夏國(guó)光 陸雨韜 萬志濤 國(guó) 強(qiáng) 張 斌

數(shù)據(jù)及其安全的重要性已是普遍共識(shí),而數(shù)據(jù)安全事件卻層出不窮.政府部門以及通信、社交、旅游、金融、醫(yī)療、共享平臺(tái)、互聯(lián)網(wǎng)等相關(guān)主體匯集數(shù)據(jù)越來越多,對(duì)數(shù)據(jù)安全體系的要求不斷提高,同時(shí)法規(guī)對(duì)數(shù)據(jù)安全和隱私保護(hù)的要求更為嚴(yán)格,數(shù)字政府建設(shè)面臨更為嚴(yán)峻的安全問題和挑戰(zhàn).本文在深入調(diào)研的基礎(chǔ)上,從國(guó)內(nèi)外數(shù)據(jù)安全相關(guān)法規(guī)和實(shí)踐出發(fā),厘清數(shù)據(jù)安全保護(hù)責(zé)任主體,分析數(shù)據(jù)安全責(zé)任人的職責(zé)、能力要求,探討構(gòu)建以數(shù)字政府首席數(shù)據(jù)安全官為人員中樞的數(shù)據(jù)安全保障體系,以應(yīng)對(duì)數(shù)據(jù)安全問題和挑戰(zhàn),并給出了首席數(shù)據(jù)安全官的設(shè)置方案.

1 數(shù)據(jù)安全法制化 安全人員專業(yè)化

中共中央、國(guó)務(wù)院于2020年3月發(fā)布了《關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見》,明確提出數(shù)據(jù)是生產(chǎn)要素,數(shù)據(jù)的重要性不言而喻.數(shù)據(jù)的可低成本復(fù)制、持久保持、涉及范圍廣等因素對(duì)生產(chǎn)要素的安全流動(dòng)提出新的、更具挑戰(zhàn)性的要求,涉及數(shù)據(jù)存儲(chǔ)、處理、共享和協(xié)同等多個(gè)方面.數(shù)據(jù)作為生產(chǎn)要素在國(guó)民經(jīng)濟(jì)發(fā)展中的作用日益重要,而政府掌握的數(shù)據(jù)占絕對(duì)多數(shù).《中華人民共和國(guó)政府信息公開條例》(以下簡(jiǎn)稱《條例》)規(guī)定政府信息中除了法規(guī)禁止公開,或者涉及國(guó)家秘密、行政機(jī)關(guān)內(nèi)部事務(wù)信息、商業(yè)秘密、個(gè)人隱私,以及可能危及國(guó)家、經(jīng)濟(jì)、社會(huì)和公共安全的信息之外的其他信息應(yīng)當(dāng)公開.各地也在通過地方立法、制定實(shí)施細(xì)則規(guī)范和推進(jìn)政府?dāng)?shù)據(jù)公開.但是,對(duì)于政府內(nèi)部的數(shù)據(jù)使用以及數(shù)據(jù)是否可以公開的認(rèn)定以及分級(jí)分類問題,亟需完成相關(guān)職責(zé)確認(rèn)和人員保障體系及制度建設(shè).除了政府之外,通信、社交、旅游、金融、醫(yī)療、共享平臺(tái)、互聯(lián)網(wǎng)等非政府主體也掌握了大量涉及用戶個(gè)人信息的數(shù)據(jù),這些數(shù)據(jù)的安全也同數(shù)字政府建設(shè)緊密關(guān)聯(lián),數(shù)據(jù)安全問題幾乎會(huì)影響到社會(huì)生活中的每個(gè)人[1].亟需建立相應(yīng)保護(hù)制度,完善人員保障體系.

數(shù)據(jù)安全制度和人員設(shè)置應(yīng)當(dāng)遵從《中華人民共和國(guó)數(shù)據(jù)安全法》(以下簡(jiǎn)稱《數(shù)據(jù)安全法》)、《中華人民共和國(guó)個(gè)人信息保護(hù)法》(以下簡(jiǎn)稱《個(gè)人信息保護(hù)法》)、《中華人民共和國(guó)電子商務(wù)法》(以下簡(jiǎn)稱《電子商務(wù)法》)以及網(wǎng)絡(luò)安全“四法一規(guī)”《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》《互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所管理?xiàng)l例》《中華人民共和國(guó)網(wǎng)絡(luò)安全法》(以下簡(jiǎn)稱《網(wǎng)絡(luò)安全法》)、《互聯(lián)網(wǎng)信息內(nèi)容管理行政執(zhí)法程序規(guī)定》等法規(guī)對(duì)數(shù)據(jù)安全和個(gè)人隱私保護(hù)的法定要求.《數(shù)據(jù)安全法》從狀態(tài)和能力2個(gè)方面定義數(shù)據(jù)安全,即數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài),以及持續(xù)保障該狀態(tài)的能力.本文在對(duì)江蘇省的省、市、區(qū)3級(jí)數(shù)字政府建設(shè)現(xiàn)狀深入調(diào)研的基礎(chǔ)上,依據(jù)數(shù)據(jù)安全相關(guān)法規(guī),全面分析數(shù)據(jù)安全的責(zé)任主體以及責(zé)任人的職責(zé)和能力要求,回顧相關(guān)人員設(shè)置沿革,探討數(shù)字政府首席數(shù)據(jù)安全官(Chief Data Security Officer,CDSO)設(shè)置問題,并提出具有普遍意義的首席數(shù)據(jù)官設(shè)置思路、方法,給出具體設(shè)置方案.

2 厘清數(shù)據(jù)安全責(zé)任主體

《個(gè)人信息保護(hù)法》規(guī)定,個(gè)人信息處理者作為數(shù)據(jù)安全責(zé)任主體,責(zé)任主體的特征是其決定了個(gè)人信息的處理目的和方式.個(gè)人向個(gè)人信息處理者要求行使合法權(quán)利不受其他個(gè)人信息處理者之間的關(guān)于處理目的和處理方式的約定.該法還規(guī)定,涉及多個(gè)個(gè)人信息處理者共同處理個(gè)人信息時(shí)出現(xiàn)了侵害個(gè)人信息權(quán)益的情況,承擔(dān)連帶責(zé)任.《信息安全技術(shù)——個(gè)人信息安全規(guī)范》中個(gè)人信息控制者的定義同數(shù)據(jù)處理者一致.《個(gè)人信息保護(hù)法》明確個(gè)人信息處理者與受托人應(yīng)當(dāng)對(duì)委托處理的個(gè)人信息的種類、目的、期限、處理方式以及應(yīng)當(dāng)采取的保護(hù)措施等進(jìn)行約定,明確雙方的權(quán)利和義務(wù).受托方處理個(gè)人信息不得超出約定的處理目的和方式,并應(yīng)接受委托方的監(jiān)督.委托關(guān)系不再存續(xù)時(shí)受托人不得保留個(gè)人信息.該法還明確未經(jīng)個(gè)人信息處理者同意,則受托方不得轉(zhuǎn)委他人.

個(gè)人信息的“處理者”或“控制者”以及“受托方”均承擔(dān)數(shù)據(jù)安全的法定義務(wù),對(duì)數(shù)據(jù)的安全承擔(dān)相應(yīng)責(zé)任.上述相關(guān)方可以是政府、非政府機(jī)構(gòu)以及個(gè)人.數(shù)據(jù)安全相關(guān)專職人員可能是法定的或者機(jī)構(gòu)自行設(shè)置的,作為機(jī)構(gòu)的數(shù)據(jù)安全責(zé)任人.《數(shù)據(jù)安全法》要求重要數(shù)據(jù)的處理者應(yīng)當(dāng)明確數(shù)據(jù)安全管理機(jī)構(gòu)和負(fù)責(zé)人.《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》要求必須設(shè)置專門的安全管理機(jī)構(gòu),并對(duì)機(jī)構(gòu)負(fù)責(zé)人和關(guān)鍵崗位人員進(jìn)行背景審查.《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》(GB/T 2039204—2022)更進(jìn)一步提出關(guān)鍵崗位應(yīng)配備專人,并配備2人以上共同管理.依照相關(guān)法律明確數(shù)據(jù)安全主體的數(shù)據(jù)安全責(zé)任人,隨著數(shù)據(jù)安全工作的不斷擴(kuò)張,應(yīng)當(dāng)設(shè)置為首席數(shù)據(jù)安全官.首席數(shù)據(jù)安全官可以定為依法設(shè)置的具備相關(guān)能力的專職數(shù)據(jù)安全人員,依據(jù)必要的授權(quán),全面保障組織的數(shù)據(jù)安全.

3 首席數(shù)據(jù)安全官的職責(zé)

國(guó)內(nèi)很多地方已經(jīng)或正在進(jìn)行立法工作,推進(jìn)首席數(shù)據(jù)官(Chief Data Officer,CDO)的設(shè)置工作,但其中數(shù)據(jù)安全的職責(zé)還需進(jìn)一步明確和規(guī)范.《北京市數(shù)字經(jīng)濟(jì)促進(jìn)條例(草案)》提出開展數(shù)據(jù)處理活動(dòng)時(shí)應(yīng)當(dāng)建立數(shù)據(jù)治理和合規(guī)運(yùn)營(yíng)制度,履行安全保護(hù)義務(wù)和數(shù)據(jù)安全使用承諾.個(gè)人信息先授權(quán)后使用,嚴(yán)格數(shù)據(jù)出境安全管理,根據(jù)應(yīng)用場(chǎng)景評(píng)估匿名化、去標(biāo)識(shí)化技術(shù)的安全性,切實(shí)加強(qiáng)安全保護(hù),防止個(gè)人信息的非法使用.同時(shí)鼓勵(lì)相關(guān)單位設(shè)立首席數(shù)據(jù)官.《江蘇省數(shù)字經(jīng)濟(jì)促進(jìn)條例》規(guī)定各地區(qū)、相關(guān)部門應(yīng)當(dāng)推行建立首席數(shù)據(jù)官制度.首席數(shù)據(jù)官由本地區(qū)、本部門相關(guān)負(fù)責(zé)人擔(dān)任.進(jìn)一步明確首席數(shù)據(jù)官的職責(zé)為對(duì)本地區(qū)、本部門數(shù)據(jù)、業(yè)務(wù)工作進(jìn)行協(xié)同管理,推進(jìn)數(shù)據(jù)的共享和開放.同時(shí)擴(kuò)展到數(shù)字經(jīng)濟(jì)相關(guān)企業(yè),建立聯(lián)系機(jī)制以期提升首席數(shù)據(jù)官所在地區(qū)、部門數(shù)據(jù)治理能力.可以看出,首席數(shù)據(jù)官為統(tǒng)籌和負(fù)責(zé)地區(qū)和部門的數(shù)據(jù)共享利用,促進(jìn)社會(huì)數(shù)字化轉(zhuǎn)型,推動(dòng)數(shù)據(jù)要素市場(chǎng)體系建立等方面提供規(guī)劃、管理、技術(shù)和合規(guī)保障.

2019年美國(guó)通過《開放政府?dāng)?shù)據(jù)法》(也稱為《公共、公開、電子與必要性政府?dāng)?shù)據(jù)法案》),在數(shù)據(jù)專職人員的設(shè)置上提出了設(shè)立首席數(shù)據(jù)官及其委員會(huì)的制度,在白宮管理和預(yù)算辦公室設(shè)立由各機(jī)構(gòu)的首席數(shù)據(jù)官、電子政府辦公室的負(fù)責(zé)人、首席信息官的代表組成的首席數(shù)據(jù)官委員會(huì).首席數(shù)據(jù)官負(fù)責(zé)數(shù)據(jù)全生命周期管理和數(shù)據(jù)格式的標(biāo)準(zhǔn)化、數(shù)據(jù)資產(chǎn)的開放共享,審查本機(jī)構(gòu)的信息技術(shù)基礎(chǔ)設(shè)施建設(shè)以減少數(shù)據(jù)訪問上的障礙等.負(fù)責(zé)以最佳方式使用、保護(hù)、傳播和生成政府?dāng)?shù)據(jù),與使用數(shù)據(jù)的用戶和其他利益相關(guān)方就如何更好地維護(hù)數(shù)據(jù)進(jìn)行互動(dòng),評(píng)估確定用于改進(jìn)數(shù)據(jù)收集和使用的新技術(shù)方案等[2].各機(jī)構(gòu)的首席數(shù)據(jù)官每年、委員會(huì)則是每2年應(yīng)就其工作情況,向國(guó)土委員會(huì)、參議院政府事務(wù)部、眾議院監(jiān)督和政府改革委員會(huì)提交報(bào)告說明.對(duì)收集的數(shù)據(jù)是否公開進(jìn)行日常性審查,除了隱私泄露、安全風(fēng)險(xiǎn)、法律責(zé)任、知識(shí)產(chǎn)權(quán)限制等因素或全面考慮不宜公開外,一般將政府?dāng)?shù)據(jù)開放.首席數(shù)據(jù)官事實(shí)上負(fù)責(zé)數(shù)據(jù)安全的相關(guān)工作[3],同時(shí)需要受理公眾的建議以及在合理期限內(nèi)提出的開放數(shù)據(jù)的要求,創(chuàng)立數(shù)據(jù)優(yōu)先級(jí)制度,規(guī)定聯(lián)邦機(jī)構(gòu)可將涉及公共利益的數(shù)據(jù)標(biāo)注為優(yōu)先開放數(shù)據(jù)資產(chǎn),對(duì)于已在聯(lián)邦數(shù)據(jù)目錄中披露的資產(chǎn)應(yīng)建立評(píng)估其優(yōu)先級(jí)的計(jì)劃.建立全面的數(shù)據(jù)清單并定期更新,建立有效的程序、標(biāo)準(zhǔn)和控制措施,確保數(shù)據(jù)的質(zhì)量、準(zhǔn)確性、訪問和保護(hù),在數(shù)據(jù)生命周期的每個(gè)階段管理數(shù)據(jù),確保機(jī)構(gòu)數(shù)據(jù)符合數(shù)據(jù)管理最佳實(shí)踐.審查機(jī)構(gòu)的基礎(chǔ)設(shè)施對(duì)數(shù)據(jù)資產(chǎn)可訪問性的影響,并與首席信息官(Chief Information Officer,CIO)協(xié)調(diào),保障數(shù)據(jù)資產(chǎn)可訪問性.同時(shí)作為機(jī)構(gòu)與其他機(jī)構(gòu)以及管理和預(yù)算辦公室的聯(lián)絡(luò)人[2].有些組織為了應(yīng)對(duì)信息安全問題設(shè)置了獨(dú)立的首席信息安全官(Chief Information Security Officer,CISO).

2018年歐盟《通用數(shù)據(jù)保護(hù)規(guī)范》(以下簡(jiǎn)稱《歐盟規(guī)范》)要求相關(guān)機(jī)構(gòu)設(shè)置數(shù)據(jù)保護(hù)官(Data Protection Officer,DPO),對(duì)DPO的要求包括：向所服務(wù)的企業(yè)、員工提供《歐盟規(guī)范》關(guān)于數(shù)據(jù)保護(hù)方面的信息和建議;監(jiān)管企業(yè)基于《歐盟規(guī)范》的數(shù)據(jù)保護(hù)和合規(guī)工作;參與和管理企業(yè)數(shù)據(jù)保護(hù)影響評(píng)估;保持同監(jiān)管部門聯(lián)系,負(fù)責(zé)數(shù)據(jù)泄露的緊急匯報(bào);協(xié)助實(shí)現(xiàn)數(shù)據(jù)主體的權(quán)利并負(fù)責(zé)保持與其的聯(lián)系;獨(dú)立履職,不受雇主干預(yù)影響;具備向企業(yè)最高管理決策層直接匯報(bào)工作的權(quán)限.《歐盟規(guī)范》特別強(qiáng)調(diào)DPO的監(jiān)督是經(jīng)常性和系統(tǒng)性的[4].在《歐盟規(guī)范》的語境下,數(shù)據(jù)保護(hù)同《數(shù)據(jù)安全法》中的數(shù)據(jù)安全的內(nèi)涵比較接近.

4 首席數(shù)據(jù)安全官的能力要求

目前國(guó)內(nèi)外對(duì)數(shù)據(jù)安全相關(guān)人員一般沒有強(qiáng)制資格要求,但實(shí)際上對(duì)DPO的綜合能力、資歷要求是比較高的.除了《歐盟規(guī)范》,歐洲各國(guó)也各有其國(guó)內(nèi)法,德國(guó)的立法較早并且要求較為規(guī)范和嚴(yán)格.總的來說,首席數(shù)據(jù)官應(yīng)當(dāng)具備一定的相關(guān)領(lǐng)域工作經(jīng)驗(yàn),具備扎實(shí)的知識(shí)背景和相關(guān)具體工程實(shí)施、管理經(jīng)驗(yàn)以及良好的溝通能力,熟悉相關(guān)法律法規(guī).相應(yīng)地,也可以從相關(guān)領(lǐng)域、國(guó)民教育體系、從業(yè)人員的要求、相關(guān)認(rèn)證體系要求,對(duì)應(yīng)具備的相關(guān)能力進(jìn)行細(xì)化和確認(rèn)[5].

工業(yè)和信息化部人事司主導(dǎo)制定的行業(yè)標(biāo)準(zhǔn)《大數(shù)據(jù)從業(yè)人員能力要求》(SJ/T 11788—2021)對(duì)包括數(shù)據(jù)安全工程師的10個(gè)崗位的能力要求作出詳細(xì)規(guī)定.每個(gè)崗位都分為初、中、高3個(gè)等級(jí)：初級(jí)要求可以在他人的指導(dǎo)下完成所承擔(dān)的工作;中級(jí)要求可以獨(dú)立完成所承擔(dān)的工作并具備一定的工作經(jīng)驗(yàn);高級(jí)則要求精通關(guān)鍵的專業(yè)技能,可以獨(dú)立完成復(fù)雜的工作,并有所創(chuàng)新,能提供有效的專業(yè)技能指導(dǎo)并具備豐富的工作經(jīng)驗(yàn).具體來說,初級(jí)數(shù)據(jù)安全工程師要求掌握網(wǎng)絡(luò)安全、信息安全、數(shù)據(jù)安全等相關(guān)知識(shí),深入了解信息安全事件、網(wǎng)絡(luò)攻防、個(gè)人信息安全等;具備漏洞掃描、滲透測(cè)試、修復(fù)安防系統(tǒng)存在的漏洞、維護(hù)和升級(jí)系統(tǒng)的能力;有一定的數(shù)據(jù)安全相關(guān)工作或?qū)嵙?xí)經(jīng)歷.中級(jí)數(shù)據(jù)安全工程師要求在初級(jí)數(shù)據(jù)安全工程師的基礎(chǔ)上,掌握安防工具產(chǎn)品,數(shù)據(jù)安全存儲(chǔ)、計(jì)算、分析等相關(guān)知識(shí),熟練掌握防火墻、網(wǎng)絡(luò)架構(gòu)等相關(guān)技術(shù);具備數(shù)據(jù)安全運(yùn)營(yíng)相關(guān)項(xiàng)目經(jīng)驗(yàn).高級(jí)數(shù)據(jù)安全工程師在中級(jí)數(shù)據(jù)安全工程師的基礎(chǔ)上,還要對(duì)應(yīng)急管理和安全規(guī)范有深入研究,熟悉APT、Web安全、系統(tǒng)安全、滲透測(cè)試和應(yīng)急響應(yīng)工作;具有制定黑客攻擊防御策略,對(duì)業(yè)務(wù)方案進(jìn)行安全評(píng)審,提供安全咨詢及方案建議的能力;同時(shí)要具備豐富的數(shù)據(jù)安全運(yùn)營(yíng)項(xiàng)目經(jīng)驗(yàn).從該標(biāo)準(zhǔn)的角度看,數(shù)字政府首席數(shù)據(jù)安全官應(yīng)當(dāng)至少具備高級(jí)數(shù)據(jù)安全工程師相當(dāng)?shù)募夹g(shù)能力.

從國(guó)民教育體系來看,按照教育部《普通高等學(xué)校本科專業(yè)》(2020)版,計(jì)算機(jī)類本科設(shè)置有“信息安全”“網(wǎng)絡(luò)空間安全”“保密技術(shù)”“數(shù)據(jù)科學(xué)與大數(shù)據(jù)技術(shù)”等相關(guān)專業(yè),但從課程設(shè)置上,大部分高校的特色并不突出.從“安全”相關(guān)的課程設(shè)置考察本科的教學(xué)安排,目前(2022年)清華大學(xué)的計(jì)算機(jī)類本科專業(yè)有2個(gè)：“計(jì)算機(jī)科學(xué)與技術(shù)”本科專業(yè)主修必選有3學(xué)分的《網(wǎng)絡(luò)空間安全導(dǎo)論》同安全相關(guān),選修課程包括3門,分別為2學(xué)分的《計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)》《網(wǎng)絡(luò)安全工程與實(shí)踐》《現(xiàn)代密碼學(xué)》等同“安全”較直接相關(guān);“軟件工程”本科專業(yè)沒有冠名同“安全”直接相關(guān)的課程,但相關(guān)院系推出了“數(shù)據(jù)安全管理人才培養(yǎng)”的培訓(xùn)項(xiàng)目.而其他部分設(shè)置“安全”“保密”“數(shù)據(jù)”相關(guān)高校,從課程設(shè)置和師資的角度,對(duì)數(shù)據(jù)安全專業(yè)人員專業(yè)能力的建設(shè)是欠缺的.計(jì)算機(jī)相關(guān)專業(yè)本科專業(yè)知識(shí)結(jié)構(gòu)的不足,研究生階段的學(xué)習(xí)和相關(guān)工作經(jīng)歷對(duì)于首席數(shù)據(jù)安全官任職能力的提升是重要和必須的.

美國(guó)《開放政府?dāng)?shù)據(jù)法案》提出,首席數(shù)據(jù)官應(yīng)由聯(lián)邦機(jī)構(gòu)任命,具有數(shù)據(jù)治理(包括數(shù)據(jù)標(biāo)準(zhǔn)的創(chuàng)建、應(yīng)用和維護(hù))和實(shí)施數(shù)據(jù)策略的經(jīng)驗(yàn),了解與開放數(shù)據(jù)使用和實(shí)施相關(guān)的責(zé)任,能運(yùn)用數(shù)據(jù)解決實(shí)際問題,提高數(shù)據(jù)的標(biāo)準(zhǔn)化程度和質(zhì)量.實(shí)際工作中能夠翻譯復(fù)雜的概念并傳達(dá)給受眾;了解組織業(yè)務(wù)挑戰(zhàn),確定其優(yōu)先級(jí),貢獻(xiàn)專業(yè)能力;建立和領(lǐng)導(dǎo)團(tuán)隊(duì);保持目標(biāo)導(dǎo)向;處理客戶問題;實(shí)現(xiàn)數(shù)據(jù)價(jià)值;適應(yīng)組織變化.

歐洲監(jiān)管部門發(fā)布的《歐盟規(guī)范》WP29指引中指出,DPO必須有能力建立和管理機(jī)構(gòu)的數(shù)據(jù)保護(hù)和數(shù)據(jù)合規(guī)工作,需要具備較高的技術(shù)、管理、法律素養(yǎng)以及一定的戰(zhàn)略規(guī)劃能力[6].

德國(guó)《聯(lián)邦數(shù)據(jù)保護(hù)法案》對(duì)聯(lián)邦的數(shù)據(jù)保護(hù)官作了明確規(guī)定,聯(lián)邦數(shù)據(jù)保護(hù)官需要經(jīng)過聯(lián)邦議會(huì)選舉和總統(tǒng)任命,年齡至少應(yīng)為35歲,任期5年,可以連任1次.

5 數(shù)據(jù)相關(guān)責(zé)任人員設(shè)置的歷史

數(shù)據(jù)相關(guān)責(zé)任人員的設(shè)置是隨著信息化進(jìn)程的發(fā)展逐步形成的,可以將CIO,CISO,CDO,DPO的獨(dú)立設(shè)置作為各階段的標(biāo)志.

CIO在20世紀(jì)80年代末至90年代初期出現(xiàn)在美國(guó),與企業(yè)信息化進(jìn)程和企業(yè)流程再造密切相關(guān).CIO是一個(gè)相當(dāng)于CFO(Chief Finical Officer)或者COO(Chief Operation Officer)級(jí)別的職位.高級(jí)IT管理人員開始參與董事會(huì)和公司決策[7],標(biāo)志著信息(數(shù)據(jù))流具備了同傳統(tǒng)物流、資金流同等的重要性,甚至位于更優(yōu)先的地位,需要最高層級(jí)管理人員領(lǐng)導(dǎo)信息化方面的工作,整合資源并從戰(zhàn)略高度進(jìn)行規(guī)劃[8].

CISO的角色可以追溯到1994年,花旗公司(Citicorp)在遭受了一系列網(wǎng)絡(luò)攻擊后創(chuàng)建了世界上第1個(gè)正式的網(wǎng)絡(luò)安全執(zhí)行辦公室,并任命了首位CISO.CISO有時(shí)也被稱為首席安全官(Chief Security Officer,CSO).

CDO出現(xiàn)在21世紀(jì)初,第1位CDO由美國(guó)金融機(jī)構(gòu)第一資本(Capital One)在2002年任命.此后的近10年間,設(shè)置CDO的機(jī)構(gòu)很少.2010年科羅拉多州政府設(shè)立首席數(shù)據(jù)官,美國(guó)聯(lián)邦政府層面,2020年成立了聯(lián)邦CDO委員會(huì),主要由各個(gè)聯(lián)邦政府部門的CDO和相關(guān)人員參加[9].CDO的職責(zé)包括數(shù)據(jù)管理、決策和業(yè)務(wù)價(jià)值創(chuàng)造.CDO的確立以是否將數(shù)據(jù)部門從結(jié)構(gòu)上獨(dú)立于IT部門和其他業(yè)務(wù)部門為標(biāo)志,即直接向最高管理層匯報(bào)工作.還有一些企業(yè)雖然設(shè)置了CDO,但CDO向CIO匯報(bào)工作,此時(shí)的CDO更像是信息技術(shù)部門的一個(gè)領(lǐng)域領(lǐng)導(dǎo)者而非真正意義的CDO.有時(shí)還會(huì)設(shè)置首席數(shù)據(jù)分析官(Chief Analytics Officer,CAO),或者合并兩者為首席數(shù)據(jù)和分析官(Chief Data and Analytics Officer,CDAO),以及其他相當(dāng)?shù)穆毼?但都可以認(rèn)為是較為廣義的CDO[2].

1977年,德國(guó)發(fā)布《聯(lián)邦數(shù)據(jù)保護(hù)法案》,其中有DPO職位設(shè)置的條款.1995年歐盟發(fā)布的《數(shù)據(jù)保護(hù)指令》中明確規(guī)定,依據(jù)所在國(guó)法規(guī),數(shù)據(jù)處理者應(yīng)當(dāng)任命DPO,以確保內(nèi)部數(shù)據(jù)合規(guī)與個(gè)人信息數(shù)據(jù)的安全,但并非強(qiáng)制.2018年《歐盟規(guī)范》明確規(guī)定,所有公共機(jī)關(guān)和符合設(shè)立條件的其他企業(yè)或組織必須依法設(shè)立DPO.具體來說,對(duì)數(shù)據(jù)主體的數(shù)據(jù)監(jiān)控和使用是系統(tǒng)性和經(jīng)常性的、規(guī)模較大的以及涉及收集和處理敏感數(shù)據(jù)(如犯罪、醫(yī)療、生理)的機(jī)構(gòu)必須設(shè)立DPO.《歐盟規(guī)范》對(duì)DPO任命條件、地位和職責(zé)等作出了專門的規(guī)定,要求DPO不能擔(dān)任同DPO職責(zé)有利益沖突的職務(wù),同時(shí)具備直接報(bào)告、資源保障等權(quán)力,以確保其獨(dú)立性.DPO可以在機(jī)構(gòu)內(nèi)部選任,也可以外部聘任.

6 首席數(shù)據(jù)安全官的設(shè)置方案

首席數(shù)據(jù)安全官的設(shè)置為正在建設(shè)統(tǒng)一的國(guó)家、省(自治區(qū)、直轄市)、市(地、區(qū))級(jí)的政府?dāng)?shù)據(jù)開放平臺(tái)提供高標(biāo)準(zhǔn)的數(shù)據(jù)安全支撐,為理順和完善數(shù)字政府的數(shù)據(jù)管理體制作先導(dǎo),為數(shù)據(jù)日常性分級(jí)、分類、審查、報(bào)告、評(píng)估以及全生命周期管理提供監(jiān)督和保障.首席數(shù)據(jù)安全官應(yīng)具備較高的技術(shù)、管理和法律素養(yǎng);具備相當(dāng)規(guī)模數(shù)據(jù)安全項(xiàng)目規(guī)劃、實(shí)施、運(yùn)營(yíng)等經(jīng)驗(yàn);具備良好的表達(dá)、溝通、協(xié)調(diào)能力;具備正常履職的身體條件,遵紀(jì)守法,品行良好;能夠?qū)?nèi)日常性監(jiān)督,促進(jìn)相關(guān)法規(guī)、標(biāo)準(zhǔn)的貫徹,對(duì)外保持同監(jiān)管機(jī)構(gòu)的密切合作,保證監(jiān)管事項(xiàng)的及時(shí)處理和反饋,就尚不明確的數(shù)據(jù)安全相關(guān)問題請(qǐng)求監(jiān)管部門解釋.

首席數(shù)據(jù)安全官應(yīng)當(dāng)獨(dú)立設(shè)置并作為數(shù)據(jù)安全體系的中樞.政府以及其他相關(guān)機(jī)構(gòu)在涉及數(shù)據(jù)的全生命周期都應(yīng)當(dāng)承擔(dān)法定的數(shù)據(jù)安全責(zé)任,而機(jī)構(gòu)內(nèi)外涉及數(shù)據(jù)的環(huán)節(jié)較多,應(yīng)當(dāng)建立一個(gè)邊界清晰的、管理全面、響應(yīng)迅速的數(shù)據(jù)安全體系.首席數(shù)據(jù)安全官應(yīng)當(dāng)獨(dú)立設(shè)置,并處于數(shù)據(jù)安全體系的核心,對(duì)內(nèi)部管理層報(bào)告數(shù)據(jù)安全的建議和問題,向監(jiān)管部門報(bào)告并履行監(jiān)管指令執(zhí)行義務(wù),承擔(dān)對(duì)內(nèi)、外溝通的責(zé)任.首席數(shù)據(jù)安全官在首席數(shù)據(jù)官的基礎(chǔ)上進(jìn)一步提升專業(yè)化程度,以承擔(dān)更為繁雜的數(shù)據(jù)安全工作,應(yīng)對(duì)更加復(fù)雜的內(nèi)外部數(shù)據(jù)安全要求[10].綜合前文分析,從發(fā)展階段看,首席數(shù)據(jù)安全官的出現(xiàn)是在機(jī)構(gòu)完成信息化(以獨(dú)立CIO的設(shè)置為標(biāo)志),即信息化基礎(chǔ)設(shè)施的建設(shè)、具備一定信息安全能力(以獨(dú)立CISO的設(shè)置為標(biāo)志)、進(jìn)入數(shù)據(jù)基礎(chǔ)性和關(guān)鍵性階段(以獨(dú)立CDO的設(shè)置為標(biāo)志)以后的必然產(chǎn)物.首席數(shù)據(jù)安全官應(yīng)當(dāng)具備履職的相對(duì)獨(dú)立性,并高于目前DPO的要求,其職位不應(yīng)由CIO,CISO,CDO或相當(dāng)職務(wù)人員兼任[11].具體地,應(yīng)當(dāng)在各級(jí)政府的大數(shù)據(jù)管理機(jī)構(gòu)以及涉及大量個(gè)人信息數(shù)據(jù)處理的政府部門和相關(guān)單位設(shè)置獨(dú)立的首席數(shù)據(jù)安全官.對(duì)于從事數(shù)據(jù)處理的專職人員較少的部門和單位,可以申請(qǐng)由上級(jí)主管部門或平級(jí)大數(shù)據(jù)主管部門委派人員擔(dān)任.數(shù)據(jù)安全官直接向其履職的部門或單位的主管領(lǐng)導(dǎo)直接負(fù)責(zé).

首席數(shù)據(jù)安全官的遴選和任命應(yīng)當(dāng)基于崗位職責(zé)進(jìn)行全面評(píng)估.首席數(shù)據(jù)安全官的能力要求包括技術(shù)、管理、法律和戰(zhàn)略規(guī)劃,但對(duì)這些能力要求的優(yōu)先次序,從理論和實(shí)踐上都很難明確.國(guó)內(nèi)外的相關(guān)法規(guī)對(duì)數(shù)據(jù)安全負(fù)責(zé)人并沒有提出資質(zhì)要求.首席數(shù)據(jù)安全官應(yīng)當(dāng)由對(duì)數(shù)據(jù)安全相關(guān)法規(guī)有深入了解、對(duì)信息技術(shù)和數(shù)據(jù)安全技術(shù)有足夠知識(shí)儲(chǔ)備、有一定項(xiàng)目管理和規(guī)劃經(jīng)驗(yàn)的專業(yè)人士擔(dān)任.同時(shí),應(yīng)當(dāng)對(duì)本機(jī)構(gòu)有全面的了解.其職位應(yīng)當(dāng)直接向決策層報(bào)告或參與決策,所負(fù)責(zé)任同數(shù)據(jù)安全職責(zé)不存在可能的利益沖突,擔(dān)負(fù)對(duì)內(nèi)數(shù)據(jù)安全監(jiān)督和對(duì)外溝通的雙重職責(zé)[12].應(yīng)當(dāng)由足夠的崗位資歷要求的人員擔(dān)任,滿足公職人員的任職要求,并依照《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》進(jìn)行背景審查.

首席數(shù)據(jù)安全官應(yīng)具備履行全部職責(zé)所需的知識(shí)、技能和行為能力,具體包括如下幾個(gè)方面：

1) 依照法規(guī)和本部門實(shí)際情況,對(duì)數(shù)據(jù)安全的戰(zhàn)略和政策制定、實(shí)施等提供建議;

2) 審查本部門數(shù)據(jù)的合規(guī)性,對(duì)隱私、安全、保密和管控要求的落實(shí)情況進(jìn)行監(jiān)督和確認(rèn);

3) 提供所創(chuàng)建、收集、控制數(shù)據(jù)的安全建議并核查實(shí)施情況,參與架構(gòu)設(shè)計(jì)、數(shù)據(jù)分析,以確保數(shù)據(jù)安全,負(fù)責(zé)數(shù)據(jù)安全審計(jì);

4) 建設(shè)本部門數(shù)據(jù)安全文化,數(shù)據(jù)安全意識(shí)的培養(yǎng)是長(zhǎng)期和需全員參與的工作;

5) 向管理層直接報(bào)告,第一時(shí)間響應(yīng)數(shù)據(jù)安全相關(guān)問題,響應(yīng)時(shí)限應(yīng)根據(jù)問題的嚴(yán)重程度和監(jiān)管要求設(shè)定;

6) 保持同監(jiān)管部門、相關(guān)機(jī)構(gòu)進(jìn)行數(shù)據(jù)安全的溝通,并確保數(shù)據(jù)的合規(guī)性;

7) 對(duì)垂直管理的下級(jí)部門首席數(shù)據(jù)安全官的工作進(jìn)行指導(dǎo)、評(píng)價(jià)和監(jiān)管.

首席數(shù)據(jù)安全官應(yīng)直接對(duì)安全監(jiān)管部門就數(shù)據(jù)安全相關(guān)問題負(fù)責(zé).安全監(jiān)管部門包括網(wǎng)信辦、網(wǎng)安、政務(wù)服務(wù)、大數(shù)據(jù)管理機(jī)構(gòu)和垂直上級(jí)部門等.監(jiān)管部門對(duì)法規(guī)、安全通報(bào)進(jìn)行下發(fā)并對(duì)反饋情況進(jìn)行確認(rèn).首席數(shù)據(jù)官直接向部門負(fù)責(zé)人報(bào)告,并直接向監(jiān)管部門報(bào)告數(shù)據(jù)安全相關(guān)的內(nèi)部合規(guī)情況和數(shù)據(jù)安全事件,對(duì)安全監(jiān)管部門通報(bào)的數(shù)據(jù)安全問題負(fù)責(zé).以首席數(shù)據(jù)安全官為關(guān)鍵節(jié)點(diǎn),形成同級(jí)水平監(jiān)管和上下級(jí)垂直監(jiān)管并存的聯(lián)動(dòng)型數(shù)據(jù)安全管理矩陣,以最短路徑完成數(shù)據(jù)安全的態(tài)勢(shì)感知、數(shù)據(jù)安全事件響應(yīng)和信息更新.

同級(jí)首席數(shù)據(jù)安全官包括由上級(jí)主管部門委派的首席數(shù)據(jù)安全官,組成數(shù)據(jù)安全委員會(huì),以實(shí)現(xiàn)跨部門的制度化、規(guī)范化的信息溝通.委員會(huì)成員還應(yīng)該包括法務(wù)、預(yù)算等相關(guān)負(fù)責(zé)人員.同時(shí)附設(shè)由信息、數(shù)據(jù)、業(yè)務(wù)、法律、領(lǐng)域研究等專業(yè)人員構(gòu)成咨詢委員會(huì)提供支撐.委員會(huì)常設(shè)協(xié)調(diào)機(jī)構(gòu)應(yīng)設(shè)置在各級(jí)政府負(fù)責(zé)大數(shù)據(jù)管理的相關(guān)部門.