作者：郭贺依律师

前言：2025年7月18日，国家网信办正式发布《关于开展个人信息保护负责人信息报送工作的公告》（以下简称“公告”），明确指出处理100万人以上个人信息的个人信息处理者，应当依法向所在地设区的市级网信部门报送个人信息保护负责人情况及个人信息处理相关情况。

本文解读目标有三：一是阐明数据保护新规中的例行报送要求；二是回应新规下企业客户的疑问与关切；三是梳理辨析企业数据合规中各类“负责人”的角色与职能，以便企业清晰界定其权责。

01

新规基础篇：问答表格

02

合规角色辨析篇：国内对比表

在企业的数据治理与安全实践中，个人信息保护负责人、数据安全负责人和网络安全负责人虽然各有核心职责，但在许多关键领域存在紧密的协同与交叉，共同构成企业数据安全的防护网：

1.数据泄露事件响应

网络安全负责人是技术响应先锋，首要任务是识别并遏制攻击源头、修复系统漏洞，恢复网络与系统稳定运行。

数据安全负责人紧随其后，核心工作是评估实际受影响的数据范围（哪些数据被窃取、篡改或破坏）、数据类别（尤其是否涉及重要/核心数据）以及事件对数据保密性、完整性、可用性的整体影响。

个人信息保护负责人则聚焦于个人信息主体权益，负责根据法规要求及时通知受影响的个人，并处理其提出的查询、更正、删除等权利请求，管理由此产生的法律与声誉风险。

2.跨境数据传输

数据安全负责人承担主导责任，负责组织进行必要的安全风险评估，依据法规要求完成向监管部门的申报或备案程序，并确保数据传输协议中嵌入足够的安全保障措施。

网络安全负责人提供技术支撑，负责保障数据传输通道本身的安全，例如实施强加密、访问控制、防窃听与防篡改技术，确保数据在传输过程中的机密性和完整性。

个人信息保护负责人负责监督整个跨境传输活动的合规性，确保处理活动有合法基础（如取得单独同意）、符合目的限制和最小必要原则，并履行告知义务等个人信息保护法定义务。

3.合规审计

个人信息保护负责人主导个人信息保护影响评估（PIA），评估个人信息处理活动对个人权益的风险，并提出合规改进建议。

数据安全负责人则组织覆盖所有数据类型的全流程合规审计，包括数据分类分级管理、访问控制、加密脱敏、数据生命周期安全等，确保数据处理活动符合《数据安全法》等要求。

网络安全负责人积极配合，提供技术层面的安全审计支持，如检查防火墙策略、入侵检测日志、漏洞管理情况、系统安全配置等，验证技术防护措施的有效性。

4.中小企业的兼任可能

在规模较小的组织，或者基于管理效率考虑，这三个角色可能由同一个人或同一个团队兼任。例如，首席安全官可能统管这三个领域。目前，全国各地陆续开始发文，鼓励企业开展首席数据官申报工作，包括但不限于山西、浙江、河南、大连、惠州、江苏等省市。

03

合规角色辨析篇：PIPO vs DPO 对比表

中国《个人信息保护法》与欧盟《通用数据保护条例》（GDPR）均具有域外效力。对于同时在中国和欧盟地区运营的企业如何同时遵循两部法律的双重规定，是此类企业需要辨析的问题。

律师简介

郭贺依律师

北京市京师（上海）律师事务所数据合规与交易研究中心主任，EXIN DPO&DPO-PIPL双认证律师，工信部人才交流中心入库专家，工信部首席数据官（高级）特邀讲师-《数据资产化系列课程》，江苏省大数据交易和流通工程实验室数据合规专委会专家委员，数据安全师、高级企业合规师、大数据工程师（高级），京师上海律所青工委副主任，《企业数据合规·京师律所法律服务蓝皮书》主编。

专注服务于数据合规，数据出境、共享与交易，数据资产入表，人工智能合规与算法备案，个人信息与隐私保护等业务领域。