首席隐私官(Chief Privacy Officer,CPO)
目录
|
在1999~2000 年间一度出现的新头衔—— CPO(Chief Privacy Officer,首席隐私执行官),因2000~2003年间的经济停滞不前而被中止了。随着美国公司面临要实施更多的与隐私有关的条例和法令,CPO再次出现在人们的面前。他不仅要领导公司执行联邦和州政府以及行业中各种有关保护隐私性的条例和法令,而还要积极处理公司内外与种族、竞争和战略有关的隐私问题。在信息时代,处理好与公司内IT 部门的关系对 CPO来说至关重要,因为当今的隐私问题与公司的信息系统紧密相连。最好的隐私政策如果没有IT系统的支持,将是一事无成。据统计,美国最大的公司,如花旗集团、美国运通、美洲银行、惠普、微软等都已设置了公司CPO。
首席隐私官是指专门负责处理与用户隐私权相关事宜的人,CPO直接对企业的最高领导人负责。隐私官的任务是处理内部和外部隐私事务,内部事务包括政策的制定、展开和适应及同公司现有及过去员工的联系,外部事务包括公司和其他商家及公共领域、股东、客户、媒体的交流。
这是一个具有互联网特色的职位。随着电子商务的发展,越来越多的用户的私密信息被记录在计算机中。虽然详尽的统计细节资料可以帮助商家更好地进行商品和服务销售,但是,商家使用这类信息需要冷静及尊重消费者的意见。基于此,一些有责任心的企业认识到有必要让专人来负责建立和维护隐私政策。一般的理解认为,互联网隐私保护使用的是技术手段,但隐私专家说,隐私问题更多的是一个管理问题。隐私官将能在个人对隐私的需求和公司以合理手段使用隐私材料的权利之间,建立适当的平衡关系。
综观北美地区,大的公司和正在发展的小公司都认识到,需要有人来负责建立和维护隐私政策。但隐私专家说,直到最近,这个角色还被大大误解。其实隐私不再是技术问题,而已经是一个管理的问题了。一个发挥作用的隐私官将能在个人对隐私的需求和公司以合理手段使用隐私材料的权利之间,建立适当的平衡关系。
Richard Smith,隐私组织(Privacy Foundation)首席技术官,描述首席隐私官为“多面手”。首席隐私官的责任非常宽,象Pearson需要为IBM制定隐私政策,并和软件与技术队伍一起工作,保证公司的产品能符合隐私标准。不过,隐私权监督组织对新出现的CPO一职却是喜忧参半:例如,在线广告公司Double Click聘请了一位CPO 之后,对隐私权方面的问题变得更加敏感。也有人戏称,Double Click聘请一位首席隐私官,就如同菲利普·莫里斯公司(著名烟草企业)聘请一位首席健康官一样。
微软的首席隐私官理查德.普赛尔(Richard Purcell)认为,他的工作可以分成三部分:提出公司的数据保密政策,监督公司的业务发展以确保公司开发的新程序保护用户的隐私权,以及培训公司员工。他开玩笑说,每部分工作都占我工作的百分之八十,如果加起来,全部工作就成了百分之二百四十。他说,微软正在试图将其数据保密工作融入公司业务的每一部分。他们最近对其Explorer浏览器进行了显著改进,允许使用者决定将多少个人信息在浏览网站时公开。
在IBM设立首席隐私官的影响力是十分巨大,它的最新举动可能建立和支持一个新的执行官角色。一个发挥能力的隐私官将能在个人对隐私的需求和IBM以合理手段使用隐私材料的权利之间建立适当的平衡关系。
隐私咨询公司Junkbusters的创始人詹森.凯特立特(Jason Catlett)指出,首席隐私官的出现会自然而然有助于隐私保密的想法是不现实的,但隐私权的提倡者则认为这个改变是真实并永久的,有许多工作需要隐私官员们去做。但是2001年计算机自由和隐私会议的召开引起了人们对隐私的重视,讨论会的组织者将分发奖项给最大的隐私侵犯者和互联网先驱,看来这个新职位近期将有很大的需求呢。
从1999年到2000年,在美国,许多行政主管办公室出现了一个新的职位: 首席隐私官(CPO)。对此,众人反响不一。有些CIO和分析师对企业隐私官表示欢迎,而怀疑人士认为短时盛行的CPO说白了就是公关人员,惟一的职责就是消除消费者在隐私方面的忧虑。
2000年到2003年的经济衰退使得刚兴起的CPO潮流戛然而止。“在过去的几年里,除了CPO非有不可的行业外,公司面对经济现状,很难引入这方面的人员,”Herman Collins说,他是总部设在拉斯维加斯的专门物色隐私专业人员的猎头公司 Privacy Leaders的CEO。
但风向已变。如今经济形势好转,招聘方面的限制也在放松,而且美国公司面临与隐私权有关的众多法规,其中包括《健康保险可携性及责任性法案》(HIPAA)和《金融服务现代化法案》。
在这种变化的背景下,现在是时候打量一下CPO的地位了。
让人措手不及的法规
据企业隐私专家声称,诸多联邦法规对企业产生了重大而出乎意料的影响,譬如HIPAA、《萨班斯-奥克斯利法案》、《公平信用报告法》和《金融服务现代化法案》。这些法规根本没有带来第二股CPO热潮,反而导致出现了围绕隐私权的两大阵营:
● 一是“典型CPO”阵营,他们提倡聘请真正的企业隐私官员,负责积极主动地考虑隐私对道德、竞争及战略带来的影响。
● 二是“法规遵从至上”阵营,他们专注于满足联邦、行业和州的各项隐私法规的要求。
外界广泛认为,人们之所以特别重视法规遵从,是因为隐私法规数量激增,加上资源有限,失望的典型CPO拥护者更是这么认为。总部设在新泽西州的非营利组织Privacy & American Business的会长Alan F. Westin说: “在隐私方面,大多数公司已从基于积极采取措施、注重竞争优势及建立客户信任的方法,改为专门关注法规遵从这项工作。这使得权力从CPO转向法律人员。”
西雅图咨询公司企业隐私组织的CEO Richard Purcell同意此说。Purcell曾竭力要求微软公司设立CPO职位,并且从2000年到2003年初担任该公司的首任CPO。Purcell说: “遗憾的是,因出现了HIPAA这些法规,隐私官员成了仅仅只是为了遵从法规的职位,而不是具有主动性或者战略性。我敢说,这有悖于设立CPO的初衷: 更具创新和挑战性。”
法规遵从驱动的隐私措施方面的一个典例就是HIPAA要求: 与医疗有关的任何公司都要设立隐私官员。这不仅包括各大医院联营集团,还包括“只有七个人的牙科诊所,”Purcell说。因而CPO的队伍在日益庞大,但很难发现这个新职位在促进这项事业的发展。
一家主要的CPO组织——总部设在费城的隐私权专家国际协会(International Association of Privacy Professionals)大约有1000名成员。因为隐私团体之间的合并,很难进行同类比较。不过Westin说,具有战略地位的CPO其数量增长在 2001年达到了稳定水平。他认为,美国如今大约有2000名CPO,但大多数只是为了遵从HIPAA而临时设立的岗位。
不过,CPO方面不乏重量级公司: 隶属Privacy & American Business的隐私权领导组织由160名典型CPO组成。Westin称之为“具有战略地位的CPO”,他们来自花旗集团公司、美国运通、美国银行、美国邮政管理局、全美互助保险公司、Equifax Inc.、惠普和微软等知名公司。自2001年以来,几乎所有这些企业都设有CPO。
影响力至关重要
在信息时代,CPO与其所在组织的IT部门之间的关系显然很重要。Ponemon Institute LLC是亚利桑那州专门从事企业隐私问题咨询的智囊团,最近它对设有CPO的64家公司进行了调查。据这家机构的主席Larry Ponemon声称,“CPO至少与CIO有着间接报告关系”的公司制定的隐私项目往往更有效。
Ponemon又说,主要原因在于,隐私政策与IT职能密切相关,以至如果IT部门不以可靠、重复的方式实施,隐私政策再好也是白搭。Westin说: “公司面临的许多难题也在转向CIO。他们的系统必须能够跟踪选项和谢绝来电电话目录等,还要设法想出更安全的方法来识别顾客及消费者的身份,尤其是为了控制身份失窃现象。”
以前的CPO们和隐私专家们说,这种关系随公司的不同而大不相同,几乎完全依赖CPO的背景和个性。
微软前CPO Purcell说: “我称这种关系是‘相差极大’。IT人员拥有的职衔和证书是可以证实的。他们与隐私官员往往相处不好,因为后者没有客观的证书。CPO可能来自法律、法规遵从或人力资源等部门。”许多CIO没有认可隐私官员的角色,一方面就是由于两者之间存在脱节,“除非明智的CPO成立工作委员会,让CIO加入隐私任务组当中,”Westin说。
有一点似乎很显然: 正如Westin所说,不管CPO将来如何,“在明智的公司,CIO总是冲在最前面,而最前面的往往涉及隐私问题。”
作为最大互联网广告公司DoubleClick的首席隐私官波隆奈特斯基(Polonetsky)有着撤销与一些互联网公司之间合同的生杀大权,如果这些公司无法履行DoubleClick的协议去保护用户的隐私。波隆奈特斯基先生说,近几周,他已经取消了与五六个公司的合作合同。因为这几家公司没有达到DoubleClick的要求,在这些合作公司的网站上有明显的用户隐私网页,并可以轻而易举地筛选用户数据。当然这在与 DoubleClick合作的数千家公司中之占了很小的一部分。但是在这个互联网经济愈发不景气的时期,他们将业务拒之门外是颇为引人注意的。
DoubleClick的工作是在数千个网站上向用户发布各式广告。但是最近DoubleClick已遭到公众的批评,因为他们认为它过度跟踪了用户的网上行踪。该公司坚决否认他们的行为侵犯了用户的隐私。尽管联邦商业委员会已经放弃对此进行调查,但是该公司可能要面对州律师团的共同起诉。现在,DoubleClick正在加倍努力去营造一种氛围,说明他们是保护个人隐私的。
尽管DoubleClick强调隐私权的重要性的努力引起了人们广泛注意,但他们决不是执行这一使命的唯一一家公司。象波隆奈特斯基这样的隐私官员在公司的行政管理层越来越普遍,当然并不仅限于互联网公司。最近几个月,IBM,AT&T和柯达等大公司也先后任命了他们各自的首席隐私官。 “隐私权和美国经济”(Privacy and American Business)组织负责对隐私官员进行职业培训的艾伦.维斯廷(Alan F. Westin)说,美国现在已有至少100个此类官员,年薪12万5千到17万5千美元,预计明年可能会有500到1000个此类官员。
IBM的首席隐私官哈立特.皮尔森(Harriet Pearson)比较了现在和原来没有此类官员时的情况。人们可能还记得原先曾经盛行,之后又消失了的负责质量管理的副总裁和公司的首席知识官,没准今天的首席隐私官也只是这个月的一种时尚,有这样的想法不足为怪的。尽管隐私咨询公司Junkbusters的创始人詹森.凯特立特(Jason Catlett)指出,首席隐私官的出现会自然而然有助于隐私保密的想法是不现实的,但隐私权的提倡者则认为这个改变是真实并永久的,有许多工作需要隐私官员们去做。
位于华盛顿的一个政策团体电子隐私信息中心(Electronic Privacy Information Center)的负责人马克.罗滕博格(Marc Rotenberg)称赞说,这是一个有着重大意义的进步,这会成为商业活动的一个主流。在过去,罗滕博格经常批评商业和政府的侵犯隐私权方面的错误。
位于马萨诸塞州沃尔瑟姆的Bentley学院的管理和信息技术方面的教授玛丽.科尔南(Mary Culnan)认为,商业游戏的规则已经改变了,公司已经已不再仅仅意识到要发现保护隐私方面的错误,而且开始努力寻找合法的使用用户个人信息的方法,同时保证使用户满意。不再会有那些破坏个人隐私方面的惊人消息了。
此前,曾经发生过如下的公司侵犯个人隐私的事件。去年,DoubleClick遭受了猛烈的抨击,因为他们设法将其购并的记录用户邮购目录的 Abacus Direct公司的数据库与自己的用户数据库合并。后来,DoubleClick放弃了合并数据库的计划。当RealNetworks公司的 RealJukebox互联网音乐下载软件被发现跟踪用户的选择曲目后,该公司被迫向使用者道歉并修改了其数据采集方法。微软则因在Windows 98的操作系统中添加了一个个人识别码,遭到了隐私权拥护者的反对。批评者抨击说,这种识别码象姓名标签一样可以在虚拟空间跟踪每一个人的行动。微软后来修改了该操作系统的注册程序,取消了识别码。美国Bancorp在将用户信息卖给了一家直销公司后,向Minnesota赔偿了300万美元。
维斯廷说,避免这类事件只是首席隐私官的一部分工作,他们的工作还包括其它许多事情。对于不同的公司来说,首席隐私官的工作也有所不同。但首席隐私官的主要任务是要使公司的行为符合地方、州、联邦和国际涉及隐私权利的法规和制度。单就美国来讲,财政部门正在困难地履行Gramm-Leach- Bliley法案。该法案要求银行、证券公司和保险公司对于用户信息的使用进行保密控制。在克林顿执政的最后期间所发布的新的健康隐私规章要求,保险和医疗公司要设立保密隐私官员,监督公司符合隐私法的情况。
国会已经把隐私保护作为一个重要议题,一些隐私官员将与立法者共同工作,以帮助制定隐私法案。有12个新议案是关于隐私问题的。马萨诸塞的民主党议员爱德华.马凯(Edward Markey)预言隐私权将成为这十年间民权的主要争论点。维斯廷认为,如果首席隐私官们真的开始工作了的话,那么与立法机构的合作就将是一次重要的检验。
劳伦斯.鲍门(Lawrence A. Ponemon)认为公司如果只是为了装样子,而任命了一个无能的首席隐私官,该公司将面临一场灾难。鲍门目前负责调查侵犯隐私权的问题,并且进行隐私权实施的监督,帮助公司们发现他们政策实施中的错误和弱点。他指出,必须承认,超过百分之五十的公司已经任命了自己的首席隐私官,但是他们并没有在有效的工作。因此这只是一种空洞的承诺。而隐私官员则称自己的工作是正在进行中。
在DoubleClick,波隆奈特斯基和他的五个手下正在监控着每个合作网站,以确保他们符合DoubleClick的保密要求。波隆奈特斯基被任命为纽约市消费者事务部门的委员。他说,将在DoubleClick所拥有的数千个合作网站采用DoubleClick的保密标准,因为任何一个丑闻都会引起消费者对网上做生意的担心。他拒绝提供已取消合同的公司的名单,只是说,只有极小部分公司没有达到要求。
微软的首席隐私官理查德.普赛尔(Richard Purcell)认为,他的工作可以分成三部分:提出公司的数据保密政策,监督公司的业务发展以确保公司开发的新程序保护用户的隐私权,以及培训公司员工。他开玩笑说,每部分工作都占我工作的百分之八十,如果加起来,全部工作就成了百分之二百四十。他说,微软正在试图将其数据保密工作融入公司业务的每一部分。他们最近对其Explorer浏览器进行了显著改进,允许使用者决定将多少个人信息在浏览网站时公开。
对于隐私权是其核心业务的公司,首席隐私官的角色是尤其重要的。斯蒂芬妮.皮锐(Stephanie Perrin)在进入位于蒙特利尔的Zero-Knowledge Systems公司前,曾是加拿大的一名隐私权的监督官员。Zero-Knowledge Systems主要销售一些特殊产品以帮助用户在互联网漫游时受到高科技数字“签名”的保护,从而无法追踪其网上行踪。皮锐说,对于这样的公司,任命首席隐私官是一个重要的决定。很明显,首席隐私官不应来自于司法部门。律师能够很好的确保公司履行隐私的相关法律,但是一个首席隐私官将比单纯的履行法律做更多的工作。除了法律以外,他们还要对道德问题作出基本的承诺。保护隐私可不是一个还买卖。人们正在构建信息时代,严肃地对待隐私问题是十分重要的。人们应将隐私权视为一项人权,而不是被宠坏了的北美人面前的一个“奢侈品”。
首席隐私官不止是单单为互联网公司服务。任何有关于用户信息的业务都应该认真的对待这个问题,莎莉.科万(Sally Cowan)说。她现在正从事美国运通(American Express)的保密事项的运作。对于美国运通,隐私并不是什么新的热点问题。在1991年,该公司就首次制定了一系列的涉及个人隐私的条款,并且在 1998年作为首批公司之一在网页上公开了自己的个人隐私条款。对保护隐私权的认知使美国运通增添了新的服务项目,使消费者使用美国运通卡在线购买物品时,其身份得到保护。科尔南(Culnan)教授对美国运通将隐私权的保护作为竞争的一种优势大家赞许,他认为,这样做可以使运通比其他公司更有优势。
IBM的首席隐私官皮尔森(Pearson)小姐说。在大公司里,隐私官员的工作涉及大量的疏通工作,因为在公司业务的各个部分之间会发生冲突。她说,公司内部展开了在网络上做广告问题的激烈讨论。讨论的焦点是是否使用IBM以外的另一家公司去向用户发送广告。这将是具有争议的行动,因为它将意味着用户资料将被第三方使用,但通常又没有得到用户的同意。皮尔森小姐回忆说,在一次会议上,IBM的一名市场主管强烈要求建立市场联盟。但来自于公司公共关系部的主管辩驳道,公司无法承受这种事情的损失,名誉将是一切。皮尔森小姐作为一名与会者警告说,这类问题正在华盛顿引起争论,在问题最终解决前, IBM最好远离此类问题。最终IBM决定没有使用其它网络公司刊登它的广告。
这种内部的争论可能是有关隐私问题更大的战役的前奏曲,足以检验隐私官员这个新军团战斗的勇气和实力。隐私权利顾问维斯廷已经注意到,有几十公司将被私人律师和州律师团控告侵犯消费者的隐私权,其中包括RealNetworks、Toys"R"Us公司和大批药厂。