dpc是什么工作（主要承担什么工作）

数据安全和隐私保护是当今大数据时代的主流课题。数据安全问题面临着越来越严格的监管要求、越来越多样化的威胁和挑战。

数据安全保护的讨论和政策合规趋势也让大众开始更多地意识到个人隐私数据的重要性。企业有义务控制滥用和误用数据等风险的发生。

而在企业中，有这样一个岗位——Data Protection Officer，简称DPO，中文一般译成数据安全保护官。DPO承担着建立和管理企业的数据保护和数据合规的工作。

DPO发展简史

DPO 一词，最早来源于 GDPR（《（欧洲）通用数据保护法规》）中关于企业必须要设置数据安全责任人（也即 DPO）的规定，在中国的个人信息保护法（以下简称“PIPL”）中也有类似的规定。

在有些成熟企业里也有CSO（Chief Security Officer，首席安全官）或者 CISO（Chief Information/Security Officer）的同类项管理职位。因为目前企业最急迫的数据安全需求通常来自于个人信息和个人隐私保护，所以消费品企业通常把 DPO 翻译成首席隐私官，来凸显个人信息保护合规的重要性。

早在2000年开始，欧美国家已有至少数百家公司设有 DPO 的职位。欧盟 GDPR 根本性地改变了全球范围内隐私保护的管理模式。

因为欧盟要求境内的政府部门、大规模处理和监控特定数据或敏感个人信息的企业内，均应设立有 DPO 职位（GDPR 第37-39 条）；须由具备法律和相关实践的专业知识的人担任；须有能力建立和管理企业的数据保护和数据合规工作；独立于并直接向企业管理层汇报。

2021 年开始，随着国内各地方政府陆续出台数据条例、首席数据官制度试点方案，与 DPO 岗位职责相似的首席数据官、数据合规官等概念越来越多的出现在各地政府颁布的文件中，例如 2020 年 3 月份发布，10 月份生效的《信息安全技术 - 个人信息安全规范》的第 11.1 条明确了“已处理超过 100 万人的个人信息，或预计在未来 12 个月内处理超过 100万人的个人信息，以及处理超过 10 万人的个人敏感信息的的组织，应设立专职的个人信息保护负责人和机构”。

企业为什么需要DPO？

首要是法律和监管的合规要求。随着近几年来我国数据安全相关法律法规体系的完善和落地，合规需求将在很长一段时间内成为企业数据安全能力建设的主要驱动力。

其次是数据安全风险事件和业务发展驱动，随着网络威胁和数据泄漏事件数量的不断增长，以及企业数字化转型攻击面的增大，数据安全事件和业务发展驱动的占比不断提高。企业对数据安全与业务发展有了更为深入的认知，如果发生了数据安全风险事件，企业可能会面临高额的政府和监管的罚款，数据泄露也会损害个人隐私、企业合法权益，甚至严重时危害国家安全。

《2022 年中国企业数据安全现状调查报告》的调研结果显示，约四分之一（27%）的受访企业安全主管承认发生过较大数据安全事件。考虑可能存在企业瞒报、少报的情况，这个比例将更高。

再次是数据安全和隐私保护的合规难度和成本在不断加大，企业如果不提前规划建设数据安全能力，未来会面临越来越高的风险和成本。DPO 需要帮助企业建设完整的数据安全技术体系、数据安全管理体系以及运营体系，才能在长期范围内用更少的成本做到业务风险可控。

DPO面临的挑战：既要、又要、还要

创建一个综合的企业级的数据安全和隐私保护体系，对 DPO 们来说是极大的挑战。DPO 既要考虑监管越来越严格的监管要求，也要管理好内部的组织问题。同时，还要保持其有效运转，以保障数据资产的全链安全及业务的合规增长，是DPO最核心的职责。

简而言之，既要合规，又要安全，还要生意。因此，在DPO的日常工作中，必须与多方通力协作，来应对综合性的挑战：

首先，满足合规需求、规避经营风险，这是企业顺利开展业务的基线要求。从法律法规出发，DPO需与法务、律所等专业人员来探讨并制定合规策略。

其二，找到安全投入与生意的动态平衡。一方面，确保安全合规的动作不影响业务正常进行，另一方面，也要控制成本，避免过度投入对企业经营造成的负担。在这个层面，DPO需与业务部门保持紧密沟通，让安全合规深入业务场景。

其三，实现数据安全的技术落地。DPO需与数据安全工程师及数据安全供应商协同，建立数据安全技术策略，从产品、架构等多维度落地实践。

如果说DPO是企业的数据安全首要责任人，“数据安全合规”这个命题则值得企业每个环节、每个部门及企业的合作伙伴、相关服务商关注。

数据安全是以数据为中心的安全，是从采集、传输、存储、处理到共享、销毁，覆盖数据全生命周期的安全，是数据的随身保镖，数据流到哪里，安全就覆盖到哪里。而且，数据安全是通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力，是大数据时代值得国家、企业和个体关注的安全。

因此，企业要关注数据安全，并通过产品、组织等多层面投入和落地。