美国设专员管理政府部门隐私，值得我们借鉴吗？

隐私权最初主要指一种独处的权利，后来逐渐扩张到对个人资料、个人生理信息、身体、监控、财产、基因等方面的保护，甚至私人谈话也成为了一种隐私。

隐私权之所以不断扩张，原因在于现代社会人们的精神生活越来越丰富，人格更为独立，自主意识日益增强，因此对于保持私人空间的需求更加强烈；其次，随着网络的发展，也使隐私权具有了许多新型的特点和内涵。隐私权从强调个人属性与人身结合的概念，转为为了强化保护个人资料的咨询隐私，特别是在网络环境下，个人生活情报的收集和泄露、对个人身体隐私的窥探、对于生命信息和遗传基因的公开，都成为了现代法律需要重点解决的问题。

基于这些基础，对综合实力更为先进的美国而言，隐私安全治理一定是重中之重，所以美国政府问责局才会火急火燎地提出要在政府机构内部安排专人管理隐私问题，然后再逐渐推向其他领域、其他组织。他们表示，其检查团队的信念是，这样的高管将能够利用内部资源，确保在财务、人力资源、后勤和IT部门的配合下处理隐私问题。本质上，为了保证隐私问题能够得到解决，它必须渗透到组织里的各个部门，而不该仅仅是信息技术一个部门单独面向的。

美国政府问责局的这份综合报告还指出，管理和预算办公室（OMB）的隐私工作人员认为，若能将一名专门的高级隐私官员编入法律法规，这会大大加强政府机构的安全计划，并使他们能够更好地应对各种隐私威胁和挑战。

正如商业格言所说的那样，当权利和责任相一致时，事态才会顺利地进展。综合报告中的观察结果也显示出了同一种情况，即当下正在政府机构中管理隐私问题的团队表示，他们缺乏足够的资源来完成这些工作，比如如何将隐私流程应用于新技术，如何整合隐私和安全控制，如何雇佣隐私人员，等等。同时他们还必须应对，一旦所雇佣的隐私人员接受了正规培训，政府该如何留住这些人员方面的困境。

美国政府问责局关于隐私保护向政府机构提出了64项建议，这64项建议可以在GAO报告中全文阅读。建议可划分为四个主要领域：

1、相关机构和组织需要确定并授权负责隐私工作的高级官员，以确保其个人、部门可以负责隐私工作相关的员工招聘、员工培训和职业规划。

2、许多政府机构的风险管理策略里没有涉及隐私控制，因此要将隐私管理纳入组织的风险管理中。

3、许多政府机构缺乏关于隐私控制、隐私流程、隐私系统的技术和预算，因此有必要指定一名高级隐私官员来审查IT投入状况，以确保隐私管理可得到相应的资源。

4、Silos无处不在，因此在政府中存在Silos，应该不会让任何人感到惊讶。美国政府问责局建议，在负责实施隐私的人员和实施信息安全解决方案的人员之间可以进行一定程度上的协调。

对比到国内，政府机构在开展隐私保护工作时，应先“知己知彼”，充分理解自身所面临的隐私合规监管环境、参考标准，其内安全部门可以同法务合规、风险管理及其他相关部门联合，制定组织的隐私保护管理框架，这样，即使之后会加入新的“隐私部”、“隐私高管”，也不会难以衔接。

同时，政府机构需要对自身的隐私保护成熟度和隐私数据现状进行识别。由于“个人信息的分布难以捉摸”，隐私数据现状识别工作会决定未来整体隐私保护工作落地的质量和有效性。因此，特别需要注意如下几点：

一是明确自身在不同的治理环节、公众服务过程和具体数据活动中的角色，例如分配者、联合控制者、处理者及中央调配者的角色等。由此，明确各方隐私保护职责，并为后续隐私保护管控制定差异化方案。

二是对个人信息进行梳理需要尽可能全面，注意识别个人信息的类型与敏感程度、个人信息全生命周期的情况以及已有的安全保护措施，并且需要考虑涉及的第三方交互和线下情形。

三是除了了解个人信息的分布和流转现状外，也需要了解治理场景、公众服务、系统模块中个人信息处理的目的是什么，是来自于相关运营、监管要求，还是与各提供商签署的合同；四是对于个人信息现状迭代、变化较快的内容，在梳理与识别的同时，也应该规划设计长效维护的梳理机制，确保工作的持续有效性。

在报告发布后，GAO信息技术和网络安全总监Jennifer Franks在博客平台上提出：“现在是时候让所有机构最高级别的领导层都来关注隐私安全了，这些领导应该在组织流程的每一步都充分考虑隐私问题，以便部署新技术和收集个人信息时可以采取有效的保护措施。”

在此普及隐私权和个人信息保护在我国的差异。首先是权益属性不同，受法律保护的强度存在差异。隐私权作为一项具体的人格权，性质上属于绝对权和支配权，具有对世效力。任何组织或个人都必须尊重隐私权，不得对之加以侵害或妨碍。个人信息权益并非具体人格权，更非绝对权和支配权，只是一种受到法律保护的人格利益。

其次，商业化利用上不同。隐私权人可以自行处分权利，如自行在网络上或向媒体公开其私密信息，但隐私是不能许可他人使用的。因为隐私权主要是消极防御的功能，不具有积极利用的权能。对于隐私的许可使用会出现违反法律、行政法规的强制性规定或者公序良俗的后果。个人信息中则可以许可他人使用。

此外，美国政府问责局信息技术和网络安全主管玛丽索尔·克鲁兹·凯恩（Marisol Cruz Cain）指出，管理和预算办公室也可以通过继续促进各机构之间的重要对话和信息共享，来帮助隐私安全这项工作的建设。

美国政府问责局提出，政府CISO和机构负责人应考虑如何实施这些建议，并将所需的以隐私为重点的行政职位纳入其中，其本质上是在跟进行业的隐私管理机制，同时需要更多关注如何创建首席隐私官。

当下，国内隐私权不仅得到了民事基本法律的承认，而且逐渐从民事领域上升到了宪政领域，成为了宪法性权力。我国2020年颁布的民法典虽然高度重视隐私权，在人格权编第六章中对隐私权和个人信息保护以专章形式进行了规定，但主要侧重点仍然是传统的个人隐私，没有凸显大数据时代隐私权的特点，也没有予以特别规定，对大数据时代隐私权的关注显然不够。

因此，接下去隐私保护的趋势之一就是需要制定单行的大数据时代隐私权保护规定，或者对民法典人格权编颁布针对大数据时代隐私权的司法解释，以满足大数据时代隐私权保护提出的特殊要求。

当然，变化多端的网络环境也带来了诸多挑战。比如，大数据时代下，侵犯隐私权的行为方式更加多样化，黑客人员对互联网平台的攻击，会大范围窃取人们的网络信息并造成巨大的损失；再比如，大数据技术使得个人隐私的获取变得更加轻而易举，如果没有更严格的限制，隐私权侵权将变得更加普遍；同时，由于我国缺少隐私权保护的文化，公民对隐私权保护的意识普遍不高，在大数据的推波助澜下，隐私权的被侵犯范围会随之扩大。

因此，这就需要从政府开始着重这些文化环境的演变，从上至下促进隐私安全的保护机制，这样才能在数字化转型的飞速发展中，不让攻击者有机可乘。

对于政府机构是否需要专员来管理隐私政策，如何落实和建设才能达到最好的效果，国内安全专家如此建议。

某电商公司安全专家杨文斌表示，政府机构作为服务民生的重要的单位，在工作开展过程中大量的应用收集个人隐私数据，如果对隐私数据的处理不到位，将造成不可估量的后果。政府机构在隐私数据收集方面有天然的优势，当然也是把双刃剑，导致公民的数据非常大数量级的存储在政府机构，如果没有妥善管理，一旦发生数据泄露，将不仅仅是个人隐私问题，很可能涉及国家安全。

因此隐私数据的专人专岗就显得尤为重要了，特殊的使用审批流程和分发流程，甚至是在使用后的销毁都需要专人执行，全流程开展隐私数据保护。

在落实和建设方面，杨文斌指出，隐私安全来源于人，最终也将归宿于人，人是隐私安全中最核心的要素。作为安全负责人，首先应从内部员工出发，加强培养员工的隐私安全保护意识，了解需要关注的隐私风险场景，在隐私泄露之前杜绝异常行为，使得员工在办公期间或者是日常生活中不会因个人原因导致隐私数据被泄露。

其次是加强企业业务系统的隐私安全防护，重点关注核心业务系统中涉及隐私数据的功能和接口，做好防范和管控，采用必要的安全防护措施防止客户的隐私数据从企业角度泄露。再者是从业务视角唤起客户对自身隐私的保护意识，虽然这一步比较难，但需要加入到安全思考队列中，引导全民强化隐私安全。

除此之外，杨文斌在安全方面个人的思考，也希望安全界的各位同僚能引起重视。他指出，一方面是安全厂商和甲方用户之间诉求的不对称，安全产品本应是以解决用户痛点或需求为前提，更多的安全设备或解决方案是大而全，看着更像是在拉赞助，营销人员在沟通过程中直接阐述自己产品的高大上，而没有认真听取客户的需求；另一方面安全不是目标，是手段或工具，企业以发展为前提，业务是主导，安全为其保驾护航，如何将有限的安全资源发挥最大的安全价值是安全从业者需要思考的，未来不再是“不出现安全问题就好”这种自保思维，而需要在投入和产出中寻求最优解，以业务的思维来干安全工作。

某能源集团CISO刘凯同样认为，政府机构必须配备专员管理隐私。因为政府机构也是数据隐私的持有者和运营者，例如他们所拥有的居民信息，因此从自身需求出发必须要配备专岗。而除了自身需求，更重要的是要以身作则，身先士卒，发挥榜样的力量，各行各业才能随之动起来、落下去。

至于该如何建设和落地，刘凯指出，一是参考国家标准、行业最佳实践快速着手，二是结合业务场景分批次、分重点闭环小能力，三是业务隐私安全需求逐步全量叠加积累。总体上，一句话总结：小步快跑多试错。