安全资讯:隐私问题 应时而生的首席隐私官

当保杨娜 贝拉米(Bojana Bellamy)最早探索适合她所受法律教育的职业道路时,隐私权问题看起来是一个虽然有前途、但很冷门的行当。那是上世纪90年代中期。面对消费者日益加剧的担忧,欧盟(EU)当时正在研究如何规范企业处理在经营过程中收集到的敏感信息的方式。

保扬娜投身隐私权领域的选择获得了回报。在各个商业领域,信息技术的身影几乎无所不在。这催生了一个迅速发展的职业:如今有成千上万的专业人士为企业行驶在与处理敏感信息有关的复杂法律海域保驾护航。

保扬娜如今在专业服务机构艾森哲(Accenture)担任信息隐私总监,手底下管着一支6个人的团队。另外,公司里还有大约60个人负责确保个人信息——不管是员工的信息、客户的信息,还是客户的客户的信息——得到妥当处理。

随着这个职业的发展,其地位也在发生变化。这个行当中级别最高的人开始跻身“首席XX官”行列,荣升“首席隐私官”。“这已经成为企业避不开的问题。”保扬娜表示,“从策略上来说,你必须表现出在乎的样子。”

欧盟现已出台的一些隐私保密法规的严厉程度堪称世界之最。目前欧盟还在拟定新的法规。一些人士正在争取让首席隐私官成为大型机构必须设置的职位。

新法规将解决各种复杂问题,诸如:企业能否把内部人力资源数据库传输到海外处理?是否应准许合资方接触公司的营销数据库?

“信息保护已经成为企业的一大问题。”何威律师事务所(Hunton and Williams)合伙人克里斯托弗?库勒(Christopher Kuner)表示,“信息是许多企业的原材料,就好像过去的钢铁一样。在处理隐私信息时,你必须遵循一定的程序,就好像处理化学品一样。”

库勒表示,这种情况已经不局限于涉足尖端科技领域(如云计算)的企业,只不过这类企业引起的隐私问题尤其复杂。“每家企业都有一个人力资源数据库,大部分企业都有客户名单,这一切都受到严格管理。”

如何防止这些数据库流传到网上——即遭遇维基解密(WikiLeaks)式的泄密——是隐私官必须解决的问题之一。

美国行业机构——国际隐私专家协会(IAPP)会长特雷弗?休斯(Trevor Hughes)表示,如今几乎所有大型企业都设有首席隐私官之类的职位。该协会的成员遍布全球,有8000名左右。

随着科技的发展,相关法律领域也跟着发生变化。休斯表示:“说到世界各地的信息法规,其变化多端的程度令人咋舌。真可谓瞬息万变。在欧洲和美国都是如此,在发展中国家,这种倾向也越来越明显。所以企业必须跟上变化。”

最普遍的挑战在于包含隐私信息的数据库的登记问题。在大多数地区,登记是强制性的。假如数据库中包含不同国家的信息,那么可能需要在不同国家的有关部门登记并接受管理,而各国在保护隐私方面的做法各不相同。

假如企业希望将信息传输到海外,比如供后勤部门使用,如入账或开工资,情况就更为复杂。

“在欧盟,法律要求‘充分保护’,所以,当你把信息传到海外时,你不能违反信息保护法。”物流公司德国邮政敦豪集团(Deutsche Post DHL)企业信息保护官加芙列拉?克拉德(Gabriela Krader)表示。

“你必须证明自己有一个有效的信息保护框架。”

企业也可能遇到一些行业特有的问题。例如,许多科技企业正在想办法通过智能手机提供定位服务,同时避免触犯客户隐私。

银行或健康保险公司经手的信息尤其敏感,他们的客户可不希望这些信息被用于市场营销用途。还有一些企业,比如快递公司,在经营过程中积累了大量的客户地址信息。

休斯表示:“每家企业面临的隐私权挑战都略有不同,但总归会面临挑战。”

克拉德表示,隐私官的日常工作中,有相当一部分是在公司内部树立注重信息保护的法律意识。

她表示:“我们的主要任务是沟通,把相关法规的确实含意传达给大家。”

当然,隐私官的基本职责是防止触犯隐私权的事件发生,虽然这种事无法完全杜绝。必须建立各项防范制度,防止发生底层职员畅行无阻地下载大量敏感文件之类的事件,确保即使某位员工丢失了笔记本电脑(这在任何企业都经常发生),也不会因为内含未加密的全体员工个人详细信息之类的文件,而酿成重大危机。

欧盟正在酝酿出台一项法规,强制丢失个人信息的企业通知所有可能受影响的人。这是在效仿美国——美国大多数州近些年相继出台了此类法规。

2007年,TK Maxx的母公司、美国零售集团TJX发生了一起触犯隐私权事件,惹得世人皆知,就是由于这项通知法规的关系。该公司被迫公开披露,其系统内共有逾4500万个信用卡和借记卡账号被窃。事后该公司不得不向银行支付2400万美元罚金。

通过提高触犯隐私权事件的透明度以及财务成本,这项法规使企业有更大的理由加倍努力遵纪守法。

保扬娜表示,企业往往等到与触犯隐私权有关的事件发生以后,才会聘用首席隐私官,或者增强现有首席隐私官的职能。

除了应对由违反信息保护法而遭遇的法律和声誉威胁以外,隐私官们表示,改进企业应用信息的方式,也是他们的职责所在。

“这个职位的战略性功能不亚于其防范性功能。”保扬娜表示:“我们可以给产品增加价值,比如说,在我们提供的产品中融入隐私保护功能。对于把大量信息托付给我们的客户来说,我们如何处理他们的信息极其重要。”

这种做法,与欧盟倡导企业“从设计入手保护隐私”(privacy-by-design)的声音相呼应。所谓从设计入手,是指在新产品或新服务的设计阶段就要考虑信息保护问题,而不是等到事后再来想办法。

这正是公共部门目前推行的一项策略。在美国和欧洲都有人提议,把信息保护列为企业向政府提供服务的一项先决条件。

从法律角度来说,围绕如何处理个人信息的高涨的担忧不太可能消散。

“隐私保护就像遵守环保法规一样:你必须表现出一切尽在掌握的样子。”库勒表示。