个人信息处理者处理个人信息数量已经达到100万人的，应当在今年8月29日前，完成个人信息保护负责人信息报送工作。

7月18日，国家网信办发布公告提出了上述信息报送的时间。

国家网信办还要求，自该公告发布之日起，个人信息处理者处理个人信息达到100万人的，应当自数量达到之日起30个工作日内完成信息报送。如果报送信息发生实质性变更的，应当在变更之日起30个工作日内办理信息变更手续。

有专家告诉南都·隐私护卫队，此次网信办要求报送相关信息，是落实个人信息保护负责人制度的一项举措。这有利于后续开展政府监管，监督个人信息保护负责人的履职情况。而个人信息保护负责人也可以发挥对内对外沟通作用，有效协调多方力量共同保护个人信息。

“此举相当于把个保负责人制度落实了”

据南都·隐私护卫队了解，这项信息报送工作采用线上方式。个人信息处理者需在“个人信息保护业务系统”，按照系统首页提供的《个人信息保护负责人信息报送系统填报说明（第一版）》，准备相关材料并履行信息报送手续，也可从中国网信网首页“全国网信政务办事大厅”栏目访问“个人信息保护业务系统”。

国家网信办此举依据《个人信息保护法》第五十二条。该条规定，处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人。同时，应当公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。

南都·隐私护卫队观察发现，基于这一法律要求，不少互联网企业设置了专门的岗位。比如淘宝、微信的隐私政策明确提及，公司设立了个人信息保护负责人，用户可通过指定邮箱或办公地点与之联系。

需要指出的是，并非所有个人信息处理者都需要建立这样一项制度，而是个人信息处理数量达到了一定量级。今年5月1日起施行的《个人信息保护合规审计管理办法》第十二条明确了具体标准——即处理100万人以上个人信息的，需要指定个人信息保护负责人，负责相关合规审计工作。

根据中国互联网络信息中心发布的报告，截至2024年12月，中国网民规模达11.08亿人，互联网普及率达78.6%。基于国内这样的用户规模，处理个人信息量级要达到100万以上，并非难事。

中央财经大学法学院教授、数字经济与法治研究中心执行主任刘权曾对个人信息保护负责人制度做过专门研究。他告诉南都·隐私护卫队，此次网信办要求报送相关信息，相当于对个人信息处理者的监督检查，看其是否依法设立个人信息保护负责人制度。这也有利于后续开展政府监管，有效监督个人信息保护负责人的履职情况。

垦丁律师事务所创始合伙人麻策持类似观点。他对南都·隐私护卫队表示，指定个人信息保护负责人并报送有关部门的规定一直存在，只是如何报送还未明确，网信办此举相当于把这项制度落实了。

“如果说，你处理个人信息数量达到了100万人，却没有设置个保负责人，就有可能就面临行政处罚。同时《个人信息保护法》规定，应当公开披露个保负责人的情况——如果你报送的个保负责人是A，但公开披露的却是B的联系方式，这可能涉及违规，或引发个保负责人个人的法律责任。”麻策说。

个保负责人制度设立，旨在强化企业自我规制

根据《个人信息保护法》规定，个人信息保护负责人负责对个人信息处理活动以及采取的保护措施等进行监督。刘权将个人信息保护负责人的角色定位为，“保护个人信息的私人监督者”，行使内部监督职能。

他告诉南都·隐私护卫队，面对无处不在的个人信息处理活动，监管部门存在违法信息获取的滞后性、人财物的有限性、“知识供给不足“等局限，导致传统的政府监管日益力不从心。个人信息保护负责人的产生，是强化个人信息处理者自我规制以弥补政府规制不足的现实需要。这项制度可以促进个人信息处理合规，推动个人信息保护的公私合作治理。

刘权在一篇学术论文中提到，2018年5月实施的欧盟《通用数据保护条例》（GDPR）要求，符合条件的组织必须设立数据保护官（DPO），并对其任命、地位和职责进行了系统规定。DPO产生的缘由，在于强化企业的自我规制，减轻行政监管的压力。

而国内的个人信息保护负责人制度，源于对欧盟数据保护官的借鉴。“无论是域外的数据保护官，还是我国的个人信息保护负责人，都体现了数字时代政府对企业自我规制的强化。”在刘权看来，一种由行政机关批准或要求私人行为者在该机关的监督之下进行自我规制的制度设置，将发挥日益重要的功能。

刘权认为，此次网信办要求报送个人信息负责人信息，还会便于沟通交流。通过对内负责对个人信息处理活动以及采取的保护措施等进行监督，对外协助个人信息权益人实现其权利束，并及时向监管部门报告相关情况，个人信息保护负责人可以有效协调多方力量共同保护个人信息。

南都·隐私护卫队注意到，除了个人信息保护负责人外，一些企业还设有首席隐私官、数据保护官、网络安全负责人、数据安全负责人等，这些岗位职责略有不同，但也存在交叉。对企业而言，设立多个负责人是否会增加合规成本和负担？

刘权认为，首席隐私官是传统的职位，侧重于保护隐私，但数字时代大量需要保护的个人信息不一定是隐私。数据保护官、网络安全负责人、数据安全负责人的职能更为广泛，不限于保护个人信息。

在他看来，设立多个负责人，确实可能增加企业合规成本和负担，但这是必要的，它会给企业带来更大的收益。“因为一旦出现重大的个人信息安全、数据安全或网络安全事件，就可能对企业带来致命性的打击。”

出品：南都数字经济治理研究中心

采写：南都记者李玲