每經(jīng)記者 陳莉莉 發(fā)自北京
今年2月，美國當(dāng)?shù)胤ㄔ壕腿A為公司起訴摩托羅拉公司和諾基亞西門子公司一案作出裁決，禁止摩托羅拉向后者轉(zhuǎn)移華為公司的保密信息。這一案件緣起于諾基亞西門子對摩托羅拉無線業(yè)務(wù)部門的收購，因為摩托羅拉掌握著華為的部分核心機密，收購案可能導(dǎo)致機密泄漏。
華為一案，被認為是中國企業(yè)“信息安全”保護體系正在升級的體現(xiàn)。但與歐美企業(yè)相比，國內(nèi)企業(yè)在信息安全和隱私方面的保護仍待加強。
目前，歐盟正在擬定新的關(guān)于隱私保密的法規(guī)。據(jù)了解，新法規(guī)將解決各種復(fù)雜的問題，諸如企業(yè)能否把內(nèi)部人力資源數(shù)據(jù)庫傳輸?shù)胶Ｍ馓幚?，是否?zhǔn)許合資方接觸公司的營銷數(shù)據(jù)庫等。一些人士正在爭取讓“首席隱私官”成為大型機構(gòu)必須設(shè)置的職位。
相關(guān)人士認為，“首席隱私官”的職責(zé)在于保護企業(yè)核心技術(shù)，保護企業(yè)員工和客戶的隱私。雖然目前中國企業(yè)尚沒有設(shè)置這一職位，但一些企業(yè)正在做著相關(guān)的工作。
早在10年前，IBM就宣布任命全球首任“首席隱私官”。目前，越來越多的公司開始設(shè)置相關(guān)的職位。
數(shù)據(jù)和隱私安全已成企業(yè)挑戰(zhàn)
管理咨詢公司埃森哲是設(shè)置隱私保護團隊的先行者之一。公司有一支“信息安全”團隊，負責(zé)確保員工和客戶信息得到妥當(dāng)處理。
埃森哲針對全球19個國家和地區(qū)的5500位商業(yè)領(lǐng)袖和15000名個人進行調(diào)查，于去年發(fā)布了一份《埃森哲數(shù)據(jù)和隱私安全研究報告》。
報告認為，當(dāng)今企業(yè)生成和掌握的個人敏感數(shù)據(jù)量超過了以往任何時候，伴隨著數(shù)據(jù)量的增加，數(shù)據(jù)安全事件也在頻繁地發(fā)生。云計算、軟件服務(wù)等新應(yīng)用延伸了數(shù)據(jù)保存的物理站點，隨著企業(yè)需要保密的數(shù)據(jù)在不同組織和地點之間流動，風(fēng)險也隨之增加。與此同時，數(shù)據(jù)和隱私安全保護已成為所有企業(yè)面臨的主要挑戰(zhàn)。
報告顯示，大約70%的企業(yè)和個人受訪者強烈認同或贊成組織有義務(wù)采取合理措施，保護客戶的個人隱私，并公開組織如何使用客戶個人信息，以及如何應(yīng)對丟失客戶個人信息的后果；大多數(shù)企業(yè)或組織都丟失過敏感的信息，并且最主要的原因都來自其自身內(nèi)部管控缺失；對企業(yè)來說，了解第三方機構(gòu)對數(shù)據(jù)隱私及其保護的想法和做法至關(guān)重要；通過尊重數(shù)據(jù)隱私及其保護來體現(xiàn)人文關(guān)懷的組織出現(xiàn)安全漏洞的可能性更小。
面對日益嚴峻的數(shù)據(jù)安全挑戰(zhàn)，企業(yè)該從何處著手進行防范？埃森哲認為，企業(yè)應(yīng)當(dāng)在數(shù)據(jù)安全保護成本高漲之前，盡快重新審視數(shù)據(jù)安全和合規(guī)框架，發(fā)現(xiàn)問題，并制定具體的改進舉措，譬如開展企業(yè)數(shù)據(jù)分析和安全風(fēng)險評估、建立企業(yè)的數(shù)據(jù)安全標(biāo)準(zhǔn)、實施合規(guī)治理解決方案、評估選擇和實施數(shù)據(jù)丟失保護方案。此外，企業(yè)還應(yīng)當(dāng)制定切實可行的實施路線圖，以完善企業(yè)數(shù)據(jù)安全保護能力。
埃森哲公司認為，數(shù)據(jù)和隱私安全保護的漏洞，可能會給企業(yè)資產(chǎn)負債表造成無法挽回的損失，對企業(yè)的品牌、信譽和客戶關(guān)系帶來的危害可能更加深重。
中國“首席隱私官”雛形
目前，設(shè)有“首席隱私官”的國際企業(yè)除了IBM外，還有微軟、柯達、花旗、Facebook、寶潔等，但《每日經(jīng)濟新聞》采訪企業(yè)、人力資源服務(wù)企業(yè)、獵頭公司以及專家學(xué)者后發(fā)現(xiàn)，“首席隱私官”對于中國而言，還是一個新鮮的事物。雖然目前中國企業(yè)尚沒有設(shè)立“首席隱私官”等相關(guān)職位，但很多企業(yè)已意識到信息安全對企業(yè)的重要性，除核心技術(shù)、知識產(chǎn)權(quán)等保護外，有關(guān)員工的個人隱私保護也正在逐步受到關(guān)注。那么，作為社會力量的企業(yè)而言，他們應(yīng)該如何來做？
前不久離任翰威特大中華區(qū)副總裁一職的許鋒，目前正創(chuàng)業(yè)打造中國人才產(chǎn)業(yè)鏈的“沃爾瑪”。許鋒曾任職于美晨、寶潔，自感“職業(yè)經(jīng)理人已經(jīng)做到頭了”，于是創(chuàng)辦了廣東倍智人才管理公司，創(chuàng)業(yè)伊始便獲得2000萬元投資。許鋒透露，他曾經(jīng)工作過的寶潔，“隱私保護做得挺好”，但目前他接觸到的企業(yè)中，還沒有一家設(shè)立“首席隱私官”的職位。
許鋒認為，“首席隱私官”應(yīng)該是公司人力資源方面的細分職能，實際上，國外企業(yè)設(shè)立這個職位，主要是基于企業(yè)員工的訴求，更深的原因是西方國家的各種政治、文化及法律背景。許鋒認為，中國注重“家庭式氛圍”的交往，不管是企業(yè)內(nèi)部還是社會，個人隱私相對沒有那么重要。同時，中國企業(yè)現(xiàn)在的主要任務(wù)是財富增長，如何改善業(yè)務(wù)模式，提高公司利潤等問題才是企業(yè)目前最關(guān)心的問題，企業(yè)的所有部門需要配合企業(yè)財富增長的需求。
走在人才供需前端的獵頭企業(yè)，對“首席隱私官”也感到有些陌生?？其J國際人力資源公司業(yè)務(wù)總監(jiān)劉峰表示，從監(jiān)測的情況來看，現(xiàn)在中國企業(yè)還沒有設(shè)置 “首席隱私官”這個職位，但是它的職能和工作內(nèi)容可能被其他的職能所附帶著。劉峰認為，在中國，無論是立法還是企業(yè)內(nèi)部規(guī)定，目前都沒有明確的關(guān)于“隱私保護”的相關(guān)內(nèi)容，企業(yè)可能無從設(shè)置相關(guān)的職位。
幾年前，科銳國際人力資源公司曾幫助企業(yè)尋找過知識產(chǎn)權(quán)保護、商業(yè)道德維護等的人才，也有一些企業(yè)需要“首席安全官”“信息安全總監(jiān)”等職位，一般由IT部門發(fā)起。許鋒表示，現(xiàn)在越來越多的企業(yè)開始關(guān)注社會責(zé)任感，而員工、客戶的隱私信息保護也應(yīng)該是企業(yè)社會責(zé)任感的體現(xiàn)。已設(shè)“首席隱私官”職位的跨國企業(yè)，他們不僅保護企業(yè)內(nèi)部的信息，也保護所有客戶信息如何能公正、有效地保管和使用。
“信息安全”是隱私保護的起步
許鋒告訴記者，他曾經(jīng)接觸過這么一家企業(yè)：公司內(nèi)部的電腦不能上外部的網(wǎng)絡(luò)，或者電腦完全由企業(yè)定制，這些電腦可能連USB的插口都沒有。電腦對于使用者來說，就是一個終端服務(wù)器，是一個登錄的界面。而且，員工使用的企業(yè)郵箱，發(fā)出去的所有郵件都會受到監(jiān)控，一些文件不能打印，也不能拷貝。員工只能使用企業(yè)的數(shù)據(jù)庫和指定的網(wǎng)站，這樣，企業(yè)能保證員工在上班時間的交流被嚴格地圈定在一個范圍之內(nèi)。許鋒說，他接觸的很多企業(yè)，越來越多關(guān)注信息安全的保護，也會在一些單個服務(wù)的項目上設(shè)置內(nèi)部防火墻。
許鋒還曾經(jīng)合作過一個企業(yè)，“資料就在企業(yè)的服務(wù)器上面，只有通過企業(yè)的郵箱才能獲取那些資料，所有從郵箱里接收到的資料會存在企業(yè)的服務(wù)器上”。許鋒說，這是他見到過的最高級別的信息安全保護體系。
華為公司在信息安全保護領(lǐng)域的做法一直被認可?！八麄兠磕甓紩写罅康膶＠暾?，所以整個企業(yè)在內(nèi)部監(jiān)控上面做得很好。”劉峰告訴記者，與國際化接軌程度越高的企業(yè)、或者境外上市的企業(yè)，信息安全會做得相對較好。企業(yè)商標(biāo)、核心技術(shù)及知識產(chǎn)權(quán)等是企業(yè)的核心競爭力，保護這些信息，也是在保護企業(yè)自己。[!--empirenews.page--]
許鋒說，他接觸到的民營企業(yè)，注重信息安全的不是特別多，但很多國企正在逐步跟上。劉峰認為，“首席隱私官”特別適用于有著海量用戶信息的企業(yè)，如金融機構(gòu)、通訊機構(gòu)、高科技企業(yè)、汽車及房地產(chǎn)公司等。對于用戶量小的企業(yè)或者中小規(guī)模的企業(yè)，這個職位的作用并不是那么明顯，某種意義上，這也是“首席隱私官”推行起來不是那么快的原因。
中國10年后會現(xiàn)“首席隱私官”？
對于很多企業(yè)而言，他們存在這樣的困惑：企業(yè)要不要設(shè)“首席隱私官”等職位？這個職位的職責(zé)權(quán)限是什么？如何讓這個職位發(fā)揮作用？如何與其他部門進行協(xié)調(diào)？對于這些困惑，一些做得好的跨國公司或許可以給出解答，同時也可尋找一些國際性的管理咨詢企業(yè)。
劉峰認為，管理咨詢公司在企業(yè)隱私保護方面能夠發(fā)揮更多的作用，他們主要是給企業(yè)梳理信息，如告訴企業(yè)如何來做相關(guān)的工作，哪些信息可以公布，哪些信息是不可以披露的。
至于“首席隱私官”在何時能在中國落地，許鋒認為需要10年時間，“因為現(xiàn)在很多企業(yè)還沒有精力和資金去專門設(shè)定相關(guān)崗位”。
“培養(yǎng)這樣一個團隊或者職位，短期內(nèi)看不到價值?！眲⒎逭J為，隱私保護部門的職能通常是制定政策，起著“防微杜漸”的作用。上市公司都會有一個內(nèi)審部，劉峰認為，和隱私保護相關(guān)部門相當(dāng)于內(nèi)審部，這種性質(zhì)決定了“首席隱私官”推動不會很快，主要是企業(yè)目前看不到這個職位所產(chǎn)生的經(jīng)濟效益在哪，但實際上，它能防止出現(xiàn)很多問題。隨著中國企業(yè)全球化進程的推進，隱私保護會在未來得到更多的重視。
10年前，微軟就設(shè)置了“首席隱私官”。10年后的現(xiàn)在，中國企業(yè)雖然還沒有設(shè)置這樣的職位，但整個社會對隱私的保護越來越重視，企業(yè)社會責(zé)任感和公司的維護意識也在加強。幾年前，美國企業(yè)里的“首席隱私官”年薪可以達到20萬美元，相對CEO、CFO等職位而言，劉峰認為薪水不是很高。劉峰認為，一些大企業(yè)會擁有與“首席隱私官”工作內(nèi)容一樣、但名稱可能有所區(qū)別的職位，并將這個職位并入到其他部門里面，比如說“信息安全部”、“內(nèi)控部”等。