中国企业信息安全起步:首席隐私官何时落地
扫描二维码
随时随地手机看文章
每经记者 陈莉莉 发自北京
今年2月,美国当地法院就华为公司起诉摩托罗拉公司和诺基亚西门子公司一案作出裁决,禁止摩托罗拉向后者转移华为公司的保密信息。这一案件缘起于诺基亚西门子对摩托罗拉无线业务部门的收购,因为摩托罗拉掌握着华为的部分核心机密,收购案可能导致机密泄漏。
华为一案,被认为是中国企业“信息安全”保护体系正在升级的体现。但与欧美企业相比,国内企业在信息安全和隐私方面的保护仍待加强。
目前,欧盟正在拟定新的关于隐私保密的法规。据了解,新法规将解决各种复杂的问题,诸如企业能否把内部人力资源数据库传输到海外处理,是否准许合资方接触公司的营销数据库等。一些人士正在争取让“首席隐私官”成为大型机构必须设置的职位。
相关人士认为,“首席隐私官”的职责在于保护企业核心技术,保护企业员工和客户的隐私。虽然目前中国企业尚没有设置这一职位,但一些企业正在做着相关的工作。
早在10年前,IBM就宣布任命全球首任“首席隐私官”。目前,越来越多的公司开始设置相关的职位。
数据和隐私安全已成企业挑战
管理咨询公司埃森哲是设置隐私保护团队的先行者之一。公司有一支“信息安全”团队,负责确保员工和客户信息得到妥当处理。
埃森哲针对全球19个国家和地区的5500位商业领袖和15000名个人进行调查,于去年发布了一份《埃森哲数据和隐私安全研究报告》。
报告认为,当今企业生成和掌握的个人敏感数据量超过了以往任何时候,伴随着数据量的增加,数据安全事件也在频繁地发生。云计算、软件服务等新应用延伸了数据保存的物理站点,随着企业需要保密的数据在不同组织和地点之间流动,风险也随之增加。与此同时,数据和隐私安全保护已成为所有企业面临的主要挑战。
报告显示,大约70%的企业和个人受访者强烈认同或赞成组织有义务采取合理措施,保护客户的个人隐私,并公开组织如何使用客户个人信息,以及如何应对丢失客户个人信息的后果;大多数企业或组织都丢失过敏感的信息,并且最主要的原因都来自其自身内部管控缺失;对企业来说,了解第三方机构对数据隐私及其保护的想法和做法至关重要;通过尊重数据隐私及其保护来体现人文关怀的组织出现安全漏洞的可能性更小。
面对日益严峻的数据安全挑战,企业该从何处着手进行防范?埃森哲认为,企业应当在数据安全保护成本高涨之前,尽快重新审视数据安全和合规框架,发现问题,并制定具体的改进举措,譬如开展企业数据分析和安全风险评估、建立企业的数据安全标准、实施合规治理解决方案、评估选择和实施数据丢失保护方案。此外,企业还应当制定切实可行的实施路线图,以完善企业数据安全保护能力。
埃森哲公司认为,数据和隐私安全保护的漏洞,可能会给企业资产负债表造成无法挽回的损失,对企业的品牌、信誉和客户关系带来的危害可能更加深重。
中国“首席隐私官”雏形
目前,设有“首席隐私官”的国际企业除了IBM外,还有微软、柯达、花旗、Facebook、宝洁等,但《每日经济新闻》采访企业、人力资源服务企业、猎头公司以及专家学者后发现,“首席隐私官”对于中国而言,还是一个新鲜的事物。虽然目前中国企业尚没有设立“首席隐私官”等相关职位,但很多企业已意识到信息安全对企业的重要性,除核心技术、知识产权等保护外,有关员工的个人隐私保护也正在逐步受到关注。那么,作为社会力量的企业而言,他们应该如何来做?
前不久离任翰威特大中华区副总裁一职的许锋,目前正创业打造中国人才产业链的“沃尔玛”。许锋曾任职于美晨、宝洁,自感“职业经理人已经做到头了”,于是创办了广东倍智人才管理公司,创业伊始便获得2000万元投资。许锋透露,他曾经工作过的宝洁,“隐私保护做得挺好”,但目前他接触到的企业中,还没有一家设立“首席隐私官”的职位。
许锋认为,“首席隐私官”应该是公司人力资源方面的细分职能,实际上,国外企业设立这个职位,主要是基于企业员工的诉求,更深的原因是西方国家的各种政治、文化及法律背景。许锋认为,中国注重“家庭式氛围”的交往,不管是企业内部还是社会,个人隐私相对没有那么重要。同时,中国企业现在的主要任务是财富增长,如何改善业务模式,提高公司利润等问题才是企业目前最关心的问题,企业的所有部门需要配合企业财富增长的需求。
走在人才供需前端的猎头企业,对“首席隐私官”也感到有些陌生。科锐国际人力资源公司业务总监刘峰表示,从监测的情况来看,现在中国企业还没有设置 “首席隐私官”这个职位,但是它的职能和工作内容可能被其他的职能所附带着。刘峰认为,在中国,无论是立法还是企业内部规定,目前都没有明确的关于“隐私保护”的相关内容,企业可能无从设置相关的职位。
几年前,科锐国际人力资源公司曾帮助企业寻找过知识产权保护、商业道德维护等的人才,也有一些企业需要“首席安全官”“信息安全总监”等职位,一般由IT部门发起。许锋表示,现在越来越多的企业开始关注社会责任感,而员工、客户的隐私信息保护也应该是企业社会责任感的体现。已设“首席隐私官”职位的跨国企业,他们不仅保护企业内部的信息,也保护所有客户信息如何能公正、有效地保管和使用。
“信息安全”是隐私保护的起步
许锋告诉记者,他曾经接触过这么一家企业:公司内部的电脑不能上外部的网络,或者电脑完全由企业定制,这些电脑可能连USB的插口都没有。电脑对于使用者来说,就是一个终端服务器,是一个登录的界面。而且,员工使用的企业邮箱,发出去的所有邮件都会受到监控,一些文件不能打印,也不能拷贝。员工只能使用企业的数据库和指定的网站,这样,企业能保证员工在上班时间的交流被严格地圈定在一个范围之内。许锋说,他接触的很多企业,越来越多关注信息安全的保护,也会在一些单个服务的项目上设置内部防火墙。
许锋还曾经合作过一个企业,“资料就在企业的服务器上面,只有通过企业的邮箱才能获取那些资料,所有从邮箱里接收到的资料会存在企业的服务器上”。许锋说,这是他见到过的最高级别的信息安全保护体系。
华为公司在信息安全保护领域的做法一直被认可。“他们每年都会有大量的专利申请,所以整个企业在内部监控上面做得很好。”刘峰告诉记者,与国际化接轨程度越高的企业、或者境外上市的企业,信息安全会做得相对较好。企业商标、核心技术及知识产权等是企业的核心竞争力,保护这些信息,也是在保护企业自己。[!--empirenews.page--]
许锋说,他接触到的民营企业,注重信息安全的不是特别多,但很多国企正在逐步跟上。刘峰认为,“首席隐私官”特别适用于有着海量用户信息的企业,如金融机构、通讯机构、高科技企业、汽车及房地产公司等。对于用户量小的企业或者中小规模的企业,这个职位的作用并不是那么明显,某种意义上,这也是“首席隐私官”推行起来不是那么快的原因。
中国10年后会现“首席隐私官”?
对于很多企业而言,他们存在这样的困惑:企业要不要设“首席隐私官”等职位?这个职位的职责权限是什么?如何让这个职位发挥作用?如何与其他部门进行协调?对于这些困惑,一些做得好的跨国公司或许可以给出解答,同时也可寻找一些国际性的管理咨询企业。
刘峰认为,管理咨询公司在企业隐私保护方面能够发挥更多的作用,他们主要是给企业梳理信息,如告诉企业如何来做相关的工作,哪些信息可以公布,哪些信息是不可以披露的。
至于“首席隐私官”在何时能在中国落地,许锋认为需要10年时间,“因为现在很多企业还没有精力和资金去专门设定相关岗位”。
“培养这样一个团队或者职位,短期内看不到价值。”刘峰认为,隐私保护部门的职能通常是制定政策,起着“防微杜渐”的作用。上市公司都会有一个内审部,刘峰认为,和隐私保护相关部门相当于内审部,这种性质决定了“首席隐私官”推动不会很快,主要是企业目前看不到这个职位所产生的经济效益在哪,但实际上,它能防止出现很多问题。随着中国企业全球化进程的推进,隐私保护会在未来得到更多的重视。
10年前,微软就设置了“首席隐私官”。10年后的现在,中国企业虽然还没有设置这样的职位,但整个社会对隐私的保护越来越重视,企业社会责任感和公司的维护意识也在加强。几年前,美国企业里的“首席隐私官”年薪可以达到20万美元,相对CEO、CFO等职位而言,刘峰认为薪水不是很高。刘峰认为,一些大企业会拥有与“首席隐私官”工作内容一样、但名称可能有所区别的职位,并将这个职位并入到其他部门里面,比如说“信息安全部”、“内控部”等。