个人信息保护负责人怎么履职？建议明确职责，免成“替罪羊”

适度解绑“告知-同意”，强告知而减同意

个人信息保护法规定，处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。

如何理解设立这一职位的必要性？在中央财经大学法学院教授刘权看来，首先，数字时代个人信息处理行为无处不在，但政府的监管不可能无处不在，因此设立个人信息保护负责人可以强化企业自我监管，从而弥补政府监管的不足、促进平台治理；第二，个人信息保护负责人能够作为连接纽带，推动个人信息保护的协同治理，为用户提供直接与企业进行沟通的渠道；第三，个人信息保护负责人也可以连接政府和企业，具有一定制度功能。

不过，他认为个人信息保护法的上述条款“还需要做进一步细化”。他指出，个人信息有不同的种类，以后可能需要根据具体的种类和级别来确立设立负责人的标准。另外，他建议采取一些激励措施，鼓励没有达到信息处理规模的企业自愿设立，同时公共机构也应当设立个人信息保护负责人。

“政府既是个人信息保护者，也要对侵犯公民个人信息的企业进行惩戒，同时它又是个人信息处理者，所以应当和企业一样设立有关负责人。”刘权说。

在个人信息保护负责人的资质问题上，他认为目前有关资质条件的规定比较宽泛，实际上应该对其文史哲知识、法律经济技术等专业能力进行考量，一般由内部人员担任。同时，由于个人信息保护负责人需接受全过程监督，其自身的个人信息也应得到适当保护，在公开负责人相关信息时，面向社会、面向政府、面向企业内部提供的内容应有所区分。比如，面向社会时不应公开负责人的重要信息，主要公布邮箱、电话等。

刘权表示，目前我国个人信息保护负责人存在一些职责困境。“负责人”这一概念非常宽泛，其实为“监督人”，可能引起一定歧义；个人信息保护负责人不具备独立的法律地位，其作为企业内部员工，在履职时可能会引发利益冲突问题。

为此，他建议修正职位名称，明确个人信息保护负责人实际上只行使监督职能，避免其在后续追责过程中成为企业“替罪羊”。另外要完善制度建设，保障个人信息保护负责人的知情权、必要资源等；合理配置监督责任，保障其独立性，不受干预、不担任其他相应兼职等。