1.6　与数据有关的角色和职责

为了维护成功且最新的隐私计划，企业必须：

●确定负责解决隐私保护的角色。

●保护个人及其相关的数据。

●在整个企业的各个层级上维护该计划。

●在包括数据、系统和应用程序的整个生命周期中为该计划提供支持。

从历史上看，解决隐私问题是法务部的唯一责任，偶尔由市场营销部门来承担。随着隐私泄露事件的类型越来越多样化，再加上新兴技术创建了更多类型的个人数据，仅由法务部和市场营销部门来处理数据隐私问题被视为目光短浅的做法。如果仅由法务部处理隐私问题，会让企业的很多领域变得脆弱。

在许多企业中，负责隐私保护的人与负责信息安全的人是分开的。通常，这些部门并不了解他们之间的关系。30

隐私保护是整个企业的责任。为成功解决隐私问题，企业必须积极有效地整合企业隐私管理战略与信息安全管理架构。负责数据隐私的人员和负责信息安全的人员必须保持密切的联系和沟通。否则，会在实践和技术方面出现破坏性冲突。例如：

●安全控制或 IT 架构的变更可能影响隐私风险水平。

●在实施隐私控制时，通常需要实施信息安全技术和控制措施。

●如果一个职能部门假设另一个职能部门会处理合规性问题，可能出现合规性缺口。

人力资源、法务、IT、数据管理、软件开发和变更管理等职能部门在各自部门支持的主要隐私保护工作中扮演着关键角色。负责所在部门隐私问题的人员需要了解并确定在其职责范围内适用的个人信息和隐私保护法律要求。

在审查和制定信息安全和隐私政策时，必须让企业所有业务部门的利益相关方参与其中。公司层面有负责公司隐私管理、数据保护和法律问题的角色。

所有这些企业团队需要相互协作，以便企业级角色掌握整个企业的隐私管理、数据保护和法律需求。之后，企业级角色便可确定如何满足企业的隐私和信息安全要求。

对企业隐私和数据保护角色的关键要求包括：31

●了解如何识别隐私风险、隐私危害和相关法律要求。

●了解企业的隐私和数据保护政策。

●了解并在角色的职责范围内创建符合隐私政策的程序。

●使用企业选择的隐私原则和框架来实施隐私政策并创建相关的隐私保护措施。

●在整个企业隐私管理计划中记录并支持隐私原则及支持隐私保护。

在过去几十年中，涌现出各种各样的关于数据保护和隐私的角色和职责。图 1.5 列出了一些较常见的角色和职责。

企业可能需要根据其企业服务、产品、行业和地点来设置更多特定的隐私角色。隐私角色的例子包括：

●产品隐私官：与采购团队合作，确保企业采购的产品和服务满足必要的隐私要求。

●隐私管理员：遵循相关程序以支持满足实施隐私保护的要求。

●隐私合规和审计官：确保实施并持续满足隐私要求。

在小型企业中，这些不同角色所涵盖的任务职责可以（而且通常必须）由隐私经理或适合特定类型企业的其他角色来承担。

前面列出的隐私角色和结构适用于已经达到一定规模和组织复杂度的企业；处理个人信息或管理可揭示特定个人生活情况的信息；或者使用大数据分析、人工智能或来自智能设备的数据。

对于大型企业或需要更加注重隐私的企业，适合采用更精细周密的隐私部门结构，而且可以在所列角色之外增加其他隐私团队和角色。

为增加员工的责任感并激发他们的动力，促使他们了解并遵守安全和隐私要求，应将相关角色的数据保护和隐私职责纳入：

●正式记录的工作描述。

●雇佣协议。

●隐私政策意识确认文件。

业务部门经理可以通过正式的工作描述与员工传达一般和特定的隐私安全角色与职责。所有员工、管理人员和承包商都应遵守隐私政策、安全政策和可接受使用政策，并保护机构的信息和网络资产。32

对于主要工作职能不包括严格的信息安全和隐私工作，但需要处理、访问或以其他方式使用个人信息的人员，应该在工作职能中具体指出他们在维护安全和隐私方面的职责。所有承包商和顾问的合同都应包括信息安全和隐私职责，而企业应考虑根据所列的责任和要求提供合规奖金或违规罚款。33