CPO là gì? Giải thích giúp mình vị trí CPO trong công ty

Giám đốc bảo mật quyền riêng tư (Chief Privacy officer, CPO)

Khoảng năm 1999-2000 xuất hiện một chức danh mới – CPO (Chief privacy officer, giám đốc bảo mật thông tin), nhưng do năm 2000-2003 nền kinh tế đình trệ nên bị gián đoạn. Khi các công ty ở Mỹ ngày một phải thực hiện nhiều điều lệ và pháp lệnh liên quan tới bảo mật quyền riêng tư, CPO một lần nữa lại xuất hiện. CPO không chỉ phải lãnh đạo công ty thực hiện những điều lệ và pháp lệnh của chính phủ bang và liên bang về bảo mật quyền riêng tư mà còn phải xử lý các vấn đề về quyền riêng tư liên quan tới chủng tộc, cạnh tranh và chiến lược trong và ngoài công ty. Trong thời đại thông tin hiện nay, xử lý tốt mối quan hệ với phòng IT trong công ty là vô cùng quan trọng đối với CPO, vì vấn đề quyền riêng tư hiện nay có liên hệ mật thiết với hệ thông thông tin của công ty. Chính sách bảo mật quyền riêng tư tốt nhất nếu không có sự hỗ trợ của hệ thống IT thì cũng chẳng làm nên trò trống gì. Theo thống kê, các công ty lớn của Mỹ như  Citibank, American Express, Bank of America, Hewlett-Packard (HP) đều đã có chức vụ CPO.

Giám đốc bảo mật thông tin là người chuyên phụ trách xử lý công việc liên quan tới quyền bảo mật quyền riêng tư người dùng. CPO chịu trách nhiệm trực tiếp với lãnh đạo cao nhất của doanh nghiệp. Nhiệm vụ của giám đốc bảo mật thông tin là xử lý sự vụ về bảo mật quyền riêng tư trong và ngoài doanh nghiệp. Việc nội bộ bao gồm việc lập chính sách, triển khai và thích nghi mối quan hệ giữa công ty với nhân viên hiện tại và nhân viên cũ. Công việc bên ngoài bao gồm sự tương tác công ty với công ty khác, cổ đông, khách hàng, truyền thông.

Đây là chức vụ mang tính chất internet khá rõ. Cùng với sự phát triển của thương mại điện tử, thông tin khách hàng ngày càng được lưu giữ nhiều hơn trên máy tính. Tuy những tài liệu chi tiết có thể giúp doanh nghiệp tiêu thụ sản phẩm và dịch vụ tốt hơn, nhưng doanh nghiệp sử dụng những thông tin này cần phải bình tĩnh và tôn trọng ý kiến của người tiêu dùng. Xuất phát từ điều này, một số doanh nghiệp có trách nhiệm nhận thức được việc phải có người chuyên phụ trách xây dựng và duy trì chính sách bảo mật quyền riêng tư. Mọi người thường cho rằng, bảo vệ quyền riêng tư trên internet là phụ thuộc vào kỹ thuật, nhưng chuyên gia bảo mật thông tin cho biết, vấn đề bí mật quyền riêng tư phần lớn là thuộc về quản lý. Giám đốc bảo mật thông tin sẽ phải tạo được mối quan hệ cân bằng thích hợp giữa nhu cầu bảo mật thông tin của cá nhân khách hàng và quyền được sử dụng quyền riêng tư khách hàng của công ty bằng những cách thức hợp lý.

Richard Smith, giám đốc kỹ thuật của Privacy Foundation đã miêu tả giám đốc bảo mật quyền riêng tư là một “generalist”. Trách nhiệm của họ rất rộng, giống như Pearson phải lập chính sách bảo mật thông tin cho IBM và phải làm việc với đội ngũ phần mềm và kỹ thuật, đảm bảo sản phẩm của công ty phù hợp với tiêu chuẩn bảo mật thông tin. Nhưng tổ chức giám sát quyền bảo mật thông tin lại vừa vui vừa buồn với sự xuất hiện của CPO: Ví dụ, sau khi công ty quảng cáo Double Clink tuyển dụng một CPO thì trở nên cực kỳ nhạy cảm với vấn đề quyền bảo mật quyền riêng tư. Cũng có người nói Double Click tuyển dụng một giám đốc bảo mật thông tin giống như công ty thuốc là Philip Morris International tuyển một vị giám đốc sức khoẻ vậy.

Giám đốc bảo mật thông tin của Microsoft cho biết, công việc của ông có thể chia làm ba phần: đưa ra chính sách bảo mật số liệu của công ty, giám sát sự phát triển nghiệp vụ và đảm bảo phần mềm mới mà công ty phát triển bảo vệ quyền riêng tư của người dùng, và huấn luyện đào tạo nhân viên. Ông nói đùa rằng, mỗi một phần công việc chiếm 80% công việc của ông. Nếu cộng lại thì ông phải làm 240% công việc. Ông nói, Microsoft đang muốn đưa việc bảo mật số liệu vào mọi nghiệp của công ty. Gần đây họ đã cải tiến rõ rệt trình duyệt Explorer, cho phép người dùng quyết định công khai bao nhiêu thông tin cá nhân trên trình duyệt.

Tại IBM tạo ra chức vụ giám đốc bảo mật quyền riêng tư có sức ảnh hưởng rất lớn, hành động mới nhất của công ty có thể xây dựng nên một giám đốc điều hành mới. Một người CPO giỏi sẽ có thể cân bằng được mối quan hệ giữa nhu cầu bảo vệ quyền riêng tư của người dùng và quyền của IBM dùng phương thức hợp lý sử dụng tư liệu cá nhân người dùng.

Jason Catlett, nhà sáng lập của công ty tư vấn bảo mật riêng tư Junkbusters cho biết, suy nghĩ cho rằng CPO xuất hiện tự nhiên sẽ có ích cho bảo mật riêng tư là không thực tế, nhưng người đề xướng ra CPO lại cho rằng sự thay đổi này là thực sự và sẽ là mãi mãi, có rất nhiều công việc cần CPO thực hiện. Nhưng Hội nghị tự do và bảo mật riêng tư máy tính diễn ra năm 2001 đã thu hút sự quan tâm của mọi người tới bảo mật riêng tư.

CPO chỉ là hoa nở rồi tàn?

Từ năm 1999 tới 2000, tại Mỹ xuất hiện rất nhiều văn phòng hành chính xuất hiện chức vụ mới: giám đốc bảo mật riêng tư (CPO). Mọi người có những phản ứng khác nhau về việc này. Có những giám đốc công nghệ thông tin CIO và các chuyên gia phân tích rất hoan nghênh CPO, còn những người hoài nghi thì cho rằng CPO chỉ là nhân viên quan hệ công chúng và chỉ thịnh hành trong thời gian ngắn, nhiệm vụ duy nhất là xoá bỏ sự lo lắng về quyền riêng tư của người tiêu dùng.

Năm 2000 tới 2003, kinh tế suy thoái khiến trào lưu CPO cũng lắng xuống. Herman Collins nói “trong mấy năm, ngoài những ngành nghề bắt buộc phải có CPO ra, các công ty phải đối mặt với tình trạng kinh tế hiện tại rất khó để có nhân viên về phương diện này”, ông là CEO của công ty săn đầu ngươi Privacy Leader có trụ sở ở Las Vegas chuyên tìm kiếm chuyên viên bảo mật riêng tư.

Nhưng gió đã đổi chiều, kinh tế hiện nay đã khởi sắc, tuyển dụng cũng không còn hạn chế, hơn nữa công ty của Mỹ đối mặt với nhiều quy định về bảo mật quyền riêng tư, trong đó có “Đạo luật về tính linh hoạt và tính trách nhiệm về bảo hiểm sức khoẻ” (HIPPA) và “Đạo luật hiện đại hoá dịch vụ tài chính”.

Với bối cảnh thay đổi này, giờ là lúc phải đánh giá một chút địa vị của CPO rồi.

Quy định không kịp trở tay

Theo các chuyên gia bảo mật riêng tư, rất nhiều quy định liên bang đã có ảnh hưởng nằm ngoài dự đoán tới các doanh nghiệp, ví dụ như HIPPA, “Đạo luật Sarbanes-Oxley”, “Đạo luật báo cáo tín dụng công bằng” và “Đạo luật hiện đại hoá dịch vụ tài chính”. Những đạo luật này căn bản không dẫn tới trào lưu CPO lần thứ hai, ngược lại tạo nên hai mặt trận lớn xung quanh quyền bảo mật riêng tư:

– Một là mặt trận “CPO điển hình”, họ đề xướng tuyển dụng một CPO chân chính, chịu trách nhiệm tích cực và chủ động suy nghĩ tới ảnh hửng mà quyền riêng tư tạo ra cho đạo đức, cạnh tranh và chiến lược.

– Hai là mặt trận “tuân thủ nghiêm khắc pháp luật”, họ tập trung đáp ứng yêu cầu của các đạo luật về bảo mật quyền riêng tư của ngành nghề, của bang và liên bang.

Đông đảo mọi người cho rằng, đặc biệt chú trọng tuân theo pháp luật là vì số lượng đạo luật về quyền riêng tư đang tăng nhanh, cộng với tài nguyên có hạn, người ủng hộ CPO điển hình thất vọng lại càng cho rằng như vậy. Alan F.Westin, chủ tịch tổ chức phi lợi nhuận Privacy & America Business có trụ sở ở New Jersey nói: “Phần lớn công ty đều thay đổi từ sử dụng các biện pháp tích cực, chú trọng ưu thế cạnh tranh và xây dựng tín nhiệm khách hàng, sang chú trọng việc tuân theo pháp luật. Điều này khiến quyền lực chuyển từ CPO sang nhân viên luật pháp.”

Richard Purcell, CEO của tổ chức bảo mật riêng tư công ty tư vấn Seattle đồng ý với ý kiến này. Purcell yêu cầu Microsoft tạo chức vụ CPO, đồng thời từ năm 2000 tới đầu năm 2003 đảm nhận vị trí CPO của Microsoft. Purcell nói: “Đáng tiếc là do việc xuất hiện HIPAA, CPO trở thành chức vụ chỉ để làm theo pháp luật, chứ không có tính chủ động hoặc chiến lược. Tôi dám nói, điều này đi ngược tới ý nghĩa ban đầu của CPO: sáng tạo và thách thức hơn.”

Một ví dụ điển hình về các biện pháp bảo vệ quyền riêng tư cho ảnh hưởng của pháp luật chính là HIPAA yêu cầu: Bất cứ công ty nào có liên quan tới điều trị y tế đều phải có CPO. Không chỉ là những tập đoàn liên doanh lớn mà còn gồm cả những phòng khám răng chỉ có 7-8 người. Do đó đội ngũ CPO đang ngày một lớn mạnh, nhưng rất khó nhận ra chức vụ mới này đang phát triển nghề này.

Hiệp hội quốc gia quyền riêng tư International Association of Privacy Professionals trụ sở tại Philadelphia có khoảng 1000 thành viên. Do sự sáp nhập giữa các đoàn thể, rất khó tiến hành so sánh. Nhưng Westin nói, số lượng CPO có địa vị chiến lược tăng tới năm 2001 là đạt mức ổn định. Ông cho rằng hiện nay Mỹ có khoảng 2000 CPO, nhưng phần lớn chỉ được tạo ra để ứng phó với HIPAA.

Nhưng cũng không thiếu các công ty lớn như tổ chức lãnh đạo quyền riêng tư trực thuộc Privacy & American Business có 160 CPO điển hình. Westin gọi đó là “các CPO có địa vị chiến lược” Họ tới từ Citibank, American Express, Bank of America, Công ty Bảo hiểm Tương hỗ Toàn quốc, Equifax Inc, HP. Từ năm 2001 tới nay gần như tất cả những công ty này đều có CPO.

Ảnh hưởng rất lớn

Trong thời đại thông tin, mối quan hệ giữa CPO và phòng IT của tổ chức cực kỳ quan trọng. Ponemon Institute LLC là Viện chính sách chuyên tư vấn về quyền bảo mật riêng tư của bang Arizona. Gần đây tiến hành điều tra 64 công ty có CPO. Theo chủ tịch Larry Ponemon “các công ty có CPO ít nhất có mối quan hệ báo cáo gián tiếp với CIO sẽ có các dự án về quyền riêng tư hiệu quả hơn”.

Ponemon còn nói, lý do chính là chính sách bảo mật riêng tư liên quan mật thiết tới chức năng IT, nên nếu phòng IT không thể thực hiện các phương thức đáng tin thì chính sách bảo mật có tốt thế nào cũng là vô ích. Westin nói “Rất nhiều vấn đề khó khăn công ty phải đối mặt cũng đang chuyển sang CIO. Hệ thống của họ nhất định phải theo dõi được những mục lựa chọn và chặn cuộc gọi đến, còn phải nghĩ ra phương thức an toàn hơn để nhận biệt thân phận của khách hàng và người tiêu dùng, đặc biệt là để kiểm soát hiện tượng đánh cắp thông tin.

Các CPO và chuyên gia bảo mật trước kia nói, mối quan hệ này thay đổi theo từng công ty, gần như hoàn toàn dựa vò bối cảnh và cá tính của CPO.

Tiền CEO của Mircosoft, Purcell nói: “Tôi gọi mối quan hệ này là ‘khác biệt rất lớn’. Nhân viên IT thì có thể chứng thực chức vụ và bằng cấp. Mối quan hệ giữa họ và CPO không tốt là do CPO không có bằng cấp khách quan. CPO có thể tới từ các phòng ban pháp luật, hoặc nhân sự.” Tất nhiên CIO không công nhận vai trò của CPO, một mặt là vì hai bên không ăn khớp, “trừ phi CPO thông minh thành lập uỷ ban công tác, đưa CIO vào trong nhiệm vụ bảo mật riêng tư”, Westin nói.

Có một điều rất rõ ràng, đúng như Westin nói, dù CPO sau này thế nào thì “trong một công ty thông minh, CIO luôn tiến lên trước tiên, mà việc đều tiên luôn liên quan tới vấn đề bảo mật riêng tư”.