• 民生银行法律事务部科技金融法律服务中心副主任 姜江

与欧盟《通用数据保护条例》(GDPR)明确规定数据保护官(Data Protection Officer,DPO)的法律职责和岗位类似,我国《银行业金融机构数据治理指引》确定了首席数据官,国家标准GB/T 35273-2017《信息安全技术 个人信息安全规范》提到个人信息保护负责人。DPO成为企业,尤其是涉互联网企业的新型职位,专职处理企业内与数据信息、隐私保护、数据治理相关的法律事务。DPO互助平台则是DPO自愿聚集在一起,分享信息、发表观点、讨论问题的自组织平台,一般由企业从业人员、专家学者、律师、司法人员组成,平台不以营利为目的,不具有官方色彩,却更具有学术探讨或信息交流的特色。

一、各国创建DPO互助平台

在世界各国的数据保护工作者群体中,都可以寻到DPO互助平台的踪迹。国外较大的DPO互助平台包括:美国的隐私保护国际专业协会(IAPP)、德国的德国数据安全与数据保护协会(GDD)、法国的法国个人资料保护协会(AFCDP)、西班牙的西班牙隐私保护专业协会(APEP)、捷克的个人数据保护协会(APDP)、爱尔兰的数据保护官协会(ADPO)、希腊的希腊数据与隐私保护协会(HADPP)、意大利的数据保护官协会(ASSO DPO)、卢森堡的卢森堡数据保护协会(APDL)、荷兰的荷兰数据保护官专业协会(NGFG)、波兰的数据保护官协会(SABI)、英国的数据保护信息官国家协会(NADPO)和瑞士的DPO联合会等。

DPO互助平台的主要工作目标,一般都包括聚集数据治理从业人员及各领域专家、分享数据保护全球资讯、共享数据管理工具、分析个人信息保护领域最佳实践等;主要的工作方法,包括召集会议、举办论坛、开展培训、出版书籍、发布论文等。

有些DPO互助平台的作用与工作方法较为特殊,如德国的GDD、法国的AFCDP、西班牙的APEP、荷兰的NGFG共同组成欧洲数据保护组织联盟(CEDPO),形成了跨国界的数据保护交流平台;荷兰的NGFG、法国的AFCDP起草数据管理文件,提供数据管理建议;波兰的SABI建立数据保护领域的工作标准,为实际的数据管理工作提供量身定做的管理方式方法;美国的IAPP还提供资格考试,供多个地区的数据保护从业人员考取,形成数据保护领域的“营业执照”。

二、DPO互助平台有利于数据治理工作

我国一些学者、律师、企业风险管理人员、司法人员共同组建了DPO互助平台,为DPO从事数据保护工作,为企业开展数据治理工作提供帮助。从平台日常交流与举办的活动看来,DPO的主要作用体现这以下几个方面。

第一,数据治理工作的入门“引路者”。数据治理工作者要拥有包括科技、法律、行业规则等多领域知识,对于初进入数据治理领域的工作者而言,全面掌握各领域的知识是不现实的,甚至在初接手工作的时候,连这项工作的工作内容、工作方式、工作思路都无从把握。对于入门时急需把握的知识储备,DPO互助平台通过数据治理的知识分享、定时推送、突发分析等方式,使每位会员都能获得系统化的知识储备,例如,平台及时分享的关于GDPR、国家信息安全管理标准,以及欧盟、日本、印度等各国数据治理制度等。除知识分享,各位平台成员还可以根据该类信息进行本地化分析,结合实践提出问题,共同提出解决方案。这种实践性的分析、解答,更像是一场随时举办、不见面的研讨会,比知识本身具有更高的价值。

第二,数据治理管理化的“深化者”。数据治理工作不是简单的事务性工作,而是需要具有统筹思维的管理工作。数据治理不仅仅是合同的拟定、制度的安排,其落地、运行,需要企业内部的整体配合,需要科技系统的配置安排,单一的知识灌输确实不足以支撑治理实际。互助平台提供了一批具有实践经验的先行者,他们具有丰富的经历,包括部分在业内具有先进管理经验的数据治理“头部企业”,这些不可多得的人才聚集在一个平台上,除了日常经验的分享,还能形成一个“人才池”,在需要搭建企业数据治理体系时,能够迅速、精准地找到所需要的专家。互助平台的这个作用,相当于汇集了数据治理领域的供需双方,能够高效地促进管理工作的体系搭建与实质落地,具有更进一步的实践意义。

第三,体现数据治理工作价值的“升华者”。数据治理的工作对象是数据,而这一由社会各个组成部分,包括个人、企业、群体等不自觉行为创造出来的基本素材,在大数据时代之前,是不为重视的。数据权利、数据价值的不断提升,是数据治理工作开展的基石,更需要不断追求新的目标。DPO互助平台通过不限制门槛、身份,不设置专业方向的准入方式,既吸收了人才,也通过平台上聚集的“人气”,创造出更多的意见、建议等“真知灼见”,经由平台统一发布后,能够在更大的范围受到关注,从而引发公众对于数据权利的关注,而与利用大数据方的不断博弈,能够把数据治理工作提升到新的层次,每一次双方“矛盾”的解决,都能够促进数据治理工作规则更加清晰,向更符合双方一致性目标的方向发展。互助平台的存在,可以促进数据治理的深层次发展。

三、对DPO互助平台发展的建议

国外对于数据保护的立法或管理,已经有几十年历史,与此相配套出现的DPO自组织平台,也已经有了较为成熟的运经模式。与此相比,我国数据保护的法治化进程还有很长的路要走,系统化、体系化的程度有待提高,DPO平台属于新生事物,在赋予其期望的同时,期待平台能够做得更好。

第一,平台培训工作需更加体系化。现有DPO培训工作较为零散,一般是结合突发热点,或者与其他会议配套,在时间安排、培训内容上随意性较强,对于平台参与者而言,较难提前预留时间与做好知识储备,培训的效果可能有一定“打折”。可以采用按照时间计划,做好培训方案的方式提前发布,既能保证培训参与人员的积极性,也能为更需要该类培训的人预留更多的学习、交流机会。

第二,提升平台成果的可视化与多样性。现阶段平台成果多以零散发表、互联网平台发布为主,“墙内香”的情况较多。但是,数据治理工作更多需要的是每个数据主体的了解与认可,以更加多样的形式去表达平台成果、实现更多的功能与效果是平台下一步工作可以考虑的重点。漫画连载、小视频可以拉近与普通人的距离,在适当情况下的成果集结成册,可以提升成果的整体冲击力,采用多种方式使用成果,会让DPO互助平台发挥更多的功能。

第三,提高平台的黏性。互助平台在业内具有较高的认可度,但是,限制于其自组织的性质,组织结构松散,平台成员并没有“会员”属性。这一方面确实能够吸引更多的成员加入,分享经验与智慧,但是,在运行一段期限后,也容易引发平台惰性。建议可以参考国外DPO互助平台的做法,通过组织参加资格认证的方式,增强对于平台的归属感,提升自组织平台的黏性;也可以通过由各位成员出谋划策,分别负责组织个性化活动的方式,让更多的人负起责任,强大平台的组织能力。

总之,DPO互助平台不仅是数据工作者从业的“帮手”,更需要肩负起提高数据治理水平、提升数据价值观的高远目标。如果更多的人关注、参与平台发的发展,一定能够在实现自我成长与管理能力提升的同时实现“多赢”。

(本文刊登于《中国信息安全》杂志2019年第2期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。