數據安全和隐私保護是當今大數據時代的主流課題。數據安全問題面臨着越來越嚴格的監管要求、越來越多樣化的威脅和挑戰。

　　數據安全保護的讨論和政策合規趨勢也讓大衆開始更多地意識到個人隐私數據的重要性。企業有義務控制濫用和誤用數據等風險的發生。

　　而在企業中，有這樣一個崗位——Data Protection Officer，簡稱DPO，中文一般譯成數據安全保護官。DPO承擔着建立和管理企業的數據保護和數據合規的工作。

　　DPO發展簡史

　　DPO 一詞，最早來源于 GDPR（《（歐洲）通用數據保護法規》）中關于企業必須要設置數據安全責任人（也即 DPO）的規定，在中國的個人信息保護法（以下簡稱“PIPL”）中也有類似的規定。

　　在有些成熟企業裡也有CSO（Chief Security Officer，首席安全官）或者 CISO（Chief Information/Security Officer）的同類項管理職位。因為目前企業最急迫的數據安全需求通常來自于個人信息和個人隐私保護，所以消費品企業通常把 DPO 翻譯成首席隐私官，來凸顯個人信息保護合規的重要性。

　　早在2000年開始，歐美國家已有至少數百家公司設有 DPO 的職位。歐盟 GDPR 根本性地改變了全球範圍内隐私保護的管理模式。

　　因為歐盟要求境内的政府部門、大規模處理和監控特定數據或敏感個人信息的企業内，均應設立有 DPO 職位（GDPR 第37-39 條）；須由具備法律和相關實踐的專業知識的人擔任；須有能力建立和管理企業的數據保護和數據合規工作；獨立于并直接向企業管理層彙報。

　　2021 年開始，随着國内各地方政府陸續出台數據條例、首席數據官制度試點方案，與 DPO 崗位職責相似的首席數據官、數據合規官等概念越來越多的出現在各地政府頒布的文件中，例如 2020 年 3 月份發布，10 月份生效的《信息安全技術 - 個人信息安全規範》的第 11.1 條明确了“已處理超過 100 萬人的個人信息，或預計在未來 12 個月内處理超過 100萬人的個人信息，以及處理超過 10 萬人的個人敏感信息的的組織，應設立專職的個人信息保護負責人和機構”。

　　企業為什麼需要DPO？

　　首要是法律和監管的合規要求。随着近幾年來我國數據安全相關法律法規體系的完善和落地，合規需求将在很長一段時間内成為企業數據安全能力建設的主要驅動力。

　　其次是數據安全風險事件和業務發展驅動，随着網絡威脅和數據洩漏事件數量的不斷增長，以及企業數字化轉型攻擊面的增大，數據安全事件和業務發展驅動的占比不斷提高。企業對數據安全與業務發展有了更為深入的認知，如果發生了數據安全風險事件，企業可能會面臨高額的政府和監管的罰款，數據洩露也會損害個人隐私、企業合法權益，甚至嚴重時危害國家安全。

　　《2022 年中國企業數據安全現狀調查報告》的調研結果顯示，約四分之一（27%）的受訪企業安全主管承認發生過較大數據安全事件。考慮可能存在企業瞞報、少報的情況，這個比例将更高。

　　再次是數據安全和隐私保護的合規難度和成本在不斷加大，企業如果不提前規劃建設數據安全能力，未來會面臨越來越高的風險和成本。DPO 需要幫助企業建設完整的數據安全技術體系、數據安全管理體系以及運營體系，才能在長期範圍内用更少的成本做到業務風險可控。

　　DPO面臨的挑戰：既要、又要、還要

　　創建一個綜合的企業級的數據安全和隐私保護體系，對 DPO 們來說是極大的挑戰。DPO 既要考慮監管越來越嚴格的監管要求，也要管理好内部的組織問題。同時，還要保持其有效運轉，以保障數據資産的全鍊安全及業務的合規增長，是DPO最核心的職責。

　　簡而言之，既要合規，又要安全，還要生意。因此，在DPO的日常工作中，必須與多方通力協作，來應對綜合性的挑戰：

　　首先，滿足合規需求、規避經營風險，這是企業順利開展業務的基線要求。從法律法規出發，DPO需與法務、律所等專業人員來探讨并制定合規策略。

　　其二，找到安全投入與生意的動态平衡。一方面，确保安全合規的動作不影響業務正常進行，另一方面，也要控制成本，避免過度投入對企業經營造成的負擔。在這個層面，DPO需與業務部門保持緊密溝通，讓安全合規深入業務場景。

　　其三，實現數據安全的技術落地。DPO需與數據安全工程師及數據安全供應商協同，建立數據安全技術策略，從産品、架構等多維度落地實踐。

　　如果說DPO是企業的數據安全首要責任人，“數據安全合規”這個命題則值得企業每個環節、每個部門及企業的合作夥伴、相關服務商關注。

　　數據安全是以數據為中心的安全，是從采集、傳輸、存儲、處理到共享、銷毀，覆蓋數據全生命周期的安全，是數據的随身保镖，數據流到哪裡，安全就覆蓋到哪裡。而且，數據安全是通過采取必要措施，确保數據處于有效保護和合法利用的狀态，以及具備保障持續安全狀态的能力，是大數據時代值得國家、企業和個體關注的安全。

　　因此，企業要關注數據安全，并通過産品、組織等多層面投入和落地。

　　,

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!