为什么企业安全部门普遍较小？

孙琦：安全部门作为企业的成本中心、非盈利部门，它的扩张一定是按照节奏一步一步来。在我所有服务过的企业中，安全团队都是循序渐进的扩张。人多人少取决于企业业务的实际发展。至于为什么安全团队人数很少，这基于当前所面临的商业环境，虽然看上去安全所面临的威胁有很多，但是并不足以支撑企业付出较大的成本去进行直面的对抗。

招聘时所遇到的最大难题

李维春：由于大多数企业的安全团队都是小团队，因此在招聘时更希望对方的综合能力很强，既具有较强的技术能力，还要有比较好的沟通协作和组织推动能力。但具有这些能力的人才薪资待遇要求也会比较高，这样的人往往会考虑大的互联网公司或金融公司，所以面试很看缘分。

校招和社招的考量

刘歆轶：安全人员有一个比较大的前提是要对企业业务足够了解，对基于这些业务的IT技术也要有足够的认知。在此基础上才能有足够的安全意识并采用恰当的控制措施。因此，安全人才往往都是比较全面的，所以很多安全人员都是IT出身，因为这能够对企业的信息化和业务都能够有充分的了解。所以我个人更偏向于已经具备经验的人员，刚毕业的学生直接做安全可能比较艰难。

面试阶段应该预留紧急联系人吗？

刘歆轶：我作为公司的DPO，对于这方面还是比较了解的。现在个人隐私的概念和个保法或GDPR所规定的内容还是有一定区别。就个保法而言，个人信息可以分为两种，一是个人数据，即可识别或已识别的个人信息，可以唯一关联到个人，例如身份证号、驾照号码、车牌号、手机号、邮箱等，这方面数据在使用前需要授权。二是敏感数据或敏感信息，这种需要独立与数据主体签署同意采集并使用的协议，国际上这方面信息包括宗教信仰、政治取向、遗传信息等等，我国又增加了金融账号、行动轨迹及14岁以下的个人信息。这类信息有更加严格的管控要求，未经明确、单独的授权是不允许触碰的。

紧急联系人并不属于敏感数据，它属于个人数据，个人数据的处理有六大合法理由。第一是主体同意，签字授权或主动授权即可使用；第二是履行合同义务，双方签订合同后，企业为了履行合同义务即可使用；第三是法定义务，例如公司为了发工资，所以采集了员工银行账号；第四是公共利益，例如疫情原因采集员工信息；第五是为了正常开展企业业务即可使用，第六是保护主体。企业采集紧急联系人是在对方出现意外时可以及时通知，所以可以采集，但要主体知情同意并授权。面试时往往不需要填写这些信息，因为还未签订正式合同，双方并没有法定义务关系，所以我认为没有必要在面试时提供联系人信息。

如何帮助人事部门规避信息安全风险？

李维春：我认为要抓住《个人信息保护法》作为切入点，因为在个保法落实到企业中，最终落地只有两个方面，一个是用户信息，另一个是员工信息，员工信息绝大多数会落实到人事部门，少量可能会落实到工会、党群等部门。

基于对员工信息的保护，首先要遵照个保法的规定，即采集前要征得员工统一，在流转时要经过授权，并遵循最小化原则。在这个过程中，信息安全部门要和人事部门一起制定规则，帮助他们符合法律法规和行业监管的要求，另一方面还要提供一些工具，保障人事部门更好地完成信息的采集和处理，最后还要确定由哪个部门监督，例如合规、审计等，保证员工信息保护形成一个闭环。