数据合规人才培育存在哪些问题？

以下从高校和市场两个维度分析数 据合规人才培育的现存问题。

一、高校专业布局

正如前文“缺育”部分的分析结果所述，当前系统性的、全面覆盖数据合规各个维 度的专业项目依然稀缺。尽管部分高校已开始重视并设立相关专业或课程，如信息安全、 数据安全与个人信息保护相关法律课程等，但这些专业的建设仍处于初步阶段，课程设 置未能充分反映行业最新动态和技术要求，理论与实践结合度不高，导致毕业生缺乏实 操能力和对复杂合规情境的应对策略。

1. 数据合规专业缺失

从本科教育的角度来看，目前直接与数据合规相关的专业设立数目为 0。 在研究生教育阶段，尽管部分高等学府，如中国政法大学、中南财经政法大学及武 汉大学等，已开始探索法学门类下的数据合规人才培养，新创设了数据法 学、数字法学、智能法学等专业，并开设有诸如《网络与信息法学》、《电子商务法》、《大数据、金融科技与法律监管》等课程，但这些项目仍处于初步发展阶段，尚未构建 起成熟的人才培养体系，甚至还未向市场输送首批毕业生。 譬如，中南财经大学的数字法学专业为 2023 年新设、2024 年首次招生，课程结构 体系尚未定型。由于搭建完整的独立学科周期通常需要 5 到 10 年的时间，当前的数据 合规人才培养体系仍处于脱节阶段，难以适应当下市场需求。

2. 泛数据类专业合规教育不足

近年来，我国高等教育体系中泛数据类专业的开设呈现爆发式增长。以“数据科学 与大数据技术”专业为例，2015 年-2023 年的 9 年时间内，全国共有 775 所高校（不包 括重复备案的情况）成功备案了该本科专业。然而，尽管此类专业的数量显著增加，但 它们主要集中在技术导向的专业上，极少将数据安全与合规作为单独的教学重点。 通过研招网的专业信息查询可以发现，管理类与工学类专业仍然是高校泛数据类专 业的主要组成部分，占据了梳理结果的 81%。虽然这些专业为学生提供了 一个进入数据安全与合规领域的入口，但由于课程设置分散，且各自的侧重点各异（如 计算机应用能力和数据分析能力），因此对于学生来说，系统化地、深入地学习数据安 全与合规的知识存在一定的局限性。

3. 培养方案与实践脱节

数据类专业还面临着培养方案与实践之间明显脱节的问题，主要体现在两个方面： 一是课程设计上的脱节，二是校企联合培养上的断链。

(1) 课程设计上的脱节 在我国，研究生课程结构一般由公共课、专业基础课和研究方向课三部分组成。公 共课和基础课多由高校教师授课，部分教师实践能力和行业知识较弱，使课程内容与行 业需求脱节。相对而言，研究方向课更聚焦行业实践与学科前沿知识，但仍侧重学术理 论，与实际业务有差距。 以中国科学技术大学的数据科学研究生培养为例，其课程设计以学生学 术能力的培养为中心，关注基础研究和创新研究。与之对比，美国的研究生项目培养更重视应用导向，将实践学习作为研究生项目的 重点环节。譬如，麻省理工大学的商业分析硕士项目，学制共计 12 个月， 其中设置了为期 10 周的顶点项目（capstone project）19，帮助学生接触真实的商业世界 和数字经济。

(2) 校企联合培养上的断链 实习基地建设作为实践育人的重要载体和根本保障，已成为高校教学改革的重要课 题，更是打造高校精品教育的有力举措。然而，就我国高校实习基地建设的现实状况来 看，数据合规专业实习基地建设尚未引起应有的重视，校企合作的桥梁尚未搭建完成。 目前，已有个别高校开始尝试数据治理领域的校企合作。例如，厦门大学和美林数 据在 2023 年联合发起了“数据治理校企联盟”，旨在通过校企合作加强数据治理领域 的专业培养。但这样的案例仍属少数，多数高校尚未就数据合规专业训练建立实习基地、 搭建校企合作模式。归根结底，目前高校对于数据治理还处在较为初期的技术普及阶段， 没有真正融入进人才培养的体系中。

二、培训市场全景

除了高校的教育培养，从市场需求出发的学习培训也是数据合规人才培养的重要一 环。国家牵头的人员认证培训、企业内部的培养培训、专业机构的认证培训以及国际化 组织提供的综合培训，都是市场化培训的关键组成部分。

1. 国家队认证培训

近年来，为深入推进数字经济发展，加快数据安全专业人才培养进程，缓解人才短 缺困境，行政机关联合事业单位、行业协会等开展数据合规人才认证培训。 这些认证证书由政府主导、倡议成立的事业单位、行业协会签发，考试合格者方可获得 相关资质证明。发证单位定期自行或联合其他组织开展认证培训。也有单位采取授权培 训机制，如 CISP、CISM 认证培训，由授权培训机构提供培训。

以中国网络安全审查认证和市场监管大数据中心（下称“网数中心”）推出的认证 项目为例，包括信息安全保障人员（CISAW）认证、网络与数据安全岗位能力认证 （CDSPC）、网络安全应急响应工程师（CCRC-CSERE）岗位能力认证、数据安全评估 师（CCRC-DSA）认证评价、数据安全官（CCRC-DSO）认证评价等服务（见图 18）。 就上述人员认证业务，网数中心提供线下培训和在线培训服务，授课内容涵盖人工智能 与元宇宙概论、数据要素与数据安全防护、应急演练设施与实施、个人信息保护合规与 刑事责任等。

2. 企业内部培训

《网络安全产业人才发展报告（2023 年版）》的数据显示，超半数的企业尚未开展 体系化的网络安全培训。从业人员获取新知识的途径主要依赖于工作项目经验积累 （38.27%）、业余自学（32.44%）以及在校学习（12.64%）。 这种以自发学习为主的方式，虽然在一定程度上能够促进专业技能的提升，但也暴 露出企业对内部培训重视程度的不足：近三成（29.26%）的受访从业人员认为所在单位对网络安全人才队伍建设的重视程度一般，超过四分之一（27.53%）的受访者认为用人 单位给予较少重视，甚至有 7.57%的受访者认为用人单位对此完全不重视。

中小企业培训经费有限，直接导致忽视数据安全合规培训。在激烈的市场竞争和有 限的资金流下，中小企业往往将重点放在维持核心业务运转和实现短期利润增长上，而 忽视了合规培训的长远价值。 与此同时，大型企业虽然在资源上相对充裕，但在法规环境和技术快速变化的当下， 内部培训的时效性成为一大考验。培训内容往往难以及时更新以适应最新的法规和技术 发展，导致知识与实践脱节。这种脱节不仅削弱了培训的有效性，也影响了企业在数据 安全合规方面的整体表现。

3. 国内专业机构培训

我国纯市场培训由专业化机构主导，因其极高的开放包容性而成功汇聚 了来自各个行业的参与者，促进了跨领域知识的融合与实战经验的广泛交流。这些培训 项目不仅为个人提供了学习机会，也为企业培养了具备跨领域能力的人才，推动了行业 内的创新发展。

然而，尽管此类培训项目具有显著的优势，但该市场目前仍面临一些挑战。 首先，缺乏统一的行业标准和有效的监管机制，导致市场上培训项目的质量参差不 齐，内容涵盖范围广泛且深度不足。其次，由于师其次，由于师业水平和实际效果难以保证，从而影响了整个行业的整体认可度。 学员往往难以从这些培训中获得实质性的技能提升，培训的投资回报率因此受到严 重影响。尤其是对于中小企业而言，高昂的培训费用和较大的时间成本成为了一道难以 逾越的障碍。即使这些企业意识到了合规培训的重要性，也常常因为经济上的考虑而不 得不放弃参加，这不仅限制了中小企业的成长空间，也阻碍了行业内合规文化的建设和 发展，最终导致人才发展的不平衡。

4. 国际认证培训

国际市场上的数据合规人才培训主要由各类国际认证机构和培训公司提供，内容涵 盖 GDPR、CCPA 等国际数据保护法规。此类培训不仅注重法律法规的解 读，还强调技术、实战经验和国际视野，旨在帮助企业应对全球数据保护和合规挑战。

其中，以国际信息科学考试学会（EXIN）的 DPO（数据保护官）体系认证和 IAPP 认证为例做详细介绍：

(1) EXIN DPO 认证培训 国际信息科学考试学会（EXIN）是国际数字化管理领域的权威人才认证和能力鉴定 机构，于 1984 年由荷兰政府经济事务部创办。迄今为止，持有 EXIN 数字化管理资格 认证的人员遍布全球世界五百强企业。EXIN 认证遍布全球 165 个国家和地区，累计近 三百万的职业人士已经获得了 EXIN 颁发的资格证书。 EXIN 的 DPO（数据保护官）认证受到全球很多专业人士的认可，是业内权威的数 据保护官（DPO）岗位认证之一。该认证面向企业中的 IT 和安全负责人、律师和法律 及数据合规专业人员、金融保险和医疗保健专业人员、政企事业单位的专业人员和公务 员、教育工作者和学校管理人员等，涵盖“基础级认证——专业级认证——数据保护官” 的认证路径。

其中，基础级认证包括 EXIN Privacy & Data Protection Foundation 认证（涵盖欧盟 GDPR 法规）、EXIN Privacy & Data Protection Foundation based on PIPL 认证（涵盖中 国《个人信息保护法》以及其与 GDPR 的比较）、EXIN Information Security Foundation based on ISO/IEC 27001（涵盖信息安全的基本概念及其关系）；专业级认证为 EXIN Privacy & Data Protection Professional PDPP，旨在验证专业人员对欧盟隐私和数据保护 法规及其国际效力的了解和理解，以及专业人员在日常专业实践中应用它的能力。

(2) IAPP 认证培训 国际隐私专家协会（IAPP）是国际最大的信息安全从业者组织，成立已超 20 年， 截至目前有来自世界各地的会员上万人。IAPP 提供的认证包括三类（见图 22），分别 为合规项认证 CIPP（注册信息隐私专家）、管理项认证 CIPM（注册信息隐私管理师）、 技术项认证 CIPT（注册信息隐私技术专家）。 CIPP 是一项实践隐私认证，核心是人员对法规和概念的理解，获得认证表明你对隐 私和数据保护法律和实践的广泛全球概念、管辖法律、法规和实践模式、基本隐私概念 和原则有基本的了解。目前，CIPP 又可细分为 CIPP/A（亚洲）、CIPP/C（加拿大）、 CIPP/CN（中国）、CIPP/E（欧洲）、CIPP/US（美国私营部门）、CIPP/G（美国政府）。

CIPM 是一项实施隐私认证，重点是隐私项目管理，即将政策转化为项目程序的能 力，获得认证表明你有能力在隐私项目管理及其生命周期的各个阶段创建、维护和管理 隐私项目等。CIPM 目前提供有英语、巴西语、葡萄牙语、中文、法语和德语版考试认 证。 CIPT 是一项技术隐私认证，侧重于技术层面的隐私保护能力认证，获得认证表明你 拥有关键隐私和技术的双重素养，以确保运营满足隐私目标并降低风险。拥有此证书意 味着你可以通过在开发的每个阶段嵌入数据保护，构建隐私友好型产品、服务和流程、 设计软件和系统以更好地确保隐私等。