CIO需要在实施任何合规策略之前,全面了解其企业处理的所有数据,在应对数据隐私法规之前,第一步是了解你的数据:你收集什么,为什么收集,以及数据存储在哪里,尽早区分数据控制者和数据处理者至关重要,这种方法有助于公司遵循规则,并根据数据类型和所在位置采取适当的保护措施,对你的数据环境有一个清晰、准确的了解,对于确保跨司法管辖区的合规性大有裨益。
随着企业的国际化扩展,IT 领导者必须在复杂的法规迷宫中导航,从《通用数据保护条例》(GDPR)到《加州消费者隐私法案》(CCPA),以及其他特定地区的隐私法律。因此,为了保持合规,他们应制定涵盖数据映射、加密、同意跟踪以及确保供应商遵守规则的严密计划。
根据行业专家的意见,以下是跨国界保护数据隐私合规性的八个关键步骤:
01了解数据环境
CIO需要在实施任何合规策略之前,全面了解其企业处理的所有数据。
“在应对数据隐私法规之前,第一步是了解你的数据:你收集什么,为什么收集,以及数据存储在哪里。” AI 数据提取软件提供商 Parseur 的联合创始人兼CEO Sylvestre Dupont 表示。
Dupont 指出,尽早区分数据控制者和数据处理者至关重要,这种方法有助于公司遵循规则,并根据数据类型和所在位置采取适当的保护措施。“对你的数据环境有一个清晰、准确的了解,对于确保跨司法管辖区的合规性大有裨益。”他补充道。
总部位于英国的网络安全企业 Panaseer 的首席数据科学家 Leila Powell 强调了建立和维护准确资产清单的重要性。“良好的安全态势基础之一是维护准确的资产清单,”她说,“毕竟,你无法保护你不知道存在的东西。”
Powell 还补充说,通过多个来源验证安全控制措施对于维护隐私和安全至关重要。“一个所有团队都能共享、并且能翻译成每个利益相关者都能理解的语言的单一、验证过的真实来源,是无价之宝。”她补充道。
02实施隐私设计原则
隐私应从一开始就融入企业的各个方面,而不是后来才添加。
“今天,我们采用了隐私设计原则,将数据收集、存储和处理考虑因素融入应用设计的基础之中,”新加坡移动应用安全公司 Appknox 的CEO兼CTO Subho Halder 表示,“隐私绝不应是事后考虑的问题,”他说,“我们将其视为一个架构原则,融入我们提供的每个产品和服务中。”
Halder 进一步解释说,他们的隐私设计策略包括集成自动化工具以尽早检测和缓解隐私风险。“在项目初期就解决隐私问题,不仅降低了风险,还提高了运营效率。”他说。
例如,数字营销机构 Boost Media Group 从第一行代码开始就融入隐私设计原则,并保持与安全标准(如 ISO 27001)和 NIST 隐私框架的一致性,该机构系统与数据组负责人兼代理首席信息与数据官 David Afolabi 表示。
03制定全球隐私基准
鉴于全球隐私法律的冲突性和不断演变性,一刀切的方法是无效的,相反,公司应采用可在全球范围内应用的基准标准。
“我们默认采用最严格的标准,”多伦多 Private AI 公司的工程副总裁 Kory Fong 表示,“我们的基准确保我们可以灵活地适应地区法律,而无需在每次法规变化时都从头开始。”他说。
Fong 还指出,公司的系统可以随着规则的变化而迅速调整政策。
“为了领先于新法规,我们优先考虑主动隐私工程和全球范围内对监管发展的持续监控,”他说,“我们的技术旨在灵活适应个人信息的不同定义,并且我们在与各地区的法律和合规专家建立合作伙伴关系方面投入了大量资金。”
04实施供应商合规计划
数据隐私不仅涉及公司自身的系统,供应商和供应商也必须遵守严格的隐私规则。
“我们的供应链和第三方风险管理流程已经得到加强,以确保所有供应商,特别是那些处理敏感数据或系统的供应商,满足我们严格的隐私和安全期望,包括审计和认证,如 ISO 27001 和 SOC 2。”云启用的成像和物联网技术公司 Lexmark 的CISO Bryan Willett 表示。
数据隐私提供商 Osano 的创始CTO Scott Hertel 也持相同观点。
“了解你的供应商,”他说,“供应链风险是网络安全专业人员和隐私监管机构都知道的弱点。了解你与谁共享数据,以及他们在做什么,对于最小化伤害、理解数据是否被出售或与未知方共享,以及减少数据被用于攻击的可能性至关重要。”
05保持领先
在应对新兴法规方面保持领先对于维持合规性至关重要。“主动性是关键,”Fong 表示,“它使我们能够在不中断运营的情况下进行调整。”他补充道。
Private AI 的监管团队负责尽早发现即将到来的立法变化,从而给他们时间调整策略。“为了领先于新法规,我们优先考虑主动隐私工程和全球范围内对监管发展的持续监控,以便我们的产品能够与客户必须遵守的法律和标准同步发展。”他补充道。
税务合规软件提供商 Sovos 的CISO James Prolizo 也同意主动性是关键。
“这是关于创造一个将监管知识融入日常决策的环境,”他说,“我们定期监控全球政策发展,并在规划过程中尽早让隐私专家参与进来,以便我们做好准备,而不仅仅是被动应对。”他表示。
以色列 Check Point Software Technologies 的CIO Alex Spokoiny 表示,为了领先于新兴法规,他的公司已经从严格的政策转向更加灵活、风险意识更强的方法。
“关键在于密切关注我们收集的数据、数据流向以及如何使用,以便在新规则出台时能够迅速调整,”他说,“我们还在使用自动化和智能工具来帮助执行数据访问、本地化或匿名化等操作,具体取决于上下文和地区。这是关于做好适应准备的。”他表示。
06保护敏感信息
去标识化和加密数据有助于降低风险,同时保持数据的有用性。
“在 Private AI,我们适应数据治理策略的方法根植于将隐私融入数据管道中,”Fong 表示,“我们专注于尽早去标识化敏感信息,使组织能够在保持与 GDPR、CPRA、HIPAA 等区域隐私法规合规性的同时,使用丰富、有意义的数据集,”他补充道。
他补充说,他的公司通过从一开始就使数据匿名化并仅收集必要的数据,来帮助客户充分利用其数据同时保持数据安全。
而一般来说,公司要保护数据,首先必须了解数据如何流动、存储在哪个存储库以及由谁处理,量子技术和数据安全公司 Quantum Xchange 的首席战略官 Antonio Sanchez 表示。
“你需要开发一个分类系统来标记所有数据,这是应用数据保护政策的前提。”他说。
07部署跨职能协作
有效的数据隐私管理需要多学科方法,涉及 IT、法律、合规和产品团队。
“跨职能协作已融入我们的指导团队中,”Lexmark 的 Willett 表示,“多年来,我们通过建立企业数据治理和伦理社区(EDGE)从根本上转变了我们的数据治理方法。”他说。
Willett 指出,EDGE 是一个由高级领导组成的跨职能小组,负责监督公司的数据管理策略。“EDGE 为 Lexmark 的产品制定数据政策,明确组织中的数据相关角色,并确保每个业务领域都有指定的数据管理员和保管人来维护治理标准。”他说。
Sovos 的 Prolizo 同意 Lexmark 的做法。
“与其将要求从一个团队传递到另一个团队,我们不如一开始就让利益相关者参与进来,”他说,“每个人都对合规性负责,这使得它成为一个共同目标,而不是一个检查点。”他表示。
Spokoiny 表示,这种协作结构对于公司的隐私策略至关重要。
“它已成为必须,”他说,“隐私过去是 IT 或法律部门单独处理的事情。现在它是产品团队、合规团队、法律团队和工程团队共同处理的事情。我们在关键团队中设有隐私负责人,有与信任和数据安全相关的共同目标,并在推出新事物时定期进行检查。现在它是一个真正的团队努力。”他表示。
08实施持续培训和意识提升计划
隐私合规性不是一次性努力,它需要在企业的所有层级进行持续教育。
“我们在针对特定角色的培训计划上投入了大量资金,”Willett 表示,“例如,开发者不仅要了解如何构建功能,还要了解如何以安全和符合相关隐私授权的方式进行构建。”他说。
Fong 也表示赞同,并强调了为产品团队举办年度法律意识会议的重要性。
“CIO应该负责弥合法律和产品之间的差距,并确保从第一天开始就以合规性为前提开发新功能,”他说,“当隐私成为过程的一部分时,创新并不会减慢速度。实际上,它会加速,因为你可以避免以后昂贵的重写。”他表示。
软件开发商 Sourcetoad 的首席体验官 Nick DeMelas 表示,他的公司通过研究、提醒、RSS 订阅以及关注整个行业,主动维护对监管趋势、地缘政治发展和新兴技术的意识。
“我们的团队积极参与持续的内部培训会议,定期分享关于隐私和安全发展的见解,”他说,“我们还举行内部讨论和演讲,例如最近关于欧盟和美国隐私标准差异的会议,帮助我们的团队预测变化,而不是被动应对。”他表示。
(部分内容来源网络,如有侵权请联系删除)
