DPO互助平台对企业数据治理实务的指导(DPO社群成员观点)
编者按:
本公号在刊登DPO沙龙和相关社群活动的同时,还将刊登DPO社群成员的精彩文章。众所周知,《中国信息安全》是国家在网络安全领域非常权威的期刊杂志。DPO沙龙成员在《中国信息安全》2019年2月这一期中,发表了DPO制度的见解,介绍了DPO的前世今生、方方面面。本公号将陆续刊发。本篇作者为民生银行法律事务部科技金融法律服务中心副主任姜江。
落实安全岗位责任制 保障数据管理依法合规
从国内外相关法律法规对数据保护官等数据管理工作的职责描述分析,欧盟《通用数据保护条例》强制要求任命数据保护官以确保“合规”的规定,成为基于问责制合规框架的重要“基石”,美国、德国、新加坡、印度等国也有类似制度。《中华人民共和国网络安全法》规定的网络安全负责人以及国家标准《信息安全技术 个人信息安全规范》规定的个人信息保护负责人等制度,虽然在表述上与欧盟的规定不同,但是,其所发挥的岗位功能与前者相似,成为保护企业信息安全和保障数据依法合规的重要角色。
与欧盟《通用数据保护条例》(GDPR)明确规定数据保护官(Data Protection Officer,DPO)的法律职责和岗位类似,我国《银行业金融机构数据治理指引》确定了首席数据官,国家标准GB/T 35273-2017《信息安全技术 个人信息安全规范》提到个人信息保护负责人。DPO成为企业,尤其是涉互联网企业的新型职位,专职处理企业内与数据信息、隐私保护、数据治理相关的法律事务。DPO互助平台则是DPO自愿聚集在一起,分享信息、发表观点、讨论问题的自组织平台,一般由企业从业人员、专家学者、律师、司法人员组成,平台不以营利为目的,不具有官方色彩,却更具有学术探讨或信息交流的特色。
一、各国创建DPO互助平台
在世界各国的数据保护工作者群体中,都可以寻到DPO互助平台的踪迹。国外较大的DPO互助平台包括:美国的隐私保护国际专业协会(IAPP)、德国的德国数据安全与数据保护协会(GDD)、法国的法国个人资料保护协会(AFCDP)、西班牙的西班牙隐私保护专业协会(APEP)、捷克的个人数据保护协会(APDP)、爱尔兰的数据保护官协会(ADPO)、希腊的希腊数据与隐私保护协会(HADPP)、意大利的数据保护官协会(ASSO DPO)、卢森堡的卢森堡数据保护协会(APDL)、荷兰的荷兰数据保护官专业协会(NGFG)、波兰的数据保护官协会(SABI)、英国的数据保护信息官国家协会(NADPO)和瑞士的DPO联合会等。
DPO互助平台的主要工作目标,一般都包括聚集数据治理从业人员及各领域专家、分享数据保护全球资讯、共享数据管理工具、分析个人信息保护领域最佳实践等;主要的工作方法,包括召集会议、举办论坛、开展培训、出版书籍、发布论文等。
有些DPO互助平台的作用与工作方法较为特殊,如德国的GDD、法国的AFCDP、西班牙的APEP、荷兰的NGFG共同组成欧洲数据保护组织联盟(CEDPO),形成了跨国界的数据保护交流平台;荷兰的NGFG、法国的AFCDP起草数据管理文件,提供数据管理建议;波兰的SABI建立数据保护领域的工作标准,为实际的数据管理工作提供量身定做的管理方式方法;美国的IAPP还提供资格考试,供多个地区的数据保护从业人员考取,形成数据保护领域的“营业执照”。
二、DPO互助平台有利于数据治理工作
我国一些学者、律师、企业风险管理人员、司法人员共同组建了DPO互助平台,为DPO从事数据保护工作,为企业开展数据治理工作提供帮助。从平台日常交流与举办的活动看来,DPO的主要作用体现这以下几个方面。
第一,数据治理工作的入门“引路者”。数据治理工作者要拥有包括科技、法律、行业规则等多领域知识,对于初进入数据治理领域的工作者而言,全面掌握各领域的知识是不现实的,甚至在初接手工作的时候,连这项工作的工作内容、工作方式、工作思路都无从把握。对于入门时急需把握的知识储备,DPO互助平台通过数据治理的知识分享、定时推送、突发分析等方式,使每位会员都能获得系统化的知识储备,例如,平台及时分享的关于GDPR、国家信息安全管理标准,以及欧盟、日本、印度等各国数据治理制度等。除知识分享,各位平台成员还可以根据该类信息进行本地化分析,结合实践提出问题,共同提出解决方案。这种实践性的分析、解答,更像是一场随时举办、不见面的研讨会,比知识本身具有更高的价值。
第二,数据治理管理化的“深化者”。数据治理工作不是简单的事务性工作,而是需要具有统筹思维的管理工作。数据治理不仅仅是合同的拟定、制度的安排,其落地、运行,需要企业内部的整体配合,需要科技系统的配置安排,单一的知识灌输确实不足以支撑治理实际。互助平台提供了一批具有实践经验的先行者,他们具有丰富的经历,包括部分在业内具有先进管理经验的数据治理“头部企业”,这些不可多得的人才聚集在一个平台上,除了日常经验的分享,还能形成一个“人才池”,在需要搭建企业数据治理体系时,能够迅速、精准地找到所需要的专家。互助平台的这个作用,相当于汇集了数据治理领域的供需双方,能够高效地促进管理工作的体系搭建与实质落地,具有更进一步的实践意义。
第三,体现数据治理工作价值的“升华者”。数据治理的工作对象是数据,而这一由社会各个组成部分,包括个人、企业、群体等不自觉行为创造出来的基本素材,在大数据时代之前,是不为重视的。数据权利、数据价值的不断提升,是数据治理工作开展的基石,更需要不断追求新的目标。DPO互助平台通过不限制门槛、身份,不设置专业方向的准入方式,既吸收了人才,也通过平台上聚集的“人气”,创造出更多的意见、建议等“真知灼见”,经由平台统一发布后,能够在更大的范围受到关注,从而引发公众对于数据权利的关注,而与利用大数据方的不断博弈,能够把数据治理工作提升到新的层次,每一次双方“矛盾”的解决,都能够促进数据治理工作规则更加清晰,向更符合双方一致性目标的方向发展。互助平台的存在,可以促进数据治理的深层次发展。
三、对DPO互助平台发展的建议
国外对于数据保护的立法或管理,已经有几十年历史,与此相配套出现的DPO自组织平台,也已经有了较为成熟的运经模式。与此相比,我国数据保护的法治化进程还有很长的路要走,系统化、体系化的程度有待提高,DPO平台属于新生事物,在赋予其期望的同时,期待平台能够做得更好。
第一,平台培训工作需更加体系化。现有DPO培训工作较为零散,一般是结合突发热点,或者与其他会议配套,在时间安排、培训内容上随意性较强,对于平台参与者而言,较难提前预留时间与做好知识储备,培训的效果可能有一定“打折”。可以采用按照时间计划,做好培训方案的方式提前发布,既能保证培训参与人员的积极性,也能为更需要该类培训的人预留更多的学习、交流机会。
第二,提升平台成果的可视化与多样性。现阶段平台成果多以零散发表、互联网平台发布为主,“墙内香”的情况较多。但是,数据治理工作更多需要的是每个数据主体的了解与认可,以更加多样的形式去表达平台成果、实现更多的功能与效果是平台下一步工作可以考虑的重点。漫画连载、小视频可以拉近与普通人的距离,在适当情况下的成果集结成册,可以提升成果的整体冲击力,采用多种方式使用成果,会让DPO互助平台发挥更多的功能。
第三,提高平台的黏性。互助平台在业内具有较高的认可度,但是,限制于其自组织的性质,组织结构松散,平台成员并没有“会员”属性。这一方面确实能够吸引更多的成员加入,分享经验与智慧,但是,在运行一段期限后,也容易引发平台惰性。建议可以参考国外DPO互助平台的做法,通过组织参加资格认证的方式,增强对于平台的归属感,提升自组织平台的黏性;也可以通过由各位成员出谋划策,分别负责组织个性化活动的方式,让更多的人负起责任,强大平台的组织能力。
总之,DPO互助平台不仅是数据工作者从业的“帮手”,更需要肩负起提高数据治理水平、提升数据价值观的高远目标。如果更多的人关注、参与平台发的发展,一定能够在实现自我成长与管理能力提升的同时实现“多赢”。
(本文刊登于《中国信息安全》杂志2019年第2期)
关于DPO沙龙活动的有关情况,请见:
DPO社群成果
线下沙龙实录见:
线上沙龙见:
时评见:
DPO社群成员观点