【IT168 专稿】随着网络把越来越多的设备连接在一起，人们可以通过各种各样的访问方式获取各种信息。而且，越来越多的人不仅仅满足于获取信息，也参与到知识的创造与加工过程，并与他人共同分享知识，比如论坛、社区、博客、播客等交流形式越来越成为人们工作和生活的一部分。当然，今天的信息服务一方面必须支持广泛的访问方式，而另一方面，数据安全、隐私保护等问题也引发了更多的关注。

互联网的性质已经发生变化，正在从信息时代走向参与时代

    作为SUN公司的首席隐私保护官，Michelle Dennedy女士主要负责SUN数据隐私政策和惯例的持续发展和执行，推动公司的业务部门持续性数据隐私保护。数据隐私是SUN公司实现复杂、苛刻的法规要求的基石，这其中包括萨班斯.奥克斯利法案、欧盟指令、加州参议院议案和全球的正在逐渐升级的政策和以流程为导向的要求。近日，Michelle Dennedy来北京参加了在中国社科院举行的隐私权国际研讨会，并接受了IT168等媒体记者的专访，就SUN公司最新推出的“Network of you”理念，以及隐私保护等话题进行了交流。

Q：SUN提出的“Network of You”是一种什么样的理念？

A：如果说“Network of You”不能完全等同于互联网“参与时代”，至少是针对这一趋势提出来的。Network of You这个概念来自时代周刊。随着WEB2.0的到来，用户本身生成越来越多的内容，人们的沟通越来越变得具有双向性，网络基础架构不再是人们单向交流的渠道。在WEB2.0这个平台之上的数据问题也比以前要复杂得多，因而要重新界定数据保护和私密性。在这样一个信息无处不在，信息来源多种多样的世界当中，我们要确保信息的可信度，无论是在网络当中，还是在各种组织机构当中。而且要关注信息的各种新形式，如博客、播客当中的信息可信度也要有办法去判断。

    Network of You包括两个层面，一是每个人既是信息的消费者，也是信息的贡献者；二是面对这个新的时代，我们要用什么样的基础架构去应对数据的爆炸性增长，以及解决与之相关的其它一些问题，如数字鸿沟。

    这是我第一次到北京，参加完了社科院的这个会议后，我发现中国已经理解了互联网时代需要什么样的技术基础设施、行业标准和开放系统架构，能在Network of You这个时代，一方面保护好个人信息，又能充分挖掘出发展潜力。

Q：请介绍一下什么是隐私保护官，有什么样的职责？

A：从国际上来说，隐私保护官的雏形首次出现于2000年。2000年在互联网发展史上是具有转折意义的一年，互联网从技术化的专家工具变成了普遍的大众性的工具，当时出现了一些网上欺诈、通过COOKIE实行网上跟踪等问题。但那时，欧美隐私保护领域一个重点目的是为了防止垃圾邮件等商用广告的泛滥。9.11事件以后，人们的想法发生了改变。人们逐渐认识到信息已经成为所有基础设施当中的一个关键组成部分。我们工作生活越来越依赖于信息的交流。隐私保护官这样的职业队伍也从起初的500多人发展到了现在的3000多人。现在很多跨国企业都有了隐私保护官这样的职能或部门设置。

    就我而言，职责是多方面的，在数据保护方面是SUN公司对外的代言人，要和各种各样的团体，包括消费者团体、政府部门等进行接触；在SUN公司内部会起到公司治理方面的一些作用，比如制定SUN公司关于如何处理员工数据、客户数据之类的政策。因为SUN至少在100个国家有2名以上的员工，在170个国家有业务往来，所以这不仅仅是美国或中国的问题，而是一个全球范围的问题。另外，我们还帮助客户建立他们的隐私保护部门，帮助他们做身份管理、加密管理等，这样才能把信息变成最宝贵的资产。打个比方说，我的职能相当于“数据的CFO”。

    我们组建了SUN内部隐私委员会，这里面有一些专职人员，但更多是自愿参加的员工，分散在市场、IT、人力资源等部门，开始时有50多人，现在有70多人，这些人在日常工作中，相当于充当隐私保护和安全管理方面的耳目，对实际情况进行控制，比如通过交流来确定员工是否需要隐私保护，跟商业伙伴打交道时是否存在风险，使用笔记本电脑时有哪些可能危险的行为，到现在已经有6年半的历史了，运作得非常好。

Q：以往SUN的客户大多在一些高端行业，而Network of You计划的推出，跟SUN在北美针对关注Web2.0的企业的促销计划有何关联吗？

A：随着网络越来越成熟，SUN公司的市场策略重点也在不断调整。比如SUN推出了“公用计算”这样的解决方案，以更好的服务Web2.0的企业，因为从传统来看，这些企业不可能都有能力采购100万美元以上的大型服务器。这也反映了SUN公司的“网络就是计算机”这样一种长期战略。

Q：在您看来，在数据保护方面，中美两国的法律环境有何异同？

A：这其实是一个全球性的问题，各国在数据保护领域所采取的监管和法律体系都是不一样的，有些国家采用直接监管的方式，有些国家采用行业自我监管的方式。中美两国在数据保护法律体制方面有一个共同点，即两国都尚未形成一套完整的、全国性的数据隐私保护法律框架。美国是分部门或按层级来进行数据隐私保护的，如在联邦政府一级，分行业和层次来进行，如儿童隐私权保护、医疗信息隐私权保护、金融财务信息隐私权保护，而在州一级，州在美国立法体系中的影响力也是很大的，也制定侵犯数据隐私、破坏信息安全的法律责任认定方面的法规，而且州级法规目前已经在联邦政府中也引发了热烈的讨论。

    对中国这方面的立法，这次会议给我留下了深刻的印象，中国现在采用的策略很好，政府官员、学者、企业代表大家一起来交流，把已有的隐私保护方面的最好的东西看能否整合在一起，以制定最适合中国情况的法律框架。随着中国进入Network of You时代，中国也在认真研究信息作为一种重要资产到底发挥什么样的作用。我觉得各国可以有一个统一的高层次的原则性框架，对保护什么信息以及如何保护做出界定，但在这个框架之下的一些具体措施和法律诉讼程序，可以根据各国情况的不同而不同，不能照搬照抄。

Q：面对Network of You这样一个新时代，SUN有什么样的手段来保障数据安全？

A：随着上一次互联网泡沫的破裂，Network of You代表了互联网发展的一个新方向。针对这一方向的一些新的技术也在发展当中，比如硬件上如何解决互操作性，构建异构化的数据中心。

    可以说，在数据生命周期的每个环节，SUN公司都有不同的信息安全和隐私保护技术。比如在数据收集阶段使用瘦客户端技术，客户端有一系列的管理限制，如不能打印，不能对外发送电子邮件，用户在访问数据库时要通过在线的身份验证、加密等，一天工作结束后，客户端上也不会残存任何数据。作为隐私保护官，我就会对这种现象就比较满意。因为，在数据生命周期中，任何一个环节出了问题，人们就会不再愿意以在线的方式参与到协作当中来。

    但我们也知道，不可能要求所有的客户端都是不能发邮件，不能存储信息，不能插移动硬盘。SUN的成功之处，就在于是以数据为中心，以数据保护为出发点，把各种各样不同的技术方法组合在了一起。比如对医院客户来说，瘦客户端技术可以避免护士修改患者的病历；但对于某个商业公司的销售人员来说，则允许通过PDA来输入信息；SUN最新版的SOLARIS 10操作系统虚拟化容器可以支持多种相互隔离的基于不同操作系统的应用，在兼容的同时确保数据安全性，操作系统之间不会相互影响。这些技术都在不断发展当中。