“DPO需要帮企业建设完整的数据安全技术体系、数据安全管理体系以及运营体系，才能在长期范围内用更少的成本做到业务风险可控。”

  这个职位的设定最早来源于GDPR（《（欧盟）通用数据保护条例》）要求企业一定设置数据安全责任人。在中国的《个人隐私信息保护法》（下文简称PIPL）中，亦有类似规定。

  创建一个企业级的数据安全和隐私保护体系，并保持其有效运转，以保障数据资产的全链安全及业务的合规增长，是DPO最核心的职责。

  首先，满足合规需求、规避经营风险，这是企业顺利开展业务的基线要求。从法律和法规出发，DPO需与法务、律所等专业技术人员来探讨并制定合规策略。

  其二，找到安全投入与生意的动态平衡。一方面，确保安全合规的动作不影响业务正常进行，另一方面，也要控制成本，避免过度投入对企业经营造成的负担。在这个层面，DPO需与业务部门保持紧密沟通，让安全合规深入业务场景。

  其三，实现数据安全的技术落地。DPO需与数据安全工程师及数据安全供应商协同，建立数据安全技术策略，从产品、架构等多维度落地实践。

  如果说DPO是企业的数据安全首要责任人，“数据安全合规”这个命题则值得企业每个环节、每个部门及企业的合作伙伴、相关服务商关注。

  拆解DPO极具综合性和复杂度的工作，大概能从管理、技术、基础三大要素来规划：

  包括但不限于隐私政策的设置（从文本拟定到功能实现）、经营备案与安全认证、企业安全管理制度等。旨在从管理层面满足数据相关法律和法规要求。

  主要有2个维度，其一，从技术上保障用户（自然人）的权利，确保个人数据得到合法合规的处理，包括执行同意追踪、被遗忘权、拒绝权等；其二，从技术上守护数据资产安全，保护数据免受没有经过授权的访问和操作，例如身份验证、访问控制、安全传输、静态加密等。

  基础设施的安全不仅包括IaaS层（云基础设施），也包括数据平台层（数据基础设施）。前者由云厂商来保障，后者则通常由企业自有的平台团队保障。其中，存算安全、灾备等都是不可忽视的。

  从上图我们大家可以发现，DPO向内需要数据全生命周期所涉部门的密切配合，从组织流程、管理制度等层面保障落地；向外，则需视所处阶段，寻求不同的支持，例如律师、咨询顾问、数据安全专家，及安全合规的数据产品和云基础设施。

  只有当管理、技术、基础三要素均得到满足，一家公司方能被认可为真正意义上的数据安全合规侧面也说明，这家企业大概率有一位非常称职的DPO。

  开展数据安全治理，是企业数据安全合规可持续的基础，也是DPO诸多工作中的重大工程。

  综合DSMM（国标数据安全能力成熟度模型）等评估要求，及StartDT奇点云的客户实践，数据安全治理大致可分为3个阶段：战略引领；蓝图设计；路径规划与实施。

  Gartner强调，正确的起点是从需求调研开始，“绝对不能跨过数据摸底、治理优先级分析、制定治理整体策略等层级，直接从技术工具层面启动安全治理”。

   仅为满足监管合规要求而启动数据安全治理。这类企业需拆解监管合规的条件，将现状与要求一一比对，识别数据安全治理体系和数据安全技术使用上的差距，建立针对性的安全合规策略。

   另一类企业倾向于建立更为长远、可持续的数据安全战略，则还需要理解业务和数据战略，对风险容忍度做评估，从而为平衡业务与数据安全投入提供依据。

  蓝图设计阶段最为关键的步骤是“数据分级分类”。企业需明确数据分级分类的原则和标准，例如在所属行业，通常哪些数据被视为重要数据，数据需要分为三级或五级。进一步，梳理企业数据资产清单，并对重要数据来进行标识和管理。在金融、汽车等行业，还需基于盘点和监督管理要求，形成报送清单。

  从战略到蓝图，最终，数据安全治理需要有效的实施落地。简化来看，共有4个步骤：

  ① 梳理全盘数据资产，绘制“数据地图”。进一步，明确里程碑，本着高效原则，优先开展重要数据的安全治理工作。

  ③ 安全工具/技术选型。数据结构和形态会在数据生命周期中一直在变化，因此，常常要结合多种安全工具和技术，来支撑安全策略的实施。

  是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

  从成立的第一天起，奇点云和GrowingIO就强烈主张企业要关注数据安全，并通过产品、组织等多层面投入和落地。我们大家都认为，只有数据安全合规，数据才可能得到合理的使用与有效的分享，数据资产方能激发出更大的价值。

  因此，我们将更多对企业级数据安全合规体系的解读与实践写入了《DPO数据安全白皮书》，希望能为DPO们与关注数据安全合规的业界伙伴提供参考。