中國企業信息安全起步 “首席隱私官”何時落地？

每經記者  陳莉莉  發自北京

　　今年2月，美國當地法院就華為公司起訴摩托羅拉公司和諾基亞西門子公司一案作出裁決，禁止摩托羅拉向后者轉移華為公司的保密信息。這一案件緣起于諾基亞西門子對摩托羅拉無線業務部門的收購，因為摩托羅拉掌握著華為的部分核心機密，收購案可能導致機密泄漏。

    華為一案，被認為是中國企業“信息安全”保護體系正在升級的體現。但與歐美企業相比，國內企業在信息安全和隱私方面的保護仍待加強。

    目前，歐盟正在擬定新的關于隱私保密的法規。據了解，新法規將解決各種復雜的問題，諸如企業能否把內部人力資源數據庫傳輸到海外處理，是否準許合資方接觸公司的營銷數據庫等。一些人士正在爭取讓“首席隱私官”成為大型機構必須設置的職位。

    相關人士認為，“首席隱私官”的職責在于保護企業核心技術，保護企業員工和客戶的隱私。雖然目前中國企業尚沒有設置這一職位，但一些企業正在做著相關的工作。

　　早在10年前，IBM就宣布任命全球首任“首席隱私官”。目前，越來越多的公司開始設置相關的職位。

數據和隱私安全已成企業挑戰

    管理咨詢公司埃森哲是設置隱私保護團隊的先行者之一。公司有一支“信息安全”團隊，負責確保員工和客戶信息得到妥當處理。

    埃森哲針對全球19個國家和地區的5500位商業領袖和15000名個人進行調查，于去年發布了一份《埃森哲數據和隱私安全研究報告》。

    報告認為，當今企業生成和掌握的個人敏感數據量超過了以往任何時候，伴隨著數據量的增加，數據安全事件也在頻繁地發生。云計算、軟件服務等新應用延伸了數據保存的物理站點，隨著企業需要保密的數據在不同組織和地點之間流動，風險也隨之增加。與此同時，數據和隱私安全保護已成為所有企業面臨的主要挑戰。

    報告顯示，大約70％的企業和個人受訪者強烈認同或贊成組織有義務采取合理措施，保護客戶的個人隱私，并公開組織如何使用客戶個人信息，以及如何應對丟失客戶個人信息的后果；大多數企業或組織都丟失過敏感的信息，并且最主要的原因都來自其自身內部管控缺失；對企業來說，了解第三方機構對數據隱私及其保護的想法和做法至關重要；通過尊重數據隱私及其保護來體現人文關懷的組織出現安全漏洞的可能性更小。

    面對日益嚴峻的數據安全挑戰，企業該從何處著手進行防范？埃森哲認為，企業應當在數據安全保護成本高漲之前，盡快重新審視數據安全和合規框架，發現問題，并制定具體的改進舉措，譬如開展企業數據分析和安全風險評估、建立企業的數據安全標準、實施合規治理解決方案、評估選擇和實施數據丟失保護方案。此外，企業還應當制定切實可行的實施路線圖，以完善企業數據安全保護能力。

    埃森哲公司認為，數據和隱私安全保護的漏洞，可能會給企業資產負債表造成無法挽回的損失，對企業的品牌、信譽和客戶關系帶來的危害可能更加深重。

中國“首席隱私官”雛形

    目前，設有“首席隱私官”的國際企業除了IBM外，還有微軟、柯達、花旗、Facebook、寶潔等，但《每日經濟新聞》采訪企業、人力資源服務企業、獵頭公司以及專家學者后發現，“首席隱私官”對于中國而言，還是一個新鮮的事物。雖然目前中國企業尚沒有設立“首席隱私官”等相關職位，但很多企業已意識到信息安全對企業的重要性，除核心技術、知識產權等保護外，有關員工的個人隱私保護也正在逐步受到關注。那么，作為社會力量的企業而言，他們應該如何來做？

    前不久離任翰威特大中華區副總裁一職的許鋒，目前正創業打造中國人才產業鏈的“沃爾瑪”。許鋒曾任職于美晨、寶潔，自感“職業經理人已經做到頭了”，于是創辦了廣東倍智人才管理公司，創業伊始便獲得2000萬元投資。許鋒透露，他曾經工作過的寶潔，“隱私保護做得挺好”，但目前他接觸到的企業中，還沒有一家設立“首席隱私官”的職位。

    許鋒認為，“首席隱私官”應該是公司人力資源方面的細分職能，實際上，國外企業設立這個職位，主要是基于企業員工的訴求，更深的原因是西方國家的各種政治、文化及法律背景。許鋒認為，中國注重“家庭式氛圍”的交往，不管是企業內部還是社會，個人隱私相對沒有那么重要。同時，中國企業現在的主要任務是財富增長，如何改善業務模式，提高公司利潤等問題才是企業目前最關心的問題，企業的所有部門需要配合企業財富增長的需求。

    走在人才供需前端的獵頭企業，對“首席隱私官”也感到有些陌生?？其J國際人力資源公司業務總監劉峰表示，從監測的情況來看，現在中國企業還沒有設置  “首席隱私官”這個職位，但是它的職能和工作內容可能被其他的職能所附帶著。劉峰認為，在中國，無論是立法還是企業內部規定，目前都沒有明確的關于“隱私保護”的相關內容，企業可能無從設置相關的職位。

    幾年前，科銳國際人力資源公司曾幫助企業尋找過知識產權保護、商業道德維護等的人才，也有一些企業需要“首席安全官”“信息安全總監”等職位，一般由IT部門發起。許鋒表示，現在越來越多的企業開始關注社會責任感，而員工、客戶的隱私信息保護也應該是企業社會責任感的體現。已設“首席隱私官”職位的跨國企業，他們不僅保護企業內部的信息，也保護所有客戶信息如何能公正、有效地保管和使用。

“信息安全”是隱私保護的起步

    許鋒告訴記者，他曾經接觸過這么一家企業：公司內部的電腦不能上外部的網絡，或者電腦完全由企業定制，這些電腦可能連USB的插口都沒有。電腦對于使用者來說，就是一個終端服務器，是一個登錄的界面。而且，員工使用的企業郵箱，發出去的所有郵件都會受到監控，一些文件不能打印，也不能拷貝。員工只能使用企業的數據庫和指定的網站，這樣，企業能保證員工在上班時間的交流被嚴格地圈定在一個范圍之內。許鋒說，他接觸的很多企業，越來越多關注信息安全的保護，也會在一些單個服務的項目上設置內部防火墻。

    許鋒還曾經合作過一個企業，“資料就在企業的服務器上面，只有通過企業的郵箱才能獲取那些資料，所有從郵箱里接收到的資料會存在企業的服務器上”。許鋒說，這是他見到過的最高級別的信息安全保護體系。

    華為公司在信息安全保護領域的做法一直被認可?！八麄兠磕甓紩写罅康膶＠暾垼哉麄€企業在內部監控上面做得很好?！眲⒎甯嬖V記者，與國際化接軌程度越高的企業、或者境外上市的企業，信息安全會做得相對較好。企業商標、核心技術及知識產權等是企業的核心競爭力，保護這些信息，也是在保護企業自己。

    許鋒說，他接觸到的民營企業，注重信息安全的不是特別多，但很多國企正在逐步跟上。劉峰認為，“首席隱私官”特別適用于有著海量用戶信息的企業，如金融機構、通訊機構、高科技企業、汽車及房地產公司等。對于用戶量小的企業或者中小規模的企業，這個職位的作用并不是那么明顯，某種意義上，這也是“首席隱私官”推行起來不是那么快的原因。

中國10年后會現“首席隱私官”？

    對于很多企業而言，他們存在這樣的困惑：企業要不要設“首席隱私官”等職位？這個職位的職責權限是什么？如何讓這個職位發揮作用？如何與其他部門進行協調？對于這些困惑，一些做得好的跨國公司或許可以給出解答，同時也可尋找一些國際性的管理咨詢企業。

    劉峰認為，管理咨詢公司在企業隱私保護方面能夠發揮更多的作用，他們主要是給企業梳理信息，如告訴企業如何來做相關的工作，哪些信息可以公布，哪些信息是不可以披露的。

    至于“首席隱私官”在何時能在中國落地，許鋒認為需要10年時間，“因為現在很多企業還沒有精力和資金去專門設定相關崗位”。

    “培養這樣一個團隊或者職位，短期內看不到價值。”劉峰認為，隱私保護部門的職能通常是制定政策，起著“防微杜漸”的作用。上市公司都會有一個內審部，劉峰認為，和隱私保護相關部門相當于內審部，這種性質決定了“首席隱私官”推動不會很快,主要是企業目前看不到這個職位所產生的經濟效益在哪，但實際上，它能防止出現很多問題。隨著中國企業全球化進程的推進，隱私保護會在未來得到更多的重視。

    10年前，微軟就設置了“首席隱私官”。10年后的現在，中國企業雖然還沒有設置這樣的職位，但整個社會對隱私的保護越來越重視，企業社會責任感和公司的維護意識也在加強。幾年前，美國企業里的“首席隱私官”年薪可以達到20萬美元，相對CEO、CFO等職位而言，劉峰認為薪水不是很高。劉峰認為，一些大企業會擁有與“首席隱私官”工作內容一樣、但名稱可能有所區別的職位，并將這個職位并入到其他部門里面，比如說“信息安全部”、“內控部”等。

如需轉載請與《每日經濟新聞》報社聯系。未經《每日經濟新聞》報社授權，嚴禁轉載或鏡像，違者必究。

聯系電話：021-60900099轉688

每經訂報電話

北京：010-58528501    上海：021-61283003    深圳：0755-83520159    成都：028-86516389    028-86740011    無錫：15152247316