落实安全岗位责任制 保障数据管理依法合规

从国内外相关法律法规对数据保护官等数据管理工作的职责描述分析，欧盟《通用数据保护条例》强制要求任命数据保护官以确保“合规”的规定，成为基于问责制合规框架的重要“基石”，美国、德国、新加坡、印度等国也有类似制度。《中华人民共和国网络安全法》规定的网络安全负责人以及国家标准《信息安全技术 个人信息安全规范》规定的个人信息保护负责人等制度，虽然在表述上与欧盟的规定不同，但是，其所发挥的岗位功能与前者相似，成为保护企业信息安全和保障数据依法合规的重要角色。

一、各国创建DPO互助平台

在世界各国的数据保护工作者群体中，都可以寻到DPO互助平台的踪迹。国外较大的DPO互助平台包括：美国的隐私保护国际专业协会（IAPP）、德国的德国数据安全与数据保护协会（GDD）、法国的法国个人资料保护协会（AFCDP）、西班牙的西班牙隐私保护专业协会（APEP）、捷克的个人数据保护协会（APDP）、爱尔兰的数据保护官协会（ADPO）、希腊的希腊数据与隐私保护协会（HADPP）、意大利的数据保护官协会（ASSO DPO）、卢森堡的卢森堡数据保护协会（APDL）、荷兰的荷兰数据保护官专业协会（NGFG）、波兰的数据保护官协会（SABI）、英国的数据保护信息官国家协会（NADPO）和瑞士的DPO联合会等。

DPO互助平台的主要工作目标，一般都包括聚集数据治理从业人员及各领域专家、分享数据保护全球资讯、共享数据管理工具、分析个人信息保护领域最佳实践等；主要的工作方法，包括召集会议、举办论坛、开展培训、出版书籍、发布论文等。

有些DPO互助平台的作用与工作方法较为特殊，如德国的GDD、法国的AFCDP、西班牙的APEP、荷兰的NGFG共同组成欧洲数据保护组织联盟（CEDPO），形成了跨国界的数据保护交流平台；荷兰的NGFG、法国的AFCDP起草数据管理文件，提供数据管理建议；波兰的SABI建立数据保护领域的工作标准，为实际的数据管理工作提供量身定做的管理方式方法；美国的IAPP还提供资格考试，供多个地区的数据保护从业人员考取，形成数据保护领域的“营业执照”。

二、DPO互助平台有利于数据治理工作

我国一些学者、律师、企业风险管理人员、司法人员共同组建了DPO互助平台，为DPO从事数据保护工作，为企业开展数据治理工作提供帮助。从平台日常交流与举办的活动看来，DPO的主要作用体现这以下几个方面。

第一，数据治理工作的入门“引路者”。数据治理工作者要拥有包括科技、法律、行业规则等多领域知识，对于初进入数据治理领域的工作者而言，全面掌握各领域的知识是不现实的，甚至在初接手工作的时候，连这项工作的工作内容、工作方式、工作思路都无从把握。对于入门时急需把握的知识储备，DPO互助平台通过数据治理的知识分享、定时推送、突发分析等方式，使每位会员都能获得系统化的知识储备，例如，平台及时分享的关于GDPR、国家信息安全管理标准，以及欧盟、日本、印度等各国数据治理制度等。除知识分享，各位平台成员还可以根据该类信息进行本地化分析，结合实践提出问题，共同提出解决方案。这种实践性的分析、解答，更像是一场随时举办、不见面的研讨会，比知识本身具有更高的价值。

第二，数据治理管理化的“深化者”。数据治理工作不是简单的事务性工作，而是需要具有统筹思维的管理工作。数据治理不仅仅是合同的拟定、制度的安排，其落地、运行，需要企业内部的整体配合，需要科技系统的配置安排，单一的知识灌输确实不足以支撑治理实际。互助平台提供了一批具有实践经验的先行者，他们具有丰富的经历，包括部分在业内具有先进管理经验的数据治理“头部企业”，这些不可多得的人才聚集在一个平台上，除了日常经验的分享，还能形成一个“人才池”，在需要搭建企业数据治理体系时，能够迅速、精准地找到所需要的专家。互助平台的这个作用，相当于汇集了数据治理领域的供需双方，能够高效地促进管理工作的体系搭建与实质落地，具有更进一步的实践意义。

第三，体现数据治理工作价值的“升华者”。数据治理的工作对象是数据，而这一由社会各个组成部分，包括个人、企业、群体等不自觉行为创造出来的基本素材，在大数据时代之前，是不为重视的。数据权利、数据价值的不断提升，是数据治理工作开展的基石，更需要不断追求新的目标。DPO互助平台通过不限制门槛、身份，不设置专业方向的准入方式，既吸收了人才，也通过平台上聚集的“人气”，创造出更多的意见、建议等“真知灼见”，经由平台统一发布后，能够在更大的范围受到关注，从而引发公众对于数据权利的关注，而与利用大数据方的不断博弈，能够把数据治理工作提升到新的层次，每一次双方“矛盾”的解决，都能够促进数据治理工作规则更加清晰，向更符合双方一致性目标的方向发展。互助平台的存在，可以促进数据治理的深层次发展。

三、对DPO互助平台发展的建议