“DPO需要帮助企业建设完整的数据安全技术体系、数据安全管理体系以及运营体系，才能在长期范围内用更少的成本做到业务风险可控。”

StartDT Research Center，《DPO数据安全白皮书》

DPO，即Data Protection Officer，中文通译为数据保护官。

这个职位的设定最早来源于GDPR（《（欧盟）通用数据保护条例》）——要求企业必须设置数据安全责任人。在中国的《个人信息保护法》（下文简称PIPL）中，亦有类似规定。

出于对隐私保护、信息保护的重视，也有企业设置了DPO同类项职位，例如数据隐私官（Data Privacy Officer，同样简称DPO）、首席信息安全官（Chief Information/Security Officer，简称CISO）等等。

为什么说DPO这个职位“挑战重重”？

DPO如何开展工作？

如何建立高效的数据安全治理方针？

本文试从DPO视角呈现一二。

DPO面临的挑战：既要、又要、还要

创建一个企业级的数据安全和隐私保护体系，并保持其有效运转，以保障数据资产的全链安全及业务的合规增长，是DPO最核心的职责。

简而言之，既要合规，又要安全，还要生意。

因此，在DPO的日常工作中，必须与多方通力协作，来应对综合性的挑战：

首先，满足合规需求、规避经营风险，这是企业顺利开展业务的基线要求。从法律法规出发，DPO需与法务、律所等专业人员来探讨并制定合规策略。

其二，找到安全投入与生意的动态平衡。一方面，确保安全合规的动作不影响业务正常进行，另一方面，也要控制成本，避免过度投入对企业经营造成的负担。在这个层面，DPO需与业务部门保持紧密沟通，让安全合规深入业务场景。

其三，实现数据安全的技术落地。DPO需与数据安全工程师及数据安全供应商协同，建立数据安全技术策略，从产品、架构等多维度落地实践。

如果说DPO是企业的数据安全首要责任人，“数据安全合规”这个命题则值得企业每个环节、每个部门及企业的合作伙伴、相关服务商关注。

DPO开展工作三要素：管理、技术、基础

拆解DPO极具综合性和复杂度的工作，大致可以从管理、技术、基础三大要素来规划：

管理要素

包括但不限于隐私政策的设置（从文本拟定到功能实现）、经营备案与安全认证、企业安全管理制度等。旨在从管理层面满足数据相关法律法规要求。

技术要素

主要有2个维度，其一，从技术上保障用户（自然人）的权利，确保个人数据得到合法合规的处理，包括执行同意追踪、被遗忘权、拒绝权等；其二，从技术上守护数据资产安全，保护数据免受未经授权的访问和操作，例如身份验证、访问控制、安全传输、静态加密等。

基础要素

基础设施的安全不仅包括IaaS层（云基础设施），也包括数据平台层（数据基础设施）。前者由云厂商来保障，后者则通常由企业自有的平台团队保障。其中，存算安全、灾备等都是不可忽视的。

从上图我们可以发现，DPO向内需要数据全生命周期所涉部门的密切配合，从组织流程、管理制度等层面保障落地；向外，则需视所处阶段，寻求不同的支持，例如律师、咨询顾问、数据安全专家，及安全合规的数据产品和云基础设施。

只有当管理、技术、基础三要素均得到满足，一家企业方能被认可为真正意义上的数据安全合规——侧面也说明，这家企业大概率有一位非常称职的DPO。

写给DPO的数据安全治理方法论

开展数据安全治理，是企业数据安全合规可持续的基础，也是DPO诸多工作中的重大工程。

综合DSMM（国标数据安全能力成熟度模型）等评估要求，及StartDT奇点云的客户实践，数据安全治理大致可分为3个阶段：战略引领；蓝图设计；路径规划与实施。

1）战略引领

Gartner强调，正确的起点是从需求调研开始，“千万不要跨过数据摸底、治理优先级分析、制定治理整体策略等层级，直接从技术工具层面启动安全治理”。

追溯企业的数据安全合规诉求，通常有2类：

· 仅为满足监管合规要求而启动数据安全治理。这类企业需拆解监管合规的条件，将现状与要求一一比对，识别数据安全治理体系和数据安全技术使用上的差距，建立针对性的安全合规策略。

· 另一类企业倾向于建立更为长远、可持续的数据安全战略，则还需要理解业务和数据战略，对风险容忍度进行评估，从而为平衡业务与数据安全投入提供依据。

蓝图设计

蓝图设计阶段最为关键的步骤是“数据分级分类”。企业需明确数据分级分类的原则和标准，例如在所属行业，通常哪些数据被视为重要数据，数据需要分为三级或五级。进一步，梳理企业数据资产清单，并对重要数据进行标识和管理。在金融、汽车等行业，还需基于盘点和监管要求，形成报送清单。

路径规划与实施

从战略到蓝图，最终，数据安全治理需要有效的实施落地。简化来看，共有4个步骤：

① 梳理全盘数据资产，绘制“数据地图”。进一步，明确里程碑，本着高效原则，优先开展重要数据的安全治理工作。

② 制定安全策略。

③ 安全工具/技术选型。数据结构和形态会在数据生命周期中不断变化，因此，通常需要结合多种安全工具和技术，来支撑安全策略的实施。

④ 从计划、实施、检查到处理，循环改进。

数据安全是什么？

是以数据为中心的安全。

是从采集、传输、存储、处理到共享、销毁，覆盖数据全生命周期的安全。

是数据的随身保镖，数据流到哪里，安全就覆盖到哪里。

是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

是大数据时代值得国家、企业和个体关注的安全。

从成立的第一天起，奇点云和GrowingIO就强烈主张企业要关注数据安全，并通过产品、组织等多层面投入和落地。我们认为，只有数据安全合规，数据才可能得到合理的使用与有效的分享，数据资产方能激发出更大的价值。

因此，我们将更多对企业级数据安全合规体系的解读与实践写入了《DPO数据安全白皮书》，希望能为DPO们与关注数据安全合规的业界伙伴提供参考。

免责声明：市场有风险，选择需谨慎！此文仅供参考，不作买卖依据。

责任编辑：kj005