香港公司

首席隱私官

9547 171

首席隱私官(Chief Privacy Officer,CPO)

首席隱私官概述

  在1999~2000 年間一度出現的新頭銜—— CPO(Chief Privacy Officer,首席隱私執行官),因2000~2003年間的經濟停滯不前而被中止了。隨著美國公司面臨要實施更多的與隱私有關的條例和法令,CPO再次出現在人們的面前。他不僅要領導公司執行聯邦和州政府以及行業中各種有關保護隱私性的條例和法令,而還要積極處理公司內外與種族、競爭和戰略有關的隱私問題。在信息時代,處理好與公司內IT 部門的關係對 CPO來說至關重要,因為當今的隱私問題與公司的信息系統緊密相連。最好的隱私政策如果沒有IT系統的支持,將是一事無成。據統計,美國最大的公司,如花旗集團、美國運通、美洲銀行、惠普、微軟等都已設置了公司CPO。

  首席隱私官是指專門負責處理與用戶隱私權相關事宜的人,CPO直接對企業的最高領導人負責。隱私官的任務是處理內部和外部隱私事務,內部事務包括政策的制定、展開和適應及同公司現有及過去員工的聯繫,外部事務包括公司和其他商家及公共領域、股東、客戶、媒體的交流。

  這是一個具有互聯網特色的職位。隨著電子商務

的發展,越來越多的用戶的私密信息被記錄在電腦中。雖然詳盡的統計細節資料可以幫助商家更好地進行商品和服務銷售,但是,商家使用這類信息需要冷靜及尊重消費者的意見。基於此,一些有責任心的企業認識到有必要讓專人來負責建立和維護隱私政策。一般的理解認為,互聯網隱私保護使用的是技術手段,但隱私專家說,隱私問題更多的是一個管理問題。隱私官將能在個人對隱私的需求和公司以合理手段使用隱私材料的權利之間,建立適當的平衡關係。

  綜觀北美地區,大的公司和正在發展的小公司都認識到,需要有人來負責建立和維護隱私政策。但隱私專家說,直到最近,這個角色還被大大誤解。其實隱私不再是技術問題,而已經是一個管理的問題了。一個發揮作用的隱私官將能在個人對隱私的需求和公司以合理手段使用隱私材料的權利之間,建立適當的平衡關係。

  Richard Smith,隱私組織(Privacy Foundation)首席技術官,描述首席隱私官為“多面手”。首席隱私官的責任非常寬,象Pearson需要為IBM制定隱私政策,並和軟體與技術隊伍一起工作,保證公司的產品能符合隱私標準。不過,隱私權監督組織對新出現的CPO一職卻是喜憂參半:例如,線上廣告公司Double Click

聘請了一位CPO 之後,對隱私權方面的問題變得更加敏感。也有人戲稱,Double Click聘請一位首席隱私官,就如同菲利普·莫裡斯公司(著名煙草企業)聘請一位首席健康官一樣。

  微軟的首席隱私官理查德.普賽爾(Richard Purcell)認為,他的工作可以分成三部分:提出公司的數據保密政策,監督公司的業務發展以確保公司開發的新程式保護用戶的隱私權,以及培訓公司員工。他開玩笑說,每部分工作都占我工作的百分之八十,如果加起來,全部工作就成了百分之二百四十。他說,微軟正在試圖將其數據保密工作融入公司業務的每一部分。他們最近對其Explorer瀏覽器進行了顯著改進,允許使用者決定將多少個人信息在瀏覽網站時公開。

  在IBM設立首席隱私官的影響力是十分巨大,它的最新舉動可能建立和支持一個新的執行官角色。一個發揮能力的隱私官將能在個人對隱私的需求和IBM以合理手段使用隱私材料的權利之間建立適當的平衡關係。

  隱私咨詢公司Junkbusters的創始人詹森.凱特立特(Jason Catlett)指出,首席隱私官的出現會自然而然有助於隱私保密的想法是不現實的,但隱私權的提倡者則認為這個改變是真實並永久的,有許多工作需要隱私官員們去做。但是2001年電腦自由和隱私會議的召開引起了人們對隱私的重視,討論會的組織者將分發獎項給最大的隱私侵犯者和互聯網先驅,看來這個新職位近期將有很大的需求呢。

首席隱私官的曇花一現?

  從1999年到2000年,在美國,許多行政主管辦公室出現了一個新的職位: 首席隱私官(CPO)。對此,眾人反響不一。有些CIO和分析師對企業隱私官表示歡迎,而懷疑人士認為短時盛行的CPO說白了就是公關人員,惟一的職責就是消除消費者在隱私方面的憂慮。

  2000年到2003年的經濟衰退使得剛興起的CPO潮流戛然而止。“在過去的幾年裡,除了CPO非有不可的行業外,公司面對經濟現狀,很難引入這方面的人員,”Herman Collins說,他是總部設在拉斯維加斯的專門物色隱私專業人員的獵頭公司 Privacy Leaders的CEO。

  但風向已變。如今經濟形勢好轉,招聘方面的限制也在放鬆,而且美國公司面臨與隱私權有關的眾多法規,其中包括《健康保險可攜性及責任性法案》(HIPAA)和《金融服務現代化法案》。

  在這種變化的背景下,現在是時候打量一下CPO的地位了。

  讓人措手不及的法規

  據企業隱私專家聲稱,諸多聯邦法規對企業產生了重大而出乎意料的影響,譬如HIPAA、《薩班斯-奧克斯利法案》、《公平信用報告法》和《金融服務現代化法案》。這些法規根本沒有帶來第二股CPO熱潮,反而導致出現了圍繞隱私權的兩大陣營:

  ● 一是“典型CPO”陣營,他們提倡聘請真正的企業隱私官員,負責積極主動地考慮隱私對道德、競爭及戰略帶來的影響。

  ● 二是“法規遵從至上”陣營,他們專註於滿足聯邦、行業和州的各項隱私法規的要求。

  外界廣泛認為,人們之所以特別重視法規遵從,是因為隱私法規數量激增,加上資源有限,失望的典型CPO擁護者更是這麼認為。總部設在新澤西州的非營利組織Privacy & American Business的會長Alan F. Westin說: “在隱私方面,大多數公司已從基於積極採取措施、註重競爭優勢及建立客戶信任的方法,改為專門關註法規遵從這項工作。這使得權力從CPO轉向法律人員。”

  西雅圖咨詢公司企業隱私組織的CEO Richard Purcell同意此說。Purcell曾竭力要求微軟公司設立CPO職位,並且從2000年到2003年初擔任該公司的首任CPO。Purcell說: “遺憾的是,因出現了HIPAA這些法規,隱私官員成了僅僅只是為了遵從法規的職位,而不是具有主動性或者戰略性。我敢說,這有悖於設立CPO的初衷: 更具創新和挑戰性。”

  法規遵從驅動的隱私措施方面的一個典例就是HIPAA要求: 與醫療有關的任何公司都要設立隱私官員。這不僅包括各大醫院聯營集團,還包括“只有七個人的牙科診所,”Purcell說。因而CPO的隊伍在日益龐大,但很難發現這個新職位在促進這項事業的發展。

  一家主要的CPO組織——總部設在費城的隱私權專家國際協會(International Association of Privacy Professionals)大約有1000名成員。因為隱私團體之間的合併,很難進行同類比較。不過Westin說,具有戰略地位的CPO其數量增長在 2001年達到了穩定水平。他認為,美國如今大約有2000名CPO,但大多數只是為了遵從HIPAA而臨時設立的崗位。

  不過,CPO方面不乏重量級公司: 隸屬Privacy & American Business的隱私權領導組織由160名典型CPO組成。Westin稱之為“具有戰略地位的CPO”,他們來自花旗集團公司、美國運通、美國銀行、美國郵政管理局、全美互助保險公司Equifax Inc.、惠普和微軟等知名公司。自2001年以來,幾乎所有這些企業都設有CPO。

  影響力至關重要

  在信息時代,CPO與其所在組織的IT部門之間的關係顯然很重要。Ponemon Institute LLC是亞利桑那州專門從事企業隱私問題咨詢的智囊團,最近它對設有CPO的64家公司進行了調查。據這家機構的主席Larry Ponemon聲稱,“CPO至少與CIO有著間接報告關係”的公司制定的隱私項目往往更有效。

  Ponemon又說,主要原因在於,隱私政策與IT職能密切相關,以至如果IT部門不以可靠、重覆的方式實施,隱私政策再好也是白搭。Westin說: “公司面臨的許多難題也在轉向CIO。他們的系統必須能夠跟蹤選項和謝絕來電電話目錄等,還要設法想出更安全的方法來識別顧客及消費者的身份,尤其是為了控制身份失竊現象。”

  以前的CPO們和隱私專家們說,這種關係隨公司的不同而大不相同,幾乎完全依賴CPO的背景和個性。

  微軟前CPO Purcell說: “我稱這種關係是‘相差極大’。IT人員擁有的職銜和證書是可以證實的。他們與隱私官員往往相處不好,因為後者沒有客觀的證書。CPO可能來自法律、法規遵從或人力資源等部門。”許多CIO沒有認可隱私官員的角色,一方面就是由於兩者之間存在脫節,“除非明智的CPO成立工作委員會,讓CIO加入隱私任務組當中,”Westin說。

  有一點似乎很顯然: 正如Westin所說,不管CPO將來如何,“在明智的公司,CIO總是沖在最前面,而最前面的往往涉及隱私問題。”

首席隱私官的產業趨勢?

  作為最大互聯網廣告公司DoubleClick的首席隱私官波隆奈特斯基(Polonetsky)有著撤銷與一些互聯網公司之間合同的生殺大權,如果這些公司無法履行DoubleClick的協議去保護用戶的隱私。波隆奈特斯基先生說,近幾周,他已經取消了與五六個公司的合作合同。因為這幾家公司沒有達到DoubleClick的要求,在這些合作公司的網站上有明顯的用戶隱私網頁,並可以輕而易舉地篩選用戶數據。當然這在與 DoubleClick合作的數千家公司中之占了很小的一部分。但是在這個互聯網經濟愈發不景氣的時期,他們將業務拒之門外是頗為引人註意的。

  DoubleClick的工作是在數千個網站上向用戶發佈各式廣告。但是最近DoubleClick已遭到公眾的批評,因為他們認為它過度跟蹤了用戶的網上行蹤。該公司堅決否認他們的行為侵犯了用戶的隱私。儘管聯邦商業委員會已經放棄對此進行調查,但是該公司可能要面對州律師團的共同起訴。現在,DoubleClick正在加倍努力去營造一種氛圍,說明他們是保護個人隱私的。

  儘管DoubleClick強調隱私權的重要性的努力引起了人們廣泛註意,但他們決不是執行這一使命的唯一一家公司。象波隆奈特斯基這樣的隱私官員在公司的行政管理層越來越普遍,當然並不僅限於互聯網公司。最近幾個月,IBM,AT&T和柯達等大公司也先後任命了他們各自的首席隱私官。 “隱私權和美國經濟”(Privacy and American Business)組織負責對隱私官員進行職業培訓的艾倫.維斯廷(Alan F. Westin)說,美國現在已有至少100個此類官員,年薪12萬5千到17萬5千美元,預計明年可能會有500到1000個此類官員。

  IBM的首席隱私官哈立特.皮爾森(Harriet Pearson)比較了現在和原來沒有此類官員時的情況。人們可能還記得原先曾經盛行,之後又消失了的負責質量管理的副總裁和公司的首席知識官,沒準今天的首席隱私官也只是這個月的一種時尚,有這樣的想法不足為怪的。儘管隱私咨詢公司Junkbusters的創始人詹森.凱特立特(Jason Catlett)指出,首席隱私官的出現會自然而然有助於隱私保密的想法是不現實的,但隱私權的提倡者則認為這個改變是真實並永久的,有許多工作需要隱私官員們去做。 

  位於華盛頓的一個政策團體電子隱私信息中心(Electronic Privacy Information Center)的負責人馬克.羅滕博格(Marc Rotenberg)稱贊說,這是一個有著重大意義的進步,這會成為商業活動的一個主流。在過去,羅滕博格經常批評商業和政府的侵犯隱私權方面的錯誤。

  位於馬薩諸塞州沃爾瑟姆的Bentley學院的管理和信息技術方面的教授瑪麗.科爾南(Mary Culnan)認為,商業游戲的規則已經改變了,公司已經已不再僅僅意識到要發現保護隱私方面的錯誤,而且開始努力尋找合法的使用用戶個人信息的方法,同時保證使用戶滿意。不再會有那些破壞個人隱私方面的驚人消息了。

  此前,曾經發生過如下的公司侵犯個人隱私的事件。去年,DoubleClick遭受了猛烈的抨擊,因為他們設法將其購併的記錄用戶郵購目錄的 Abacus Direct公司的資料庫與自己的用戶資料庫合併。後來,DoubleClick放棄了合併資料庫的計劃。當RealNetworks公司的 RealJukebox互聯網音樂下載軟體被髮現跟蹤用戶的選擇曲目後,該公司被迫向使用者道歉並修改了其數據採集方法。微軟則因在Windows 98的操作系統中添加了一個個人識別碼,遭到了隱私權擁護者的反對。批評者抨擊說,這種識別碼象姓名標簽一樣可以在虛擬空間跟蹤每一個人的行動。微軟後來修改了該操作系統的註冊程式,取消了識別碼。美國Bancorp在將用戶信息賣給了一家直銷公司後,向Minnesota賠償了300萬美元。

  維斯廷說,避免這類事件只是首席隱私官的一部分工作,他們的工作還包括其它許多事情。對於不同的公司來說,首席隱私官的工作也有所不同。但首席隱私官的主要任務是要使公司的行為符合地方、州、聯邦和國際涉及隱私權利的法規和制度。單就美國來講,財政部門正在困難地履行Gramm-Leach- Bliley法案。該法案要求銀行、證券公司和保險公司對於用戶信息的使用進行保密控制。在柯林頓執政的最後期間所發佈的新的健康隱私規章要求,保險和醫療公司要設立保密隱私官員,監督公司符合隱私法的情況。

國會已經把隱私保護作為一個重要議題,一些隱私官員將與立法者共同工作,以幫助制定隱私法案。有12個新議案是關於隱私問題的。馬薩諸塞的民主黨議員愛德華.馬凱(Edward Markey)預言隱私權將成為這十年間民權的主要爭論點。維斯廷認為,如果首席隱私官們真的開始工作了的話,那麼與立法機構的合作就將是一次重要的檢驗。

  勞倫斯.鮑門(Lawrence A. Ponemon)認為公司如果只是為了裝樣子,而任命了一個無能的首席隱私官,該公司將面臨一場災難。鮑門目前負責調查侵犯隱私權的問題,並且進行隱私權實施的監督,幫助公司們發現他們政策實施中的錯誤和弱點。他指出,必須承認,超過百分之五十的公司已經任命了自己的首席隱私官,但是他們並沒有在有效的工作。因此這隻是一種空洞的承諾。而隱私官員則稱自己的工作是正在進行中。

  在DoubleClick,波隆奈特斯基和他的五個手下正在監控著每個合作網站,以確保他們符合DoubleClick的保密要求。波隆奈特斯基被任命為紐約市消費者事務部門的委員。他說,將在DoubleClick所擁有的數千個合作網站採用DoubleClick的保密標準,因為任何一個醜聞都會引起消費者對網上做生意的擔心。他拒絕提供已取消合同的公司的名單,只是說,只有極小部分公司沒有達到要求。

  微軟的首席隱私官理查德.普賽爾(Richard Purcell)認為,他的工作可以分成三部分:提出公司的數據保密政策,監督公司的業務發展以確保公司開發的新程式保護用戶的隱私權,以及培訓公司員工。他開玩笑說,每部分工作都占我工作的百分之八十,如果加起來,全部工作就成了百分之二百四十。他說,微軟正在試圖將其數據保密工作融入公司業務的每一部分。他們最近對其Explorer瀏覽器進行了顯著改進,允許使用者決定將多少個人信息在瀏覽網站時公開。

  對於隱私權是其核心業務的公司,首席隱私官的角色是尤其重要的。斯蒂芬妮.皮銳(Stephanie Perrin)在進入位於蒙特利爾的Zero-Knowledge Systems公司前,曾是加拿大的一名隱私權的監督官員。Zero-Knowledge Systems主要銷售一些特殊產品以幫助用戶在互聯網漫游時受到高科技數字“簽名”的保護,從而無法追蹤其網上行蹤。皮銳說,對於這樣的公司,任命首席隱私官是一個重要的決定。很明顯,首席隱私官不應來自於司法部門。律師能夠很好的確保公司履行隱私的相關法律,但是一個首席隱私官將比單純的履行法律做更多的工作。除了法律以外,他們還要對道德問題作出基本的承諾。保護隱私可不是一個還買賣。人們正在構建信息時代,嚴肅地對待隱私問題是十分重要的。人們應將隱私權視為一項人權,而不是被寵壞了的北美人面前的一個“奢侈品”。

  首席隱私官不止是單單為互聯網公司服務。任何有關於用戶信息的業務都應該認真的對待這個問題,莎莉.科萬(Sally Cowan)說。她現在正從事美國運通(American Express)的保密事項的運作。對於美國運通,隱私並不是什麼新的熱點問題。在1991年,該公司就首次制定了一系列的涉及個人隱私的條款,並且在 1998年作為首批公司之一在網頁上公開了自己的個人隱私條款。對保護隱私權的認知使美國運通增添了新的服務項目,使消費者使用美國運通卡線上購買物品時,其身份得到保護。科爾南(Culnan)教授對美國運通將隱私權的保護作為競爭的一種優勢大家贊許,他認為,這樣做可以使運通比其他公司更有優勢。

  IBM的首席隱私官皮爾森(Pearson)小姐說。在大公司里,隱私官員的工作涉及大量的疏通工作,因為在公司業務的各個部分之間會發生衝突。她說,公司內部展開了在網路上做廣告問題的激烈討論。討論的焦點是是否使用IBM以外的另一家公司去向用戶發送廣告。這將是具有爭議的行動,因為它將意味著用戶資料將被第三方使用,但通常又沒有得到用戶的同意。皮爾森小姐回憶說,在一次會議上,IBM的一名市場主管強烈要求建立市場聯盟。但來自於公司公共關係部的主管辯駁道,公司無法承受這種事情的損失,名譽將是一切。皮爾森小姐作為一名與會者警告說,這類問題正在華盛頓引起爭論,在問題最終解決前, IBM最好遠離此類問題。最終IBM決定沒有使用其它網路公司刊登它的廣告。

  這種內部的爭論可能是有關隱私問題更大的戰役的前奏曲,足以檢驗隱私官員這個新軍團戰鬥的勇氣和實力。隱私權利顧問維斯廷已經註意到,有幾十公司將被私人律師和州律師團控告侵犯消費者的隱私權,其中包括RealNetworks、Toys"R"Us公司和大批藥廠。