隨著企業(yè)的國際化擴(kuò)展，IT 領(lǐng)導(dǎo)者必須在復(fù)雜的法規(guī)迷宮中導(dǎo)航，從《通用數(shù)據(jù)保護(hù)條例》(GDPR)到《加州消費(fèi)者隱私法案》(CCPA)，以及其他特定地區(qū)的隱私法律。因此，為了保持合規(guī)，他們應(yīng)制定涵蓋數(shù)據(jù)映射、加密、同意跟蹤以及確保供應(yīng)商遵守規(guī)則的嚴(yán)密計(jì)劃。

根據(jù)行業(yè)專家的意見，以下是跨國界保護(hù)數(shù)據(jù)隱私合規(guī)性的八個(gè)關(guān)鍵步驟：

1. 了解數(shù)據(jù)環(huán)境

CIO需要在實(shí)施任何合規(guī)策略之前，全面了解其企業(yè)處理的所有數(shù)據(jù)。

“在應(yīng)對(duì)數(shù)據(jù)隱私法規(guī)之前，第一步是了解你的數(shù)據(jù)：你收集什么，為什么收集，以及數(shù)據(jù)存儲(chǔ)在哪里?！?AI 數(shù)據(jù)提取軟件提供商 Parseur 的聯(lián)合創(chuàng)始人兼CEO Sylvestre Dupont 表示。

Dupont 指出，盡早區(qū)分?jǐn)?shù)據(jù)控制者和數(shù)據(jù)處理者至關(guān)重要，這種方法有助于公司遵循規(guī)則，并根據(jù)數(shù)據(jù)類型和所在位置采取適當(dāng)?shù)谋Ｗo(hù)措施?！皩?duì)你的數(shù)據(jù)環(huán)境有一個(gè)清晰、準(zhǔn)確的了解，對(duì)于確?？缢痉ü茌爡^(qū)的合規(guī)性大有裨益。”他補(bǔ)充道。

總部位于英國的網(wǎng)絡(luò)安全企業(yè) Panaseer 的首席數(shù)據(jù)科學(xué)家 Leila Powell 強(qiáng)調(diào)了建立和維護(hù)準(zhǔn)確資產(chǎn)清單的重要性?！傲己玫陌踩珣B(tài)勢(shì)基礎(chǔ)之一是維護(hù)準(zhǔn)確的資產(chǎn)清單，”她說，“畢竟，你無法保護(hù)你不知道存在的東西?！?/p>

Powell 還補(bǔ)充說，通過多個(gè)來源驗(yàn)證安全控制措施對(duì)于維護(hù)隱私和安全至關(guān)重要。“一個(gè)所有團(tuán)隊(duì)都能共享、并且能翻譯成每個(gè)利益相關(guān)者都能理解的語言的單一、驗(yàn)證過的真實(shí)來源，是無價(jià)之寶?！彼a(bǔ)充道。

2. 實(shí)施隱私設(shè)計(jì)原則

隱私應(yīng)從一開始就融入企業(yè)的各個(gè)方面，而不是后來才添加。

“今天，我們采用了隱私設(shè)計(jì)原則，將數(shù)據(jù)收集、存儲(chǔ)和處理考慮因素融入應(yīng)用設(shè)計(jì)的基礎(chǔ)之中，”新加坡移動(dòng)應(yīng)用安全公司 Appknox 的CEO兼CTO Subho Halder 表示，“隱私絕不應(yīng)是事后考慮的問題，”他說，“我們將其視為一個(gè)架構(gòu)原則，融入我們提供的每個(gè)產(chǎn)品和服務(wù)中。”

Halder 進(jìn)一步解釋說，他們的隱私設(shè)計(jì)策略包括集成自動(dòng)化工具以盡早檢測(cè)和緩解隱私風(fēng)險(xiǎn)?！霸陧?xiàng)目初期就解決隱私問題，不僅降低了風(fēng)險(xiǎn)，還提高了運(yùn)營效率?！彼f。

例如，數(shù)字營銷機(jī)構(gòu) Boost Media Group 從第一行代碼開始就融入隱私設(shè)計(jì)原則，并保持與安全標(biāo)準(zhǔn)(如 ISO 27001)和 NIST 隱私框架的一致性，該機(jī)構(gòu)系統(tǒng)與數(shù)據(jù)組負(fù)責(zé)人兼代理首席信息與數(shù)據(jù)官 David Afolabi 表示。

3. 制定全球隱私基準(zhǔn)

鑒于全球隱私法律的沖突性和不斷演變性，一刀切的方法是無效的，相反，公司應(yīng)采用可在全球范圍內(nèi)應(yīng)用的基準(zhǔn)標(biāo)準(zhǔn)。

“我們默認(rèn)采用最嚴(yán)格的標(biāo)準(zhǔn)，”多倫多 Private AI 公司的工程副總裁 Kory Fong 表示，“我們的基準(zhǔn)確保我們可以靈活地適應(yīng)地區(qū)法律，而無需在每次法規(guī)變化時(shí)都從頭開始?！彼f。

Fong 還指出，公司的系統(tǒng)可以隨著規(guī)則的變化而迅速調(diào)整政策。

“為了領(lǐng)先于新法規(guī)，我們優(yōu)先考慮主動(dòng)隱私工程和全球范圍內(nèi)對(duì)監(jiān)管發(fā)展的持續(xù)監(jiān)控，”他說，“我們的技術(shù)旨在靈活適應(yīng)個(gè)人信息的不同定義，并且我們?cè)谂c各地區(qū)的法律和合規(guī)專家建立合作伙伴關(guān)系方面投入了大量資金?！?/p>

4. 實(shí)施供應(yīng)商合規(guī)計(jì)劃

數(shù)據(jù)隱私不僅涉及公司自身的系統(tǒng)，供應(yīng)商和供應(yīng)商也必須遵守嚴(yán)格的隱私規(guī)則。

“我們的供應(yīng)鏈和第三方風(fēng)險(xiǎn)管理流程已經(jīng)得到加強(qiáng)，以確保所有供應(yīng)商，特別是那些處理敏感數(shù)據(jù)或系統(tǒng)的供應(yīng)商，滿足我們嚴(yán)格的隱私和安全期望，包括審計(jì)和認(rèn)證，如 ISO 27001 和 SOC 2?！痹茊⒂玫某上窈臀锫?lián)網(wǎng)技術(shù)公司 Lexmark 的CISO Bryan Willett 表示。

數(shù)據(jù)隱私提供商 Osano 的創(chuàng)始CTO Scott Hertel 也持相同觀點(diǎn)。

“了解你的供應(yīng)商，”他說，“供應(yīng)鏈風(fēng)險(xiǎn)是網(wǎng)絡(luò)安全專業(yè)人員和隱私監(jiān)管機(jī)構(gòu)都知道的弱點(diǎn)。了解你與誰共享數(shù)據(jù)，以及他們?cè)谧鍪裁?，?duì)于最小化傷害、理解數(shù)據(jù)是否被出售或與未知方共享，以及減少數(shù)據(jù)被用于攻擊的可能性至關(guān)重要?！?/p>

5. 保持領(lǐng)先

在應(yīng)對(duì)新興法規(guī)方面保持領(lǐng)先對(duì)于維持合規(guī)性至關(guān)重要。“主動(dòng)性是關(guān)鍵，”Fong 表示，“它使我們能夠在不中斷運(yùn)營的情況下進(jìn)行調(diào)整。”他補(bǔ)充道。

Private AI 的監(jiān)管團(tuán)隊(duì)負(fù)責(zé)盡早發(fā)現(xiàn)即將到來的立法變化，從而給他們時(shí)間調(diào)整策略。“為了領(lǐng)先于新法規(guī)，我們優(yōu)先考慮主動(dòng)隱私工程和全球范圍內(nèi)對(duì)監(jiān)管發(fā)展的持續(xù)監(jiān)控，以便我們的產(chǎn)品能夠與客戶必須遵守的法律和標(biāo)準(zhǔn)同步發(fā)展。”他補(bǔ)充道。

稅務(wù)合規(guī)軟件提供商 Sovos 的CISO James Prolizo 也同意主動(dòng)性是關(guān)鍵。

“這是關(guān)于創(chuàng)造一個(gè)將監(jiān)管知識(shí)融入日常決策的環(huán)境，”他說，“我們定期監(jiān)控全球政策發(fā)展，并在規(guī)劃過程中盡早讓隱私專家參與進(jìn)來，以便我們做好準(zhǔn)備，而不僅僅是被動(dòng)應(yīng)對(duì)?！彼硎?。

以色列 Check Point Software Technologies 的CIO Alex Spokoiny 表示，為了領(lǐng)先于新興法規(guī)，他的公司已經(jīng)從嚴(yán)格的政策轉(zhuǎn)向更加靈活、風(fēng)險(xiǎn)意識(shí)更強(qiáng)的方法。

“關(guān)鍵在于密切關(guān)注我們收集的數(shù)據(jù)、數(shù)據(jù)流向以及如何使用，以便在新規(guī)則出臺(tái)時(shí)能夠迅速調(diào)整，”他說，“我們還在使用自動(dòng)化和智能工具來幫助執(zhí)行數(shù)據(jù)訪問、本地化或匿名化等操作，具體取決于上下文和地區(qū)。這是關(guān)于做好適應(yīng)準(zhǔn)備的?！彼硎?。

6. 保護(hù)敏感信息

去標(biāo)識(shí)化和加密數(shù)據(jù)有助于降低風(fēng)險(xiǎn)，同時(shí)保持?jǐn)?shù)據(jù)的有用性。

“在 Private AI，我們適應(yīng)數(shù)據(jù)治理策略的方法根植于將隱私融入數(shù)據(jù)管道中，”Fong 表示，“我們專注于盡早去標(biāo)識(shí)化敏感信息，使組織能夠在保持與 GDPR、CPRA、HIPAA 等區(qū)域隱私法規(guī)合規(guī)性的同時(shí)，使用豐富、有意義的數(shù)據(jù)集，”他補(bǔ)充道。

他補(bǔ)充說，他的公司通過從一開始就使數(shù)據(jù)匿名化并僅收集必要的數(shù)據(jù)，來幫助客戶充分利用其數(shù)據(jù)同時(shí)保持?jǐn)?shù)據(jù)安全。

而一般來說，公司要保護(hù)數(shù)據(jù)，首先必須了解數(shù)據(jù)如何流動(dòng)、存儲(chǔ)在哪個(gè)存儲(chǔ)庫以及由誰處理，量子技術(shù)和數(shù)據(jù)安全公司 Quantum Xchange 的首席戰(zhàn)略官 Antonio Sanchez 表示。

“你需要開發(fā)一個(gè)分類系統(tǒng)來標(biāo)記所有數(shù)據(jù)，這是應(yīng)用數(shù)據(jù)保護(hù)政策的前提。”他說。

7. 部署跨職能協(xié)作

有效的數(shù)據(jù)隱私管理需要多學(xué)科方法，涉及 IT、法律、合規(guī)和產(chǎn)品團(tuán)隊(duì)。

“跨職能協(xié)作已融入我們的指導(dǎo)團(tuán)隊(duì)中，”Lexmark 的 Willett 表示，“多年來，我們通過建立企業(yè)數(shù)據(jù)治理和倫理社區(qū)(EDGE)從根本上轉(zhuǎn)變了我們的數(shù)據(jù)治理方法?！彼f。

Willett 指出，EDGE 是一個(gè)由高級(jí)領(lǐng)導(dǎo)組成的跨職能小組，負(fù)責(zé)監(jiān)督公司的數(shù)據(jù)管理策略?！癊DGE 為 Lexmark 的產(chǎn)品制定數(shù)據(jù)政策，明確組織中的數(shù)據(jù)相關(guān)角色，并確保每個(gè)業(yè)務(wù)領(lǐng)域都有指定的數(shù)據(jù)管理員和保管人來維護(hù)治理標(biāo)準(zhǔn)。”他說。

Sovos 的 Prolizo 同意 Lexmark 的做法。

“與其將要求從一個(gè)團(tuán)隊(duì)傳遞到另一個(gè)團(tuán)隊(duì)，我們不如一開始就讓利益相關(guān)者參與進(jìn)來，”他說，“每個(gè)人都對(duì)合規(guī)性負(fù)責(zé)，這使得它成為一個(gè)共同目標(biāo)，而不是一個(gè)檢查點(diǎn)。”他表示。

Spokoiny 表示，這種協(xié)作結(jié)構(gòu)對(duì)于公司的隱私策略至關(guān)重要。

“它已成為必須，”他說，“隱私過去是 IT 或法律部門單獨(dú)處理的事情?，F(xiàn)在它是產(chǎn)品團(tuán)隊(duì)、合規(guī)團(tuán)隊(duì)、法律團(tuán)隊(duì)和工程團(tuán)隊(duì)共同處理的事情。我們?cè)陉P(guān)鍵團(tuán)隊(duì)中設(shè)有隱私負(fù)責(zé)人，有與信任和數(shù)據(jù)安全相關(guān)的共同目標(biāo)，并在推出新事物時(shí)定期進(jìn)行檢查。現(xiàn)在它是一個(gè)真正的團(tuán)隊(duì)努力?！彼硎?。

8. 實(shí)施持續(xù)培訓(xùn)和意識(shí)提升計(jì)劃

隱私合規(guī)性不是一次性努力，它需要在企業(yè)的所有層級(jí)進(jìn)行持續(xù)教育。

“我們?cè)卺槍?duì)特定角色的培訓(xùn)計(jì)劃上投入了大量資金，”Willett 表示，“例如，開發(fā)者不僅要了解如何構(gòu)建功能，還要了解如何以安全和符合相關(guān)隱私授權(quán)的方式進(jìn)行構(gòu)建?！彼f。

Fong 也表示贊同，并強(qiáng)調(diào)了為產(chǎn)品團(tuán)隊(duì)舉辦年度法律意識(shí)會(huì)議的重要性。

“CIO應(yīng)該負(fù)責(zé)彌合法律和產(chǎn)品之間的差距，并確保從第一天開始就以合規(guī)性為前提開發(fā)新功能，”他說，“當(dāng)隱私成為過程的一部分時(shí)，創(chuàng)新并不會(huì)減慢速度。實(shí)際上，它會(huì)加速，因?yàn)槟憧梢员苊庖院蟀嘿F的重寫。”他表示。

軟件開發(fā)商 Sourcetoad 的首席體驗(yàn)官 Nick DeMelas 表示，他的公司通過研究、提醒、RSS 訂閱以及關(guān)注整個(gè)行業(yè)，主動(dòng)維護(hù)對(duì)監(jiān)管趨勢(shì)、地緣政治發(fā)展和新興技術(shù)的意識(shí)。

“我們的團(tuán)隊(duì)積極參與持續(xù)的內(nèi)部培訓(xùn)會(huì)議，定期分享關(guān)于隱私和安全發(fā)展的見解，”他說，“我們還舉行內(nèi)部討論和演講，例如最近關(guān)于歐盟和美國隱私標(biāo)準(zhǔn)差異的會(huì)議，幫助我們的團(tuán)隊(duì)預(yù)測(cè)變化，而不是被動(dòng)應(yīng)對(duì)?！彼硎?。