夏國光 陸雨韜 萬志濤 國 強 張 斌

數(shù)據(jù)及其安全的重要性已是普遍共識,而數(shù)據(jù)安全事件卻層出不窮.政府部門以及通信、社交、旅游、金融、醫(yī)療、共享平臺、互聯(lián)網(wǎng)等相關(guān)主體匯集數(shù)據(jù)越來越多,對數(shù)據(jù)安全體系的要求不斷提高,同時法規(guī)對數(shù)據(jù)安全和隱私保護的要求更為嚴格,數(shù)字政府建設(shè)面臨更為嚴峻的安全問題和挑戰(zhàn).本文在深入調(diào)研的基礎(chǔ)上,從國內(nèi)外數(shù)據(jù)安全相關(guān)法規(guī)和實踐出發(fā),厘清數(shù)據(jù)安全保護責任主體,分析數(shù)據(jù)安全責任人的職責、能力要求,探討構(gòu)建以數(shù)字政府首席數(shù)據(jù)安全官為人員中樞的數(shù)據(jù)安全保障體系,以應(yīng)對數(shù)據(jù)安全問題和挑戰(zhàn),并給出了首席數(shù)據(jù)安全官的設(shè)置方案.

1 數(shù)據(jù)安全法制化 安全人員專業(yè)化

中共中央、國務(wù)院于2020年3月發(fā)布了《關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》,明確提出數(shù)據(jù)是生產(chǎn)要素,數(shù)據(jù)的重要性不言而喻.數(shù)據(jù)的可低成本復(fù)制、持久保持、涉及范圍廣等因素對生產(chǎn)要素的安全流動提出新的、更具挑戰(zhàn)性的要求,涉及數(shù)據(jù)存儲、處理、共享和協(xié)同等多個方面.數(shù)據(jù)作為生產(chǎn)要素在國民經(jīng)濟發(fā)展中的作用日益重要,而政府掌握的數(shù)據(jù)占絕對多數(shù).《中華人民共和國政府信息公開條例》(以下簡稱《條例》)規(guī)定政府信息中除了法規(guī)禁止公開,或者涉及國家秘密、行政機關(guān)內(nèi)部事務(wù)信息、商業(yè)秘密、個人隱私,以及可能危及國家、經(jīng)濟、社會和公共安全的信息之外的其他信息應(yīng)當公開.各地也在通過地方立法、制定實施細則規(guī)范和推進政府數(shù)據(jù)公開.但是,對于政府內(nèi)部的數(shù)據(jù)使用以及數(shù)據(jù)是否可以公開的認定以及分級分類問題,亟需完成相關(guān)職責確認和人員保障體系及制度建設(shè).除了政府之外,通信、社交、旅游、金融、醫(yī)療、共享平臺、互聯(lián)網(wǎng)等非政府主體也掌握了大量涉及用戶個人信息的數(shù)據(jù),這些數(shù)據(jù)的安全也同數(shù)字政府建設(shè)緊密關(guān)聯(lián),數(shù)據(jù)安全問題幾乎會影響到社會生活中的每個人[1].亟需建立相應(yīng)保護制度,完善人員保障體系.

數(shù)據(jù)安全制度和人員設(shè)置應(yīng)當遵從《中華人民共和國數(shù)據(jù)安全法》(以下簡稱《數(shù)據(jù)安全法》)、《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)、《中華人民共和國電子商務(wù)法》(以下簡稱《電子商務(wù)法》)以及網(wǎng)絡(luò)安全“四法一規(guī)”《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》《中華人民共和國計算機信息系統(tǒng)安全保護條例》《互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所管理條例》《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱《網(wǎng)絡(luò)安全法》)、《互聯(lián)網(wǎng)信息內(nèi)容管理行政執(zhí)法程序規(guī)定》等法規(guī)對數(shù)據(jù)安全和個人隱私保護的法定要求.《數(shù)據(jù)安全法》從狀態(tài)和能力2個方面定義數(shù)據(jù)安全,即數(shù)據(jù)處于有效保護和合法利用的狀態(tài),以及持續(xù)保障該狀態(tài)的能力.本文在對江蘇省的省、市、區(qū)3級數(shù)字政府建設(shè)現(xiàn)狀深入調(diào)研的基礎(chǔ)上,依據(jù)數(shù)據(jù)安全相關(guān)法規(guī),全面分析數(shù)據(jù)安全的責任主體以及責任人的職責和能力要求,回顧相關(guān)人員設(shè)置沿革,探討數(shù)字政府首席數(shù)據(jù)安全官(Chief Data Security Officer,CDSO)設(shè)置問題,并提出具有普遍意義的首席數(shù)據(jù)官設(shè)置思路、方法,給出具體設(shè)置方案.

2 厘清數(shù)據(jù)安全責任主體

《個人信息保護法》規(guī)定,個人信息處理者作為數(shù)據(jù)安全責任主體,責任主體的特征是其決定了個人信息的處理目的和方式.個人向個人信息處理者要求行使合法權(quán)利不受其他個人信息處理者之間的關(guān)于處理目的和處理方式的約定.該法還規(guī)定,涉及多個個人信息處理者共同處理個人信息時出現(xiàn)了侵害個人信息權(quán)益的情況,承擔連帶責任.《信息安全技術(shù)——個人信息安全規(guī)范》中個人信息控制者的定義同數(shù)據(jù)處理者一致.《個人信息保護法》明確個人信息處理者與受托人應(yīng)當對委托處理的個人信息的種類、目的、期限、處理方式以及應(yīng)當采取的保護措施等進行約定,明確雙方的權(quán)利和義務(wù).受托方處理個人信息不得超出約定的處理目的和方式,并應(yīng)接受委托方的監(jiān)督.委托關(guān)系不再存續(xù)時受托人不得保留個人信息.該法還明確未經(jīng)個人信息處理者同意,則受托方不得轉(zhuǎn)委他人.

個人信息的“處理者”或“控制者”以及“受托方”均承擔數(shù)據(jù)安全的法定義務(wù),對數(shù)據(jù)的安全承擔相應(yīng)責任.上述相關(guān)方可以是政府、非政府機構(gòu)以及個人.數(shù)據(jù)安全相關(guān)專職人員可能是法定的或者機構(gòu)自行設(shè)置的,作為機構(gòu)的數(shù)據(jù)安全責任人.《數(shù)據(jù)安全法》要求重要數(shù)據(jù)的處理者應(yīng)當明確數(shù)據(jù)安全管理機構(gòu)和負責人.《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》要求必須設(shè)置專門的安全管理機構(gòu),并對機構(gòu)負責人和關(guān)鍵崗位人員進行背景審查.《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求》(GB/T 2039204—2022)更進一步提出關(guān)鍵崗位應(yīng)配備專人,并配備2人以上共同管理.依照相關(guān)法律明確數(shù)據(jù)安全主體的數(shù)據(jù)安全責任人,隨著數(shù)據(jù)安全工作的不斷擴張,應(yīng)當設(shè)置為首席數(shù)據(jù)安全官.首席數(shù)據(jù)安全官可以定為依法設(shè)置的具備相關(guān)能力的專職數(shù)據(jù)安全人員,依據(jù)必要的授權(quán),全面保障組織的數(shù)據(jù)安全.

3 首席數(shù)據(jù)安全官的職責

國內(nèi)很多地方已經(jīng)或正在進行立法工作,推進首席數(shù)據(jù)官(Chief Data Officer,CDO)的設(shè)置工作,但其中數(shù)據(jù)安全的職責還需進一步明確和規(guī)范.《北京市數(shù)字經(jīng)濟促進條例(草案)》提出開展數(shù)據(jù)處理活動時應(yīng)當建立數(shù)據(jù)治理和合規(guī)運營制度,履行安全保護義務(wù)和數(shù)據(jù)安全使用承諾.個人信息先授權(quán)后使用,嚴格數(shù)據(jù)出境安全管理,根據(jù)應(yīng)用場景評估匿名化、去標識化技術(shù)的安全性,切實加強安全保護,防止個人信息的非法使用.同時鼓勵相關(guān)單位設(shè)立首席數(shù)據(jù)官.《江蘇省數(shù)字經(jīng)濟促進條例》規(guī)定各地區(qū)、相關(guān)部門應(yīng)當推行建立首席數(shù)據(jù)官制度.首席數(shù)據(jù)官由本地區(qū)、本部門相關(guān)負責人擔任.進一步明確首席數(shù)據(jù)官的職責為對本地區(qū)、本部門數(shù)據(jù)、業(yè)務(wù)工作進行協(xié)同管理,推進數(shù)據(jù)的共享和開放.同時擴展到數(shù)字經(jīng)濟相關(guān)企業(yè),建立聯(lián)系機制以期提升首席數(shù)據(jù)官所在地區(qū)、部門數(shù)據(jù)治理能力.可以看出,首席數(shù)據(jù)官為統(tǒng)籌和負責地區(qū)和部門的數(shù)據(jù)共享利用,促進社會數(shù)字化轉(zhuǎn)型,推動數(shù)據(jù)要素市場體系建立等方面提供規(guī)劃、管理、技術(shù)和合規(guī)保障.

2019年美國通過《開放政府數(shù)據(jù)法》(也稱為《公共、公開、電子與必要性政府數(shù)據(jù)法案》),在數(shù)據(jù)專職人員的設(shè)置上提出了設(shè)立首席數(shù)據(jù)官及其委員會的制度,在白宮管理和預(yù)算辦公室設(shè)立由各機構(gòu)的首席數(shù)據(jù)官、電子政府辦公室的負責人、首席信息官的代表組成的首席數(shù)據(jù)官委員會.首席數(shù)據(jù)官負責數(shù)據(jù)全生命周期管理和數(shù)據(jù)格式的標準化、數(shù)據(jù)資產(chǎn)的開放共享,審查本機構(gòu)的信息技術(shù)基礎(chǔ)設(shè)施建設(shè)以減少數(shù)據(jù)訪問上的障礙等.負責以最佳方式使用、保護、傳播和生成政府數(shù)據(jù),與使用數(shù)據(jù)的用戶和其他利益相關(guān)方就如何更好地維護數(shù)據(jù)進行互動,評估確定用于改進數(shù)據(jù)收集和使用的新技術(shù)方案等[2].各機構(gòu)的首席數(shù)據(jù)官每年、委員會則是每2年應(yīng)就其工作情況,向國土委員會、參議院政府事務(wù)部、眾議院監(jiān)督和政府改革委員會提交報告說明.對收集的數(shù)據(jù)是否公開進行日常性審查,除了隱私泄露、安全風險、法律責任、知識產(chǎn)權(quán)限制等因素或全面考慮不宜公開外,一般將政府數(shù)據(jù)開放.首席數(shù)據(jù)官事實上負責數(shù)據(jù)安全的相關(guān)工作[3],同時需要受理公眾的建議以及在合理期限內(nèi)提出的開放數(shù)據(jù)的要求,創(chuàng)立數(shù)據(jù)優(yōu)先級制度,規(guī)定聯(lián)邦機構(gòu)可將涉及公共利益的數(shù)據(jù)標注為優(yōu)先開放數(shù)據(jù)資產(chǎn),對于已在聯(lián)邦數(shù)據(jù)目錄中披露的資產(chǎn)應(yīng)建立評估其優(yōu)先級的計劃.建立全面的數(shù)據(jù)清單并定期更新,建立有效的程序、標準和控制措施,確保數(shù)據(jù)的質(zhì)量、準確性、訪問和保護,在數(shù)據(jù)生命周期的每個階段管理數(shù)據(jù),確保機構(gòu)數(shù)據(jù)符合數(shù)據(jù)管理最佳實踐.審查機構(gòu)的基礎(chǔ)設(shè)施對數(shù)據(jù)資產(chǎn)可訪問性的影響,并與首席信息官(Chief Information Officer,CIO)協(xié)調(diào),保障數(shù)據(jù)資產(chǎn)可訪問性.同時作為機構(gòu)與其他機構(gòu)以及管理和預(yù)算辦公室的聯(lián)絡(luò)人[2].有些組織為了應(yīng)對信息安全問題設(shè)置了獨立的首席信息安全官(Chief Information Security Officer,CISO).

2018年歐盟《通用數(shù)據(jù)保護規(guī)范》(以下簡稱《歐盟規(guī)范》)要求相關(guān)機構(gòu)設(shè)置數(shù)據(jù)保護官(Data Protection Officer,DPO),對DPO的要求包括：向所服務(wù)的企業(yè)、員工提供《歐盟規(guī)范》關(guān)于數(shù)據(jù)保護方面的信息和建議;監(jiān)管企業(yè)基于《歐盟規(guī)范》的數(shù)據(jù)保護和合規(guī)工作;參與和管理企業(yè)數(shù)據(jù)保護影響評估;保持同監(jiān)管部門聯(lián)系,負責數(shù)據(jù)泄露的緊急匯報;協(xié)助實現(xiàn)數(shù)據(jù)主體的權(quán)利并負責保持與其的聯(lián)系;獨立履職,不受雇主干預(yù)影響;具備向企業(yè)最高管理決策層直接匯報工作的權(quán)限.《歐盟規(guī)范》特別強調(diào)DPO的監(jiān)督是經(jīng)常性和系統(tǒng)性的[4].在《歐盟規(guī)范》的語境下,數(shù)據(jù)保護同《數(shù)據(jù)安全法》中的數(shù)據(jù)安全的內(nèi)涵比較接近.

4 首席數(shù)據(jù)安全官的能力要求

目前國內(nèi)外對數(shù)據(jù)安全相關(guān)人員一般沒有強制資格要求,但實際上對DPO的綜合能力、資歷要求是比較高的.除了《歐盟規(guī)范》,歐洲各國也各有其國內(nèi)法,德國的立法較早并且要求較為規(guī)范和嚴格.總的來說,首席數(shù)據(jù)官應(yīng)當具備一定的相關(guān)領(lǐng)域工作經(jīng)驗,具備扎實的知識背景和相關(guān)具體工程實施、管理經(jīng)驗以及良好的溝通能力,熟悉相關(guān)法律法規(guī).相應(yīng)地,也可以從相關(guān)領(lǐng)域、國民教育體系、從業(yè)人員的要求、相關(guān)認證體系要求,對應(yīng)具備的相關(guān)能力進行細化和確認[5].

工業(yè)和信息化部人事司主導(dǎo)制定的行業(yè)標準《大數(shù)據(jù)從業(yè)人員能力要求》(SJ/T 11788—2021)對包括數(shù)據(jù)安全工程師的10個崗位的能力要求作出詳細規(guī)定.每個崗位都分為初、中、高3個等級：初級要求可以在他人的指導(dǎo)下完成所承擔的工作;中級要求可以獨立完成所承擔的工作并具備一定的工作經(jīng)驗;高級則要求精通關(guān)鍵的專業(yè)技能,可以獨立完成復(fù)雜的工作,并有所創(chuàng)新,能提供有效的專業(yè)技能指導(dǎo)并具備豐富的工作經(jīng)驗.具體來說,初級數(shù)據(jù)安全工程師要求掌握網(wǎng)絡(luò)安全、信息安全、數(shù)據(jù)安全等相關(guān)知識,深入了解信息安全事件、網(wǎng)絡(luò)攻防、個人信息安全等;具備漏洞掃描、滲透測試、修復(fù)安防系統(tǒng)存在的漏洞、維護和升級系統(tǒng)的能力;有一定的數(shù)據(jù)安全相關(guān)工作或?qū)嵙?xí)經(jīng)歷.中級數(shù)據(jù)安全工程師要求在初級數(shù)據(jù)安全工程師的基礎(chǔ)上,掌握安防工具產(chǎn)品,數(shù)據(jù)安全存儲、計算、分析等相關(guān)知識,熟練掌握防火墻、網(wǎng)絡(luò)架構(gòu)等相關(guān)技術(shù);具備數(shù)據(jù)安全運營相關(guān)項目經(jīng)驗.高級數(shù)據(jù)安全工程師在中級數(shù)據(jù)安全工程師的基礎(chǔ)上,還要對應(yīng)急管理和安全規(guī)范有深入研究,熟悉APT、Web安全、系統(tǒng)安全、滲透測試和應(yīng)急響應(yīng)工作;具有制定黑客攻擊防御策略,對業(yè)務(wù)方案進行安全評審,提供安全咨詢及方案建議的能力;同時要具備豐富的數(shù)據(jù)安全運營項目經(jīng)驗.從該標準的角度看,數(shù)字政府首席數(shù)據(jù)安全官應(yīng)當至少具備高級數(shù)據(jù)安全工程師相當?shù)募夹g(shù)能力.

從國民教育體系來看,按照教育部《普通高等學(xué)校本科專業(yè)》(2020)版,計算機類本科設(shè)置有“信息安全”“網(wǎng)絡(luò)空間安全”“保密技術(shù)”“數(shù)據(jù)科學(xué)與大數(shù)據(jù)技術(shù)”等相關(guān)專業(yè),但從課程設(shè)置上,大部分高校的特色并不突出.從“安全”相關(guān)的課程設(shè)置考察本科的教學(xué)安排,目前(2022年)清華大學(xué)的計算機類本科專業(yè)有2個：“計算機科學(xué)與技術(shù)”本科專業(yè)主修必選有3學(xué)分的《網(wǎng)絡(luò)空間安全導(dǎo)論》同安全相關(guān),選修課程包括3門,分別為2學(xué)分的《計算機網(wǎng)絡(luò)安全技術(shù)》《網(wǎng)絡(luò)安全工程與實踐》《現(xiàn)代密碼學(xué)》等同“安全”較直接相關(guān);“軟件工程”本科專業(yè)沒有冠名同“安全”直接相關(guān)的課程,但相關(guān)院系推出了“數(shù)據(jù)安全管理人才培養(yǎng)”的培訓(xùn)項目.而其他部分設(shè)置“安全”“保密”“數(shù)據(jù)”相關(guān)高校,從課程設(shè)置和師資的角度,對數(shù)據(jù)安全專業(yè)人員專業(yè)能力的建設(shè)是欠缺的.計算機相關(guān)專業(yè)本科專業(yè)知識結(jié)構(gòu)的不足,研究生階段的學(xué)習(xí)和相關(guān)工作經(jīng)歷對于首席數(shù)據(jù)安全官任職能力的提升是重要和必須的.

美國《開放政府數(shù)據(jù)法案》提出,首席數(shù)據(jù)官應(yīng)由聯(lián)邦機構(gòu)任命,具有數(shù)據(jù)治理(包括數(shù)據(jù)標準的創(chuàng)建、應(yīng)用和維護)和實施數(shù)據(jù)策略的經(jīng)驗,了解與開放數(shù)據(jù)使用和實施相關(guān)的責任,能運用數(shù)據(jù)解決實際問題,提高數(shù)據(jù)的標準化程度和質(zhì)量.實際工作中能夠翻譯復(fù)雜的概念并傳達給受眾;了解組織業(yè)務(wù)挑戰(zhàn),確定其優(yōu)先級,貢獻專業(yè)能力;建立和領(lǐng)導(dǎo)團隊;保持目標導(dǎo)向;處理客戶問題;實現(xiàn)數(shù)據(jù)價值;適應(yīng)組織變化.

歐洲監(jiān)管部門發(fā)布的《歐盟規(guī)范》WP29指引中指出,DPO必須有能力建立和管理機構(gòu)的數(shù)據(jù)保護和數(shù)據(jù)合規(guī)工作,需要具備較高的技術(shù)、管理、法律素養(yǎng)以及一定的戰(zhàn)略規(guī)劃能力[6].

德國《聯(lián)邦數(shù)據(jù)保護法案》對聯(lián)邦的數(shù)據(jù)保護官作了明確規(guī)定,聯(lián)邦數(shù)據(jù)保護官需要經(jīng)過聯(lián)邦議會選舉和總統(tǒng)任命,年齡至少應(yīng)為35歲,任期5年,可以連任1次.

5 數(shù)據(jù)相關(guān)責任人員設(shè)置的歷史

數(shù)據(jù)相關(guān)責任人員的設(shè)置是隨著信息化進程的發(fā)展逐步形成的,可以將CIO,CISO,CDO,DPO的獨立設(shè)置作為各階段的標志.

CIO在20世紀80年代末至90年代初期出現(xiàn)在美國,與企業(yè)信息化進程和企業(yè)流程再造密切相關(guān).CIO是一個相當于CFO(Chief Finical Officer)或者COO(Chief Operation Officer)級別的職位.高級IT管理人員開始參與董事會和公司決策[7],標志著信息(數(shù)據(jù))流具備了同傳統(tǒng)物流、資金流同等的重要性,甚至位于更優(yōu)先的地位,需要最高層級管理人員領(lǐng)導(dǎo)信息化方面的工作,整合資源并從戰(zhàn)略高度進行規(guī)劃[8].

CISO的角色可以追溯到1994年,花旗公司(Citicorp)在遭受了一系列網(wǎng)絡(luò)攻擊后創(chuàng)建了世界上第1個正式的網(wǎng)絡(luò)安全執(zhí)行辦公室,并任命了首位CISO.CISO有時也被稱為首席安全官(Chief Security Officer,CSO).

CDO出現(xiàn)在21世紀初,第1位CDO由美國金融機構(gòu)第一資本(Capital One)在2002年任命.此后的近10年間,設(shè)置CDO的機構(gòu)很少.2010年科羅拉多州政府設(shè)立首席數(shù)據(jù)官,美國聯(lián)邦政府層面,2020年成立了聯(lián)邦CDO委員會,主要由各個聯(lián)邦政府部門的CDO和相關(guān)人員參加[9].CDO的職責包括數(shù)據(jù)管理、決策和業(yè)務(wù)價值創(chuàng)造.CDO的確立以是否將數(shù)據(jù)部門從結(jié)構(gòu)上獨立于IT部門和其他業(yè)務(wù)部門為標志,即直接向最高管理層匯報工作.還有一些企業(yè)雖然設(shè)置了CDO,但CDO向CIO匯報工作,此時的CDO更像是信息技術(shù)部門的一個領(lǐng)域領(lǐng)導(dǎo)者而非真正意義的CDO.有時還會設(shè)置首席數(shù)據(jù)分析官(Chief Analytics Officer,CAO),或者合并兩者為首席數(shù)據(jù)和分析官(Chief Data and Analytics Officer,CDAO),以及其他相當?shù)穆毼?但都可以認為是較為廣義的CDO[2].

1977年,德國發(fā)布《聯(lián)邦數(shù)據(jù)保護法案》,其中有DPO職位設(shè)置的條款.1995年歐盟發(fā)布的《數(shù)據(jù)保護指令》中明確規(guī)定,依據(jù)所在國法規(guī),數(shù)據(jù)處理者應(yīng)當任命DPO,以確保內(nèi)部數(shù)據(jù)合規(guī)與個人信息數(shù)據(jù)的安全,但并非強制.2018年《歐盟規(guī)范》明確規(guī)定,所有公共機關(guān)和符合設(shè)立條件的其他企業(yè)或組織必須依法設(shè)立DPO.具體來說,對數(shù)據(jù)主體的數(shù)據(jù)監(jiān)控和使用是系統(tǒng)性和經(jīng)常性的、規(guī)模較大的以及涉及收集和處理敏感數(shù)據(jù)(如犯罪、醫(yī)療、生理)的機構(gòu)必須設(shè)立DPO.《歐盟規(guī)范》對DPO任命條件、地位和職責等作出了專門的規(guī)定,要求DPO不能擔任同DPO職責有利益沖突的職務(wù),同時具備直接報告、資源保障等權(quán)力,以確保其獨立性.DPO可以在機構(gòu)內(nèi)部選任,也可以外部聘任.

6 首席數(shù)據(jù)安全官的設(shè)置方案

首席數(shù)據(jù)安全官的設(shè)置為正在建設(shè)統(tǒng)一的國家、省(自治區(qū)、直轄市)、市(地、區(qū))級的政府數(shù)據(jù)開放平臺提供高標準的數(shù)據(jù)安全支撐,為理順和完善數(shù)字政府的數(shù)據(jù)管理體制作先導(dǎo),為數(shù)據(jù)日常性分級、分類、審查、報告、評估以及全生命周期管理提供監(jiān)督和保障.首席數(shù)據(jù)安全官應(yīng)具備較高的技術(shù)、管理和法律素養(yǎng);具備相當規(guī)模數(shù)據(jù)安全項目規(guī)劃、實施、運營等經(jīng)驗;具備良好的表達、溝通、協(xié)調(diào)能力;具備正常履職的身體條件,遵紀守法,品行良好;能夠?qū)?nèi)日常性監(jiān)督,促進相關(guān)法規(guī)、標準的貫徹,對外保持同監(jiān)管機構(gòu)的密切合作,保證監(jiān)管事項的及時處理和反饋,就尚不明確的數(shù)據(jù)安全相關(guān)問題請求監(jiān)管部門解釋.

首席數(shù)據(jù)安全官應(yīng)當獨立設(shè)置并作為數(shù)據(jù)安全體系的中樞.政府以及其他相關(guān)機構(gòu)在涉及數(shù)據(jù)的全生命周期都應(yīng)當承擔法定的數(shù)據(jù)安全責任,而機構(gòu)內(nèi)外涉及數(shù)據(jù)的環(huán)節(jié)較多,應(yīng)當建立一個邊界清晰的、管理全面、響應(yīng)迅速的數(shù)據(jù)安全體系.首席數(shù)據(jù)安全官應(yīng)當獨立設(shè)置,并處于數(shù)據(jù)安全體系的核心,對內(nèi)部管理層報告數(shù)據(jù)安全的建議和問題,向監(jiān)管部門報告并履行監(jiān)管指令執(zhí)行義務(wù),承擔對內(nèi)、外溝通的責任.首席數(shù)據(jù)安全官在首席數(shù)據(jù)官的基礎(chǔ)上進一步提升專業(yè)化程度,以承擔更為繁雜的數(shù)據(jù)安全工作,應(yīng)對更加復(fù)雜的內(nèi)外部數(shù)據(jù)安全要求[10].綜合前文分析,從發(fā)展階段看,首席數(shù)據(jù)安全官的出現(xiàn)是在機構(gòu)完成信息化(以獨立CIO的設(shè)置為標志),即信息化基礎(chǔ)設(shè)施的建設(shè)、具備一定信息安全能力(以獨立CISO的設(shè)置為標志)、進入數(shù)據(jù)基礎(chǔ)性和關(guān)鍵性階段(以獨立CDO的設(shè)置為標志)以后的必然產(chǎn)物.首席數(shù)據(jù)安全官應(yīng)當具備履職的相對獨立性,并高于目前DPO的要求,其職位不應(yīng)由CIO,CISO,CDO或相當職務(wù)人員兼任[11].具體地,應(yīng)當在各級政府的大數(shù)據(jù)管理機構(gòu)以及涉及大量個人信息數(shù)據(jù)處理的政府部門和相關(guān)單位設(shè)置獨立的首席數(shù)據(jù)安全官.對于從事數(shù)據(jù)處理的專職人員較少的部門和單位,可以申請由上級主管部門或平級大數(shù)據(jù)主管部門委派人員擔任.數(shù)據(jù)安全官直接向其履職的部門或單位的主管領(lǐng)導(dǎo)直接負責.

首席數(shù)據(jù)安全官的遴選和任命應(yīng)當基于崗位職責進行全面評估.首席數(shù)據(jù)安全官的能力要求包括技術(shù)、管理、法律和戰(zhàn)略規(guī)劃,但對這些能力要求的優(yōu)先次序,從理論和實踐上都很難明確.國內(nèi)外的相關(guān)法規(guī)對數(shù)據(jù)安全負責人并沒有提出資質(zhì)要求.首席數(shù)據(jù)安全官應(yīng)當由對數(shù)據(jù)安全相關(guān)法規(guī)有深入了解、對信息技術(shù)和數(shù)據(jù)安全技術(shù)有足夠知識儲備、有一定項目管理和規(guī)劃經(jīng)驗的專業(yè)人士擔任.同時,應(yīng)當對本機構(gòu)有全面的了解.其職位應(yīng)當直接向決策層報告或參與決策,所負責任同數(shù)據(jù)安全職責不存在可能的利益沖突,擔負對內(nèi)數(shù)據(jù)安全監(jiān)督和對外溝通的雙重職責[12].應(yīng)當由足夠的崗位資歷要求的人員擔任,滿足公職人員的任職要求,并依照《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》進行背景審查.

首席數(shù)據(jù)安全官應(yīng)具備履行全部職責所需的知識、技能和行為能力,具體包括如下幾個方面：

1) 依照法規(guī)和本部門實際情況,對數(shù)據(jù)安全的戰(zhàn)略和政策制定、實施等提供建議;

2) 審查本部門數(shù)據(jù)的合規(guī)性,對隱私、安全、保密和管控要求的落實情況進行監(jiān)督和確認;

3) 提供所創(chuàng)建、收集、控制數(shù)據(jù)的安全建議并核查實施情況,參與架構(gòu)設(shè)計、數(shù)據(jù)分析,以確保數(shù)據(jù)安全,負責數(shù)據(jù)安全審計;

4) 建設(shè)本部門數(shù)據(jù)安全文化,數(shù)據(jù)安全意識的培養(yǎng)是長期和需全員參與的工作;

5) 向管理層直接報告,第一時間響應(yīng)數(shù)據(jù)安全相關(guān)問題,響應(yīng)時限應(yīng)根據(jù)問題的嚴重程度和監(jiān)管要求設(shè)定;

6) 保持同監(jiān)管部門、相關(guān)機構(gòu)進行數(shù)據(jù)安全的溝通,并確保數(shù)據(jù)的合規(guī)性;

7) 對垂直管理的下級部門首席數(shù)據(jù)安全官的工作進行指導(dǎo)、評價和監(jiān)管.

首席數(shù)據(jù)安全官應(yīng)直接對安全監(jiān)管部門就數(shù)據(jù)安全相關(guān)問題負責.安全監(jiān)管部門包括網(wǎng)信辦、網(wǎng)安、政務(wù)服務(wù)、大數(shù)據(jù)管理機構(gòu)和垂直上級部門等.監(jiān)管部門對法規(guī)、安全通報進行下發(fā)并對反饋情況進行確認.首席數(shù)據(jù)官直接向部門負責人報告,并直接向監(jiān)管部門報告數(shù)據(jù)安全相關(guān)的內(nèi)部合規(guī)情況和數(shù)據(jù)安全事件,對安全監(jiān)管部門通報的數(shù)據(jù)安全問題負責.以首席數(shù)據(jù)安全官為關(guān)鍵節(jié)點,形成同級水平監(jiān)管和上下級垂直監(jiān)管并存的聯(lián)動型數(shù)據(jù)安全管理矩陣,以最短路徑完成數(shù)據(jù)安全的態(tài)勢感知、數(shù)據(jù)安全事件響應(yīng)和信息更新.

同級首席數(shù)據(jù)安全官包括由上級主管部門委派的首席數(shù)據(jù)安全官,組成數(shù)據(jù)安全委員會,以實現(xiàn)跨部門的制度化、規(guī)范化的信息溝通.委員會成員還應(yīng)該包括法務(wù)、預(yù)算等相關(guān)負責人員.同時附設(shè)由信息、數(shù)據(jù)、業(yè)務(wù)、法律、領(lǐng)域研究等專業(yè)人員構(gòu)成咨詢委員會提供支撐.委員會常設(shè)協(xié)調(diào)機構(gòu)應(yīng)設(shè)置在各級政府負責大數(shù)據(jù)管理的相關(guān)部門.