隨著企業(yè)的國際化擴(kuò)展，IT 領(lǐng)導(dǎo)者必須在復(fù)雜的法規(guī)迷宮中導(dǎo)航，從《通用數(shù)據(jù)保護(hù)條例》(GDPR)到《加州消費者隱私法案》(CCPA)，以及其他特定地區(qū)的隱私法律。因此，為了保持合規(guī)，他們應(yīng)制定涵蓋數(shù)據(jù)映射、加密、同意跟蹤以及確保供應(yīng)商遵守規(guī)則的嚴(yán)密計劃。

根據(jù)行業(yè)專家的意見，以下是跨國界保護(hù)數(shù)據(jù)隱私合規(guī)性的八個關(guān)鍵步驟：

1. 了解數(shù)據(jù)環(huán)境

CIO需要在實施任何合規(guī)策略之前，全面了解其企業(yè)處理的所有數(shù)據(jù)。

“在應(yīng)對數(shù)據(jù)隱私法規(guī)之前，第一步是了解你的數(shù)據(jù)：你收集什么，為什么收集，以及數(shù)據(jù)存儲在哪里?！?AI 數(shù)據(jù)提取軟件提供商 Parseur 的聯(lián)合創(chuàng)始人兼CEO Sylvestre Dupont 表示。

Dupont 指出，盡早區(qū)分?jǐn)?shù)據(jù)控制者和數(shù)據(jù)處理者至關(guān)重要，這種方法有助于公司遵循規(guī)則，并根據(jù)數(shù)據(jù)類型和所在位置采取適當(dāng)?shù)谋Ｗo(hù)措施?！皩δ愕臄?shù)據(jù)環(huán)境有一個清晰、準(zhǔn)確的了解，對于確?？缢痉ü茌爡^(qū)的合規(guī)性大有裨益?！彼a(bǔ)充道。

總部位于英國的網(wǎng)絡(luò)安全企業(yè) Panaseer 的首席數(shù)據(jù)科學(xué)家 Leila Powell 強(qiáng)調(diào)了建立和維護(hù)準(zhǔn)確資產(chǎn)清單的重要性?！傲己玫陌踩珣B(tài)勢基礎(chǔ)之一是維護(hù)準(zhǔn)確的資產(chǎn)清單，”她說，“畢竟，你無法保護(hù)你不知道存在的東西?！?/p>

Powell 還補(bǔ)充說，通過多個來源驗證安全控制措施對于維護(hù)隱私和安全至關(guān)重要。“一個所有團(tuán)隊都能共享、并且能翻譯成每個利益相關(guān)者都能理解的語言的單一、驗證過的真實來源，是無價之寶?！彼a(bǔ)充道。

2. 實施隱私設(shè)計原則

隱私應(yīng)從一開始就融入企業(yè)的各個方面，而不是后來才添加。

“今天，我們采用了隱私設(shè)計原則，將數(shù)據(jù)收集、存儲和處理考慮因素融入應(yīng)用設(shè)計的基礎(chǔ)之中，”新加坡移動應(yīng)用安全公司 Appknox 的CEO兼CTO Subho Halder 表示，“隱私絕不應(yīng)是事后考慮的問題，”他說，“我們將其視為一個架構(gòu)原則，融入我們提供的每個產(chǎn)品和服務(wù)中?！?/p>

Halder 進(jìn)一步解釋說，他們的隱私設(shè)計策略包括集成自動化工具以盡早檢測和緩解隱私風(fēng)險?！霸陧椖砍跗诰徒鉀Q隱私問題，不僅降低了風(fēng)險，還提高了運營效率。”他說。

例如，數(shù)字營銷機(jī)構(gòu) Boost Media Group 從第一行代碼開始就融入隱私設(shè)計原則，并保持與安全標(biāo)準(zhǔn)(如 ISO 27001)和 NIST 隱私框架的一致性，該機(jī)構(gòu)系統(tǒng)與數(shù)據(jù)組負(fù)責(zé)人兼代理首席信息與數(shù)據(jù)官 David Afolabi 表示。

3. 制定全球隱私基準(zhǔn)

鑒于全球隱私法律的沖突性和不斷演變性，一刀切的方法是無效的，相反，公司應(yīng)采用可在全球范圍內(nèi)應(yīng)用的基準(zhǔn)標(biāo)準(zhǔn)。

“我們默認(rèn)采用最嚴(yán)格的標(biāo)準(zhǔn)，”多倫多 Private AI 公司的工程副總裁 Kory Fong 表示，“我們的基準(zhǔn)確保我們可以靈活地適應(yīng)地區(qū)法律，而無需在每次法規(guī)變化時都從頭開始。”他說。

Fong 還指出，公司的系統(tǒng)可以隨著規(guī)則的變化而迅速調(diào)整政策。

“為了領(lǐng)先于新法規(guī)，我們優(yōu)先考慮主動隱私工程和全球范圍內(nèi)對監(jiān)管發(fā)展的持續(xù)監(jiān)控，”他說，“我們的技術(shù)旨在靈活適應(yīng)個人信息的不同定義，并且我們在與各地區(qū)的法律和合規(guī)專家建立合作伙伴關(guān)系方面投入了大量資金。”

4. 實施供應(yīng)商合規(guī)計劃

數(shù)據(jù)隱私不僅涉及公司自身的系統(tǒng)，供應(yīng)商和供應(yīng)商也必須遵守嚴(yán)格的隱私規(guī)則。

“我們的供應(yīng)鏈和第三方風(fēng)險管理流程已經(jīng)得到加強(qiáng)，以確保所有供應(yīng)商，特別是那些處理敏感數(shù)據(jù)或系統(tǒng)的供應(yīng)商，滿足我們嚴(yán)格的隱私和安全期望，包括審計和認(rèn)證，如 ISO 27001 和 SOC 2。”云啟用的成像和物聯(lián)網(wǎng)技術(shù)公司 Lexmark 的CISO Bryan Willett 表示。

數(shù)據(jù)隱私提供商 Osano 的創(chuàng)始CTO Scott Hertel 也持相同觀點。

“了解你的供應(yīng)商，”他說，“供應(yīng)鏈風(fēng)險是網(wǎng)絡(luò)安全專業(yè)人員和隱私監(jiān)管機(jī)構(gòu)都知道的弱點。了解你與誰共享數(shù)據(jù)，以及他們在做什么，對于最小化傷害、理解數(shù)據(jù)是否被出售或與未知方共享，以及減少數(shù)據(jù)被用于攻擊的可能性至關(guān)重要?！?/p>

5. 保持領(lǐng)先

在應(yīng)對新興法規(guī)方面保持領(lǐng)先對于維持合規(guī)性至關(guān)重要?！爸鲃有允顷P(guān)鍵，”Fong 表示，“它使我們能夠在不中斷運營的情況下進(jìn)行調(diào)整?！彼a(bǔ)充道。

Private AI 的監(jiān)管團(tuán)隊負(fù)責(zé)盡早發(fā)現(xiàn)即將到來的立法變化，從而給他們時間調(diào)整策略?！盀榱祟I(lǐng)先于新法規(guī)，我們優(yōu)先考慮主動隱私工程和全球范圍內(nèi)對監(jiān)管發(fā)展的持續(xù)監(jiān)控，以便我們的產(chǎn)品能夠與客戶必須遵守的法律和標(biāo)準(zhǔn)同步發(fā)展?！彼a(bǔ)充道。

稅務(wù)合規(guī)軟件提供商 Sovos 的CISO James Prolizo 也同意主動性是關(guān)鍵。

“這是關(guān)于創(chuàng)造一個將監(jiān)管知識融入日常決策的環(huán)境，”他說，“我們定期監(jiān)控全球政策發(fā)展，并在規(guī)劃過程中盡早讓隱私專家參與進(jìn)來，以便我們做好準(zhǔn)備，而不僅僅是被動應(yīng)對?！彼硎?。

以色列 Check Point Software Technologies 的CIO Alex Spokoiny 表示，為了領(lǐng)先于新興法規(guī)，他的公司已經(jīng)從嚴(yán)格的政策轉(zhuǎn)向更加靈活、風(fēng)險意識更強(qiáng)的方法。

“關(guān)鍵在于密切關(guān)注我們收集的數(shù)據(jù)、數(shù)據(jù)流向以及如何使用，以便在新規(guī)則出臺時能夠迅速調(diào)整，”他說，“我們還在使用自動化和智能工具來幫助執(zhí)行數(shù)據(jù)訪問、本地化或匿名化等操作，具體取決于上下文和地區(qū)。這是關(guān)于做好適應(yīng)準(zhǔn)備的?！彼硎尽?/p>

6. 保護(hù)敏感信息

去標(biāo)識化和加密數(shù)據(jù)有助于降低風(fēng)險，同時保持?jǐn)?shù)據(jù)的有用性。

“在 Private AI，我們適應(yīng)數(shù)據(jù)治理策略的方法根植于將隱私融入數(shù)據(jù)管道中，”Fong 表示，“我們專注于盡早去標(biāo)識化敏感信息，使組織能夠在保持與 GDPR、CPRA、HIPAA 等區(qū)域隱私法規(guī)合規(guī)性的同時，使用豐富、有意義的數(shù)據(jù)集，”他補(bǔ)充道。

他補(bǔ)充說，他的公司通過從一開始就使數(shù)據(jù)匿名化并僅收集必要的數(shù)據(jù)，來幫助客戶充分利用其數(shù)據(jù)同時保持?jǐn)?shù)據(jù)安全。

而一般來說，公司要保護(hù)數(shù)據(jù)，首先必須了解數(shù)據(jù)如何流動、存儲在哪個存儲庫以及由誰處理，量子技術(shù)和數(shù)據(jù)安全公司 Quantum Xchange 的首席戰(zhàn)略官 Antonio Sanchez 表示。

“你需要開發(fā)一個分類系統(tǒng)來標(biāo)記所有數(shù)據(jù)，這是應(yīng)用數(shù)據(jù)保護(hù)政策的前提。”他說。

7. 部署跨職能協(xié)作

有效的數(shù)據(jù)隱私管理需要多學(xué)科方法，涉及 IT、法律、合規(guī)和產(chǎn)品團(tuán)隊。

“跨職能協(xié)作已融入我們的指導(dǎo)團(tuán)隊中，”Lexmark 的 Willett 表示，“多年來，我們通過建立企業(yè)數(shù)據(jù)治理和倫理社區(qū)(EDGE)從根本上轉(zhuǎn)變了我們的數(shù)據(jù)治理方法?！彼f。

Willett 指出，EDGE 是一個由高級領(lǐng)導(dǎo)組成的跨職能小組，負(fù)責(zé)監(jiān)督公司的數(shù)據(jù)管理策略。“EDGE 為 Lexmark 的產(chǎn)品制定數(shù)據(jù)政策，明確組織中的數(shù)據(jù)相關(guān)角色，并確保每個業(yè)務(wù)領(lǐng)域都有指定的數(shù)據(jù)管理員和保管人來維護(hù)治理標(biāo)準(zhǔn)?！彼f。

Sovos 的 Prolizo 同意 Lexmark 的做法。

“與其將要求從一個團(tuán)隊傳遞到另一個團(tuán)隊，我們不如一開始就讓利益相關(guān)者參與進(jìn)來，”他說，“每個人都對合規(guī)性負(fù)責(zé)，這使得它成為一個共同目標(biāo)，而不是一個檢查點?！彼硎?。

Spokoiny 表示，這種協(xié)作結(jié)構(gòu)對于公司的隱私策略至關(guān)重要。

“它已成為必須，”他說，“隱私過去是 IT 或法律部門單獨處理的事情。現(xiàn)在它是產(chǎn)品團(tuán)隊、合規(guī)團(tuán)隊、法律團(tuán)隊和工程團(tuán)隊共同處理的事情。我們在關(guān)鍵團(tuán)隊中設(shè)有隱私負(fù)責(zé)人，有與信任和數(shù)據(jù)安全相關(guān)的共同目標(biāo)，并在推出新事物時定期進(jìn)行檢查?，F(xiàn)在它是一個真正的團(tuán)隊努力?！彼硎?。

8. 實施持續(xù)培訓(xùn)和意識提升計劃

隱私合規(guī)性不是一次性努力，它需要在企業(yè)的所有層級進(jìn)行持續(xù)教育。

“我們在針對特定角色的培訓(xùn)計劃上投入了大量資金，”Willett 表示，“例如，開發(fā)者不僅要了解如何構(gòu)建功能，還要了解如何以安全和符合相關(guān)隱私授權(quán)的方式進(jìn)行構(gòu)建?！彼f。

Fong 也表示贊同，并強(qiáng)調(diào)了為產(chǎn)品團(tuán)隊舉辦年度法律意識會議的重要性。

“CIO應(yīng)該負(fù)責(zé)彌合法律和產(chǎn)品之間的差距，并確保從第一天開始就以合規(guī)性為前提開發(fā)新功能，”他說，“當(dāng)隱私成為過程的一部分時，創(chuàng)新并不會減慢速度。實際上，它會加速，因為你可以避免以后昂貴的重寫?！彼硎?。

軟件開發(fā)商 Sourcetoad 的首席體驗官 Nick DeMelas 表示，他的公司通過研究、提醒、RSS 訂閱以及關(guān)注整個行業(yè)，主動維護(hù)對監(jiān)管趨勢、地緣政治發(fā)展和新興技術(shù)的意識。

“我們的團(tuán)隊積極參與持續(xù)的內(nèi)部培訓(xùn)會議，定期分享關(guān)于隱私和安全發(fā)展的見解，”他說，“我們還舉行內(nèi)部討論和演講，例如最近關(guān)于歐盟和美國隱私標(biāo)準(zhǔn)差異的會議，幫助我們的團(tuán)隊預(yù)測變化，而不是被動應(yīng)對。”他表示。