数据是业务的核心所在,但是随着其容量的爆炸式增长,敏感信息的保护已经成为一个艰巨的任务。
作为企业来说,必须理解并遵守隐私和数据保护的相关法规和标准。但是,相关的法规如此之多,而且在国与国乃至州与州之间都会有极大差别。该从哪里开始入手呢?这是否是你工作的一部分呢?
和业界很多的预测相反,法规仍然是隐私和数据保护的重要内容。Forrester的数据安全和隐私指南中提出了构建隐私管理框架的五个步骤,以此避免在面对此类问题时手足无措。
第1步:定义数据隐私的范畴
合规方面的首要工作是确定其所涵盖的范畴。比如,如果你的业务在美国、加拿大和墨西哥,那么就必须理解这三个国家以及各个州的法律 – 在数据隐私方面,总共至少有50部法律。
另外,个人数据的定义在不同地区之间也有很大差异。比如在加利福尼亚,邮政编码本身即被看作是个人数据,而其他州,只有当其出现在其他数据中时才被视为个人数据。如果对于你所要处理的数据的类型和划分理解不当,你就无法辨识其是否为个人信息,更谈不上加以适当地保护了。
第2步:明确企业的角色和责任
有些被误导的企业经常将数据和隐私保护的所有责任交给安全专家。由于专家们负责管理并保护企业的数据,因此通常就被认为也应该负责兼顾相应的法规条例。而事实上,根据Forrester在2012年对2383位IT经理和技术负责人的调查,49%的安全团队认为自身应该对隐私付全责,而77%的认为至少应该负有一半的责任。
由于没有法律的背景,安全专家们必然会将一部分责任转移出去,让其他部门也牵涉进来。但是,要注意防止这造成企业中的另一个藩篱,对此一家咨询公司的高级合伙人这样描述到:“人们一听到个人数据,就认为是IT的责任所在,而IT又认为这是属于安全方面的事务。实际上,这其中很多事情超出了数据保护、IT或者安全的范畴。”
作为应对,应该考虑雇佣一位专业的隐私专家或者首席隐私官(chief privacy officer),以此确保整个企业都在合规方面举措得当。
第3步:建立法规和业务要求之间的映射
根据客户的反馈,最常见的一个挑战是将各项标准转化为实际业务中的要求并贯彻到实践中。对大多数企业来说,要达成法规和业务的一致是相当复杂的,因此Forrester认为应该首先创建内部控制的映射工具。
一家全球著名企业的首席隐私官告诉我们,该企业最近采用了一种在线工具来完成法规到流程的映射。在全球各地律师的协助下,他们梳理了相关的法规要求并把工具内嵌到业务流程中。尽管有时还需要人工的干预,这个工具已经可以让项目进行自决策 – 仅仅在特殊情况下才需要借助外部的法律援助。
第4步:让隐私保护成为企业的文化
隐私保护必须成为企业的一种内在文化。首先是认识到当前存在的缺陷,然后制定计划进行纠正,最后以政策和流程的方式加以落实。在整个过程中,坚持是最重要的。正如一位安全经理所说:“你必须打起精神,坚持自己的看法并最终让其他人认同。”
第5步:跟上变化的步伐
在梳理清合规要求并有明晰的框架构建理念之后,接下来你可能要应对法规条例的不断变化。但是,没必要让变化成为你前进的阻碍 – 隐私的保护绝非易事,相关法规的持续调整是无可避免的。