编者按:
数据保护或者隐私合规行业近两年来因监管的收紧,在国内逐渐形成了气候,乃至于被称为蓝海、个人信息保护行业的春天,号称月入6万的数据合规人才。行业内的人才背景各异,有其他细分法律行业拓展的,有信息安全管理咨询行业拓展的,还有技术专业跨界的,似乎谁都能做数据合规岗位。律师法务深入理解数据保护相关法律,对于形成合规要求清单是具有得天独厚的优势,确定了合规的“规”,同时合规评估的本质是风险评估和处置,也是律师法务的长处。信息安全管理咨询师具备信息安全知识以及管理体系化思维,能快速在公司内建立数据保护管理体系,通过管理方式逐步推进提升数据合规成熟度。研发工程师、算法专家等可以通过技术方案将合规要求或者管理体系所设定企业内部标准落地实施。那么作为成熟的数据合规法务应当如何在日趋激烈竞争的数据合规业务上更上一层楼,是当前所有数据合规法务或律师都在思考的问题。本文作者是字节跳动海外隐私数据办公室朱玲凤。
一、数据合规法务向数据保护官的跨越式发展
数据合规法务或律师在职业规划上,有两种上升路径:一是扩大在数据合规法务律师圈内的竞争力,持续深耕数据合规法务或律师的法律专业领域,专注于数据合规法律若干方面特别成熟的经验和深入的研究,比如大数据杀熟、第三方数据引入等,或者专注于某方面技能,比如应对个人信息保护的诉讼、政府问询等;二是扩大在数据合规整个行业内的竞争力,补足管理体系、技术措施等综合能力,跨越式成长为数据保护官。
此时,我们应该探讨个人成长的问题。《巨人的工具》中提到的漫画作者斯科特·亚当斯,他的呆伯特系列漫画,今天同时在65个国家,使用25种语言,超过两千家报纸转载。亚当斯提出如果你想取得出类拔萃的成就,有两种选择:第一种选择是把某项技能练到全世界最好,这个难度非常大;第二张选择就是你可以选择两项技能,每项技能练就到世界前25%的水平,这比较容易。如果你能把这个技能结合起来去做一件事,你就可能取得了不起的成就,比如亚当斯,他不是世界上画画技能最好的,但是能达到前25%,写笑话技能也不是全世界最好的,但是他写笑话的技能也能达到前25%的水平,把二者结合起来就是“呆伯特漫画”,能做到这一点就极其少了。在当前白晓萌萌职业发展路径选择的分叉口是一致的,可以选择将数据合规法律相关专业做的更为艰深,也可以掌握多种技能并加以结合,就是跨越式成长为数据保护官。
二、数据保护官的能力模型
数据保护官(Data Protection Officer),在国内一般称为个人信息保护负责人。《个人信息保护法(草案)》(二次审议稿)规定:处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。《信息安全技术个人信息安全规范》规定:个人信息保护负责人和个人信息保护工作机构的职责应包括但不限于:
全面统筹实施组织内部的个人信息安全工作,对个人信息安全负直接责任;
组织制定个人信息保护工作计划并督促落实;
制定、签发、实施、定期更新个人信息保护政策和相关规程;
建立、维护和更新组织所持有的个人信息清单(包括个人信息的类型、数量、来源、接收方等)和授权访问策略;
开展个人信息安全影响评估,提出个人信息保护的对策建议,督促整改安全隐患;
组织开展个人信息安全培训;
在产品或服务上线发布前进行检测,避免未知的个人信息收集、使用、共享等处理行为;
公布投诉、举报方式等信息并及时受理投诉举报;
进行安全审计;
与监督、管理部门保持沟通,通报或报告个人信息保护和事件处置等情况。
以此为数据保护官的职责为基础,其能力模型包括如下:
1、数据保护管理体系
首先应当构建一个数据保护管理体系,全公司数据保护的全景视图,并以有机组织体来实现相互之间的合力。当前国际通行的数据保护管理体系较多,包括NIST提供的Privacy Framework和Cybersecurity Framework、ISO 27701以及IAPP CIPM管理框架,涉及相关大模块是类似的,企业可以根据需求选择适用。
以NIST Privacy Framework为例,以介绍数据保护管理体系的模块,借此可以了解到数据保护官的核心能力。下图展示了主要模块。
Identify-P的核心是构建组织级识别当前因数据处理活动而产生的隐私风险,具体包括梳理数据目录以及映射到的系统产品服务清单,厘清企业在商业环境中的使命、愿景等以确认隐私工作的重要性、优先级,评估数据处理活动的风险和处置行为,评估企业数据合规相关的规则流程是否已经被企业利益相关者所认可且运用于生态系统中的第三方。
Govern-P的核心是制定并实施治理架构以实现隐私风险管理事项,包括制定隐私管理制度、流程和规程,结合企业的风险容忍度、使命远景等制定风险管理策略,对员工等进行隐私意识教育和专业知识的相关培训,对企业的隐私合规状态进行持续监测。
Control-P的核心是制定和实施适当的措施以实现隐私风险管理,包括建立数据处理的政策、流程等,根据风险管理策略进行隐私管理,建立可分离处理的解决方案以实现数据被最小化的收集和存储等原则。
Communicate-P的核心是采取适当措施实现各组织和个人能够了解并参与如何进行数据处理和隐私保护的对话和充分沟通,包括建立相关沟通流程和制度,以及增强数据处理的透明性和可预测性。
Protect-P的核心是采取适当的措施以落实个人信息保护措施,包括建立相关流程制度、身份认证访问控制、数据安全措施、保护技术等。
管理体系更强调的是体系化的思维方式和能力,全面整体的考虑数据合规的计划、实施和落地,避免出现重大缺失和不足。其内容层面已经可以涵盖所有的数据合规工作了。
2、商业理解和利益相关方管理
数据被成为是21世纪的石油,能发挥出促进业务发展的核心作用,因此在进行数据合规工作时应当充分分析企业的使命、愿景以及数据在企业发挥的作用等,从而在法律法规的强制性要求上作出合理的商业理解,真正成为企业的商业策略伙伴。比如苹果公司一直将隐私作为公司的核心价值观之一,如下图所示,因此苹果的产品在数据合规上要求会高于法律法规的强制性要求,甚至会主动采取措施净化移动生态的措施,包括推动追踪透明框架,要求App主动告知用户是否追踪用户以及由用户自行选择是否被追踪。然而其他公司拥有不同的价值观和愿景的,则其在处置产品或服务收集使用数据,以及甚至产品里的隐私功能方面有较大的差异。所以数据保护官应当抽离出合规视角,从企业的商业角度考量隐私与公司发展的关联与结合点。
利益相关方管理也是极其重要的。有一种普遍的误解是将数据合规作为法律强制性要求去推动内部利益相关方落实,然而这会产生负面影响,让利益相关方产生抵触或僵化执行、甚至以过关思维试图逃过内部控制措施。数据合规不仅仅是法律合规,更是企业的品牌声誉和用户信任。因此,应当准确把握利益相关方的利益诉求,平衡各方面所需,使其各自价值得以体现,才是数据保护官充分调动各利益相关方的积极性,实现企业内部利益最大化。
3、合规和审计能力
数据合规工作本质是风险评估与处置,这是数据合规人员的核心竞争力。风险评估与处置可以从正面建设和反向建设两个角度思考,即合规和审计。审计根据实施主体的不同,可以分为内部审计和外部审计,核心都是以中立的地位审视隐私数据合规状态,进而保障持续合规。审计步骤一般包括确定审计目标、审计框架(如GDPR)、审计范围等,制定审计方法和步骤(如访谈、技术测试等),输出审计结论。因此,数据保护官应当具备审计的基本素养和能力。
4、文化构建
数据合规不是运动式的,一次运动就能达到合规状态,需要持续维持合规,那么仅仅依靠合规和审计是不够的,更长远的需要隐私文化的构建。隐私文化为企业如何使用以及应该如何使用提供了一个共识,以更好的支持战略目标,这提升了跨团队的隐私项目执行力,并提升了对隐私目标的理解和支持,使企业和个人对于数据利用价值的需求与期望。此外,组织一旦建立了隐私文化,隐私团队就拥有了“放大器”,可以将隐私保护的理念深入到组织的每个分支机构。隐私团队可以通过隐私文化的建设,绘制数据使用的共同愿景,扩大团队的影响力。[1]
隐私文化构建的方式包括隐私意识活动以及专业知识培训等,比如公司隐私日、新员工隐私意识培训和认证考试、隐私专业知识的名家讲堂等。
5、隐私保护技术措施
除了传统的加密、脱敏等安全技术外,隐私发现等数据管理工具都在日常数据合规工作中扮演着重要的作用。隐私保护技术措施近些年还包括非常亮眼的隐私计算,如阿里巴巴达摩院发布的《2020年十大科技趋势》,其中趋势九-保护数据隐私的AI技术将加速落地。数据流通所产生的合规成本越来越高,使用AI技术保护数据隐私正成为新的技术热点,其能够在保证各方数据安全和隐私的同时促进数据利用,包括安全多方计算、差分隐私、可信软件硬件等。
数据保护官在能力模型上应当具备上述数据保护管理体系、商业理解和利益相关方理解、合规与审计能力、文化构建以及隐私保护技术措施,这不意味着数据保护官精通这些能力,而应当具备这样的认识与格局,建立隐私相关组织或者与公司内相关合作部门,全面推进数据合规,实现长治久安。
三、数字化转型时代对数据保护官的进一步要求
数据保护官具备综合的背景和能力,已具备较高的门槛。我们再进一步探讨未来世界发展之下,数据保护官应当向哪儿发展,进一步灵魂拷问数据保护官是否可以成为终身奋斗的职业。
判断在20至30年内是否仍然坚守数据保护官岗位,应当先判断当前时代发展的变化。当前的时代的剧烈变化正是数字化转型。Gartner给数字化转型下的定义:开发数字化技术及支持能力以新建一个富有活力的数字化商业模式。数字化转型是通过应用数字化技术来重塑企业的信息化环境和业务过程,其价值不仅在于企业的增效降本提质,更侧重企业的管理和业务创新。以Netflix为例来看,目前是全世界最大的互联网视频公司,市值超过2000亿美元。转型前是一家很小的在线录像制品租赁公司。Netflix在线租赁期间积累了很多用户习惯进而了解了市场发展走向。比如用户喜欢刷剧模式,喜欢一次性看完所有剧集。以前美剧是一季一季拍摄,每周播放一集,而Netflix基于此前的数据积累改变商业决策,2013年2月1日,Netflix一次性推出《纸牌屋》(House of Cards)第一季13集,从此开启了线上美剧观看模式的新时代。[2]笔者个人见解,数字化转型不等同于互联网+“用互联网思维来进行各行各业的产业迭代”,而数字化转型,更类似于产业革命,通过数字化的方式刻画出各行业的规律、轨迹,进而预测分析调整产业发展方向。阿里研究院在《智能技术时代报告》中提到2019年政府正式提出了“智能+”战略:“深化大数据、人工智能等研发应用。打造工业互联网平台,拓展智能+,为制造业转型升级赋能”,以5G、物联网、人工智能等技术为代表的智能技术群落迅速成熟,从万物互联到万物智能,从连接到赋能的智能+浪潮即将开启。
在这样的时代背景下,数据保护官是在数据利用和发展的第一线的,数据合规是数据利用和发展的安全底座,对数据保护官的需求是会持续不断的。数据成为了数字化转型和人工智能的核心因素之一,也是智能+的核燃料,将对数据保护官提出更高的要求。新加坡个人数据保护委员会(Personal Data Protection Commission)对数据保护官提出了促进数据驱动创新的能力,其在官方文件中解释“企业逐渐将数据作为战略性资产,以开发新产品和改善产品。一个称职的数据保护官应当具备协助企业在确保公众信任和企业责任的基础上使用数据推动创新和与合作伙伴分享数据以获得竞争优势。”因此,新加坡个人数据保护委员会提出了在促进数据创新角度提出了数据伦理、数据分享和设计思考实践。数据伦理和数据分享着重解决这两类型的数据合规和数据创新之间的平衡,设计思考实践主要是将隐私和个人信息保护的要求结合到数据驱动的设计思考过程中。
数字化转型时代对数据保护官的要求仍然是很朦胧的状态,因为数字化转型正在急剧的发展过程中。但是至少一味的强调数据保护将不能符合未来时代的发展,但是这对于数据保护官合规属性的工作,则具有很强的不符合性,如何能够在数据利用和数据保护之间基于当前的内外部利益相关方下找到平衡点,并且固化实施是极其挑战的一项工作。数据保护官应当开拓视野,看到更广阔的技术发展、行业发展以及国际格局等,为未来的变化提前找到能力的支点,通过杠杆发挥更大的作用。数据保护官们,完成跨越式成长,成为更具综合性,更贴近时代脉搏的人才,未来可期!
笔者正在字节跳动海外隐私数据办公室从事集团层面隐私策略制定以及隐私管理,完成个人的隐私数据合规法务向综合发展的跨越式成长中,目前隐私数据专家、隐私数据项目管理、隐私事件分析响应等岗位都在招募贤才,欢迎数据合规的专家来加盟,共同成长为属于数字化转型时代的复合型人才!
[1]汪明翻译,宋文宽校对:《如何建立隐私文化》,载于微信公众号“IAPP KnowledgeNet”,请见https://mp.weixin.qq.com/s/nGW4rUd-hLWC6TPUPHGWFg,访问时间为2021年5月2日。译自Aaron Weller, CIPP/US, CIPM, CIPT,FIP,Emily Leach, CIPP/E, CIPP/US:How to build a culture of privacy? Seehttps://iapp.org/news/a/how-to-build-a-culture-of-privacy/。
[2]司若、黄莺、孙怡、张鹏:《从Netflix看大数据如何影响影视创作|探元计划》,载于微信公众号“腾讯研究院”,见https://mp.weixin.qq.com/s/8pfE28w740ofcdLX2CFLpw,访问时间为2021年5月3日。
声明:本文来自网安寻路人,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。