敏捷的數(shù)據(jù)管理創(chuàng)新
GDPR。CCPA。下一步是什么?數(shù)據(jù)隱私法規(guī)剛剛開始實(shí)施����。截至2018年底��,我們距離GDPR截止日期已超過6個月,距離加州消費(fèi)者隱私法案僅一年之久。許多公司仍在分析和制定他們對這些新法規(guī)的處理方法。國際隱私專業(yè)人員協(xié)會最近的一項調(diào)查指出,超過50%的公司估計他們尚未遵守GDPR���。
第一個主要的GDPR罰款是谷歌從法國數(shù)據(jù)管理局處以5700萬美元的罰款,谷歌計劃上訴�。監(jiān)管機(jī)構(gòu)列出了Google未能達(dá)到GDPR標(biāo)準(zhǔn)的兩個方面:
有關(guān)正在收集的數(shù)據(jù)�,處理數(shù)據(jù)以及存儲時間的信息不易獲取�����,有時需要五到六個步驟供用戶查找。找到后���,信息并不總是以清晰或全面的方式呈現(xiàn),從而阻礙用戶了解Google的廣告?zhèn)€性化處理操作���。
從用戶處獲得的用于數(shù)據(jù)處理的同意沒有充分了解,并且沒有“具體”或“明確”����。用戶不知道數(shù)據(jù)處理的程度�,并且未獲得每個不同處理操作的同意�����。
此后�,許多與GDPR有關(guān)的罰款都被征收��。有些與數(shù)據(jù)泄露有關(guān)�。其他人則更關(guān)心數(shù)據(jù)的管理和使用方式�����。例如:
根據(jù)隱私顧問2019年1月3日的規(guī)定�����,葡萄牙的第一份GDPR罰款是針對醫(yī)院發(fā)出的3起違規(guī)行為����。首先是違反最小化原則�,允許不加選擇地訪問過多的用戶。其次是由于未采用技術(shù)和組織措施來防止非法訪問個人數(shù)據(jù)而導(dǎo)致的完整性和機(jī)密性受到侵犯��。第三是未實(shí)施技術(shù)和組織措施�,以確保足以應(yīng)對風(fēng)險的安全水平���。
從數(shù)據(jù)隱私角度來看��,這些新法律和隨后的罰款加劇了企業(yè)范圍內(nèi)的法規(guī)遵從性的需求�����。數(shù)據(jù)治理運(yùn)營模式可以實(shí)現(xiàn)法規(guī)遵從的許多方面�,并應(yīng)被視為整體解決方案的一部分��。
好消息
這些數(shù)據(jù)隱私法規(guī)使您的組織可以在更好的位置結(jié)束�����,迫使業(yè)務(wù)和IT一起工作以確保“按設(shè)計隱私”和“默認(rèn)情況下的數(shù)據(jù)保護(hù)”�。這些是許多公司忽略的基本良好做法他們對數(shù)據(jù)的需求日益增長���。由于這些法規(guī)���,公司現(xiàn)在需要努力更好地了解他們擁有哪些數(shù)據(jù)以及如何使用這些數(shù)據(jù)��。
確保遵守數(shù)據(jù)隱私對業(yè)務(wù)也有好處�����。組織需要證明客戶可以開始相信他們是他們數(shù)據(jù)的良好管家。那些無法展示主動數(shù)據(jù)隱私或?qū)嶋H因這些規(guī)定而被罰款的組織可能會失去客戶。對數(shù)據(jù)隱私的公開關(guān)注可能成為數(shù)據(jù)密集型組織的堅實(shí)賣點(diǎn)。
挑戰(zhàn)
在GDPR下�,數(shù)據(jù)主體可以詢問您擁有的任何信息的詳細(xì)信息��。他們可以要求您將他們的數(shù)據(jù)傳遞給其他組織,甚至是您永久刪除他們的個人信息,特別是當(dāng)您不再需要它時����。公司需要表明他們完全掌控自己的數(shù)據(jù)和數(shù)據(jù)實(shí)踐,并了解數(shù)據(jù)的來源,數(shù)據(jù)來源���,使用者以及原因以及發(fā)生的位置����。
這些新法律如此具有挑戰(zhàn)性的原因是個人信息的擴(kuò)展定義�。它現(xiàn)在包括照片,GPS位置數(shù)據(jù)����,社交媒體用戶名��,IP地址,生物識別等數(shù)據(jù)��。它還包括所有數(shù)據(jù)類型�����,包括結(jié)構(gòu)化��,半結(jié)構(gòu)化,非結(jié)構(gòu)化�,在線����,近線���,離線����,數(shù)字,物理�����,等等
組織處理的數(shù)據(jù)越多����,就越難以找出任何給定的個人數(shù)據(jù)的所有權(quán)����,控制權(quán)和管理權(quán)����。越來越多的自助數(shù)據(jù)管理和操作以及整個組織中相關(guān)的數(shù)據(jù)孤島將使這項任務(wù)變得更具挑戰(zhàn)性。
以下是從數(shù)據(jù)管理角度確保數(shù)據(jù)隱私準(zhǔn)備應(yīng)采取的一些主要步驟。通過適當(dāng)?shù)臄?shù)據(jù)治理功能��,可以更有效地管理這些中的每一個��。
庫存
一個有效的出發(fā)點(diǎn)是建立一個全面的數(shù)據(jù)清單和數(shù)據(jù)圖,以確定所有必要的標(biāo)準(zhǔn)。雖然這項工作似乎是一項艱巨的任務(wù),但建立數(shù)據(jù)清單應(yīng)該是努力實(shí)現(xiàn)合規(guī)性的首要努力之一����。需要從自上而下(訪談/調(diào)查)和自下而上(系統(tǒng)/應(yīng)用程序)的角度來處理庫存����。這是因為組織需要不僅要了解數(shù)據(jù)及其所在的位置����,還要了解誰使用它�����,如何使用它以及它與業(yè)務(wù)流程的關(guān)系。
其中一些信息只能通過訪談和工作會議獲取,并且需要對任何技術(shù)清單進(jìn)行補(bǔ)充�����。數(shù)據(jù)治理功能可以通過利用數(shù)據(jù)所有者和管理員來促進(jìn)這些清單���,數(shù)據(jù)所有者和管理員應(yīng)該是其特定專業(yè)領(lǐng)域的數(shù)據(jù)中小企業(yè),并將所有這些信息作為業(yè)務(wù)和技術(shù)元數(shù)據(jù)捕獲�,標(biāo)記并將其映射到業(yè)務(wù)流程�����,系統(tǒng),等等
政策管理
作為數(shù)據(jù)隱私合規(guī)性的一部分���,組織需要能夠證明他們知道自己擁有哪些數(shù)據(jù)�����,并且能夠在整個數(shù)據(jù)生命周期中對其進(jìn)行管理�。數(shù)據(jù)生命周期以多種方式定義���。簡而言之�����,數(shù)據(jù)是(1)創(chuàng)建�,(2)存儲�����,(3)使用��,(4)存檔或銷毀。數(shù)據(jù)治理有助于制定支持此生命周期的策略��,標(biāo)準(zhǔn)和程序��。
例如�����,數(shù)據(jù)域所有者或特定策略所有者與公司的適當(dāng)區(qū)域(風(fēng)險,法律�,合規(guī)性等)合作可以定義有關(guān)數(shù)據(jù)存儲����,數(shù)據(jù)架構(gòu)��,數(shù)據(jù)標(biāo)準(zhǔn),數(shù)據(jù)質(zhì)量,數(shù)據(jù)分類��,數(shù)據(jù)訪問的策略����,數(shù)據(jù)使用,數(shù)據(jù)共享和數(shù)據(jù)保留(僅舉幾例?���。?����,并相應(yīng)地將這些政策與數(shù)據(jù)隱私聯(lián)系起來���。然后�����,數(shù)據(jù)管理辦公室可以與數(shù)據(jù)域所有者或策略所有者合作,在實(shí)施這些策略后確定適當(dāng)?shù)谋O(jiān)控流程和指標(biāo)���。如果沒有數(shù)據(jù)治理運(yùn)營模式,協(xié)調(diào)這些要求并確保合規(guī)是一項復(fù)雜的工作�。
風(fēng)險澄清
基于需求���,數(shù)據(jù)類別和分類的多因素風(fēng)險評分方法��,以及與數(shù)據(jù)具體相關(guān)的措施,如訪問頻率��,用戶活動���,擴(kuò)散�����,數(shù)量等,將使任何數(shù)據(jù)隱私的基于風(fēng)險的優(yōu)先級確定相關(guān)問題和差距�����。
行動計劃 清單�,政策評估和風(fēng)險澄清都將導(dǎo)致制定確保合規(guī)性所需的行動計劃��。將存在需要解決的差距�。其中一些也可以通過可靠的數(shù)據(jù)治理程序啟用�����。例如����,考慮用于識別個人和管理同意的主數(shù)據(jù)管理��。考慮數(shù)據(jù)質(zhì)量管理�����,以便能夠查看個人信息的準(zhǔn)確性�。這兩種功能都利用數(shù)據(jù)管理和工具來確保持續(xù)定義�����,實(shí)施和監(jiān)控適當(dāng)?shù)臉I(yè)務(wù)規(guī)則�����。
數(shù)據(jù)治理專注于元數(shù)據(jù)�,數(shù)據(jù)質(zhì)量管理�����,主數(shù)據(jù)管理��,策略管理和數(shù)據(jù)生命周期管理等領(lǐng)域�����。開發(fā)數(shù)據(jù)治理運(yùn)營模式和結(jié)構(gòu)將提供適當(dāng)?shù)慕巧氊?zé)和責(zé)任��,以及適當(dāng)?shù)墓芾頇C(jī)構(gòu)�����,以識別�����,記錄和更好地理解數(shù)據(jù)環(huán)境和格局。然后,通過數(shù)據(jù)治理開發(fā)相應(yīng)的數(shù)據(jù)框架可以實(shí)現(xiàn)所需的可見性,風(fēng)險分析和控制。
此外,數(shù)據(jù)治理辦公室可以開發(fā)培訓(xùn)并確保文檔駐留在數(shù)據(jù)治理知識庫中���。已經(jīng)具備數(shù)據(jù)治理功能的組織具有堅實(shí)的領(lǐng)先優(yōu)勢,可以利用它來促進(jìn)數(shù)據(jù)隱私合規(guī)性的許多方面。沒有數(shù)據(jù)治理功能的組織會發(fā)現(xiàn)��,對于計劃繼續(xù)利用和優(yōu)化其數(shù)據(jù)以發(fā)展業(yè)務(wù)的任何組織而言��,這變得越來越必要。
(部分內(nèi)容來源網(wǎng)絡(luò)��,如有侵權(quán)請聯(lián)系刪除)
