歐盟“一般數(shù)據(jù)保護(hù)條例”(GDPR)將從2018年5月25日起生效,這被企業(yè)看作是一個(gè)主要的數(shù)據(jù)安全挑戰(zhàn)。
然而,其影響將會(huì)更加深刻。數(shù)據(jù)隱私不僅意味著保護(hù)數(shù)據(jù),而且還確??蛻粼谛枰獣r(shí)可以訪問(wèn)其數(shù)據(jù),確保所存儲(chǔ)的數(shù)據(jù)準(zhǔn)確無(wú)誤,并確保數(shù)據(jù)被正確存儲(chǔ),并且擁有者如果請(qǐng)求的話,數(shù)據(jù)將被刪除或轉(zhuǎn)移。
一直專注于安全性以排除所有數(shù)據(jù)管理問(wèn)題的組織仍然可能面臨不符合GDPR規(guī)定的風(fēng)險(xiǎn)。
為了確保合規(guī)性,組織在數(shù)據(jù)隱私方面必須遵循五個(gè)關(guān)鍵的原則:
1.適當(dāng)?shù)卮鎯?chǔ)數(shù)據(jù)
歐盟“一般數(shù)據(jù)保護(hù)條例”(GDPR)第5條規(guī)定,數(shù)據(jù)必須“以允許識(shí)別數(shù)據(jù)主體的形式保存,不再是個(gè)人數(shù)據(jù)處理目的所必需的”。
從本質(zhì)上講,數(shù)據(jù)在最初使用之后不能存儲(chǔ)。組織面臨的挑戰(zhàn)是確保在這段時(shí)間過(guò)去之后,不僅所有相關(guān)數(shù)據(jù)都被刪除,而且還必須立即完成。
組織可能因?yàn)椴涣私獗A羧魏蔚臄?shù)據(jù)項(xiàng)目可能會(huì)違反GDPR。
2.讓客戶訪問(wèn)自己的數(shù)據(jù)
歐盟“一般數(shù)據(jù)保護(hù)條例”(GDPR)第15條規(guī)定了消費(fèi)者的獲取權(quán):他們可以“獲得關(guān)于個(gè)人資料是否被處理的確認(rèn),并且在這種情況下也可以訪問(wèn)個(gè)人資料,以及例如數(shù)據(jù)的處理方式,訪問(wèn)權(quán)限以及個(gè)人擁有的權(quán)限等信息。
組織需要確定,當(dāng)提出合法請(qǐng)求時(shí),他們可以對(duì)所有相關(guān)數(shù)據(jù)和其他信息進(jìn)行全面的訪問(wèn)。
3.修改不準(zhǔn)確的數(shù)據(jù)
歐盟“一般數(shù)據(jù)保護(hù)條例”(GDPR)第16條規(guī)定,消費(fèi)者“有權(quán)獲得及時(shí)準(zhǔn)確的個(gè)人資料,或可以對(duì)其不正確的個(gè)人資料進(jìn)行糾正”,其包括完善個(gè)人資料不完整的權(quán)利,包括提供補(bǔ)充聲明。
對(duì)于組織來(lái)說(shuō),這意味著需要開(kāi)放他們存儲(chǔ)的個(gè)人數(shù)據(jù),以便消費(fèi)者進(jìn)行修改,而不會(huì)有進(jìn)行任何修改從而使數(shù)據(jù)本身無(wú)法使用的風(fēng)險(xiǎn)。
4.數(shù)據(jù)擦除
除了糾正不準(zhǔn)確的個(gè)人資料外,GDPR還引入了“被遺忘的權(quán)利”。
GDPR第17條規(guī)定,消費(fèi)者有權(quán)在不是無(wú)故延誤的情況下獲得有關(guān)個(gè)人資料的刪除權(quán)。雖然這只是在特定的理由下允許的,但當(dāng)提出擦除請(qǐng)求時(shí),組織需要迅速采取行動(dòng)。
還有一種情況,個(gè)人可能希望將其數(shù)據(jù)擦除一個(gè)服務(wù)或進(jìn)程,而不是另一個(gè)服務(wù)或進(jìn)程。在這種情況下,組織需要確定它們是否清除相關(guān)數(shù)據(jù),同時(shí)將其他服務(wù)或過(guò)程保持不變。
5.傳輸數(shù)據(jù)
在日益數(shù)字化的經(jīng)濟(jì)中,消費(fèi)者希望通過(guò)多種服務(wù)重新使用他們的數(shù)據(jù)。
GDPR第20條承認(rèn):消費(fèi)者有權(quán)通過(guò)結(jié)構(gòu)化,常用和機(jī)器可讀的方式接收有關(guān)自己的個(gè)人資料,并有權(quán)將這些數(shù)據(jù)傳輸?shù)搅硪粋€(gè)組織而不受阻礙。
這是符合GDPR的一個(gè)規(guī)定,對(duì)組織而言,無(wú)論遵守情況如何,都將對(duì)組織帶來(lái)巨大的利益:越來(lái)越多地想要使用多種服務(wù)的消費(fèi)者,或者反復(fù)切換的消費(fèi)者,將會(huì)對(duì)那些讓他們無(wú)縫服務(wù)的組織有著更加有利的看法。
最終的挑戰(zhàn)
五個(gè)關(guān)鍵原則強(qiáng)調(diào)一個(gè)單一的風(fēng)險(xiǎn)。如果客戶的數(shù)據(jù)破裂和不一致,組織的統(tǒng)一控制就會(huì)減少。沒(méi)有這種控制,要滿足GDPR要求更難。
為了創(chuàng)造吸引和惠及消費(fèi)者的服務(wù),使用這些數(shù)據(jù)也將變得更加困難。意味著組織也將失去競(jìng)爭(zhēng)優(yōu)勢(shì)。
目標(biāo)應(yīng)該是為每個(gè)客戶創(chuàng)建一個(gè)單一的“黃金紀(jì)錄”:一個(gè)獨(dú)特的概述,描述個(gè)人的細(xì)節(jié)信息,他們與組織的歷史,以及易于共享的格式的任何其他背景信息。
如果組織確信它的控制中沒(méi)有潛在的敏感數(shù)據(jù),那么它可以專注于使用數(shù)據(jù)來(lái)改進(jìn)或擴(kuò)展其提供的服務(wù)。
安全問(wèn)題
確??蛻魯?shù)據(jù)的安全性時(shí),黃金記錄仍然是寶貴的資產(chǎn)。首先是訪問(wèn)控制??刂茖?duì)單個(gè)黃金記錄的訪問(wèn)比控制對(duì)多個(gè)不同數(shù)據(jù)存儲(chǔ)的訪問(wèn)要簡(jiǎn)單得多。
簡(jiǎn)單來(lái)說(shuō),可以訪問(wèn),查看,修改,刪除和導(dǎo)出數(shù)據(jù)的人數(shù)越少,數(shù)據(jù)就越安全。
一個(gè)真正的黃金紀(jì)錄也將有一個(gè)可驗(yàn)證的審計(jì)追蹤,意味著所有采取的行動(dòng)和修改都可以跟蹤,可疑活動(dòng)迅速被認(rèn)可和調(diào)查。
數(shù)據(jù)控制器可以更好地理解訪問(wèn)的變化或努力,在何時(shí)何地由誰(shuí)負(fù)責(zé);允許他們對(duì)數(shù)據(jù)的使用有更深入的了解,并識(shí)別可疑行為的跡象。
2018年及以后
最終,GDPR的目的不僅在于確保隱私,還可以使組織更容易在歐洲開(kāi)展業(yè)務(wù)。
創(chuàng)造符合GDPR要求的黃金紀(jì)錄,不僅使組織符合規(guī)定,更能夠吸引和服務(wù)整個(gè)歐洲大陸的客戶。
它還將創(chuàng)建一個(gè)客戶的單一視圖,該視圖可用于支持跨企業(yè)的智能數(shù)據(jù)管理。