王 錚 曾 薩 安金肖 黃菁茹

（1．西北大學(xué)公共管理學(xué)院 陜西西安 710127）

（2．南京大學(xué)信息管理學(xué)院 江蘇南京 210023）

（3.西北大學(xué)法學(xué)院 陜西西安 710127）

2018年5月，歐盟發(fā)布的 《一般數(shù)據(jù)保護(hù)條例》（或譯為 《通用數(shù)據(jù)保護(hù)條例》，General Data Protection Regulation，GDPR）正式實(shí)施。該條例順應(yīng)了大數(shù)據(jù)時(shí)代對(duì)個(gè)人信息保護(hù)的需求，被稱(chēng)為史上最嚴(yán)格的數(shù)據(jù)監(jiān)管條例，也是隱私與數(shù)據(jù)保護(hù)領(lǐng)域20年來(lái)的重大改革，并有可能成為全球數(shù)據(jù)保護(hù)的參考標(biāo)準(zhǔn)。在Facebook數(shù)據(jù)泄露事件發(fā)生后，美國(guó)一些眾議員也認(rèn)為GDPR是應(yīng)對(duì)此類(lèi)事件的唯一對(duì)策。GDPR明確規(guī)定了數(shù)據(jù)控制者與處理者的多項(xiàng)義務(wù)，其中值得注意的是對(duì)“數(shù)據(jù)保護(hù)官”（Data Protection Officer，DPO）崗位的強(qiáng)調(diào)（GDPR第37條明確規(guī)定數(shù)據(jù)控制者和處理者應(yīng)當(dāng)委任DPO）。

當(dāng)前國(guó)內(nèi)已有研究關(guān)注了GDPR對(duì)我國(guó)的影響和參考意義，但多是從宏觀角度分析GDPR對(duì)于企業(yè)或行業(yè)的沖擊，研究視角主要來(lái)自網(wǎng)絡(luò)安全、信息通信、經(jīng)濟(jì)金融等領(lǐng)域。而對(duì)于圖書(shū)與情報(bào)相關(guān)專(zhuān)業(yè)來(lái)說(shuō)，數(shù)據(jù)管理、信息安全正在成為重要的研究領(lǐng)域和人才培養(yǎng)方向。GDPR指導(dǎo)下的DPO制度正是新時(shí)代“數(shù)據(jù)工作者”的典型代表，又恰是數(shù)據(jù)管理與信息安全的交叉領(lǐng)域，這一崗位建制的能力要求及資質(zhì)不僅可以為國(guó)內(nèi)企業(yè)等相關(guān)機(jī)構(gòu)的數(shù)據(jù)管理制度設(shè)計(jì)提供借鑒，也可以為圖書(shū)與情報(bào)相關(guān)專(zhuān)業(yè)研究與人才培養(yǎng)工作帶來(lái)重要啟示。因此，本文在概述GDPR主要內(nèi)容和特征的基礎(chǔ)上，從GDPR合規(guī)實(shí)踐的崗位保障角度，重點(diǎn)分析了DPO職能的定位、作用和核心能力。

1 GDPR概述

歐盟素有個(gè)人信息與數(shù)據(jù)保護(hù)的傳統(tǒng)與法律基礎(chǔ)，自1995年就實(shí)行了《數(shù)據(jù)保護(hù)指導(dǎo)》（Data Protection Directive），適用范圍為所有歐盟境內(nèi)運(yùn)營(yíng)及使用位于歐盟內(nèi)的設(shè)備處理數(shù)據(jù)的企業(yè)。但隨著近20年來(lái)谷歌、Facebook等大型互聯(lián)網(wǎng)公司的崛起，大數(shù)據(jù)、云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、社交網(wǎng)絡(luò)以及各類(lèi)智能終端的普及使得個(gè)人數(shù)據(jù)無(wú)處遁形，而自然人的天然弱勢(shì)地位又導(dǎo)致其難以掌控自身數(shù)據(jù)，當(dāng)前數(shù)據(jù)流動(dòng)的全球化、海量化、開(kāi)放化態(tài)勢(shì)較20世紀(jì)90年代已經(jīng)發(fā)生了天翻地覆的變化。以 《數(shù)據(jù)保護(hù)指導(dǎo)》代表的傳統(tǒng)規(guī)則已經(jīng)難以規(guī)制機(jī)構(gòu)在移動(dòng)互聯(lián)網(wǎng)環(huán)境下的數(shù)據(jù)搜集行為。此外，《數(shù)據(jù)保護(hù)指導(dǎo)》缺乏權(quán)威的法律效力，在歐盟不同成員國(guó)之間執(zhí)行的寬嚴(yán)程度不同，在日漸統(tǒng)一的全球數(shù)據(jù)市場(chǎng)中難以取得協(xié)調(diào)效果。因此GDPR自2012年進(jìn)行初步提案，經(jīng)過(guò)4年的博弈和準(zhǔn)備，最終于2016年通過(guò)，并在2018年5月25日正式實(shí)施之前，預(yù)留了長(zhǎng)達(dá)2年的過(guò)渡準(zhǔn)備期，可見(jiàn)其立法和實(shí)施過(guò)程之復(fù)雜。

與1995年歐盟《數(shù)據(jù)保護(hù)指導(dǎo)》相比，GDPR具有如下特點(diǎn)：（1）法律效應(yīng)更加強(qiáng)化：《數(shù)據(jù)保護(hù)指導(dǎo)》僅僅是“指導(dǎo)”性質(zhì)（Directive），在實(shí)際上更多的是發(fā)揮指南和推薦作用，而GDPR則是“條例”形式（Regulation），提供了更強(qiáng)的執(zhí)行依據(jù)；（2）地域范圍更加廣泛：數(shù)據(jù)在全球范圍內(nèi)跨境流動(dòng)的時(shí)代，面對(duì)GDPR帶來(lái)的沖擊，沒(méi)有區(qū)域能夠全然置身事外。根據(jù)GDPR規(guī)定，無(wú)論組織機(jī)構(gòu)所在地、數(shù)據(jù)存儲(chǔ)和處理地點(diǎn)，如果向歐盟提供的網(wǎng)站、應(yīng)用、服務(wù)涉及規(guī)范所定義的數(shù)據(jù)處理活動(dòng) （即使在歐盟境內(nèi)沒(méi)有業(yè)務(wù)存在），都必須遵從GDPR；③保護(hù)對(duì)象更加拓展：GDPR大幅拓展了個(gè)人數(shù)據(jù)的定義，確立了個(gè)人可識(shí)別信息 （Personally Identifiable Information，PII）這一核心概念凡是可以用作識(shí)別個(gè)人身份的相關(guān)信息，均屬于GDPR保護(hù)范圍，包括基本身份信息（如姓名、電話、地址、身份證號(hào)等）、瀏覽器的Cookie、IP位置乃至識(shí)別個(gè)人身份的生物醫(yī)學(xué)信息、政治觀點(diǎn)等敏感信息；④主體權(quán)責(zé)更加明確：在由數(shù)據(jù)控制者、數(shù)據(jù)處理者組成的數(shù)據(jù)模型下，明確了數(shù)據(jù)擁有者的訪問(wèn)權(quán)、被遺忘權(quán)、數(shù)據(jù)可攜帶權(quán)、限制數(shù)據(jù)處理、默認(rèn)隱私保護(hù)等一系列權(quán)利。同時(shí)增加了義務(wù)主體的責(zé)任，包括明確了數(shù)據(jù)處理者的當(dāng)責(zé)性、數(shù)據(jù)泄露的告知義務(wù)等。這其中尤為重要的是，GDPR規(guī)定了基于數(shù)據(jù)供應(yīng)鏈的多元主體責(zé)任共擔(dān)機(jī)制 （見(jiàn)圖1）。用戶作為“數(shù)據(jù)擁有者”，盡管其數(shù)據(jù)被長(zhǎng)期存儲(chǔ)在由互聯(lián)網(wǎng)服務(wù)商托管的服務(wù)器中，但其擁有的一系列合法權(quán)益得到了GDPR的確認(rèn)，對(duì)用戶數(shù)據(jù)進(jìn)行處理（收集、存儲(chǔ)、使用）的目的與方法都需要向數(shù)據(jù)擁有者明確告知，體現(xiàn)了用戶“自由給與、自愿、明確、知情”的原則。在過(guò)去數(shù)據(jù)保護(hù)主要由“數(shù)據(jù)控制者”（如網(wǎng)絡(luò)公司）負(fù)責(zé)，而“數(shù)據(jù)處理者”（如提供數(shù)據(jù)處理服務(wù)的云服務(wù)商和進(jìn)行數(shù)據(jù)分析的第三方機(jī)構(gòu)）并不直接參與數(shù)據(jù)的搜集和具體使用。在GDPR明確認(rèn)定了“數(shù)據(jù)處理者”的責(zé)任義務(wù)，規(guī)定數(shù)據(jù)處理者也需要直接承擔(dān)合規(guī)風(fēng)險(xiǎn)與保護(hù)數(shù)據(jù)主體個(gè)人隱私權(quán)利不受侵犯的義務(wù)，由此數(shù)據(jù)供應(yīng)鏈上的上下游各方都被納入到了數(shù)據(jù)保護(hù)的問(wèn)責(zé)機(jī)制。

圖1 數(shù)據(jù)保護(hù)多元主體共擔(dān)機(jī)制

2 GDPR指導(dǎo)下的DPO制度分析

2.1 DPO在GDPR組織保障中的定位

如前所述，GDPR圍繞數(shù)據(jù)擁有者創(chuàng)建了大量新權(quán)利，也規(guī)定了數(shù)據(jù)控制者和數(shù)據(jù)處理者大量的新義務(wù)。歐盟為了保障這些數(shù)據(jù)保護(hù)義務(wù)的有效履行，從區(qū)域?qū)用妗?guó)家層面、機(jī)構(gòu)層面規(guī)定了專(zhuān)門(mén)的數(shù)據(jù)保護(hù)組織機(jī)構(gòu)以及相應(yīng)的崗位。

在區(qū)域?qū)用妫珿DPR提出設(shè)置歐盟數(shù)據(jù)保護(hù)理事會(huì)（European Data Protection Board）作為歐盟數(shù)據(jù)監(jiān)管的最高職能機(jī)構(gòu)，直接對(duì)歐盟委員會(huì)負(fù)責(zé)，強(qiáng)化了對(duì)數(shù)據(jù)的集中統(tǒng)一監(jiān)管。在國(guó)家層面，GDPR規(guī)定歐盟成員國(guó)需要設(shè)置監(jiān)管機(jī)構(gòu) （Supervisory Authority）監(jiān)督GDPR的實(shí)施，體現(xiàn)了一站式（one-stopshop）監(jiān)管原則，落實(shí)了數(shù)據(jù)控制者和數(shù)據(jù)處理者所在國(guó)的監(jiān)管責(zé)任，其職能包括：（1）監(jiān)管機(jī)構(gòu)需保護(hù)個(gè)人數(shù)據(jù)權(quán)利和自由、提高公眾對(duì)相關(guān)風(fēng)險(xiǎn)與規(guī)則的認(rèn)識(shí)、促進(jìn)數(shù)據(jù)流通、處理數(shù)據(jù)問(wèn)題投訴、與他國(guó)監(jiān)管機(jī)構(gòu)合作進(jìn)行信息溝通與共享、建立數(shù)據(jù)保護(hù)認(rèn)證機(jī)制等；（2）監(jiān)管機(jī)構(gòu)具有開(kāi)展調(diào)查、糾正數(shù)據(jù)操作、限制數(shù)據(jù)行為、提出意見(jiàn)與建議、建立與撤銷(xiāo)認(rèn)證資格、制定數(shù)據(jù)保護(hù)規(guī)則、責(zé)令行政處罰等的權(quán)利；（3）監(jiān)管機(jī)構(gòu)完全獨(dú)立行使權(quán)利，不受外部影響和其他機(jī)構(gòu)制約。國(guó)家必須向監(jiān)管機(jī)構(gòu)提供人力、物力、財(cái)力支持。監(jiān)管機(jī)構(gòu)的設(shè)置使得數(shù)據(jù)保護(hù)有了權(quán)利的保障，公司或政府的數(shù)據(jù)控制或處理行為置于獨(dú)立的監(jiān)督框架之下，確保數(shù)據(jù)泄露事件可以被及時(shí)公布、不當(dāng)數(shù)據(jù)處理行為被及時(shí)制止、非法數(shù)據(jù)處理行為被及時(shí)裁決。

在組織機(jī)構(gòu)層面，DPO是數(shù)據(jù)保護(hù)合規(guī)實(shí)踐的基礎(chǔ)性設(shè)置。GDPR規(guī)定數(shù)據(jù)控制者和數(shù)據(jù)處理者需要共同承擔(dān)的義務(wù)包括文檔化管理、數(shù)據(jù)保護(hù)影響評(píng)估、事先咨詢、數(shù)據(jù)泄露報(bào)告、實(shí)施安全保障措施、遵守?cái)?shù)據(jù)跨境轉(zhuǎn)移規(guī)則，這些任務(wù)既涉及技術(shù)問(wèn)題也涉及法律問(wèn)題，組織機(jī)構(gòu)需要確保內(nèi)部有合適可用的專(zhuān)業(yè)人員來(lái)處理這些任務(wù)。DPO的崗位設(shè)置由此應(yīng)運(yùn)而生。

2.2 DPO的崗位設(shè)置條件

GDPR對(duì)于DPO的設(shè)置做出了強(qiáng)制性規(guī)定。根據(jù)GDPR規(guī)定，凡是符合以下條件，都應(yīng)當(dāng)任命DPO：進(jìn)行數(shù)據(jù)處理的政府部門(mén)或公共機(jī)構(gòu)、以大規(guī)模數(shù)據(jù)處理作為核心業(yè)務(wù)（包括對(duì)數(shù)據(jù)進(jìn)行定期、常態(tài)、系統(tǒng)監(jiān)測(cè)和處理）的機(jī)構(gòu)、擁有250名或以上員工。擁有少于250名員工的組織也被推薦設(shè)立DPO。這一點(diǎn)也顯示出DPO的定位并不僅僅是一種企業(yè)崗位設(shè)置，而是一種覆蓋企業(yè)、政府、公共機(jī)構(gòu)的制度安排?？梢?jiàn)DPO（數(shù)據(jù)保護(hù)官）不同于根據(jù)企業(yè)自身情況和治理結(jié)構(gòu)來(lái)進(jìn)行設(shè)置的CEO（首席執(zhí)行官）、CIO（首席信息官）、CFO（首席財(cái)務(wù)官）、CKO（首席知識(shí)官）等，DPO設(shè)置是落實(shí)法律的強(qiáng)制性要求。

GDPR指導(dǎo)下的 DPO具有如下特點(diǎn)：（1）在GDPR規(guī)制范圍內(nèi)無(wú)論企業(yè)還是公共機(jī)構(gòu)都需要設(shè)置DPO。特別是對(duì)于歐盟境內(nèi)的政府單位和公共機(jī)構(gòu)來(lái)說(shuō)，如果在其履行職能的過(guò)程中，涉及收集和監(jiān)控私人數(shù)據(jù)，那么就必須設(shè)置 DPO；（2）在 GDPR規(guī)制范圍內(nèi)組織無(wú)論是充當(dāng)數(shù)據(jù)控制者還是數(shù)據(jù)處理者，都需要根據(jù)自身在GDPR中的角色設(shè)置DPO；（3）在GDPR規(guī)制范圍內(nèi)組織無(wú)論是否位于歐盟，都需要根據(jù)業(yè)務(wù)情況設(shè)置DPO或類(lèi)似職位。按照此條規(guī)定，谷歌、Facebook等在歐盟有大規(guī)模數(shù)據(jù)處理的公司都需要設(shè)定DPO的崗位職能。

2.3 DPO的主要功能特征

DPO的主要職能包括監(jiān)測(cè)、宣導(dǎo)、建策、組織、溝通5大功能，具體包括：對(duì)數(shù)據(jù)保護(hù)工作進(jìn)行定期及系統(tǒng)性監(jiān)測(cè)；負(fù)責(zé)內(nèi)部教育培訓(xùn)以及合規(guī)性審計(jì)事務(wù)；提高組織內(nèi)的數(shù)據(jù)保護(hù)意識(shí)；在組織內(nèi)塑造數(shù)據(jù)保護(hù)文化；建立數(shù)據(jù)保護(hù)的IT系統(tǒng)；確保組織相關(guān)角色明確其權(quán)責(zé)；向組織機(jī)構(gòu)提供建議；提交關(guān)于數(shù)據(jù)保護(hù)的年度報(bào)告和工作計(jì)劃；參與相關(guān)內(nèi)部討論；負(fù)責(zé)組織與GDPR監(jiān)管機(jī)構(gòu)之間的溝通以及與其他利益相關(guān)者的交互。DPO處于中介地位，可以成為數(shù)據(jù)管理機(jī)構(gòu)與監(jiān)督機(jī)構(gòu)之間的緩沖環(huán)節(jié)，數(shù)據(jù)擁有者可以通過(guò)聯(lián)系DPO來(lái)行使他們的權(quán)利。

DPO與企業(yè)CEO、CIO相比，其特點(diǎn)之一是具有更高的獨(dú)立性。根據(jù)GDPR規(guī)定，DPO直接向最高管理者報(bào)告工作，并且不能因?yàn)閳?zhí)行任務(wù)的原因被解雇或者受到處罰。DPO的級(jí)別宜設(shè)置在管理層，負(fù)責(zé)數(shù)據(jù)安全的負(fù)責(zé)人級(jí)別越高則影響力越大，效用越明顯。DPO接觸到的是組織的高度敏感數(shù)據(jù)，宜由專(zhuān)業(yè)層次較高的人員擔(dān)任。

對(duì)于DPO的任用，GDPR的規(guī)定表現(xiàn)出一定的靈活性。組織內(nèi)部的DPO既可以是專(zhuān)職也可以是兼職。具體表現(xiàn)為：DPO可以由企業(yè)管理者兼任，可以執(zhí)行其他任務(wù)，履行其他職責(zé)；GDPR也允許一名DPO同時(shí)為多個(gè)組織機(jī)構(gòu)提供服務(wù)。這對(duì)于那些缺乏GDPR合規(guī)經(jīng)驗(yàn)和專(zhuān)業(yè)人力資源的企業(yè)帶來(lái)便利。需要指出的是，這種兼職必須是在確保沒(méi)有利益沖突的情況下實(shí)行的，不能影響DPO工作的獨(dú)立性和工作效果。

在現(xiàn)實(shí)中，DPO的獨(dú)立性可能受到組織層級(jí)、治理結(jié)構(gòu)、資源配置、利益沖突、個(gè)人精力等很多因素的影響。為了保障DPO工作的獨(dú)立性，歐盟有關(guān)文件給出了相關(guān)建議：（1）賦予 DPO 更高的職位級(jí)別和職能權(quán)限，包括管理職權(quán)、信息獲取權(quán)限和調(diào)查權(quán)限等；（2）確保DPO崗位合約的長(zhǎng)效性（合同以五年為宜）；（3）對(duì)于大型機(jī)構(gòu)、處于正在建立數(shù)據(jù)保護(hù)制度關(guān)鍵階段的機(jī)構(gòu)，宜聘用全職的DPO；（4）確保DPO與其兼任的其他職務(wù)不發(fā)生利益沖突；（5）確保DPO在進(jìn)行決策時(shí)不受上級(jí)旨意的干預(yù)和影響；（6）確保DPO的工作具有獨(dú)立的預(yù)算和經(jīng)費(fèi)保障。

2.4 DPO的能力資質(zhì)要求

正因?yàn)镈PO具有上述重要作用，其任職資質(zhì)具有明確規(guī)定。在歐盟推薦的DPO專(zhuān)業(yè)標(biāo)準(zhǔn)（見(jiàn)表1）中可知，具備數(shù)據(jù)保護(hù)方面的專(zhuān)業(yè)知識(shí)是最為核心的要求。同時(shí)，DPO要有能力理解組織在不同情境下的數(shù)據(jù)活動(dòng)，對(duì)于組織結(jié)構(gòu)和運(yùn)作機(jī)制也要有所了解，因此DPO最好能夠從組織機(jī)構(gòu)內(nèi)部任命。由于DPO的工作性質(zhì)需要經(jīng)常面對(duì)和數(shù)據(jù)相關(guān)的利益沖突和風(fēng)險(xiǎn)管控，因此DPO任職者的個(gè)人特質(zhì)和職業(yè)倫理被特別強(qiáng)調(diào)：DPO需要清晰掌握組織數(shù)據(jù)處理流程的全貌，能夠做出獨(dú)立的判斷和建議；在組織可能出現(xiàn)違規(guī)風(fēng)險(xiǎn)和行為時(shí)，應(yīng)及時(shí)給予解決和報(bào)告，而不是幫助掩蓋、銷(xiāo)毀或修改證據(jù)。DPO在上任之前，還需要培訓(xùn)和認(rèn)證，以證明其上崗資質(zhì)。此外，DPO在組織內(nèi)履行職務(wù)不僅要靠其一己之力，而且需要配備專(zhuān)業(yè)支持團(tuán)隊(duì)和相關(guān)資源（如IT設(shè)施、工作預(yù)算和資金支持）。

可以看出，DPO是數(shù)據(jù)環(huán)境下組織機(jī)構(gòu)中多元復(fù)合性人才的代表，至少應(yīng)具備“管理-技術(shù)-法律”三重知識(shí)背景。DPO不一定需要具有律師的職業(yè)資格，但至少需要在數(shù)據(jù)保護(hù)、信息安全等相關(guān)法律領(lǐng)域獲得一定的受訓(xùn)經(jīng)歷或資質(zhì)認(rèn)證；同時(shí)，還需要兼具對(duì)一個(gè)機(jī)構(gòu)的組織架構(gòu)與技術(shù)架構(gòu)的深入理解。

表1 歐盟DPO推薦標(biāo)準(zhǔn)

3 DPO制度對(duì)我國(guó)的啟示

3.1 DPO制度對(duì)數(shù)據(jù)管理崗位設(shè)置的啟示

隨著GDPR的正式實(shí)施，DPO制度也勢(shì)必會(huì)依法得到進(jìn)一步推廣。盡管GDPR是由歐盟制定的法律規(guī)則，但是其反映了大數(shù)據(jù)時(shí)代個(gè)人數(shù)據(jù)保護(hù)的新秩序雛形，很可能將改變現(xiàn)有的信息產(chǎn)業(yè)格局，構(gòu)成未來(lái)全球網(wǎng)絡(luò)空間規(guī)則的基石之一。世界各國(guó)立法行政部門(mén)都在積極參照和對(duì)標(biāo)GDPR，推出對(duì)策加強(qiáng)數(shù)據(jù)保護(hù)力度。我國(guó)在已有《網(wǎng)絡(luò)安全法》《關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》等政策法規(guī)的基礎(chǔ)上，于2018年5月，又正式實(shí)施了 《信息安全技術(shù)個(gè)人信息安全規(guī)范》國(guó)家標(biāo)準(zhǔn)，在其制定的過(guò)程中充分參照對(duì)標(biāo)了包括GDPR在內(nèi)的國(guó)際先進(jìn)規(guī)則和立法標(biāo)準(zhǔn)，為企業(yè)提供了新的業(yè)務(wù)參照和行為指引。

在應(yīng)對(duì)數(shù)據(jù)保護(hù)升級(jí)新趨勢(shì)、融入數(shù)據(jù)保護(hù)新秩序的進(jìn)程中，在組織機(jī)構(gòu)層面設(shè)置數(shù)據(jù)保護(hù)與數(shù)據(jù)治理的專(zhuān)職崗位可以成為有效的抓手，DPO制度可以為我們帶來(lái)以下啟示：

（1）對(duì)接國(guó)際標(biāo)準(zhǔn)，從數(shù)據(jù)保護(hù)崗位設(shè)置層面促進(jìn)我國(guó)企業(yè)的GDPR合規(guī)實(shí)踐。GDPR生效后，我國(guó)最有可能受到直接影響的就是那些面向歐盟開(kāi)展業(yè)務(wù)的企業(yè)。近年來(lái)中國(guó)企業(yè)進(jìn)軍海外的力度不斷加大，與之伴隨的是面臨政策風(fēng)險(xiǎn)不斷增加，要求中國(guó)企業(yè)在數(shù)據(jù)保護(hù)能力、數(shù)據(jù)治理機(jī)制方面同步加強(qiáng)。尤其是我國(guó)近年來(lái)發(fā)展迅速的跨境電商、硬件制造、銀行金融等行業(yè)由于涉及到大量的數(shù)據(jù)收集、處理和交易活動(dòng)，極有可能受到GDPR的影響與規(guī)制。對(duì)于這些企業(yè)來(lái)說(shuō)，GDPR帶來(lái)的最為直接的沖擊是其不再堅(jiān)守屬地原則，而是推行數(shù)據(jù)保護(hù)的域外效力，對(duì)歐盟境內(nèi)外的數(shù)據(jù)控制者和處理者實(shí)施統(tǒng)一標(biāo)準(zhǔn)，這意味著當(dāng)中國(guó)企業(yè)為歐盟居民提供產(chǎn)品或服務(wù)，并在這一過(guò)程中收集、監(jiān)控、處理用戶數(shù)據(jù)，就需要認(rèn)真關(guān)注GDPR的相關(guān)規(guī)定。否則，違反GDPR將面臨巨額的違規(guī)成本，對(duì)于重大違規(guī)(most severe infringement)企業(yè)，歐盟監(jiān)管機(jī)構(gòu)將把該企業(yè)年度全球收入的4%作為罰金，或者直接處以2000萬(wàn)歐元的罰款，這一額度對(duì)于任何成長(zhǎng)中的企業(yè)都是不堪重負(fù)的沖擊。

為此，GDPR實(shí)施后，阿里、華為、小米等企業(yè)都在積極從政策制定、基礎(chǔ)設(shè)施、組織保障等方面促進(jìn)GDPR的合規(guī)實(shí)踐，并且把GDPR的實(shí)施視為強(qiáng)化數(shù)據(jù)保護(hù)機(jī)制的契機(jī)。近年來(lái)中國(guó)企業(yè)已經(jīng)開(kāi)始注重技術(shù)層面的數(shù)據(jù)保護(hù)措施，但是在組織層面的保障還有待加強(qiáng)。在GDPR新規(guī)影響下，設(shè)置DPO崗位將成為很多企業(yè)刻不容緩的數(shù)據(jù)保護(hù)舉措。如東航在2018年6月設(shè)立DPO崗位，成為國(guó)內(nèi)首家設(shè)立“數(shù)據(jù)保護(hù)官”的企業(yè)，而華為公司則在對(duì)于GDPR的官方回應(yīng)中，指出華為根據(jù)GDPR的要求任命了歐盟DPO。這些案例反映了中國(guó)企業(yè)在崗位設(shè)置上適應(yīng)GDPR要求的趨勢(shì)。

（2）立足本土實(shí)際，建立適應(yīng)我國(guó)國(guó)情的數(shù)據(jù)保護(hù)職能與制度。數(shù)據(jù)保護(hù)規(guī)則的制定不僅僅是一個(gè)技術(shù)問(wèn)題，其背后也有各國(guó)在網(wǎng)絡(luò)空間治理和規(guī)則制定方面的博弈。GDPR的背后就有歐盟在全球互聯(lián)網(wǎng)產(chǎn)業(yè)競(jìng)爭(zhēng)中提高競(jìng)爭(zhēng)力和話語(yǔ)權(quán)的考量。同時(shí)，數(shù)據(jù)保護(hù)需要與企業(yè)發(fā)展保持平衡，需要與國(guó)家發(fā)展階段相適應(yīng)，不能單純強(qiáng)調(diào)保護(hù)而因噎廢食、阻礙創(chuàng)新。這些都決定了我國(guó)在對(duì)接國(guó)際標(biāo)準(zhǔn)的同時(shí)，不能照搬國(guó)外經(jīng)驗(yàn)。我國(guó)的DPO崗位也不是國(guó)外崗位的簡(jiǎn)單復(fù)制，而是需要根據(jù)我國(guó)國(guó)情進(jìn)行制度設(shè)計(jì)。

為此，需要進(jìn)一步理解歐盟DPO背后的一系列制度安排。首先，DPO的設(shè)置需要得到法律體系的確認(rèn)和保障。在歐盟DPO是GDPR做出的強(qiáng)制性規(guī)定，其背后是系統(tǒng)全面的法律支撐與規(guī)則解釋?zhuān)卜从沉朔蓪用鎸?duì)于數(shù)據(jù)控制者和數(shù)據(jù)處理者責(zé)任義務(wù)的細(xì)化和落實(shí)。而我國(guó)現(xiàn)有法律制度中對(duì)于數(shù)據(jù)保護(hù)的職能崗位設(shè)置還缺乏明確規(guī)定，需要根據(jù)我國(guó)現(xiàn)實(shí)情況制定相關(guān)細(xì)則。同時(shí)，需要完善與DPO配套的數(shù)據(jù)管理組織機(jī)構(gòu)設(shè)置。DPO崗位并不是孤立的存在，而是數(shù)據(jù)保障體系中的基層組成部分。GDPR中呈現(xiàn)了由跨區(qū)域?qū)用娴臄?shù)據(jù)保護(hù)理事會(huì)、國(guó)家層面的數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)以及組織層面的DPO共同組成的完備體系，各層級(jí)、各部門(mén)和各個(gè)DPO之間保持有效協(xié)調(diào)溝通。歐盟數(shù)據(jù)監(jiān)管機(jī)構(gòu)提供了供DPO職業(yè)進(jìn)行交流互動(dòng)學(xué)習(xí)的平臺(tái)，他們可以通過(guò)網(wǎng)絡(luò)名錄結(jié)識(shí)同行，交流最佳實(shí)踐。DPO在我國(guó)還處于零星起步階段，尚未形成成熟的職業(yè)群體，此時(shí)更需要從頂層設(shè)計(jì)的角度通盤(pán)考慮數(shù)據(jù)保護(hù)職能體系的建構(gòu)。

3.2 DPO制度對(duì)數(shù)據(jù)管理人才培養(yǎng)的啟示

數(shù)據(jù)時(shí)代新的崗位形態(tài)與崗位需求必然會(huì)傳導(dǎo)到上游的人才教育培養(yǎng)環(huán)節(jié)。崗位作為組織內(nèi)一系列制度安排的產(chǎn)物，是由特定人員負(fù)責(zé)的若干任務(wù)組合，也反映了一定階段的時(shí)代發(fā)展趨勢(shì)，因此新興崗位對(duì)于專(zhuān)業(yè)教育具有重要的指標(biāo)意義。DPO是GDPR制度的集中體現(xiàn)，反映了個(gè)人隱私保護(hù)時(shí)代新的權(quán)責(zé)義務(wù)設(shè)定?！皵?shù)據(jù)看護(hù)者”有可能成為21世紀(jì)最為重要的新興職業(yè)之一，在現(xiàn)實(shí)場(chǎng)景中除了開(kāi)始出現(xiàn)DPO職位，還出現(xiàn)了首席隱私官、首席數(shù)據(jù)官等，都印證了這一市場(chǎng)需求和職業(yè)趨勢(shì)。而在一個(gè)專(zhuān)業(yè)性職業(yè)誕生的背后，必然有較為系統(tǒng)的專(zhuān)業(yè)知識(shí)體系和教育培訓(xùn)體系做支撐。

通過(guò)上文對(duì)DPO制度的分析，可以發(fā)現(xiàn)在DPO的職業(yè)視野中，“數(shù)據(jù)”一詞不僅是指冷冰冰的可計(jì)算化的資料，而且和活生生的個(gè)人信息與權(quán)益訴求息息相關(guān)，這就要求DPO不僅需要具有信息技術(shù)素養(yǎng)，還需要具有法律、社會(huì)、信息倫理等多方面的人文意識(shí)。我國(guó)圖書(shū)與情報(bào)類(lèi)院系長(zhǎng)期兼具“技術(shù)”與“人文”的培養(yǎng)特點(diǎn)，從上述“數(shù)據(jù)職業(yè)”的未來(lái)趨勢(shì)中，可以尋找到以優(yōu)勢(shì)對(duì)接趨勢(shì)的最佳匹配點(diǎn)。圖書(shū)與情報(bào)等相關(guān)專(zhuān)業(yè)可根據(jù)數(shù)據(jù)保護(hù)崗位的現(xiàn)實(shí)需求，結(jié)合數(shù)據(jù)管理人才培養(yǎng)體系，健全培養(yǎng)目標(biāo)、豐富培養(yǎng)方式、創(chuàng)新培養(yǎng)內(nèi)容、對(duì)接職業(yè)場(chǎng)景。

（1）在培養(yǎng)目標(biāo)上，需要從GDPR及我國(guó)近年來(lái)出臺(tái)的相關(guān)法律政策中發(fā)掘、識(shí)別和解析對(duì)于專(zhuān)業(yè)技能和專(zhuān)業(yè)人才的需求。從歐盟DPO推薦指標(biāo)（見(jiàn)表1）可知，專(zhuān)業(yè)數(shù)據(jù)保護(hù)知識(shí)和技能是DPO的基本能力，DPO需要具備過(guò)硬的專(zhuān)業(yè)知識(shí)以及數(shù)據(jù)能力。為形成能夠支撐政策要求和市場(chǎng)需求的專(zhuān)業(yè)人才輸送渠道，圖書(shū)與情報(bào)等相關(guān)專(zhuān)業(yè)要調(diào)整培養(yǎng)目標(biāo)，在培養(yǎng)學(xué)生傳統(tǒng)的信息素養(yǎng)基礎(chǔ)上，注重?cái)?shù)據(jù)素養(yǎng)的培養(yǎng)以及數(shù)據(jù)意識(shí)、數(shù)據(jù)能力的形成。

（2）在培養(yǎng)方式上，我國(guó)目前一些院系已經(jīng)設(shè)置了數(shù)據(jù)管理、大數(shù)據(jù)分析專(zhuān)業(yè)，同時(shí)還有大量的圖情專(zhuān)碩培養(yǎng)項(xiàng)目，有關(guān)項(xiàng)目根據(jù)DPO的能力資源要求可以將信息安全、數(shù)據(jù)監(jiān)護(hù)等新興培養(yǎng)方向進(jìn)行交叉，同時(shí)與信息管理領(lǐng)域的傳統(tǒng)培養(yǎng)體系融合，打造學(xué)科專(zhuān)業(yè)的新出口和新增長(zhǎng)點(diǎn)。在本科生培養(yǎng)階段，可增加數(shù)據(jù)管理、數(shù)據(jù)保護(hù)、信息法學(xué)等課程；在已有的博碩士培養(yǎng)體系下，新增數(shù)據(jù)保護(hù)培養(yǎng)方向，設(shè)置綜合性較強(qiáng)的課程，如元數(shù)據(jù)、數(shù)字資源長(zhǎng)期保存、信息資源管理、數(shù)字資源評(píng)價(jià)、信息組織、數(shù)據(jù)管理、數(shù)據(jù)保護(hù)技術(shù)等，將專(zhuān)業(yè)傳統(tǒng)優(yōu)勢(shì)與新興需求相結(jié)合，培養(yǎng)學(xué)生在數(shù)據(jù)全生命周期過(guò)程中發(fā)現(xiàn)問(wèn)題、分析問(wèn)題、解決問(wèn)題的能力。

同時(shí)，由于DPO需要接觸企業(yè)核心數(shù)據(jù)，宜由企業(yè)中高層管理人員擔(dān)任，但是管理人員不一定具有數(shù)據(jù)保護(hù)的專(zhuān)業(yè)背景和知識(shí)技能，為此，開(kāi)設(shè)數(shù)據(jù)保護(hù)專(zhuān)業(yè)碩士項(xiàng)目或其他在職進(jìn)修形式也是一種比較符合DPO崗位特性的教育形式。有關(guān)項(xiàng)目招收非全日制學(xué)生，特別是面向企業(yè)管理人員進(jìn)行數(shù)據(jù)保護(hù)技術(shù)、數(shù)據(jù)保護(hù)制度、數(shù)據(jù)分析、數(shù)據(jù)安全評(píng)估、數(shù)據(jù)全程管理等的教學(xué)培養(yǎng)。

（3）在培養(yǎng)內(nèi)容上，除了數(shù)據(jù)保護(hù)技能本身，也需要培養(yǎng)數(shù)據(jù)獲取能力、數(shù)據(jù)使用能力、數(shù)據(jù)評(píng)估能力、數(shù)據(jù)表達(dá)能力等覆蓋數(shù)據(jù)周期的全方位能力。數(shù)據(jù)保護(hù)要更加注重案例教學(xué)與實(shí)踐應(yīng)用，以應(yīng)對(duì)不同機(jī)構(gòu)不同場(chǎng)景的數(shù)據(jù)保護(hù)規(guī)定，讓學(xué)生掌握不同數(shù)據(jù)安全事件的處理方式。建議培養(yǎng)機(jī)構(gòu)與已經(jīng)設(shè)置DPO崗位的國(guó)內(nèi)外企業(yè)建立合作關(guān)系，提供數(shù)據(jù)保護(hù)實(shí)踐學(xué)習(xí)基地。在部分課程實(shí)施后，可以繼續(xù)展開(kāi)在線教育、網(wǎng)絡(luò)課程等形式，以應(yīng)對(duì)市場(chǎng)對(duì)數(shù)據(jù)保護(hù)知識(shí)越來(lái)越大的需求，幫助從業(yè)人員進(jìn)行繼續(xù)教育，拓展學(xué)習(xí)深度和寬度。從知識(shí)、能力、素質(zhì)層面全面培養(yǎng)數(shù)據(jù)人才，亦可以擴(kuò)大專(zhuān)業(yè)的社會(huì)影響力。

（4）在培養(yǎng)方向上，加強(qiáng)對(duì)于數(shù)據(jù)保護(hù)在不同應(yīng)用領(lǐng)域和場(chǎng)景的拓展。當(dāng)前國(guó)內(nèi)圖書(shū)館學(xué)與情報(bào)學(xué)專(zhuān)業(yè)在面向科學(xué)數(shù)據(jù)管理與監(jiān)護(hù)方面已經(jīng)取得了一定的成果，并形成了對(duì)圖書(shū)館等機(jī)構(gòu)科研數(shù)據(jù)管理崗位的理論支撐。而在大數(shù)據(jù)環(huán)境下，政府、企業(yè)乃至社會(huì)公民組織與個(gè)人的數(shù)據(jù)管理與監(jiān)護(hù)同樣表現(xiàn)出旺盛的專(zhuān)業(yè)人才需求，國(guó)外數(shù)據(jù)管理專(zhuān)業(yè)的培養(yǎng)方案中也體現(xiàn)了對(duì)多元主體的關(guān)注。因此圖書(shū)與情報(bào)等學(xué)科專(zhuān)業(yè)可以拓展理論視野，關(guān)注學(xué)術(shù)、研發(fā)、商業(yè)、行政、治理及個(gè)人隱私保護(hù)等不同領(lǐng)域的數(shù)據(jù)生態(tài)和特定需求。因此，可以探索對(duì)DPO制度的經(jīng)驗(yàn)遷移與內(nèi)涵拓展。DPO不僅是一種數(shù)據(jù)管理崗位設(shè)置，而且是一種數(shù)據(jù)治理制度安排。正如21世紀(jì)初CIO、CKO等崗位興起時(shí)，圖書(shū)與情報(bào)等專(zhuān)業(yè)就關(guān)注到其背后信息環(huán)境與知識(shí)管理模式的變化，探索其對(duì)于專(zhuān)業(yè)發(fā)展的帶動(dòng)作用。作為數(shù)據(jù)治理的重要制度安排，DPO制度與信息治理、政府治理、IT治理、企業(yè)架構(gòu)等都有千絲萬(wàn)縷的聯(lián)系，圖情學(xué)科可以以點(diǎn)到面拓展分析DPO對(duì)組織機(jī)構(gòu)相關(guān)部門(mén)的影響，以及對(duì)業(yè)務(wù)部門(mén)帶來(lái)的變革，對(duì)社會(huì)產(chǎn)生的長(zhǎng)期效應(yīng)。同樣DPO的角色也并不局限于企業(yè)機(jī)構(gòu)，還可以由點(diǎn)及面橫向遷移探索論證學(xué)術(shù)科研機(jī)構(gòu)DPO、圖書(shū)館DPO、學(xué)科DPO等拓展角色和應(yīng)用空間。

最后，有關(guān)學(xué)科專(zhuān)業(yè)可以積極參與和促進(jìn)DPO職業(yè)標(biāo)準(zhǔn)化和認(rèn)證體系建設(shè)。DPO作為歐盟相關(guān)組織機(jī)構(gòu)的“標(biāo)配”，正凝聚起一批專(zhuān)門(mén)的從業(yè)者，并形成配套的行業(yè)標(biāo)準(zhǔn)體系、培訓(xùn)認(rèn)證體系。在個(gè)人隱私保護(hù)時(shí)代對(duì)數(shù)據(jù)保護(hù)職業(yè)的社會(huì)需求將是全球范圍內(nèi)的趨勢(shì)，當(dāng)機(jī)構(gòu)內(nèi)部人員無(wú)法勝任這樣的崗位時(shí)，就會(huì)外包給專(zhuān)業(yè)人群。因此需要探索完善DPO或相關(guān)職位的準(zhǔn)入和認(rèn)證制度，在早期就做好規(guī)劃控制，保障從業(yè)者的專(zhuān)業(yè)水準(zhǔn)與質(zhì)量，避免因市場(chǎng)需求而產(chǎn)生的行業(yè)亂象。在這一過(guò)程中，圖書(shū)與情報(bào)等相關(guān)專(zhuān)業(yè)可以借助在理論研究、教育培養(yǎng)方面的優(yōu)勢(shì)，積極參與相關(guān)標(biāo)準(zhǔn)和認(rèn)證體系的建設(shè)，彰顯在數(shù)據(jù)時(shí)代的話語(yǔ)權(quán)和功能價(jià)值。