对于很多企业而言,保护个人身份信息越来越具有挑战性,随着全球数据量的增加,用于管理和保护数据的规则、法律和政策的数量也在增加。即使是最精明的数据隐私和法律专业人士,这种不断增长的法规政策也会使他们感到困惑。
企业确保个人身份信息(PII)的安全性和隐私性的主要方法之一是遵循数据匿名化最佳做法。
什么是PII?
从高层次上讲,PII是可以单独使用或与其他信息组合以识别个人的数据。政府和行业PII法规的目标是定义和执行政策,以保持该信息的隐私性。
欧盟委员会的GDPR条例和《加州消费者隐私法案》(CCPA)是两个广为人知的政府监管条例,它们为PII制定了一套隐私政策。这两个政府机构的罚款都可能很高。从发布之初到2020年1月,GDPR收集超过1.26亿美元的罚款,每项记录的CCPA罚款从2500美元到7500美元不等。
识别PII的挑战在于,数十个数据元素都是潜在的个人标识符。此外,政府网站(例如GDPR的信息门户)提供PII数据描述和示例,所使用的语言故意含糊不清,以免将数据元素限制为预定义的集合。因为每个监管条例可能对PII都有不同的解释,所以最好针对特定的隐私控制咨询专家。
数据匿名化
从PII的角度来看,数据匿名化是模糊化信息的过程,使这些信息无法用于识别个人。匿名化可减少意外泄露PII数据的风险,并且,如果确实发生数据泄露,则被窃取的信息将对攻击者毫无用处。
从合规性来看,匿名数据被认为是非个人数据,因为它无法识别个人。
匿名化的最终目标是消除PII暴露个人的机会,同时保留信息对企业的价值。匿名化数据与破坏数据使其无法提供有意义的业务洞察力之间只存在细微的界限。
数据匿名化是PII隐私的关键
为适当地保护PII数据,企业必须制定战略计划,定义角色、规则、流程和最佳做法,以确保其PII数据的安全性、质量以及正确使用。该计划的目标是提供控件的蓝图,以确保在企业级有效管理PII数据。
该计划需要包括标准IT社区数据匿名化最佳做法,以及企业、特定于行业和政府的法规条例规范和控制。该计划应该是一项业务和IT联合计划,两个部门都应发挥同等重要的作用。
其中的一项输出应是文档记录技术无关的控件,这些控件在企业中普遍应用。这些控件必须包括一组可靠的数据匿名化策略和程序。
保护任何敏感信息的关键组成部分是制定企业范围的意识计划。IT部门无法独自保护PII。与PII进行交互的所有业务和运营组必须积极参与,管理层的支持至关重要。
你无法匿名处理你不知道的数据
在制定政策和程序、购买产品或实施手动数据匿名化过程之前,请确定企业中所有潜在的PII数据元素。你的环境越大,你的企业就越容易存储未标识的PII数据。
这不是一件容易的事。大多数包含PII的数据都不是处于空闲状态。在创建数据元素后,它会迅速传播到整个企业中的报表、仪表板和其他数据存储。
确保一个人在整个企业中的持续匿名性具有内在的可变性。换句话说:事情会发生变化。数据审计以及来自与PII交互的IT和业务人员的持续反馈将有助于发现潜在问题。
数据匿名化产品
现在有大量可用的软件解决方案,从专门关注数据匿名化最佳做法的产品到提供广泛数据安全功能的企业范围产品。企业规模越大,这些工具就越重要。根据企业存储的数据量,你可能需要购买一两个产品才能正确识别和保护敏感的PII数据资产。
现在有各种可用的数据匿名化产品。此外,现有的数据存储平台也可提供匿名化功能。例如,很多领先的数据库提供匿名化组件(例如加密)作为其基础软件堆栈的一部分。还有些产品专门用于匿名化各种数据存储中的数据,包含云端和本地数据库以及平面文件等。
为了正确选择和部署最合适的PII识别和数据匿名化软件,技术专业人员必须创建和执行经过深思熟虑的详细竞争产品分析。
以下是一般建议,可帮助你快速开始分析:
- 在评估PII数据标识和匿名产品时,企业应遵循标准化的产品评估方法,以帮助做出选择。评估最佳做法包括:选择合适的评估团队、执行全面的需求分析以及创建一组强大的加权评估指标。使用评估指标来创建供应商候选清单,并对其余供应商进行深入比较。
- 了解你的业务需求。你想达到什么目的?你是否正在寻找专门针对数据匿名化、PII数据识别的产品,还是提供更广泛特性和功能的平台?
- 使用同行评估网站(例如Gartner Peer Insights)对不同产品进行社区评审。
- 访问供应商网站和IT社区讨论论坛。供应商经常会购买Gartner的《供应商魔力象限》,并向公众开放,这可能有助于缩小供应商的候选清单
- 根据你当前和预期的未来需求,确定供应商是支持云端、内部还是两者。