個人信息處理者處理個人信息數量已經達到100萬人的，應當在今年8月29日前，完成個人信息保護負責人信息報送工作。

7月18日，國家網信辦發布公告提出了上述信息報送的時間。

國家網信辦還要求，自該公告發布之日起，個人信息處理者處理個人信息達到100萬人的，應當自數量達到之日起30個工作日內完成信息報送。如果報送信息發生實質性變更的，應當在變更之日起30個工作日內辦理信息變更手續。

有專家告訴南都·隱私護衛隊，此次網信辦要求報送相關信息，是落實個人信息保護負責人制度的一項舉措。這有利于后續開展政府監管，監督個人信息保護負責人的履職情況。而個人信息保護負責人也可以發揮對內對外溝通作用，有效協調多方力量共同保護個人信息。

“此舉相當于把個保負責人制度落實了”

據南都·隱私護衛隊了解，這項信息報送工作采用線上方式。個人信息處理者需在“個人信息保護業務系統”，按照系統首頁提供的《個人信息保護負責人信息報送系統填報說明（第一版）》，準備相關材料并履行信息報送手續，也可從中國網信網首頁“全國網信政務辦事大廳”欄目訪問“個人信息保護業務系統”。

國家網信辦此舉依據《個人信息保護法》第五十二條。該條規定，處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人。同時，應當公開個人信息保護負責人的聯系方式，并將個人信息保護負責人的姓名、聯系方式等報送履行個人信息保護職責的部門。

南都·隱私護衛隊觀察發現，基于這一法律要求，不少互聯網企業設置了專門的崗位。比如淘寶、微信的隱私政策明確提及，公司設立了個人信息保護負責人，用戶可通過指定郵箱或辦公地點與之聯系。

需要指出的是，并非所有個人信息處理者都需要建立這樣一項制度，而是個人信息處理數量達到了一定量級。今年5月1日起施行的《個人信息保護合規審計管理辦法》第十二條明確了具體標準——即處理100萬人以上個人信息的，需要指定個人信息保護負責人，負責相關合規審計工作。

根據中國互聯網絡信息中心發布的報告，截至2024年12月，中國網民規模達11.08億人，互聯網普及率達78.6%?；趪鴥冗@樣的用戶規模，處理個人信息量級要達到100萬以上，并非難事。

中央財經大學法學院教授、數字經濟與法治研究中心執行主任劉權曾對個人信息保護負責人制度做過專門研究。他告訴南都·隱私護衛隊，此次網信辦要求報送相關信息，相當于對個人信息處理者的監督檢查，看其是否依法設立個人信息保護負責人制度。這也有利于后續開展政府監管，有效監督個人信息保護負責人的履職情況。

墾丁律師事務所創始合伙人麻策持類似觀點。他對南都·隱私護衛隊表示，指定個人信息保護負責人并報送有關部門的規定一直存在，只是如何報送還未明確，網信辦此舉相當于把這項制度落實了。

“如果說，你處理個人信息數量達到了100萬人，卻沒有設置個保負責人，就有可能就面臨行政處罰。同時《個人信息保護法》規定，應當公開披露個保負責人的情況——如果你報送的個保負責人是A，但公開披露的卻是B的聯系方式，這可能涉及違規，或引發個保負責人個人的法律責任?！甭椴哒f。

個保負責人制度設立，旨在強化企業自我規制

根據《個人信息保護法》規定，個人信息保護負責人負責對個人信息處理活動以及采取的保護措施等進行監督。劉權將個人信息保護負責人的角色定位為，“保護個人信息的私人監督者”，行使內部監督職能。

他告訴南都·隱私護衛隊，面對無處不在的個人信息處理活動，監管部門存在違法信息獲取的滯后性、人財物的有限性、“知識供給不足“等局限，導致傳統的政府監管日益力不從心。個人信息保護負責人的產生，是強化個人信息處理者自我規制以彌補政府規制不足的現實需要。這項制度可以促進個人信息處理合規，推動個人信息保護的公私合作治理。

劉權在一篇學術論文中提到，2018年5月實施的歐盟《通用數據保護條例》（GDPR）要求，符合條件的組織必須設立數據保護官（DPO），并對其任命、地位和職責進行了系統規定。DPO產生的緣由，在于強化企業的自我規制，減輕行政監管的壓力。

而國內的個人信息保護負責人制度，源于對歐盟數據保護官的借鑒?！盁o論是域外的數據保護官，還是我國的個人信息保護負責人，都體現了數字時代政府對企業自我規制的強化?！痹趧嗫磥?，一種由行政機關批準或要求私人行為者在該機關的監督之下進行自我規制的制度設置，將發揮日益重要的功能。

劉權認為，此次網信辦要求報送個人信息負責人信息，還會便于溝通交流。通過對內負責對個人信息處理活動以及采取的保護措施等進行監督，對外協助個人信息權益人實現其權利束，并及時向監管部門報告相關情況，個人信息保護負責人可以有效協調多方力量共同保護個人信息。

南都·隱私護衛隊注意到，除了個人信息保護負責人外，一些企業還設有首席隱私官、數據保護官、網絡安全負責人、數據安全負責人等，這些崗位職責略有不同，但也存在交叉。對企業而言，設立多個負責人是否會增加合規成本和負擔？

劉權認為，首席隱私官是傳統的職位，側重于保護隱私，但數字時代大量需要保護的個人信息不一定是隱私。數據保護官、網絡安全負責人、數據安全負責人的職能更為廣泛，不限于保護個人信息。

在他看來，設立多個負責人，確實可能增加企業合規成本和負擔，但這是必要的，它會給企業帶來更大的收益。“因為一旦出現重大的個人信息安全、數據安全或網絡安全事件，就可能對企業帶來致命性的打擊。”

出品：南都數字經濟治理研究中心

采寫：南都記者李玲