6月5日，数据治理和网络安全联盟与南方都市报个人信息保护研究中心共同举办了“数据治理和网络安全联盟”2018年年度论坛。来自实务和理论界的专家，从治理机制、治理模式角度对数据治理问题进行了全面讨论。欧洲数据保护监督员办公室EDPS前政策和咨询主管Hielke Hijmans表示，GDPR以责任原则为基础，企业、监管机构等主体需要清楚认识并履行自身责任。

欧盟《一般数据保护条例》（以下简称GDPR）于5月25日生效以来，国内外对数据保护讨论愈加频繁，如何落实数据治理问题也成为大众普遍关注的话题。Hijmans认为，从数据治理的角度来说，GPDR也许是一场革命。

欧洲数据保护监督员办公室EDPS前政策和咨询主管Hielke Hijmans。

Hijmans 指出，GDPR以责任原则为基础，无论是公立还是私立的数据处理者，都应当采取负责任的方式，同时在受到监管机构询问时能够提供公平处理数据的凭证。责任原则也意味着企业要以符合伦理的方式去处理数据，优先保护数据。

Hijmans认为，责任原则也意味着企业要根据数据处理的风险去设置保护数据的方式，这种风险取决于企业的经营活动或者是数据的特性。比如企业处理健康类数据的风险比处理人名、地址等数据的风险更大，需要更谨慎。

值得注意的是，Hijmans还表示，责任原则不仅仅是合规上的要求，同时还需企业采取措施真正地保护人们的隐私。目前，数据治理有很多具体的实施办法，比如可以由企业采取安全措施，如果出现了数据泄露问题，必须在72小时内进行通报。

个人数据保护的责任主体除了企业外，还包括监管机构。Hijmans表示，监管机构的责任是保障数据获得保护，每一个国家和成员国都应该有一个监管机构。同时，监管机构具有独立性，不仅仅是机构本身应该独立于政府，而且其成员也不应该受到任何政治因素的影响。

Hijmans认为，在实践中，不同成员国的监管机构可以在共同的框架下进行合作。同时，监管机构还应该具有战略性，需要加强监管机构和被监管者之间的信任和合作。比如中国企业如果遇到了相关问题，需要和监管机构讨论，咨询监管机构该如何保护隐私和个人数据。

随着人们对数据保护问题的日益重视，数据保护官（以下简称DPO）也应运而生。根据GDPR的要求，企业在涉及处理敏感个人数据等情况下，必须设立 DPO 岗位。

中国政法大学教授汪庆华表示，GDPR将数据保护的职能下放到企业中，也就是说，在一定程度上强制性地要求特定的企业内部必须设立数据保护官。DPO作为一个跨界人才，需要懂得IT防护、安全方面的知识。DPO在企业中应该具有较高的位置，可以和高层进行直接对话。DPO还是监管机构、企业和个人之间非常重要的连接点，需要落实GDPR的监管理念。

中国政法大学教授汪庆华。

汪庆华还介绍了不同数据治理的模式，他指出，欧盟是一种强监管的模式，而美国是一种强市场的模式。美国基本上由联邦贸易委员会（简称FTC）来履行个人信息保护的职责。FTC虽然对谷歌、Uber等大型互联网企业都采取过非常具体的监管措施，但大部分的监管都是由消费者投诉引发的。

 如何应对GDPR带来的挑战？汪庆华认为，GDPR为我国个人信息保护的立法提供了一个特别好的参照。我国目前采取的是一种分散式的立法，个人信息保护分散在很多法律中，比如说《侵权责任法》《消费者权益保护法》《网络安全法》等。分散式的立法必然会带来分散式的监管，如何让分散式的监管走向统一，是我国个人信息保护立法面临的非常紧迫的问题。