個人資料(以下簡稱個資)保護制度設計上除了制度層面的健全外,歐盟及亞太各國也有對於設置專責或專職處理人員(data privacy officer,簡稱DPO,通常稱為個資長)的要求做出規範。我國在個人資料管理法施行細則第十二條有規範應「配置管理之人員及相當資源」,各事業主管機關可能會有不同規定要求設立專責人員,然與國際上所稱之DPO在資格要求或可能應負擔的責任上仍有所差異。惟目前世界各國立法尚未要求所有企業都應設置個資長,需視其個資處理狀況而定,以下進行簡單介紹以供參考。
首先先從亞太各國立法參考模板GDPR如何規定來看,GDPR第三十七條規定如企業之核心活動,包括依其本質、範圍及/或其目的,需要定期且系統性地大規模監控資料主體;或大規模處理敏感個資或與前科與犯罪相關之個人資料時,應指定個資長。由條文規範可知,
針對個資蒐集處理較為大量或風險較高(蒐集處理敏感個資或犯罪相關個資)時,應指定具專業資格、尤其資料保護法律與實踐之專業知識專人負責處理。GDPR更進一步於第三十八條與第三十九條規範個資長之職務,基本上是對法令遵從(compliance)的各項執行,包含於受資料影響評估請求時,提供建議,且其職務不得有利益衝突。
在亞太各國中,多數國家均有對個資專門處理人員進行規範,包括中國(如大量處理個資)、印度(如被認定為係重要資料管理者significant data fiduciary)、印尼(與GDPR規範類似)、紐西蘭(可委外,且不一定要是紐西蘭公民或居民)、菲律賓(應指派,並向主管機關登記,無國籍或居民之要求)、新加坡(可委外,且不一定要是新加坡公民或居民,但必須及時可聯繫且有專業知識訓練,並建議與主管機關登記)、南韓(應指派在地公司聘僱之管理階層人員,無國籍或居民之要求)、泰國(與GDPR規範類似)、越南(如有處理敏感個資)。綜上足見
亞太各國對於企業內部應設置專門處理個資人員之重視,沒有明文規範的國家反而是相對而言的少數(包括日本、澳洲、馬來西亞)。在企業進行跨國業務布局時應予審慎注意。
然實務上個資專門管理人員指派涉及到一個敏感的問題,也就是個資長個人是否須對企業個資法違法行為負責,由於課予企業之刑責或有包含入獄服刑的處罰,服刑行為人應由公司代表人或個資長執行?面對可能的刑罰罰則,將使專業人士對於個資長職務之指派怯步。筆者淺見以為,縱個資長有其獨立性及專業性,惟企業內部決策仍非其所得以領導,於個資長善盡法定職務要求後,企業內部最終決策者,即企業負責人應為受刑罰處罰人,方屬落實權責分明。
