如何制定數字時代的資料隐私政策

雲栖号資訊：【 點選檢視更多行業資訊

】

在這裡您可以找到不同行業的第一手的上雲資訊，還在等什麼，快來！

公司持續面臨着實施的挑戰，因為它們正急于遵守資料隐私條例，如歐洲通用資料保護條例(GDPR)和加州消費者隐私法(CCPA)。這在很大程度上是由于它們對資料的管理與法規規定的嚴格要求不相比對。

組織可以通過定義一個良好的資料治理架構來解決隐私法規的複雜性，該架構可以利用人員、流程和技術來建立資料通路、管理和使用的标準。一個這樣的架構還使得公司能夠處理隐私的要素，包括身份和通路管理，政策定義。

當上司者在實作資料治理模型而需要考慮到隐私時，他們可能會面臨一些挑戰，包括不冷不熱的高管認可，缺乏連貫的資料政策，或者是關于如何使用和處理資料的不同意見。為了掃除這些障礙，上司者應該考慮以下行動：

• 建立跨職能的資料所有權和意識
• 簡化資料政策和程式
• 提升技術及基礎設施

建立跨職能的資料所有權和意識

雖然首席資料官或首席資訊官都可能會上司資料治理架構或模型的實作，但資料治理應該是整個公司的共同責任。至少，IT部門、隐私辦公室、安全組織和各個業務部門都應該參與進來，因為每個部門在資料管理方面都存在着重要的利害關系。盡早引入各種利益相關者可以讓公司建立關鍵資料目标和更廣泛的資料治理願景。這種合作可以采取專門工作組的形式，也可以包括定期的向執行部門報告資料治理和隐私目标的方式。

同樣，資料隐私也是一項共同的責任。通過遵循公認的資料收集、使用和共享标準，所有員工都可以在維護資料隐私方面發揮作用。事實上，在考慮隐私的情況下實施一個成功的資料治理模型需要對員工進行治理概念、角色和責任以及資料隐私概念和法規(例如，“個人資訊”與“消費者資訊”的定義)方面的教育。

在建立治理遠景并提高員工的意識之後，組織就可以定義他們想要的資料治理角色--比如資料所有者、資料管理者、資料架構師和資料消費者--并根據他們的需要定制角色了。例如，一些公司可能會區分資料專員和資料所有者，前者負責執行日常資料的操作，後者負責資料政策的定義。對于一個擁有龐大而複雜的IT部門的客戶，Metis Strategy建立了一個相應的治理層次結構，包括一個執行級别的董事會、組合而成的資料管理者/所有者角色以及其他職位(例如資料品質保管人)。這種結構簡化了通信，并使用戶端能夠友善地擴充其資料管理實踐。

從長遠來看，企業應該将資料治理和管理技能同時納入其人才戰略和勞動力計劃當中。考慮到某些資料密集型崗位所需的專業知識以及合格人才的短缺，組織可以考慮尋求人才獵頭公司的幫助，同時将内部精力集中在留住人才和提升技能上面。随着公司的戰略目标和監管需求的變化，它們還應該在調整資料治理角色和所有權方面保持靈活性。

簡化資料政策和程式

為了充分響應與消費者隐私相關的資料請求，組織應在資料生命周期中建立标準化的過程和政策。這将使公司能夠充分了解他們收集、使用和共享的資料，以及這些實踐與消費者的關系。

例如，CCPA為消費者提供了選擇不将其個人資訊出售給第三方的權利。如果零售商需要遵守此類要求，則需要能夠回答以下類别的問題:

• 資料分類:公司擁有哪些與消費者相關的資料元素，如位址、信用卡資訊或是産品偏好?公司是否對這些資料元素進行了适當的分類?
• 資料沿襲:客戶的資料源于何處，在其整個生命周期中，這些資料會發生什麼變化?例如，公司是否隻在内部共享客戶資料，還是與營銷和支付供應商共享了資料，以促進交易或個性化的廣告活動?
• 資料收集和可接受的使用:公司目前是如何從消費者那裡收集資料的?公司收集和處理他們的資料是否得到了消費者的同意?如果公司與外部各方共享客戶資料，是否有适當的資料共享協定?

為上述内容制定政策和标準可以幫助組織快速确定根據隐私法規來響應客戶請求所需的措施。公司應該廣泛地溝通政策，并確定政策能夠得到遵守，因為不這樣做可能會導緻使用不一緻的模闆和做法。例如，在一個Metis Strategy客戶中，很少有利益相關者對資料管理和通路标準有足夠的認識，盡管客戶的IT部門已經圍繞這些标準制定了廣泛的政策。

考慮技術和基礎架構的更新

為了成功地實施資料治理架構并確定隐私遵從性，企業可能還需要解決遺留基礎設施和技術債務所帶來的挑戰。例如，資料通常會存儲在整個組織的資訊孤島中，這會使得組織很難正确識别任何資料隐私問題的來源，也很難及時響應消費者或監管機構的要求。

企業還需要評估外包的雲服務(如基于雲的資料湖)所帶來的安全和隐私風險。那些使用多個雲提供商的公司可能希望簡化他們的資料共享協定，以便在供應商之間建立一緻性。

一些技術可以幫助公司利用客戶資料，也同時降低隐私風險。Carnival Corporation的首席資訊官Greg Sullivan在接受Metis Strategy的采訪時指出，資料虛拟化增強了公司的分析能力，降低了營運和計算成本，也減少了公司可能面臨的潛在安全和隐私漏洞。

公司還可以考慮采用新的隐私合規技術，通過提高可見性和透明度來增強資料治理。例如，資料發現工具使用了進階分析來識别可能被視為敏感的資料元素，而資料流映射工具則幫助公司了解了資料在内部和外部的移動方式和位置。這些工具可用于幫助組織确定其最關鍵的資料元素所需的保護級别，并在GDPR和CCPA下促進對消費者請求的響應。

盡管對遺留技術進行徹底改革可能會耗費一定的時間和成本，但在避免與技術債務相關的其他挑戰的同時，果斷進行改革的公司将能夠降低其隐私和安全風險。

建立高适應性的模型

随着全球資料隐私環境的發展，各個組織應不斷地調整其資料治理模型。公司應該在設計資料治理角色、流程、政策和技術時就考慮到隐私問題，而不是對目前和即将到來的隐私立法做出反應，進而主動地履行自己的義務。這樣做的公司不僅可以改善風險和聲譽管理，而且還可以鼓勵企業提高透明度和資料驅動的決策。

【雲栖号線上課堂】每天都有産品技術專家分享！

課程位址：

https://yqh.aliyun.com/live

立即加入社群，與專家面對面，及時了解課程最新動态！

【雲栖号線上課堂 社群】

https://c.tb.cn/F3.Z8gvnK

原文釋出時間：2020-06-28

本文作者：Chris Davis

本文來自：“

51CTO

”，了解相關資訊可以關注“[51CTO](

https://netsecurity.51cto.com/art/202006/619704.htm#topx

）