夏国光 陆雨韬 万志涛 国 强 张 斌

数据及其安全的重要性已是普遍共识,而数据安全事件却层出不穷.政府部门以及通信、社交、旅游、金融、医疗、共享平台、互联网等相关主体汇集数据越来越多,对数据安全体系的要求不断提高,同时法规对数据安全和隐私保护的要求更为严格,数字政府建设面临更为严峻的安全问题和挑战.本文在深入调研的基础上,从国内外数据安全相关法规和实践出发,厘清数据安全保护责任主体,分析数据安全责任人的职责、能力要求,探讨构建以数字政府首席数据安全官为人员中枢的数据安全保障体系,以应对数据安全问题和挑战,并给出了首席数据安全官的设置方案.

1 数据安全法制化 安全人员专业化

中共中央、国务院于2020年3月发布了《关于构建更加完善的要素市场化配置体制机制的意见》,明确提出数据是生产要素,数据的重要性不言而喻.数据的可低成本复制、持久保持、涉及范围广等因素对生产要素的安全流动提出新的、更具挑战性的要求,涉及数据存储、处理、共享和协同等多个方面.数据作为生产要素在国民经济发展中的作用日益重要,而政府掌握的数据占绝对多数.《中华人民共和国政府信息公开条例》(以下简称《条例》)规定政府信息中除了法规禁止公开,或者涉及国家秘密、行政机关内部事务信息、商业秘密、个人隐私,以及可能危及国家、经济、社会和公共安全的信息之外的其他信息应当公开.各地也在通过地方立法、制定实施细则规范和推进政府数据公开.但是,对于政府内部的数据使用以及数据是否可以公开的认定以及分级分类问题,亟需完成相关职责确认和人员保障体系及制度建设.除了政府之外,通信、社交、旅游、金融、医疗、共享平台、互联网等非政府主体也掌握了大量涉及用户个人信息的数据,这些数据的安全也同数字政府建设紧密关联,数据安全问题几乎会影响到社会生活中的每个人[1].亟需建立相应保护制度,完善人员保障体系.

数据安全制度和人员设置应当遵从《中华人民共和国数据安全法》(以下简称《数据安全法》)、《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)、《中华人民共和国电子商务法》(以下简称《电子商务法》)以及网络安全“四法一规”《计算机信息网络国际联网安全保护管理办法》《中华人民共和国计算机信息系统安全保护条例》《互联网上网服务营业场所管理条例》《中华人民共和国网络安全法》(以下简称《网络安全法》)、《互联网信息内容管理行政执法程序规定》等法规对数据安全和个人隐私保护的法定要求.《数据安全法》从状态和能力2个方面定义数据安全,即数据处于有效保护和合法利用的状态,以及持续保障该状态的能力.本文在对江苏省的省、市、区3级数字政府建设现状深入调研的基础上,依据数据安全相关法规,全面分析数据安全的责任主体以及责任人的职责和能力要求,回顾相关人员设置沿革,探讨数字政府首席数据安全官(Chief Data Security Officer,CDSO)设置问题,并提出具有普遍意义的首席数据官设置思路、方法,给出具体设置方案.

2 厘清数据安全责任主体

《个人信息保护法》规定,个人信息处理者作为数据安全责任主体,责任主体的特征是其决定了个人信息的处理目的和方式.个人向个人信息处理者要求行使合法权利不受其他个人信息处理者之间的关于处理目的和处理方式的约定.该法还规定,涉及多个个人信息处理者共同处理个人信息时出现了侵害个人信息权益的情况,承担连带责任.《信息安全技术——个人信息安全规范》中个人信息控制者的定义同数据处理者一致.《个人信息保护法》明确个人信息处理者与受托人应当对委托处理的个人信息的种类、目的、期限、处理方式以及应当采取的保护措施等进行约定,明确双方的权利和义务.受托方处理个人信息不得超出约定的处理目的和方式,并应接受委托方的监督.委托关系不再存续时受托人不得保留个人信息.该法还明确未经个人信息处理者同意,则受托方不得转委他人.

个人信息的“处理者”或“控制者”以及“受托方”均承担数据安全的法定义务,对数据的安全承担相应责任.上述相关方可以是政府、非政府机构以及个人.数据安全相关专职人员可能是法定的或者机构自行设置的,作为机构的数据安全责任人.《数据安全法》要求重要数据的处理者应当明确数据安全管理机构和负责人.《关键信息基础设施安全保护条例》要求必须设置专门的安全管理机构,并对机构负责人和关键岗位人员进行背景审查.《信息安全技术 关键信息基础设施安全保护要求》(GB/T 2039204—2022)更进一步提出关键岗位应配备专人,并配备2人以上共同管理.依照相关法律明确数据安全主体的数据安全责任人,随着数据安全工作的不断扩张,应当设置为首席数据安全官.首席数据安全官可以定为依法设置的具备相关能力的专职数据安全人员,依据必要的授权,全面保障组织的数据安全.

3 首席数据安全官的职责

国内很多地方已经或正在进行立法工作,推进首席数据官(Chief Data Officer,CDO)的设置工作,但其中数据安全的职责还需进一步明确和规范.《北京市数字经济促进条例(草案)》提出开展数据处理活动时应当建立数据治理和合规运营制度,履行安全保护义务和数据安全使用承诺.个人信息先授权后使用,严格数据出境安全管理,根据应用场景评估匿名化、去标识化技术的安全性,切实加强安全保护,防止个人信息的非法使用.同时鼓励相关单位设立首席数据官.《江苏省数字经济促进条例》规定各地区、相关部门应当推行建立首席数据官制度.首席数据官由本地区、本部门相关负责人担任.进一步明确首席数据官的职责为对本地区、本部门数据、业务工作进行协同管理,推进数据的共享和开放.同时扩展到数字经济相关企业,建立联系机制以期提升首席数据官所在地区、部门数据治理能力.可以看出,首席数据官为统筹和负责地区和部门的数据共享利用,促进社会数字化转型,推动数据要素市场体系建立等方面提供规划、管理、技术和合规保障.

2019年美国通过《开放政府数据法》(也称为《公共、公开、电子与必要性政府数据法案》),在数据专职人员的设置上提出了设立首席数据官及其委员会的制度,在白宫管理和预算办公室设立由各机构的首席数据官、电子政府办公室的负责人、首席信息官的代表组成的首席数据官委员会.首席数据官负责数据全生命周期管理和数据格式的标准化、数据资产的开放共享,审查本机构的信息技术基础设施建设以减少数据访问上的障碍等.负责以最佳方式使用、保护、传播和生成政府数据,与使用数据的用户和其他利益相关方就如何更好地维护数据进行互动,评估确定用于改进数据收集和使用的新技术方案等[2].各机构的首席数据官每年、委员会则是每2年应就其工作情况,向国土委员会、参议院政府事务部、众议院监督和政府改革委员会提交报告说明.对收集的数据是否公开进行日常性审查,除了隐私泄露、安全风险、法律责任、知识产权限制等因素或全面考虑不宜公开外,一般将政府数据开放.首席数据官事实上负责数据安全的相关工作[3],同时需要受理公众的建议以及在合理期限内提出的开放数据的要求,创立数据优先级制度,规定联邦机构可将涉及公共利益的数据标注为优先开放数据资产,对于已在联邦数据目录中披露的资产应建立评估其优先级的计划.建立全面的数据清单并定期更新,建立有效的程序、标准和控制措施,确保数据的质量、准确性、访问和保护,在数据生命周期的每个阶段管理数据,确保机构数据符合数据管理最佳实践.审查机构的基础设施对数据资产可访问性的影响,并与首席信息官(Chief Information Officer,CIO)协调,保障数据资产可访问性.同时作为机构与其他机构以及管理和预算办公室的联络人[2].有些组织为了应对信息安全问题设置了独立的首席信息安全官(Chief Information Security Officer,CISO).

2018年欧盟《通用数据保护规范》(以下简称《欧盟规范》)要求相关机构设置数据保护官(Data Protection Officer,DPO),对DPO的要求包括：向所服务的企业、员工提供《欧盟规范》关于数据保护方面的信息和建议;监管企业基于《欧盟规范》的数据保护和合规工作;参与和管理企业数据保护影响评估;保持同监管部门联系,负责数据泄露的紧急汇报;协助实现数据主体的权利并负责保持与其的联系;独立履职,不受雇主干预影响;具备向企业最高管理决策层直接汇报工作的权限.《欧盟规范》特别强调DPO的监督是经常性和系统性的[4].在《欧盟规范》的语境下,数据保护同《数据安全法》中的数据安全的内涵比较接近.

4 首席数据安全官的能力要求

目前国内外对数据安全相关人员一般没有强制资格要求,但实际上对DPO的综合能力、资历要求是比较高的.除了《欧盟规范》,欧洲各国也各有其国内法,德国的立法较早并且要求较为规范和严格.总的来说,首席数据官应当具备一定的相关领域工作经验,具备扎实的知识背景和相关具体工程实施、管理经验以及良好的沟通能力,熟悉相关法律法规.相应地,也可以从相关领域、国民教育体系、从业人员的要求、相关认证体系要求,对应具备的相关能力进行细化和确认[5].

工业和信息化部人事司主导制定的行业标准《大数据从业人员能力要求》(SJ/T 11788—2021)对包括数据安全工程师的10个岗位的能力要求作出详细规定.每个岗位都分为初、中、高3个等级：初级要求可以在他人的指导下完成所承担的工作;中级要求可以独立完成所承担的工作并具备一定的工作经验;高级则要求精通关键的专业技能,可以独立完成复杂的工作,并有所创新,能提供有效的专业技能指导并具备丰富的工作经验.具体来说,初级数据安全工程师要求掌握网络安全、信息安全、数据安全等相关知识,深入了解信息安全事件、网络攻防、个人信息安全等;具备漏洞扫描、渗透测试、修复安防系统存在的漏洞、维护和升级系统的能力;有一定的数据安全相关工作或实习经历.中级数据安全工程师要求在初级数据安全工程师的基础上,掌握安防工具产品,数据安全存储、计算、分析等相关知识,熟练掌握防火墙、网络架构等相关技术;具备数据安全运营相关项目经验.高级数据安全工程师在中级数据安全工程师的基础上,还要对应急管理和安全规范有深入研究,熟悉APT、Web安全、系统安全、渗透测试和应急响应工作;具有制定黑客攻击防御策略,对业务方案进行安全评审,提供安全咨询及方案建议的能力;同时要具备丰富的数据安全运营项目经验.从该标准的角度看,数字政府首席数据安全官应当至少具备高级数据安全工程师相当的技术能力.

从国民教育体系来看,按照教育部《普通高等学校本科专业》(2020)版,计算机类本科设置有“信息安全”“网络空间安全”“保密技术”“数据科学与大数据技术”等相关专业,但从课程设置上,大部分高校的特色并不突出.从“安全”相关的课程设置考察本科的教学安排,目前(2022年)清华大学的计算机类本科专业有2个：“计算机科学与技术”本科专业主修必选有3学分的《网络空间安全导论》同安全相关,选修课程包括3门,分别为2学分的《计算机网络安全技术》《网络安全工程与实践》《现代密码学》等同“安全”较直接相关;“软件工程”本科专业没有冠名同“安全”直接相关的课程,但相关院系推出了“数据安全管理人才培养”的培训项目.而其他部分设置“安全”“保密”“数据”相关高校,从课程设置和师资的角度,对数据安全专业人员专业能力的建设是欠缺的.计算机相关专业本科专业知识结构的不足,研究生阶段的学习和相关工作经历对于首席数据安全官任职能力的提升是重要和必须的.

美国《开放政府数据法案》提出,首席数据官应由联邦机构任命,具有数据治理(包括数据标准的创建、应用和维护)和实施数据策略的经验,了解与开放数据使用和实施相关的责任,能运用数据解决实际问题,提高数据的标准化程度和质量.实际工作中能够翻译复杂的概念并传达给受众;了解组织业务挑战,确定其优先级,贡献专业能力;建立和领导团队;保持目标导向;处理客户问题;实现数据价值;适应组织变化.

欧洲监管部门发布的《欧盟规范》WP29指引中指出,DPO必须有能力建立和管理机构的数据保护和数据合规工作,需要具备较高的技术、管理、法律素养以及一定的战略规划能力[6].

德国《联邦数据保护法案》对联邦的数据保护官作了明确规定,联邦数据保护官需要经过联邦议会选举和总统任命,年龄至少应为35岁,任期5年,可以连任1次.

5 数据相关责任人员设置的历史

数据相关责任人员的设置是随着信息化进程的发展逐步形成的,可以将CIO,CISO,CDO,DPO的独立设置作为各阶段的标志.

CIO在20世纪80年代末至90年代初期出现在美国,与企业信息化进程和企业流程再造密切相关.CIO是一个相当于CFO(Chief Finical Officer)或者COO(Chief Operation Officer)级别的职位.高级IT管理人员开始参与董事会和公司决策[7],标志着信息(数据)流具备了同传统物流、资金流同等的重要性,甚至位于更优先的地位,需要最高层级管理人员领导信息化方面的工作,整合资源并从战略高度进行规划[8].

CISO的角色可以追溯到1994年,花旗公司(Citicorp)在遭受了一系列网络攻击后创建了世界上第1个正式的网络安全执行办公室,并任命了首位CISO.CISO有时也被称为首席安全官(Chief Security Officer,CSO).

CDO出现在21世纪初,第1位CDO由美国金融机构第一资本(Capital One)在2002年任命.此后的近10年间,设置CDO的机构很少.2010年科罗拉多州政府设立首席数据官,美国联邦政府层面,2020年成立了联邦CDO委员会,主要由各个联邦政府部门的CDO和相关人员参加[9].CDO的职责包括数据管理、决策和业务价值创造.CDO的确立以是否将数据部门从结构上独立于IT部门和其他业务部门为标志,即直接向最高管理层汇报工作.还有一些企业虽然设置了CDO,但CDO向CIO汇报工作,此时的CDO更像是信息技术部门的一个领域领导者而非真正意义的CDO.有时还会设置首席数据分析官(Chief Analytics Officer,CAO),或者合并两者为首席数据和分析官(Chief Data and Analytics Officer,CDAO),以及其他相当的职位,但都可以认为是较为广义的CDO[2].

1977年,德国发布《联邦数据保护法案》,其中有DPO职位设置的条款.1995年欧盟发布的《数据保护指令》中明确规定,依据所在国法规,数据处理者应当任命DPO,以确保内部数据合规与个人信息数据的安全,但并非强制.2018年《欧盟规范》明确规定,所有公共机关和符合设立条件的其他企业或组织必须依法设立DPO.具体来说,对数据主体的数据监控和使用是系统性和经常性的、规模较大的以及涉及收集和处理敏感数据(如犯罪、医疗、生理)的机构必须设立DPO.《欧盟规范》对DPO任命条件、地位和职责等作出了专门的规定,要求DPO不能担任同DPO职责有利益冲突的职务,同时具备直接报告、资源保障等权力,以确保其独立性.DPO可以在机构内部选任,也可以外部聘任.

6 首席数据安全官的设置方案

首席数据安全官的设置为正在建设统一的国家、省(自治区、直辖市)、市(地、区)级的政府数据开放平台提供高标准的数据安全支撑,为理顺和完善数字政府的数据管理体制作先导,为数据日常性分级、分类、审查、报告、评估以及全生命周期管理提供监督和保障.首席数据安全官应具备较高的技术、管理和法律素养;具备相当规模数据安全项目规划、实施、运营等经验;具备良好的表达、沟通、协调能力;具备正常履职的身体条件,遵纪守法,品行良好;能够对内日常性监督,促进相关法规、标准的贯彻,对外保持同监管机构的密切合作,保证监管事项的及时处理和反馈,就尚不明确的数据安全相关问题请求监管部门解释.

首席数据安全官应当独立设置并作为数据安全体系的中枢.政府以及其他相关机构在涉及数据的全生命周期都应当承担法定的数据安全责任,而机构内外涉及数据的环节较多,应当建立一个边界清晰的、管理全面、响应迅速的数据安全体系.首席数据安全官应当独立设置,并处于数据安全体系的核心,对内部管理层报告数据安全的建议和问题,向监管部门报告并履行监管指令执行义务,承担对内、外沟通的责任.首席数据安全官在首席数据官的基础上进一步提升专业化程度,以承担更为繁杂的数据安全工作,应对更加复杂的内外部数据安全要求[10].综合前文分析,从发展阶段看,首席数据安全官的出现是在机构完成信息化(以独立CIO的设置为标志),即信息化基础设施的建设、具备一定信息安全能力(以独立CISO的设置为标志)、进入数据基础性和关键性阶段(以独立CDO的设置为标志)以后的必然产物.首席数据安全官应当具备履职的相对独立性,并高于目前DPO的要求,其职位不应由CIO,CISO,CDO或相当职务人员兼任[11].具体地,应当在各级政府的大数据管理机构以及涉及大量个人信息数据处理的政府部门和相关单位设置独立的首席数据安全官.对于从事数据处理的专职人员较少的部门和单位,可以申请由上级主管部门或平级大数据主管部门委派人员担任.数据安全官直接向其履职的部门或单位的主管领导直接负责.

首席数据安全官的遴选和任命应当基于岗位职责进行全面评估.首席数据安全官的能力要求包括技术、管理、法律和战略规划,但对这些能力要求的优先次序,从理论和实践上都很难明确.国内外的相关法规对数据安全负责人并没有提出资质要求.首席数据安全官应当由对数据安全相关法规有深入了解、对信息技术和数据安全技术有足够知识储备、有一定项目管理和规划经验的专业人士担任.同时,应当对本机构有全面的了解.其职位应当直接向决策层报告或参与决策,所负责任同数据安全职责不存在可能的利益冲突,担负对内数据安全监督和对外沟通的双重职责[12].应当由足够的岗位资历要求的人员担任,满足公职人员的任职要求,并依照《关键信息基础设施安全保护条例》进行背景审查.

首席数据安全官应具备履行全部职责所需的知识、技能和行为能力,具体包括如下几个方面：

1) 依照法规和本部门实际情况,对数据安全的战略和政策制定、实施等提供建议;

2) 审查本部门数据的合规性,对隐私、安全、保密和管控要求的落实情况进行监督和确认;

3) 提供所创建、收集、控制数据的安全建议并核查实施情况,参与架构设计、数据分析,以确保数据安全,负责数据安全审计;

4) 建设本部门数据安全文化,数据安全意识的培养是长期和需全员参与的工作;

5) 向管理层直接报告,第一时间响应数据安全相关问题,响应时限应根据问题的严重程度和监管要求设定;

6) 保持同监管部门、相关机构进行数据安全的沟通,并确保数据的合规性;

7) 对垂直管理的下级部门首席数据安全官的工作进行指导、评价和监管.

首席数据安全官应直接对安全监管部门就数据安全相关问题负责.安全监管部门包括网信办、网安、政务服务、大数据管理机构和垂直上级部门等.监管部门对法规、安全通报进行下发并对反馈情况进行确认.首席数据官直接向部门负责人报告,并直接向监管部门报告数据安全相关的内部合规情况和数据安全事件,对安全监管部门通报的数据安全问题负责.以首席数据安全官为关键节点,形成同级水平监管和上下级垂直监管并存的联动型数据安全管理矩阵,以最短路径完成数据安全的态势感知、数据安全事件响应和信息更新.

同级首席数据安全官包括由上级主管部门委派的首席数据安全官,组成数据安全委员会,以实现跨部门的制度化、规范化的信息沟通.委员会成员还应该包括法务、预算等相关负责人员.同时附设由信息、数据、业务、法律、领域研究等专业人员构成咨询委员会提供支撑.委员会常设协调机构应设置在各级政府负责大数据管理的相关部门.