查看原文
其他

DPO互助平台对企业数据治理实务的指导(DPO社群成员观点)

姜江 网安寻路人 2020-02-26

编者按:


本公号在刊登DPO沙龙和相关社群活动的同时,还将刊登DPO社群成员的精彩文章。众所周知,《中国信息安全》是国家在网络安全领域非常权威的期刊杂志。DPO沙龙成员在《中国信息安全》2019年2月这一期中,发表了DPO制度的见解,介绍了DPO的前世今生、方方面面。本公号将陆续刊发。本篇作者为民生银行法律事务部科技金融法律服务中心副主任姜江。



落实安全岗位责任制 保障数据管理依法合规

从国内外相关法律法规对数据保护官等数据管理工作的职责描述分析,欧盟《通用数据保护条例》强制要求任命数据保护官以确保“合规”的规定,成为基于问责制合规框架的重要“基石”,美国、德国、新加坡、印度等国也有类似制度。《中华人民共和国网络安全法》规定的网络安全负责人以及国家标准《信息安全技术 个人信息安全规范》规定的个人信息保护负责人等制度,虽然在表述上与欧盟的规定不同,但是,其所发挥的岗位功能与前者相似,成为保护企业信息安全和保障数据依法合规的重要角色。


与欧盟《通用数据保护条例》(GDPR)明确规定数据保护官(Data Protection Officer,DPO)的法律职责和岗位类似,我国《银行业金融机构数据治理指引》确定了首席数据官,国家标准GB/T 35273-2017《信息安全技术 个人信息安全规范》提到个人信息保护负责人。DPO成为企业,尤其是涉互联网企业的新型职位,专职处理企业内与数据信息、隐私保护、数据治理相关的法律事务。DPO互助平台则是DPO自愿聚集在一起,分享信息、发表观点、讨论问题的自组织平台,一般由企业从业人员、专家学者、律师、司法人员组成,平台不以营利为目的,不具有官方色彩,却更具有学术探讨或信息交流的特色。


一、各国创建DPO互助平台

在世界各国的数据保护工作者群体中,都可以寻到DPO互助平台的踪迹。国外较大的DPO互助平台包括:美国的隐私保护国际专业协会(IAPP)、德国的德国数据安全与数据保护协会(GDD)、法国的法国个人资料保护协会(AFCDP)、西班牙的西班牙隐私保护专业协会(APEP)、捷克的个人数据保护协会(APDP)、爱尔兰的数据保护官协会(ADPO)、希腊的希腊数据与隐私保护协会(HADPP)、意大利的数据保护官协会(ASSO DPO)、卢森堡的卢森堡数据保护协会(APDL)、荷兰的荷兰数据保护官专业协会(NGFG)、波兰的数据保护官协会(SABI)、英国的数据保护信息官国家协会(NADPO)和瑞士的DPO联合会等。

DPO互助平台的主要工作目标,一般都包括聚集数据治理从业人员及各领域专家、分享数据保护全球资讯、共享数据管理工具、分析个人信息保护领域最佳实践等;主要的工作方法,包括召集会议、举办论坛、开展培训、出版书籍、发布论文等。

有些DPO互助平台的作用与工作方法较为特殊,如德国的GDD、法国的AFCDP、西班牙的APEP、荷兰的NGFG共同组成欧洲数据保护组织联盟(CEDPO),形成了跨国界的数据保护交流平台;荷兰的NGFG、法国的AFCDP起草数据管理文件,提供数据管理建议;波兰的SABI建立数据保护领域的工作标准,为实际的数据管理工作提供量身定做的管理方式方法;美国的IAPP还提供资格考试,供多个地区的数据保护从业人员考取,形成数据保护领域的“营业执照”。


二、DPO互助平台有利于数据治理工作

我国一些学者、律师、企业风险管理人员、司法人员共同组建了DPO互助平台,为DPO从事数据保护工作,为企业开展数据治理工作提供帮助。从平台日常交流与举办的活动看来,DPO的主要作用体现这以下几个方面。

第一,数据治理工作的入门“引路者”。数据治理工作者要拥有包括科技、法律、行业规则等多领域知识,对于初进入数据治理领域的工作者而言,全面掌握各领域的知识是不现实的,甚至在初接手工作的时候,连这项工作的工作内容、工作方式、工作思路都无从把握。对于入门时急需把握的知识储备,DPO互助平台通过数据治理的知识分享、定时推送、突发分析等方式,使每位会员都能获得系统化的知识储备,例如,平台及时分享的关于GDPR、国家信息安全管理标准,以及欧盟、日本、印度等各国数据治理制度等。除知识分享,各位平台成员还可以根据该类信息进行本地化分析,结合实践提出问题,共同提出解决方案。这种实践性的分析、解答,更像是一场随时举办、不见面的研讨会,比知识本身具有更高的价值。

第二,数据治理管理化的“深化者”。数据治理工作不是简单的事务性工作,而是需要具有统筹思维的管理工作。数据治理不仅仅是合同的拟定、制度的安排,其落地、运行,需要企业内部的整体配合,需要科技系统的配置安排,单一的知识灌输确实不足以支撑治理实际。互助平台提供了一批具有实践经验的先行者,他们具有丰富的经历,包括部分在业内具有先进管理经验的数据治理“头部企业”,这些不可多得的人才聚集在一个平台上,除了日常经验的分享,还能形成一个“人才池”,在需要搭建企业数据治理体系时,能够迅速、精准地找到所需要的专家。互助平台的这个作用,相当于汇集了数据治理领域的供需双方,能够高效地促进管理工作的体系搭建与实质落地,具有更进一步的实践意义。

第三,体现数据治理工作价值的“升华者”。数据治理的工作对象是数据,而这一由社会各个组成部分,包括个人、企业、群体等不自觉行为创造出来的基本素材,在大数据时代之前,是不为重视的。数据权利、数据价值的不断提升,是数据治理工作开展的基石,更需要不断追求新的目标。DPO互助平台通过不限制门槛、身份,不设置专业方向的准入方式,既吸收了人才,也通过平台上聚集的“人气”,创造出更多的意见、建议等“真知灼见”,经由平台统一发布后,能够在更大的范围受到关注,从而引发公众对于数据权利的关注,而与利用大数据方的不断博弈,能够把数据治理工作提升到新的层次,每一次双方“矛盾”的解决,都能够促进数据治理工作规则更加清晰,向更符合双方一致性目标的方向发展。互助平台的存在,可以促进数据治理的深层次发展。


三、对DPO互助平台发展的建议

国外对于数据保护的立法或管理,已经有几十年历史,与此相配套出现的DPO自组织平台,也已经有了较为成熟的运经模式。与此相比,我国数据保护的法治化进程还有很长的路要走,系统化、体系化的程度有待提高,DPO平台属于新生事物,在赋予其期望的同时,期待平台能够做得更好。

第一,平台培训工作需更加体系化。现有DPO培训工作较为零散,一般是结合突发热点,或者与其他会议配套,在时间安排、培训内容上随意性较强,对于平台参与者而言,较难提前预留时间与做好知识储备,培训的效果可能有一定“打折”。可以采用按照时间计划,做好培训方案的方式提前发布,既能保证培训参与人员的积极性,也能为更需要该类培训的人预留更多的学习、交流机会。

第二,提升平台成果的可视化与多样性。现阶段平台成果多以零散发表、互联网平台发布为主,“墙内香”的情况较多。但是,数据治理工作更多需要的是每个数据主体的了解与认可,以更加多样的形式去表达平台成果、实现更多的功能与效果是平台下一步工作可以考虑的重点。漫画连载、小视频可以拉近与普通人的距离,在适当情况下的成果集结成册,可以提升成果的整体冲击力,采用多种方式使用成果,会让DPO互助平台发挥更多的功能。

第三,提高平台的黏性。互助平台在业内具有较高的认可度,但是,限制于其自组织的性质,组织结构松散,平台成员并没有“会员”属性。这一方面确实能够吸引更多的成员加入,分享经验与智慧,但是,在运行一段期限后,也容易引发平台惰性。建议可以参考国外DPO互助平台的做法,通过组织参加资格认证的方式,增强对于平台的归属感,提升自组织平台的黏性;也可以通过由各位成员出谋划策,分别负责组织个性化活动的方式,让更多的人负起责任,强大平台的组织能力。

总之,DPO互助平台不仅是数据工作者从业的“帮手”,更需要肩负起提高数据治理水平、提升数据价值观的高远目标。如果更多的人关注、参与平台发的发展,一定能够在实现自我成长与管理能力提升的同时实现“多赢”。

(本文刊登于《中国信息安全》杂志2019年第2期)



关于DPO沙龙活动的有关情况,请见:


DPO社群成果

  1. 印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)

  2. 巴西《通用数据保护法》全文中文翻译(DPO沙龙出品)

  3. 美国联邦隐私立法重要文件编译第一辑(DPO沙龙出品)

  4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译(DPO沙龙出品)

  5. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)

  6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)

  7. 第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)

  8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译(DPO沙龙出品)

  9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)

  10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

  11. 第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)

  12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制(DPO沙龙出品)

  13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况(DPO沙龙出品)

  14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译(DPO沙龙出品)

  15. 第29条工作组关于GDPR《透明度准则的指引》全文翻译(DPO沙龙出品)


线下沙龙实录见:

  1. 数据保护官(DPO)沙龙第一期纪实

  2. 第二期数据保护官沙龙纪实:个人信息安全影响评估指南 

  3. 第三期数据保护官沙龙纪实:数据出境安全评估

  4. 第四期数据保护官沙龙纪实:网络爬虫的法律规制 

  5. 第四期数据保护官沙龙纪实之二:当爬虫遇上法律会有什么风险

  6. 第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论

  7. 数据保护官(DPO)沙龙走进燕园系列活动第一期

  8. 第六期数据保护官沙龙纪实:2018年隐私条款评审工作

  9. 第八期数据保护官沙龙纪实:重点行业数据、隐私及网络安全

  10. 第十期数据保护官沙龙纪实:数据融合可给企业赋能,但不能不问西东


线上沙龙见:

  1. DPO社群对数据堂事件的精彩点评

  2. DPO社群线上讨论第二期:“出售 & 提供” 个人信息之法律与实务对话

  3. 用户授权第三方获取自己在平台的数据,可以吗?不可以吗?(DPO沙龙线上讨论第三期)


时评见:

  1. 数据安全事件时评第一期

  2. 数据安全事件时评第二期

  3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目:数据可移植性的开源计划

  4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

  5. 【时事七】美国通过《NIST小企业网络安全法》

  6. 【时事八】国际数据流动:欧盟委员会启动对日本的充分性决定流程

  7. 【时评九】加州IoT设备网络安全法对物联网法律之影响(附法案翻译)

  8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

  9. 【时评十一】社交网络平台,需要多点爱还是多点管?

  10. 日本拟效仿德国:对IT巨头非法收集个人信息适用“反垄断法”

  11. 扎克伯格最新愿景:将Facebook打造成“关注隐私的社交网络“


DPO社群成员观点

  1. 个人信息委托处理是否需要个人授权?(DPO社群成员观点)

  2. 企业如何告知与保护用户的个人信息主体权利(DPO社群成员观点)

  3. GDPR“首张”执行通知盯上AlQ公司的前期后后(DPO社群成员观点)

  4. 隐私条款撰写调研报告(DPO社群成员观点)

  5. 我看到的数据安全(DPO社群成员观点)

  6. 数据爬取的法律风险综述(DPO社群成员观点)

  7. 银行业金融数据出境的监管框架与脉络(DPO社群成员观点)

  8. 解析公安机关《互联网个人信息安全保护指引(征求意见稿)》(DPO社群成员观点)

  9. 详解GDPR向Google亮剑缘由(DPO社群成员观点)

  10. 从生产安全体系视角看数据安全(DPO社群成员观点)

  11. 从Android Q看安卓系统的授权机制的三次重大演进(DPO社群成员观点)

  12. APP安全认证公告和实施规则解读:治理思路的创新与多样化(DPO社群成员观点)

  13. 从数据融合角度分析CNIL处罚谷歌案(DPO社群成员观点)

  14. 历史和国际比较视角DPO法律制度探源(DPO社群成员观点)

  15. 谷歌数据融合合规之路:从欧盟监管机构调查与处罚来看——上篇(DPO社群成员观点)

  16. 数据保护官岗位角色技术能力分析(DPO社群成员观点)

  17. 中国企业境外投资中儿童个人信息保护(DPO社群成员观点)

  18. 企业上市过程面临的数据合规问题和相关风险:境内篇(DPO社群成员观点)

  19. 数据保护岗位需求与能力发展(DPO社群成员观点)


    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存