首席隐私官员崛起

首席隐私官员在商业世界和代理层面很常见。在全州的CPO是否存在作用?

随着我们成为越来越多的基于数据的社会,安全违规行为和相关的法律风险升级。根据身份盗窃资源中心,今年4月14日的233个数据违规事件发生在2013年同一时间内的增加18%。

像目标,Michaels和Neiman Marcus这样的公司首先知道当客户的私人信息受到损害时发生的声誉和财务损失。因此,对数据安全和隐私专业人士的私营部门需求呈指数增长。 今天许多大公司雇用了首席隐私官员(CPO)来管理数据保护和隐私问题。

国家级CPOS

迈克·莱特曼, 首席信息安全官员, Arizona

根据他的生物,Lettman领导亚利桑那战略企业技术办公室的安全,隐私和风险团队 ASET网站。他确保并提高国家的安全和安全。


达伦阿诺德, 首席隐私官员, Ohio

俄亥俄州致力于加强俄亥俄州数据和系统的隐私和安全,这是敬业的证明 隐私和安全信息中心是CIO办公室的划分。州所有的CPO职务 - 美国第一是美国的首次 - 是在2007年创建的。此时,阿诺德在IT法律和政策中致力于国家的第一个CPO,然后在拿起工作时换来替换他在私营部门。

米拉姆, 首席隐私官员, West Virginia

米兰作为西弗吉尼亚州的第一个州所有人CPO 国家隐私办事处。她开始作为西弗吉尼亚州卫生保健机构的CPO,但是2013年由Gov. earl Ray Tomblin询问,扩大了她的职责并领导了行政部门的隐私相关活动。 

确定, 首席隐私官员, South Carolina

Palmetto国家目前正在寻找首席隐私官员 会报告给 (PDF)该州州首席运营官在技术司。

但是,在公共部门,今天只存在一把统一的CPO。但随着大数据,基于互联网的一切和移动技术的增长,CPO角色可能会在公共部门变得更加普遍。

在美国,据报道,据报道科局职务是在1999年首先成立的,当时互联网广告公司Alladvantage任命隐私律师Ray Everett教会到新创作的角色。这一行动引发了一项迅速在主要公司之间蔓延的趋势。但是,当哈里埃尔·帕尔森赋予IBM角色时,2000年11月在美国公司世界内真正巩固了CPO职务。

“1999年底,一些大型IT公司开始招聘CPOS,”国际隐私专业人士协会(IAPP)首席执行官Trevor Hughes表示,该组织于2000年成立的隐私官员。“我们很少有人。但由于隐私问题已经发展,技术和商业惯例创造了越来越多的风险,隐私专业人士的需求已爆炸。“

如今,IAPP在83个国家计入了14,000多名成员。据Hughes称,虽然私营部门导致发展成长,但政府员工现在代表了亚太经济委员会的展会。

“我们在美国在私隐领域工作了超过1,500名公共部门成员,而这些数字正在增长,”他表示,典型的CPO角色包括法律和合规的要素,以及技术理解和运营管理技能。 “越来越多的国家机构正在认识到需要更好地管理隐私,以检查他们如何处理其组织内的数据,并接受有人需要引领这一责任的想法。”

许多国家在代理商水平上雇用了隐私官员多年。健康保险便携性和问责法(HIPAA)是这些努力的重要推动力,因为它要求各国在州内任命每个HIPAA涵盖的实体隐私官员。联邦政府还帮助设定了节奏。 Mary Ellen Callahan从2009年担任美国国土安全部的CPO,直到2012年8月。

“DHS职位是第一个在联邦政府中创造的CPO角色,”詹纳现在的主席Callahan说&块的隐私和信息治理实践。

DHS CPO向该部秘书报告,并可批准所有所需的隐私文件,监督该部门的隐私惯例并保持调查作用。

2005年,正义部遵循DHS的领导,并作为9/11立法的一部分创建了CPO地位。其CPO向副司法部长报告。

Mary Ellen Callahan,前首席隐私官,美国国土安全部



照片: Mary Ellen Callahan,前首席隐私官,美国国土安全部。信用: Flickr /监督人员


不久之后,白宫强调,每个联邦机构都有一名高级机构官员,负责隐私。但Callahan表示,CPO的作用及其在联邦政府机构内的有效性因机构如何构建该作用而变化而变化显着大幅异化。例如,一些联邦CPO坐在法律顾问办公室内,而其他CPO则坐落在CIO或政策办公室内。

“他们倾向于分散在一点上,”Callahan说,“,这种方法可能与一个地方截然不同。”

国家政府也可以说。有些国家将隐私官员的角色整合到CIO的工作中,而其他国家则在特定机构内创建州所有隐私官员职位或CPO角色,如健康,教育,DMV或税。但是,大多数国家政府隐私官员今天坐在代理商水平而不是国家一级。

“州政府有许多隐私官员,但国家CPOS有很少的国家,”休斯说。 “当你想到它时,它有意义。没有许多国家级人力资源人员 - 在州内的许多机构都有自己的该职能。我们看到原子能机构层面的隐私专业人士的扩散,当然在行政单位内,在卫生和高等教育等特定机构内。但就州级的单一CPO而言,鉴于单一国家看到的问题的令人难以置信的复杂性,这可能是艰难的。“

俄亥俄州在2007年创建了第一批州所有人职务之一。达伦阿诺德当时在IT法律和政策问题上工作,支持该州的第一家CPO。当原来的CPO离开私营部门时,阿诺德加强了取代他。

阿诺德在信息安全和隐私办公室,是CIO办公室的划分。他说,这项工作的一个挑战是帮助人们了解他所做的事情与哪位首席信息安全官员(CISO)大卫棕色所做的。

“人们经常混淆的安全和隐私区域有区别,”阿诺德说。 “我与我们的CISO密切合作,并依靠他工作,以便在隐私的信息安全部分以及所有其他信息安全部件上工作。他严重依赖于我,帮助他了解合规要求,违反识别,确定盗窃保护服务等“

根据俄亥俄州法律,每个州机构必须具有数据隐私接触点。这些人协调其机构的隐私工作,并确保遵守隐私权和获取个人信息的俄亥俄州法律。每个机构还必须完成年度隐私影响评估。除其他外,阿诺德办公室可以帮助各机构评估其风险,并确定需要采取的隐私保护。

“隐私专业人士在这里有助于国家政府浏览水域,无论是在合规方面还是指出大问题并指导他们做出决定,”阿诺德说。 “有时候有一种误解,有点声誉问题。我们不是总是说不,但是为了帮助机构以一种尊重人民隐私和个人信息的方式完成工作。“

在西弗吉尼亚州,Sallie Milam用作第一州全州CPO。米兰始于西弗吉尼亚州卫生保健机构的CPO领先的HIPAA的合规努力。但2013年,GOV.EARL Ray Tomblin要求米兰扩大她的角色并领导行政部门的隐私相关活动。此外,每个部门都被分配了一名隐私官员,以与其机构和雇员沟通政策,并进一步运作该计划。然后建立一个企业的隐私管理团队,以促进隐私保护。该团队包括来自每个执行部门,国家CISO和其他人的隐私官员。

“CISO角色和CPO角色在一起,”米兰说。 “没有良好的安全,你就不会有隐私。安全性是方程式的重要组成部分;这是硬币的另一面。所以我们是一个紧张的伙伴关系 - 我们合作,我们参加彼此的团队会议,我们支持彼此的优先事项。“

米兰的办公室和隐私管理团队共同努力,为行政部门开发隐私政策和程序,而CISO和其他主题专家则借助支持团队的目标。

“在政府中,你受法律的约束 - 你可以披露和向谁透露,”米兰说。 “更改通常需要更新的政策和培训。我们每年都这样做。我们设置政策并发出。然后部门实施它,我们协助他们实施。我们还提供在船上过程中向每个员工提供的在线隐私意识培训。“

米兰的办公室还协助机构进行事故响应,帮助他们评估事件并确定有保证的响应类型。

“持续的评估和改进是CPO角色的关键,”她说。 “法律变化,技术变化,需要变化,人们的期望变化。在一个层面,它是关于法律的遵守,而是在另一个层面上,它正在管理风险并试图满足公众对其数据隐私的期望。“

加利福尼亚州最初开始沿着全国范全调计划议的点路径,但已经改变了课程。该州的独立隐私保护办公室于12年前成为一个独立的机构,但作为2012年预算削减的一部分被授权书将军的办公室被吸收到律师将军办公室。它的原始CPO,Joanne McNabb,现在是加州司法部司法部委员会委员会办公室的隐私教育和政策主任。

加州隐私执法和保护部门有多个任务,包括:强制州和联邦隐私法;通过展示在使用创新技术时如何更好地控制他们的个人信息来赋予加利福尼亚州;通过为消费者,家长和教育工作者提供及时资源来推进智能在线行为;在隐私趋势和最佳实践指导下与公司合作;并向律师向私隐事项提供建议。因此,麦克纳巴布的作用侧重于消费者隐私,个人隐私和公民自由,而不是确保国家遵守隐私法规,如俄亥俄州和西弗吉尼亚州的CPO作用。

虽然加利福尼亚州的全州CPO作用被淘汰,但国家同时加强了将隐私官员在原子能机构上施加努力。 “在过去的四年左右,已经开发了政策,并提供了对加利福尼亚州隐私协调员计划提供更多培训和更多指导的政策,”McNabb说。 “通过政策,而不是法律,目前机构现在需要有责任在每个州机构内协调隐私计划的隐私协调员。这包括确保钥匙隐私元素在整个机构内到位。“

有些人认为,较少的州所有人CPO主要是由于过去几年的有限国家预算。现在预算正在改善,位置可能会增长。例如,南卡罗来纳州正在寻找全国主义的隐私官。

“预算局势在指定CPOS方面受到阻碍国家,因为新职位难以通过,”阿诺德说。 “但除此之外,我认为州和地方政府往往是曲线后面的一点点。 CPO作用和大型在私营部门和联邦政府的一定程度上开发。它在州立一级赶上它的可能性肯定存在。“

米兰认为国内展示CPO作用将由于变化和不断发展的技术而增长。 “随着更多的数据变为电子,风险非常大,并且可以触发更多管理数据的法律,”她说。 “与此同时,公众的期望正在增长,并且合规义务正在扩大。我想象州政府将通过将更多的CPO归于到位来回应。“



照片Credit:Apimages.com


无论各国政府是否雇用州全国企业或在原子能机构层面保留隐私协调和合规函数,更大的问题是确保各国经历了隐私专业人士,将隐私保护纳入最早的规划阶段,也通常被称为“通过设计隐私。”

“随着政府信息和私营部门信息的大数据和使用,有明确的隐私指南非常重要,”Callahan说。 “关键问题是确保隐私问题纳入计划生命周期 - 在整个机构和整个决策过程中开发和整合隐私。在官僚主义中,这是整个目标:如果将良好的隐私实践集成到您的进程中,则难以解放出来。“

与此同时,休斯表示,IAPP的前所未有的增长展示了对隐私领导者的巨大需求。他建议任何向上移动人员确保他们在隐私中有强烈的知识基础,因为它对私营和公共部门越来越重要。

“我们认为隐私不仅是一个增长的领域,而且[也]需要一个需要的领域,”他说。 “今天在市场上有认可,隐私知识是绝对的强制性技能,以便管理信息经济的风险。如果组织今天没有立即要求这个,我们非常有信心他们将在不久的将来。“

Miriam Jones是政府技术,管理,公共CIO和紧急管理杂志的首席副本编辑。她于2000年加入了E.Republic作为汇集杂志的编辑。