歐盟《一般數(shù)據(jù)保護條例》指導(dǎo)下的數(shù)據(jù)保護官制度解析與啟示*

王 錚 曾 薩 安金肖 黃菁茹

（1．西北大學(xué)公共管理學(xué)院 陜西西安 710127）

（2．南京大學(xué)信息管理學(xué)院 江蘇南京 210023）

（3.西北大學(xué)法學(xué)院 陜西西安 710127）

2018年5月，歐盟發(fā)布的 《一般數(shù)據(jù)保護條例》（或譯為 《通用數(shù)據(jù)保護條例》，General Data Protection Regulation，GDPR）正式實施。該條例順應(yīng)了大數(shù)據(jù)時代對個人信息保護的需求，被稱為史上最嚴格的數(shù)據(jù)監(jiān)管條例，也是隱私與數(shù)據(jù)保護領(lǐng)域20年來的重大改革，并有可能成為全球數(shù)據(jù)保護的參考標(biāo)準。在Facebook數(shù)據(jù)泄露事件發(fā)生后，美國一些眾議員也認為GDPR是應(yīng)對此類事件的唯一對策。GDPR明確規(guī)定了數(shù)據(jù)控制者與處理者的多項義務(wù)，其中值得注意的是對“數(shù)據(jù)保護官”（Data Protection Officer，DPO）崗位的強調(diào)（GDPR第37條明確規(guī)定數(shù)據(jù)控制者和處理者應(yīng)當(dāng)委任DPO）。

當(dāng)前國內(nèi)已有研究關(guān)注了GDPR對我國的影響和參考意義，但多是從宏觀角度分析GDPR對于企業(yè)或行業(yè)的沖擊，研究視角主要來自網(wǎng)絡(luò)安全、信息通信、經(jīng)濟金融等領(lǐng)域。而對于圖書與情報相關(guān)專業(yè)來說，數(shù)據(jù)管理、信息安全正在成為重要的研究領(lǐng)域和人才培養(yǎng)方向。GDPR指導(dǎo)下的DPO制度正是新時代“數(shù)據(jù)工作者”的典型代表，又恰是數(shù)據(jù)管理與信息安全的交叉領(lǐng)域，這一崗位建制的能力要求及資質(zhì)不僅可以為國內(nèi)企業(yè)等相關(guān)機構(gòu)的數(shù)據(jù)管理制度設(shè)計提供借鑒，也可以為圖書與情報相關(guān)專業(yè)研究與人才培養(yǎng)工作帶來重要啟示。因此，本文在概述GDPR主要內(nèi)容和特征的基礎(chǔ)上，從GDPR合規(guī)實踐的崗位保障角度，重點分析了DPO職能的定位、作用和核心能力。

1 GDPR概述

歐盟素有個人信息與數(shù)據(jù)保護的傳統(tǒng)與法律基礎(chǔ)，自1995年就實行了《數(shù)據(jù)保護指導(dǎo)》（Data Protection Directive），適用范圍為所有歐盟境內(nèi)運營及使用位于歐盟內(nèi)的設(shè)備處理數(shù)據(jù)的企業(yè)。但隨著近20年來谷歌、Facebook等大型互聯(lián)網(wǎng)公司的崛起，大數(shù)據(jù)、云計算、移動互聯(lián)網(wǎng)、社交網(wǎng)絡(luò)以及各類智能終端的普及使得個人數(shù)據(jù)無處遁形，而自然人的天然弱勢地位又導(dǎo)致其難以掌控自身數(shù)據(jù)，當(dāng)前數(shù)據(jù)流動的全球化、海量化、開放化態(tài)勢較20世紀90年代已經(jīng)發(fā)生了天翻地覆的變化。以 《數(shù)據(jù)保護指導(dǎo)》代表的傳統(tǒng)規(guī)則已經(jīng)難以規(guī)制機構(gòu)在移動互聯(lián)網(wǎng)環(huán)境下的數(shù)據(jù)搜集行為。此外，《數(shù)據(jù)保護指導(dǎo)》缺乏權(quán)威的法律效力，在歐盟不同成員國之間執(zhí)行的寬嚴程度不同，在日漸統(tǒng)一的全球數(shù)據(jù)市場中難以取得協(xié)調(diào)效果。因此GDPR自2012年進行初步提案，經(jīng)過4年的博弈和準備，最終于2016年通過，并在2018年5月25日正式實施之前，預(yù)留了長達2年的過渡準備期，可見其立法和實施過程之復(fù)雜。

與1995年歐盟《數(shù)據(jù)保護指導(dǎo)》相比，GDPR具有如下特點：（1）法律效應(yīng)更加強化：《數(shù)據(jù)保護指導(dǎo)》僅僅是“指導(dǎo)”性質(zhì)（Directive），在實際上更多的是發(fā)揮指南和推薦作用，而GDPR則是“條例”形式（Regulation），提供了更強的執(zhí)行依據(jù)；（2）地域范圍更加廣泛：數(shù)據(jù)在全球范圍內(nèi)跨境流動的時代，面對GDPR帶來的沖擊，沒有區(qū)域能夠全然置身事外。根據(jù)GDPR規(guī)定，無論組織機構(gòu)所在地、數(shù)據(jù)存儲和處理地點，如果向歐盟提供的網(wǎng)站、應(yīng)用、服務(wù)涉及規(guī)范所定義的數(shù)據(jù)處理活動 （即使在歐盟境內(nèi)沒有業(yè)務(wù)存在），都必須遵從GDPR；③保護對象更加拓展：GDPR大幅拓展了個人數(shù)據(jù)的定義，確立了個人可識別信息 （Personally Identifiable Information，PII）這一核心概念凡是可以用作識別個人身份的相關(guān)信息，均屬于GDPR保護范圍，包括基本身份信息（如姓名、電話、地址、身份證號等）、瀏覽器的Cookie、IP位置乃至識別個人身份的生物醫(yī)學(xué)信息、政治觀點等敏感信息；④主體權(quán)責(zé)更加明確：在由數(shù)據(jù)控制者、數(shù)據(jù)處理者組成的數(shù)據(jù)模型下，明確了數(shù)據(jù)擁有者的訪問權(quán)、被遺忘權(quán)、數(shù)據(jù)可攜帶權(quán)、限制數(shù)據(jù)處理、默認隱私保護等一系列權(quán)利。同時增加了義務(wù)主體的責(zé)任，包括明確了數(shù)據(jù)處理者的當(dāng)責(zé)性、數(shù)據(jù)泄露的告知義務(wù)等。這其中尤為重要的是，GDPR規(guī)定了基于數(shù)據(jù)供應(yīng)鏈的多元主體責(zé)任共擔(dān)機制 （見圖1）。用戶作為“數(shù)據(jù)擁有者”，盡管其數(shù)據(jù)被長期存儲在由互聯(lián)網(wǎng)服務(wù)商托管的服務(wù)器中，但其擁有的一系列合法權(quán)益得到了GDPR的確認，對用戶數(shù)據(jù)進行處理（收集、存儲、使用）的目的與方法都需要向數(shù)據(jù)擁有者明確告知，體現(xiàn)了用戶“自由給與、自愿、明確、知情”的原則。在過去數(shù)據(jù)保護主要由“數(shù)據(jù)控制者”（如網(wǎng)絡(luò)公司）負責(zé)，而“數(shù)據(jù)處理者”（如提供數(shù)據(jù)處理服務(wù)的云服務(wù)商和進行數(shù)據(jù)分析的第三方機構(gòu)）并不直接參與數(shù)據(jù)的搜集和具體使用。在GDPR明確認定了“數(shù)據(jù)處理者”的責(zé)任義務(wù)，規(guī)定數(shù)據(jù)處理者也需要直接承擔(dān)合規(guī)風(fēng)險與保護數(shù)據(jù)主體個人隱私權(quán)利不受侵犯的義務(wù)，由此數(shù)據(jù)供應(yīng)鏈上的上下游各方都被納入到了數(shù)據(jù)保護的問責(zé)機制。

圖1 數(shù)據(jù)保護多元主體共擔(dān)機制

2 GDPR指導(dǎo)下的DPO制度分析

2.1 DPO在GDPR組織保障中的定位

如前所述，GDPR圍繞數(shù)據(jù)擁有者創(chuàng)建了大量新權(quán)利，也規(guī)定了數(shù)據(jù)控制者和數(shù)據(jù)處理者大量的新義務(wù)。歐盟為了保障這些數(shù)據(jù)保護義務(wù)的有效履行，從區(qū)域?qū)用妗覍用妗C構(gòu)層面規(guī)定了專門的數(shù)據(jù)保護組織機構(gòu)以及相應(yīng)的崗位。

在區(qū)域?qū)用妫珿DPR提出設(shè)置歐盟數(shù)據(jù)保護理事會（European Data Protection Board）作為歐盟數(shù)據(jù)監(jiān)管的最高職能機構(gòu)，直接對歐盟委員會負責(zé)，強化了對數(shù)據(jù)的集中統(tǒng)一監(jiān)管。在國家層面，GDPR規(guī)定歐盟成員國需要設(shè)置監(jiān)管機構(gòu) （Supervisory Authority）監(jiān)督GDPR的實施，體現(xiàn)了一站式（one-stopshop）監(jiān)管原則，落實了數(shù)據(jù)控制者和數(shù)據(jù)處理者所在國的監(jiān)管責(zé)任，其職能包括：（1）監(jiān)管機構(gòu)需保護個人數(shù)據(jù)權(quán)利和自由、提高公眾對相關(guān)風(fēng)險與規(guī)則的認識、促進數(shù)據(jù)流通、處理數(shù)據(jù)問題投訴、與他國監(jiān)管機構(gòu)合作進行信息溝通與共享、建立數(shù)據(jù)保護認證機制等；（2）監(jiān)管機構(gòu)具有開展調(diào)查、糾正數(shù)據(jù)操作、限制數(shù)據(jù)行為、提出意見與建議、建立與撤銷認證資格、制定數(shù)據(jù)保護規(guī)則、責(zé)令行政處罰等的權(quán)利；（3）監(jiān)管機構(gòu)完全獨立行使權(quán)利，不受外部影響和其他機構(gòu)制約。國家必須向監(jiān)管機構(gòu)提供人力、物力、財力支持。監(jiān)管機構(gòu)的設(shè)置使得數(shù)據(jù)保護有了權(quán)利的保障，公司或政府的數(shù)據(jù)控制或處理行為置于獨立的監(jiān)督框架之下，確保數(shù)據(jù)泄露事件可以被及時公布、不當(dāng)數(shù)據(jù)處理行為被及時制止、非法數(shù)據(jù)處理行為被及時裁決。

在組織機構(gòu)層面，DPO是數(shù)據(jù)保護合規(guī)實踐的基礎(chǔ)性設(shè)置。GDPR規(guī)定數(shù)據(jù)控制者和數(shù)據(jù)處理者需要共同承擔(dān)的義務(wù)包括文檔化管理、數(shù)據(jù)保護影響評估、事先咨詢、數(shù)據(jù)泄露報告、實施安全保障措施、遵守數(shù)據(jù)跨境轉(zhuǎn)移規(guī)則，這些任務(wù)既涉及技術(shù)問題也涉及法律問題，組織機構(gòu)需要確保內(nèi)部有合適可用的專業(yè)人員來處理這些任務(wù)。DPO的崗位設(shè)置由此應(yīng)運而生。

2.2 DPO的崗位設(shè)置條件

GDPR對于DPO的設(shè)置做出了強制性規(guī)定。根據(jù)GDPR規(guī)定，凡是符合以下條件，都應(yīng)當(dāng)任命DPO：進行數(shù)據(jù)處理的政府部門或公共機構(gòu)、以大規(guī)模數(shù)據(jù)處理作為核心業(yè)務(wù)（包括對數(shù)據(jù)進行定期、常態(tài)、系統(tǒng)監(jiān)測和處理）的機構(gòu)、擁有250名或以上員工。擁有少于250名員工的組織也被推薦設(shè)立DPO。這一點也顯示出DPO的定位并不僅僅是一種企業(yè)崗位設(shè)置，而是一種覆蓋企業(yè)、政府、公共機構(gòu)的制度安排。可見DPO（數(shù)據(jù)保護官）不同于根據(jù)企業(yè)自身情況和治理結(jié)構(gòu)來進行設(shè)置的CEO（首席執(zhí)行官）、CIO（首席信息官）、CFO（首席財務(wù)官）、CKO（首席知識官）等，DPO設(shè)置是落實法律的強制性要求。

GDPR指導(dǎo)下的 DPO具有如下特點：（1）在GDPR規(guī)制范圍內(nèi)無論企業(yè)還是公共機構(gòu)都需要設(shè)置DPO。特別是對于歐盟境內(nèi)的政府單位和公共機構(gòu)來說，如果在其履行職能的過程中，涉及收集和監(jiān)控私人數(shù)據(jù)，那么就必須設(shè)置 DPO；（2）在 GDPR規(guī)制范圍內(nèi)組織無論是充當(dāng)數(shù)據(jù)控制者還是數(shù)據(jù)處理者，都需要根據(jù)自身在GDPR中的角色設(shè)置DPO；（3）在GDPR規(guī)制范圍內(nèi)組織無論是否位于歐盟，都需要根據(jù)業(yè)務(wù)情況設(shè)置DPO或類似職位。按照此條規(guī)定，谷歌、Facebook等在歐盟有大規(guī)模數(shù)據(jù)處理的公司都需要設(shè)定DPO的崗位職能。

2.3 DPO的主要功能特征

DPO的主要職能包括監(jiān)測、宣導(dǎo)、建策、組織、溝通5大功能，具體包括：對數(shù)據(jù)保護工作進行定期及系統(tǒng)性監(jiān)測；負責(zé)內(nèi)部教育培訓(xùn)以及合規(guī)性審計事務(wù)；提高組織內(nèi)的數(shù)據(jù)保護意識；在組織內(nèi)塑造數(shù)據(jù)保護文化；建立數(shù)據(jù)保護的IT系統(tǒng)；確保組織相關(guān)角色明確其權(quán)責(zé)；向組織機構(gòu)提供建議；提交關(guān)于數(shù)據(jù)保護的年度報告和工作計劃；參與相關(guān)內(nèi)部討論；負責(zé)組織與GDPR監(jiān)管機構(gòu)之間的溝通以及與其他利益相關(guān)者的交互。DPO處于中介地位，可以成為數(shù)據(jù)管理機構(gòu)與監(jiān)督機構(gòu)之間的緩沖環(huán)節(jié)，數(shù)據(jù)擁有者可以通過聯(lián)系DPO來行使他們的權(quán)利。

DPO與企業(yè)CEO、CIO相比，其特點之一是具有更高的獨立性。根據(jù)GDPR規(guī)定，DPO直接向最高管理者報告工作，并且不能因為執(zhí)行任務(wù)的原因被解雇或者受到處罰。DPO的級別宜設(shè)置在管理層，負責(zé)數(shù)據(jù)安全的負責(zé)人級別越高則影響力越大，效用越明顯。DPO接觸到的是組織的高度敏感數(shù)據(jù)，宜由專業(yè)層次較高的人員擔(dān)任。

對于DPO的任用，GDPR的規(guī)定表現(xiàn)出一定的靈活性。組織內(nèi)部的DPO既可以是專職也可以是兼職。具體表現(xiàn)為：DPO可以由企業(yè)管理者兼任，可以執(zhí)行其他任務(wù)，履行其他職責(zé)；GDPR也允許一名DPO同時為多個組織機構(gòu)提供服務(wù)。這對于那些缺乏GDPR合規(guī)經(jīng)驗和專業(yè)人力資源的企業(yè)帶來便利。需要指出的是，這種兼職必須是在確保沒有利益沖突的情況下實行的，不能影響DPO工作的獨立性和工作效果。

在現(xiàn)實中，DPO的獨立性可能受到組織層級、治理結(jié)構(gòu)、資源配置、利益沖突、個人精力等很多因素的影響。為了保障DPO工作的獨立性，歐盟有關(guān)文件給出了相關(guān)建議：（1）賦予 DPO 更高的職位級別和職能權(quán)限，包括管理職權(quán)、信息獲取權(quán)限和調(diào)查權(quán)限等；（2）確保DPO崗位合約的長效性（合同以五年為宜）；（3）對于大型機構(gòu)、處于正在建立數(shù)據(jù)保護制度關(guān)鍵階段的機構(gòu)，宜聘用全職的DPO；（4）確保DPO與其兼任的其他職務(wù)不發(fā)生利益沖突；（5）確保DPO在進行決策時不受上級旨意的干預(yù)和影響；（6）確保DPO的工作具有獨立的預(yù)算和經(jīng)費保障。

2.4 DPO的能力資質(zhì)要求

正因為DPO具有上述重要作用，其任職資質(zhì)具有明確規(guī)定。在歐盟推薦的DPO專業(yè)標(biāo)準（見表1）中可知，具備數(shù)據(jù)保護方面的專業(yè)知識是最為核心的要求。同時，DPO要有能力理解組織在不同情境下的數(shù)據(jù)活動，對于組織結(jié)構(gòu)和運作機制也要有所了解，因此DPO最好能夠從組織機構(gòu)內(nèi)部任命。由于DPO的工作性質(zhì)需要經(jīng)常面對和數(shù)據(jù)相關(guān)的利益沖突和風(fēng)險管控，因此DPO任職者的個人特質(zhì)和職業(yè)倫理被特別強調(diào)：DPO需要清晰掌握組織數(shù)據(jù)處理流程的全貌，能夠做出獨立的判斷和建議；在組織可能出現(xiàn)違規(guī)風(fēng)險和行為時，應(yīng)及時給予解決和報告，而不是幫助掩蓋、銷毀或修改證據(jù)。DPO在上任之前，還需要培訓(xùn)和認證，以證明其上崗資質(zhì)。此外，DPO在組織內(nèi)履行職務(wù)不僅要靠其一己之力，而且需要配備專業(yè)支持團隊和相關(guān)資源（如IT設(shè)施、工作預(yù)算和資金支持）。

可以看出，DPO是數(shù)據(jù)環(huán)境下組織機構(gòu)中多元復(fù)合性人才的代表，至少應(yīng)具備“管理-技術(shù)-法律”三重知識背景。DPO不一定需要具有律師的職業(yè)資格，但至少需要在數(shù)據(jù)保護、信息安全等相關(guān)法律領(lǐng)域獲得一定的受訓(xùn)經(jīng)歷或資質(zhì)認證；同時，還需要兼具對一個機構(gòu)的組織架構(gòu)與技術(shù)架構(gòu)的深入理解。

表1 歐盟DPO推薦標(biāo)準

3 DPO制度對我國的啟示

3.1 DPO制度對數(shù)據(jù)管理崗位設(shè)置的啟示

隨著GDPR的正式實施，DPO制度也勢必會依法得到進一步推廣。盡管GDPR是由歐盟制定的法律規(guī)則，但是其反映了大數(shù)據(jù)時代個人數(shù)據(jù)保護的新秩序雛形，很可能將改變現(xiàn)有的信息產(chǎn)業(yè)格局，構(gòu)成未來全球網(wǎng)絡(luò)空間規(guī)則的基石之一。世界各國立法行政部門都在積極參照和對標(biāo)GDPR，推出對策加強數(shù)據(jù)保護力度。我國在已有《網(wǎng)絡(luò)安全法》《關(guān)于維護互聯(lián)網(wǎng)安全的決定》《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》等政策法規(guī)的基礎(chǔ)上，于2018年5月，又正式實施了 《信息安全技術(shù)個人信息安全規(guī)范》國家標(biāo)準，在其制定的過程中充分參照對標(biāo)了包括GDPR在內(nèi)的國際先進規(guī)則和立法標(biāo)準，為企業(yè)提供了新的業(yè)務(wù)參照和行為指引。

在應(yīng)對數(shù)據(jù)保護升級新趨勢、融入數(shù)據(jù)保護新秩序的進程中，在組織機構(gòu)層面設(shè)置數(shù)據(jù)保護與數(shù)據(jù)治理的專職崗位可以成為有效的抓手，DPO制度可以為我們帶來以下啟示：

（1）對接國際標(biāo)準，從數(shù)據(jù)保護崗位設(shè)置層面促進我國企業(yè)的GDPR合規(guī)實踐。GDPR生效后，我國最有可能受到直接影響的就是那些面向歐盟開展業(yè)務(wù)的企業(yè)。近年來中國企業(yè)進軍海外的力度不斷加大，與之伴隨的是面臨政策風(fēng)險不斷增加，要求中國企業(yè)在數(shù)據(jù)保護能力、數(shù)據(jù)治理機制方面同步加強。尤其是我國近年來發(fā)展迅速的跨境電商、硬件制造、銀行金融等行業(yè)由于涉及到大量的數(shù)據(jù)收集、處理和交易活動，極有可能受到GDPR的影響與規(guī)制。對于這些企業(yè)來說，GDPR帶來的最為直接的沖擊是其不再堅守屬地原則，而是推行數(shù)據(jù)保護的域外效力，對歐盟境內(nèi)外的數(shù)據(jù)控制者和處理者實施統(tǒng)一標(biāo)準，這意味著當(dāng)中國企業(yè)為歐盟居民提供產(chǎn)品或服務(wù)，并在這一過程中收集、監(jiān)控、處理用戶數(shù)據(jù)，就需要認真關(guān)注GDPR的相關(guān)規(guī)定。否則，違反GDPR將面臨巨額的違規(guī)成本，對于重大違規(guī)(most severe infringement)企業(yè)，歐盟監(jiān)管機構(gòu)將把該企業(yè)年度全球收入的4%作為罰金，或者直接處以2000萬歐元的罰款，這一額度對于任何成長中的企業(yè)都是不堪重負的沖擊。

為此，GDPR實施后，阿里、華為、小米等企業(yè)都在積極從政策制定、基礎(chǔ)設(shè)施、組織保障等方面促進GDPR的合規(guī)實踐，并且把GDPR的實施視為強化數(shù)據(jù)保護機制的契機。近年來中國企業(yè)已經(jīng)開始注重技術(shù)層面的數(shù)據(jù)保護措施，但是在組織層面的保障還有待加強。在GDPR新規(guī)影響下，設(shè)置DPO崗位將成為很多企業(yè)刻不容緩的數(shù)據(jù)保護舉措。如東航在2018年6月設(shè)立DPO崗位，成為國內(nèi)首家設(shè)立“數(shù)據(jù)保護官”的企業(yè)，而華為公司則在對于GDPR的官方回應(yīng)中，指出華為根據(jù)GDPR的要求任命了歐盟DPO。這些案例反映了中國企業(yè)在崗位設(shè)置上適應(yīng)GDPR要求的趨勢。

（2）立足本土實際，建立適應(yīng)我國國情的數(shù)據(jù)保護職能與制度。數(shù)據(jù)保護規(guī)則的制定不僅僅是一個技術(shù)問題，其背后也有各國在網(wǎng)絡(luò)空間治理和規(guī)則制定方面的博弈。GDPR的背后就有歐盟在全球互聯(lián)網(wǎng)產(chǎn)業(yè)競爭中提高競爭力和話語權(quán)的考量。同時，數(shù)據(jù)保護需要與企業(yè)發(fā)展保持平衡，需要與國家發(fā)展階段相適應(yīng)，不能單純強調(diào)保護而因噎廢食、阻礙創(chuàng)新。這些都決定了我國在對接國際標(biāo)準的同時，不能照搬國外經(jīng)驗。我國的DPO崗位也不是國外崗位的簡單復(fù)制，而是需要根據(jù)我國國情進行制度設(shè)計。

為此，需要進一步理解歐盟DPO背后的一系列制度安排。首先，DPO的設(shè)置需要得到法律體系的確認和保障。在歐盟DPO是GDPR做出的強制性規(guī)定，其背后是系統(tǒng)全面的法律支撐與規(guī)則解釋，也反映了法律層面對于數(shù)據(jù)控制者和數(shù)據(jù)處理者責(zé)任義務(wù)的細化和落實。而我國現(xiàn)有法律制度中對于數(shù)據(jù)保護的職能崗位設(shè)置還缺乏明確規(guī)定，需要根據(jù)我國現(xiàn)實情況制定相關(guān)細則。同時，需要完善與DPO配套的數(shù)據(jù)管理組織機構(gòu)設(shè)置。DPO崗位并不是孤立的存在，而是數(shù)據(jù)保障體系中的基層組成部分。GDPR中呈現(xiàn)了由跨區(qū)域?qū)用娴臄?shù)據(jù)保護理事會、國家層面的數(shù)據(jù)保護監(jiān)管機構(gòu)以及組織層面的DPO共同組成的完備體系，各層級、各部門和各個DPO之間保持有效協(xié)調(diào)溝通。歐盟數(shù)據(jù)監(jiān)管機構(gòu)提供了供DPO職業(yè)進行交流互動學(xué)習(xí)的平臺，他們可以通過網(wǎng)絡(luò)名錄結(jié)識同行，交流最佳實踐。DPO在我國還處于零星起步階段，尚未形成成熟的職業(yè)群體，此時更需要從頂層設(shè)計的角度通盤考慮數(shù)據(jù)保護職能體系的建構(gòu)。

3.2 DPO制度對數(shù)據(jù)管理人才培養(yǎng)的啟示

數(shù)據(jù)時代新的崗位形態(tài)與崗位需求必然會傳導(dǎo)到上游的人才教育培養(yǎng)環(huán)節(jié)。崗位作為組織內(nèi)一系列制度安排的產(chǎn)物，是由特定人員負責(zé)的若干任務(wù)組合，也反映了一定階段的時代發(fā)展趨勢，因此新興崗位對于專業(yè)教育具有重要的指標(biāo)意義。DPO是GDPR制度的集中體現(xiàn)，反映了個人隱私保護時代新的權(quán)責(zé)義務(wù)設(shè)定。“數(shù)據(jù)看護者”有可能成為21世紀最為重要的新興職業(yè)之一，在現(xiàn)實場景中除了開始出現(xiàn)DPO職位，還出現(xiàn)了首席隱私官、首席數(shù)據(jù)官等，都印證了這一市場需求和職業(yè)趨勢。而在一個專業(yè)性職業(yè)誕生的背后，必然有較為系統(tǒng)的專業(yè)知識體系和教育培訓(xùn)體系做支撐。

通過上文對DPO制度的分析，可以發(fā)現(xiàn)在DPO的職業(yè)視野中，“數(shù)據(jù)”一詞不僅是指冷冰冰的可計算化的資料，而且和活生生的個人信息與權(quán)益訴求息息相關(guān)，這就要求DPO不僅需要具有信息技術(shù)素養(yǎng)，還需要具有法律、社會、信息倫理等多方面的人文意識。我國圖書與情報類院系長期兼具“技術(shù)”與“人文”的培養(yǎng)特點，從上述“數(shù)據(jù)職業(yè)”的未來趨勢中，可以尋找到以優(yōu)勢對接趨勢的最佳匹配點。圖書與情報等相關(guān)專業(yè)可根據(jù)數(shù)據(jù)保護崗位的現(xiàn)實需求，結(jié)合數(shù)據(jù)管理人才培養(yǎng)體系，健全培養(yǎng)目標(biāo)、豐富培養(yǎng)方式、創(chuàng)新培養(yǎng)內(nèi)容、對接職業(yè)場景。

（1）在培養(yǎng)目標(biāo)上，需要從GDPR及我國近年來出臺的相關(guān)法律政策中發(fā)掘、識別和解析對于專業(yè)技能和專業(yè)人才的需求。從歐盟DPO推薦指標(biāo)（見表1）可知，專業(yè)數(shù)據(jù)保護知識和技能是DPO的基本能力，DPO需要具備過硬的專業(yè)知識以及數(shù)據(jù)能力。為形成能夠支撐政策要求和市場需求的專業(yè)人才輸送渠道，圖書與情報等相關(guān)專業(yè)要調(diào)整培養(yǎng)目標(biāo)，在培養(yǎng)學(xué)生傳統(tǒng)的信息素養(yǎng)基礎(chǔ)上，注重數(shù)據(jù)素養(yǎng)的培養(yǎng)以及數(shù)據(jù)意識、數(shù)據(jù)能力的形成。

（2）在培養(yǎng)方式上，我國目前一些院系已經(jīng)設(shè)置了數(shù)據(jù)管理、大數(shù)據(jù)分析專業(yè)，同時還有大量的圖情專碩培養(yǎng)項目，有關(guān)項目根據(jù)DPO的能力資源要求可以將信息安全、數(shù)據(jù)監(jiān)護等新興培養(yǎng)方向進行交叉，同時與信息管理領(lǐng)域的傳統(tǒng)培養(yǎng)體系融合，打造學(xué)科專業(yè)的新出口和新增長點。在本科生培養(yǎng)階段，可增加數(shù)據(jù)管理、數(shù)據(jù)保護、信息法學(xué)等課程；在已有的博碩士培養(yǎng)體系下，新增數(shù)據(jù)保護培養(yǎng)方向，設(shè)置綜合性較強的課程，如元數(shù)據(jù)、數(shù)字資源長期保存、信息資源管理、數(shù)字資源評價、信息組織、數(shù)據(jù)管理、數(shù)據(jù)保護技術(shù)等，將專業(yè)傳統(tǒng)優(yōu)勢與新興需求相結(jié)合，培養(yǎng)學(xué)生在數(shù)據(jù)全生命周期過程中發(fā)現(xiàn)問題、分析問題、解決問題的能力。

同時，由于DPO需要接觸企業(yè)核心數(shù)據(jù)，宜由企業(yè)中高層管理人員擔(dān)任，但是管理人員不一定具有數(shù)據(jù)保護的專業(yè)背景和知識技能，為此，開設(shè)數(shù)據(jù)保護專業(yè)碩士項目或其他在職進修形式也是一種比較符合DPO崗位特性的教育形式。有關(guān)項目招收非全日制學(xué)生，特別是面向企業(yè)管理人員進行數(shù)據(jù)保護技術(shù)、數(shù)據(jù)保護制度、數(shù)據(jù)分析、數(shù)據(jù)安全評估、數(shù)據(jù)全程管理等的教學(xué)培養(yǎng)。

（3）在培養(yǎng)內(nèi)容上，除了數(shù)據(jù)保護技能本身，也需要培養(yǎng)數(shù)據(jù)獲取能力、數(shù)據(jù)使用能力、數(shù)據(jù)評估能力、數(shù)據(jù)表達能力等覆蓋數(shù)據(jù)周期的全方位能力。數(shù)據(jù)保護要更加注重案例教學(xué)與實踐應(yīng)用，以應(yīng)對不同機構(gòu)不同場景的數(shù)據(jù)保護規(guī)定，讓學(xué)生掌握不同數(shù)據(jù)安全事件的處理方式。建議培養(yǎng)機構(gòu)與已經(jīng)設(shè)置DPO崗位的國內(nèi)外企業(yè)建立合作關(guān)系，提供數(shù)據(jù)保護實踐學(xué)習(xí)基地。在部分課程實施后，可以繼續(xù)展開在線教育、網(wǎng)絡(luò)課程等形式，以應(yīng)對市場對數(shù)據(jù)保護知識越來越大的需求，幫助從業(yè)人員進行繼續(xù)教育，拓展學(xué)習(xí)深度和寬度。從知識、能力、素質(zhì)層面全面培養(yǎng)數(shù)據(jù)人才，亦可以擴大專業(yè)的社會影響力。

（4）在培養(yǎng)方向上，加強對于數(shù)據(jù)保護在不同應(yīng)用領(lǐng)域和場景的拓展。當(dāng)前國內(nèi)圖書館學(xué)與情報學(xué)專業(yè)在面向科學(xué)數(shù)據(jù)管理與監(jiān)護方面已經(jīng)取得了一定的成果，并形成了對圖書館等機構(gòu)科研數(shù)據(jù)管理崗位的理論支撐。而在大數(shù)據(jù)環(huán)境下，政府、企業(yè)乃至社會公民組織與個人的數(shù)據(jù)管理與監(jiān)護同樣表現(xiàn)出旺盛的專業(yè)人才需求，國外數(shù)據(jù)管理專業(yè)的培養(yǎng)方案中也體現(xiàn)了對多元主體的關(guān)注。因此圖書與情報等學(xué)科專業(yè)可以拓展理論視野，關(guān)注學(xué)術(shù)、研發(fā)、商業(yè)、行政、治理及個人隱私保護等不同領(lǐng)域的數(shù)據(jù)生態(tài)和特定需求。因此，可以探索對DPO制度的經(jīng)驗遷移與內(nèi)涵拓展。DPO不僅是一種數(shù)據(jù)管理崗位設(shè)置，而且是一種數(shù)據(jù)治理制度安排。正如21世紀初CIO、CKO等崗位興起時，圖書與情報等專業(yè)就關(guān)注到其背后信息環(huán)境與知識管理模式的變化，探索其對于專業(yè)發(fā)展的帶動作用。作為數(shù)據(jù)治理的重要制度安排，DPO制度與信息治理、政府治理、IT治理、企業(yè)架構(gòu)等都有千絲萬縷的聯(lián)系，圖情學(xué)科可以以點到面拓展分析DPO對組織機構(gòu)相關(guān)部門的影響，以及對業(yè)務(wù)部門帶來的變革，對社會產(chǎn)生的長期效應(yīng)。同樣DPO的角色也并不局限于企業(yè)機構(gòu)，還可以由點及面橫向遷移探索論證學(xué)術(shù)科研機構(gòu)DPO、圖書館DPO、學(xué)科DPO等拓展角色和應(yīng)用空間。

最后，有關(guān)學(xué)科專業(yè)可以積極參與和促進DPO職業(yè)標(biāo)準化和認證體系建設(shè)。DPO作為歐盟相關(guān)組織機構(gòu)的“標(biāo)配”，正凝聚起一批專門的從業(yè)者，并形成配套的行業(yè)標(biāo)準體系、培訓(xùn)認證體系。在個人隱私保護時代對數(shù)據(jù)保護職業(yè)的社會需求將是全球范圍內(nèi)的趨勢，當(dāng)機構(gòu)內(nèi)部人員無法勝任這樣的崗位時，就會外包給專業(yè)人群。因此需要探索完善DPO或相關(guān)職位的準入和認證制度，在早期就做好規(guī)劃控制，保障從業(yè)者的專業(yè)水準與質(zhì)量，避免因市場需求而產(chǎn)生的行業(yè)亂象。在這一過程中，圖書與情報等相關(guān)專業(yè)可以借助在理論研究、教育培養(yǎng)方面的優(yōu)勢，積極參與相關(guān)標(biāo)準和認證體系的建設(shè)，彰顯在數(shù)據(jù)時代的話語權(quán)和功能價值。