在快速發(fā)展的全球市場中,應(yīng)對跨境數(shù)據(jù)隱私問題比以往任何時候都更具挑戰(zhàn)性�。以下是公司在保護(hù)其最有價值資產(chǎn)的同時確保合規(guī)的方法。
圖源:Jack_the_sparow / Shutterstock
隨著組織向國際市場擴(kuò)張�,IT領(lǐng)導(dǎo)者必須應(yīng)對錯綜復(fù)雜的法規(guī),從General Data Protection Regulation/GDPR(《通用數(shù)據(jù)保護(hù)條例》)到California Consumer Privacy Act/CCPA(《加利福尼亞消費(fèi)者隱私法案》)����,以及其他特定地區(qū)的隱私法律。因此��,為了保持合規(guī)�����,他們應(yīng)制定完善的計劃��,涵蓋數(shù)據(jù)映射��、加密��、同意跟蹤等方面����,并確保供應(yīng)商遵守規(guī)則。
行業(yè)專家表示���,以下是確?��?缇硵?shù)據(jù)隱私合規(guī)的八個關(guān)鍵步驟。
一�、了解數(shù)據(jù)狀況
在實施任何合規(guī)策略之前,CIO需要全面了解其組織處理的所有數(shù)據(jù)���。
人工智能數(shù)據(jù)提取軟件提供商Parseur的聯(lián)合創(chuàng)始人兼首席執(zhí)行官Sylvestre Dupont(西爾維斯特·杜邦)表示:“在應(yīng)對數(shù)據(jù)隱私法規(guī)之前�����,第一步是了解你的數(shù)據(jù):收集了哪些數(shù)據(jù)�、為什么收集以及數(shù)據(jù)存儲在哪里����。”
Dupont(杜邦)表示��,盡早區(qū)分?jǐn)?shù)據(jù)控制者和處理者至關(guān)重要。這種方法有助于公司遵守規(guī)則�����,并根據(jù)數(shù)據(jù)類型和存儲位置采取適當(dāng)?shù)谋Wo(hù)措施�。“清晰、準(zhǔn)確地了解你的數(shù)據(jù)狀況����,對于確保在不同司法管轄區(qū)都能合規(guī)大有幫助,”他補(bǔ)充道�����。
總部位于英國的網(wǎng)絡(luò)安全企業(yè)Panaseer的首席數(shù)據(jù)科學(xué)家Leila Powell(萊伊拉·鮑威爾)強(qiáng)調(diào)了建立和維護(hù)準(zhǔn)確資產(chǎn)清單的重要性���。她說:“良好安全態(tài)勢的基礎(chǔ)之一是維護(hù)準(zhǔn)確的資產(chǎn)清單�。畢竟��,你無法保護(hù)你不知道存在的東西���?!?/span>
Powell(鮑威爾)還指出���,通過多個來源驗證安全控制措施是維護(hù)隱私和安全的關(guān)鍵����。她還說:“一個所有團(tuán)隊都可以共享的��、經(jīng)過驗證的單一事實來源���,并轉(zhuǎn)化為每個利益相關(guān)者都能理解的語言�����,是非常寶貴的�����?����!?/span>
二���、實施隱私設(shè)計原則
隱私應(yīng)該從一開始就融入業(yè)務(wù)的每個部分,而不是事后才添加��。
新加坡移動應(yīng)用安全公司Appknox的首席執(zhí)行官兼首席技術(shù)官Subho Halder(蘇博·哈爾德)表示:“如今,我們采用了隱私設(shè)計方法��,將數(shù)據(jù)收集��、存儲和處理的考量融入應(yīng)用程序設(shè)計的基礎(chǔ)之中�。隱私絕不應(yīng)是事后才想到的事情。我們將其視為一項架構(gòu)原則�����,融入我們提供的每一個產(chǎn)品和服務(wù)中����。”
Halder(哈爾德)進(jìn)一步解釋說�����,他們的隱私設(shè)計策略包括集成自動化工具���,以盡早檢測和緩解隱私風(fēng)險���。他說:“在初始階段解決隱私問題不僅可以降低風(fēng)險,還能提高運(yùn)營效率?���!?/span>
數(shù)字營銷機(jī)構(gòu)Boost Media Group的系統(tǒng)與數(shù)據(jù)集團(tuán)負(fù)責(zé)人兼代理首席信息和數(shù)據(jù)官David Afolabi(大衛(wèi)·阿福拉比)表示,例如���,Boost Media Group從第一行代碼開始就融入隱私設(shè)計原則,并始終符合相關(guān)標(biāo)準(zhǔn)����,如用于安全的ISO 27001標(biāo)準(zhǔn)和NIST(美國國家標(biāo)準(zhǔn)與技術(shù)研究院)隱私框架。
三�、制定全球隱私基線
鑒于全球隱私法律相互沖突且不斷變化,一刀切的方法是無效的��。相反��,公司應(yīng)采用一種可在全球范圍內(nèi)應(yīng)用的基線標(biāo)準(zhǔn)����。
多倫多隱私人工智能公司Private AI的工程副總裁Kory Fong(科里·馮)表示:“我們默認(rèn)采用最嚴(yán)格的適用標(biāo)準(zhǔn)。我們的基線確保我們能夠靈活適應(yīng)地區(qū)法律����,而無需每次法規(guī)變化時都從頭開始。”
Fong(馮)還指出���,公司的系統(tǒng)可以隨著規(guī)則的變化迅速調(diào)整政策�。
他說:“為了領(lǐng)先于新法規(guī)�����,我們優(yōu)先開展主動的隱私工程��,并持續(xù)關(guān)注全球監(jiān)管動態(tài)���。我們的技術(shù)旨在靈活適應(yīng)對個人信息的不同定義����,而且我們大力投入與各地區(qū)的法律和合規(guī)專家建立合作關(guān)系�����?!?/span>
四、實施供應(yīng)商合規(guī)計劃
數(shù)據(jù)隱私不僅僅關(guān)乎公司自身的系統(tǒng)����。供應(yīng)商也必須遵守嚴(yán)格的隱私規(guī)則�。
“我們強(qiáng)化了供應(yīng)鏈和第三方風(fēng)險管理流程���,以確保所有供應(yīng)商���,尤其是那些處理敏感數(shù)據(jù)或系統(tǒng)的供應(yīng)商,都能達(dá)到我們嚴(yán)格的隱私和安全要求�����,包括通過諸如ISO 27001和SOC 2等審核和認(rèn)證��?��!痹瞥上衽c物聯(lián)網(wǎng)技術(shù)公司Lexmark的首席信息安全官Bryan Willett(布萊恩·威利特)說道。
數(shù)據(jù)隱私提供商Osano的創(chuàng)始首席技術(shù)官Scott Hertel(斯科特·赫特爾)持相同觀點�����。
他說:“了解你的供應(yīng)商����。供應(yīng)鏈風(fēng)險也是網(wǎng)絡(luò)安全專家和隱私監(jiān)管機(jī)構(gòu)公認(rèn)的薄弱環(huán)節(jié)。知道你將數(shù)據(jù)分享給了誰����,以及他們?nèi)绾问褂眠@些數(shù)據(jù)���,對于降低危害、了解數(shù)據(jù)是否被出售或分享給未知方�,以及減少數(shù)據(jù)被濫用于攻擊的可能性至關(guān)重要。”
五���、走在前列
領(lǐng)先于新興法規(guī)對于保持合規(guī)至關(guān)重要��。“積極主動是關(guān)鍵����,”Kory Fong(科里·馮)說���,“這使我們能夠在不干擾運(yùn)營的情況下做出調(diào)整�����?!?/span>
Private AI的監(jiān)管團(tuán)隊設(shè)置得能夠盡早發(fā)現(xiàn)即將出臺的立法變化����,為他們提供了調(diào)整策略的時間�。他補(bǔ)充道:“為了領(lǐng)先于新法規(guī)���,我們優(yōu)先開展主動的隱私工程�,并持續(xù)關(guān)注全球監(jiān)管動態(tài)��,這樣我們的產(chǎn)品就能與客戶必須遵守的法律和標(biāo)準(zhǔn)同步發(fā)展�����?�!?/span>
稅務(wù)合規(guī)軟件提供商Sovos的首席信息安全官James Prolizo(詹姆斯·普羅利佐)也認(rèn)為積極主動是關(guān)鍵��。
他說:“這意味著要營造一種將監(jiān)管知識融入日常決策的環(huán)境���。我們定期監(jiān)測全球政策動態(tài),并在規(guī)劃過程早期就讓隱私專家參與進(jìn)來��,這樣我們就能做好準(zhǔn)備���,而不僅僅是被動應(yīng)對��?��!?/span>
以色列Check Point Software Technologies的首席信息官Alex Spokoiny(亞歷克斯·斯波科伊尼)表示���,為了領(lǐng)先于新興法規(guī),他的公司已經(jīng)從僵化的政策轉(zhuǎn)向了一種更加靈活�����、注重風(fēng)險的方法�����。
他說:“關(guān)鍵在于密切關(guān)注我們收集的數(shù)據(jù)����、數(shù)據(jù)的流向以及數(shù)據(jù)的使用方式,這樣當(dāng)新規(guī)則出臺時我們就能迅速做出調(diào)整�����。我們還利用自動化和智能工具來輔助實施諸如數(shù)據(jù)訪問���、本地化或匿名化等措施����,具體取決于具體情況和地區(qū)。這是為了隨時做好適應(yīng)變化的準(zhǔn)備��?�!?/span>
六�、保護(hù)敏感信息
對數(shù)據(jù)進(jìn)行去識別化和加密處理有助于在降低風(fēng)險的同時保持?jǐn)?shù)據(jù)的可用性。
Kory Fong(科里·馮)說:“在Private AI����,我們調(diào)整數(shù)據(jù)治理策略的方法是將隱私融入數(shù)據(jù)管道��。我們盡可能在早期階段對敏感信息進(jìn)行去識別化處理����,使組織能夠在處理豐富且有意義的數(shù)據(jù)集的同時���,仍符合諸如GDPR����、CPRA、HIPAA等地區(qū)隱私法規(guī)的要求�?�!?/span>
他補(bǔ)充說�,他的公司通過從一開始就對數(shù)據(jù)進(jìn)行匿名化處理并僅收集必要信息,幫助客戶在確保數(shù)據(jù)安全的前提下充分利用數(shù)據(jù)���。
量子技術(shù)與數(shù)據(jù)安全公司Quantum Xchange的首席戰(zhàn)略官Antonio Sanchez(安東尼奧·桑切斯)表示���,一般來說�����,公司要保護(hù)數(shù)據(jù)首先必須了解數(shù)據(jù)的流動方式��、存儲位置以及處理人員��。
他說:“你需要建立一個分類系統(tǒng)來標(biāo)記所有數(shù)據(jù)��,這是實施數(shù)據(jù)保護(hù)政策的前提���?���!?/span>
七���、部署跨職能協(xié)作
有效的數(shù)據(jù)隱私管理需要多學(xué)科方法�����,涉及IT���、法律、合規(guī)和產(chǎn)品團(tuán)隊����。
“跨職能協(xié)作已融入我們的指導(dǎo)團(tuán)隊,”Lexmark的Willett(威利特)說�,“多年來,我們通過成立Enterprise Data Governance and Ethics community/EDGE(企業(yè)數(shù)據(jù)治理與道德委員會)從根本上改變了我們的數(shù)據(jù)治理方式�����?���!?/span>
Willett(威利特)指出,EDGE是一個由高級領(lǐng)導(dǎo)組成的跨職能團(tuán)隊����,負(fù)責(zé)監(jiān)督公司的數(shù)據(jù)管理戰(zhàn)略。
他說:“EDGE為Lexmark的產(chǎn)品制定數(shù)據(jù)政策,明確整個組織中與數(shù)據(jù)相關(guān)的角色�,并確保每個業(yè)務(wù)領(lǐng)域都有指定的數(shù)據(jù)管理員和保管人來維護(hù)治理標(biāo)準(zhǔn)?��!?/span>
Sovos的Prolizo(普羅利佐)認(rèn)同Lexmark的方法���。
他說:“我們不是在團(tuán)隊之間傳遞要求,而是提前將利益相關(guān)者聚集在一起�����。每個人都對合規(guī)負(fù)有責(zé)任�����,這使其成為一個共同目標(biāo)��,而不僅僅是一個檢查點��?���!?/span>
Spokoiny(斯波科伊尼)說,這種協(xié)作結(jié)構(gòu)對公司隱私戰(zhàn)略至關(guān)重要����。
他說:“這已經(jīng)成了必不可少的環(huán)節(jié)。過去����,隱私問題通常由IT部門或法律部門獨自處理。如今�,這需要產(chǎn)品團(tuán)隊、合規(guī)部門���、法律部門以及工程部門共同協(xié)作�����。我們在關(guān)鍵團(tuán)隊中設(shè)立了隱私負(fù)責(zé)人��,將共同目標(biāo)與信任及數(shù)據(jù)安全掛鉤�����,并在推出新事物時進(jìn)行定期檢查?�,F(xiàn)在這確實是團(tuán)隊共同努力的成果����。”
八�、開展持續(xù)培訓(xùn)與宣傳項目
隱私合規(guī)并非一蹴而就,而是需要在組織的各個層面持續(xù)開展教育工作��。
Willett(威利特)表示:“我們投入了大量精力����,針對特定崗位制定培訓(xùn)計劃。例如�����,開發(fā)人員不僅要了解如何構(gòu)建功能���,還要明白如何在確保安全的前提下�,按照相關(guān)隱私要求進(jìn)行開發(fā)����。”
Kory Fong(科里·馮)對此表示贊同����,并強(qiáng)調(diào)針對產(chǎn)品團(tuán)隊開展年度法律意識培訓(xùn)的重要性。
他說:“CIO應(yīng)當(dāng)肩負(fù)起彌合法律與產(chǎn)品部門之間差距的責(zé)任�����,確保從第一天起,在開發(fā)新功能時就將合規(guī)因素考慮在內(nèi)���。當(dāng)隱私成為開發(fā)過程的一部分時,創(chuàng)新不會放緩�����,反而會加速���,因為這樣可以避免日后高昂的返工成本��?����!?/span>
軟件開發(fā)公司Sourcetoad的首席體驗官Nick DeMelas(尼克·德梅拉斯)稱���,他的公司通過研究、警報�����、訂閱源等方式,積極關(guān)注監(jiān)管趨勢�����、地緣政治動態(tài)以及新興技術(shù)���,并密切留意整個行業(yè)的發(fā)展情況��。
他說:“我們的團(tuán)隊積極參加內(nèi)部持續(xù)培訓(xùn)課程���,定期分享有關(guān)隱私和安全發(fā)展動態(tài)的見解。我們還會組織內(nèi)部討論和交流活動��,例如最近就歐盟和美國隱私標(biāo)準(zhǔn)差異展開的討論���,這有助于我們的團(tuán)隊提前預(yù)判變化��,而不是被動應(yīng)對���。”
作者:Linda Rosencrance(琳達(dá)·羅森克蘭斯)
Linda Rosencrance(琳達(dá)·羅森克蘭斯)是波士頓地區(qū)的一名自由撰稿人/編輯/作家��。她在大波士頓地區(qū)的許多報紙擔(dān)任記者/調(diào)查記者���,擁有超過35年的經(jīng)驗�����。Rosencrance(羅森克蘭斯)自1999年以來一直從事信息技術(shù)方面的寫作����。她的文章發(fā)表在眾多科技出版物上,包括Computerworld/《計算機(jī)世界》��、CIO/《首席信息官》�����、CSO/《首席安全官》����、Techopedia/《技術(shù)百科》���、Tech Target/《技術(shù)目標(biāo)》和MSDynamicsWorld/《微軟動態(tài)世界》����。
譯者:寶藍(lán)
睿觀:
為應(yīng)對日益復(fù)雜且不斷演變的全球跨境數(shù)據(jù)隱私法規(guī)(如GDPR���、CCPA)���,企業(yè)必須采取系統(tǒng)性的����、主動的合規(guī)策略(核心背景與要求)���。成功的實踐涵蓋八大關(guān)鍵步驟:全面了解數(shù)據(jù)狀況�����、從源頭實施隱私設(shè)計���、制定全球最高標(biāo)準(zhǔn)為基線、嚴(yán)格管理供應(yīng)商合規(guī)��、主動預(yù)見并適應(yīng)法規(guī)變化�、通過加密等手段保護(hù)敏感信息、建立跨職能協(xié)作機(jī)制���,以及開展持續(xù)的培訓(xùn)與宣傳(關(guān)鍵行動框架)��。將數(shù)據(jù)隱私視為融入企業(yè)架構(gòu)與文化的長期戰(zhàn)略要務(wù)���,而非一次性�、孤立的合規(guī)任務(wù)���,是企業(yè)在保障數(shù)據(jù)安全的同時���,靈活應(yīng)對全球市場挑戰(zhàn)的根本之道(核心理念與目標(biāo))。
金句提煉:
數(shù)據(jù)隱私合規(guī)的真諦�����,不在于事后補(bǔ)救的“防火墻”��,而在于事前融入設(shè)計的“基因”���,以及全員參與的“免疫系統(tǒng)”。
