收集、使用、共享等处理行为；（8）公布投诉、举报方式等信息并及时受理投诉举报；（9）进行安全审计；（10）与监督、管理部门保持沟通，通报或报告个人信息保护和事件处置等情况。

基于权责与风险呈正相关的原则，建议将《个人信息安全规范》的职责作为《个信法》项下安全1号位职责的有效补充，但这亦意味着对安全1号位自身能力与经验要求的提升。

结语

在信息技术飞速发展，立法日益完善，监管日趋规范，个人信息主体维权意识愈发强烈的大环境下，安全1号位，将是机遇与挑战并存，梦想与辉煌同在的急缺职位。面对中国对个人信息保护负责人最高可达100万元的罚款且可并处行业禁止令的严厉罚则，安全1号位，你准备好了吗？  

建议任职前完善管理工作经历和个人信息保护专业知识，加强自身风险防控意识；任职中依法勤勉尽责履行法定职责，亦可充分利用外部资源，积极寻求外部中介机构支持，优化内部个人信息安全风控体系。