制定數(shù)據(jù)隱私策略的思路和方案

公司持續(xù)面臨著實(shí)施的挑戰(zhàn)，因?yàn)樗鼈冋庇谧袷財(cái)?shù)據(jù)隱私條例，如歐洲通用數(shù)據(jù)保護(hù)條例（GDPR）和加州消費(fèi)者隱私法（CCPA）。這在很大程度上是由于它們對(duì)數(shù)據(jù)的管理與法規(guī)規(guī)定的嚴(yán)格要求不相匹配。

組織可以通過(guò)定義一個(gè)良好的數(shù)據(jù)治理框架來(lái)解決隱私法規(guī)的復(fù)雜性，該框架可以利用人員、流程和技術(shù)來(lái)建立數(shù)據(jù)訪問(wèn)、管理和使用的標(biāo)準(zhǔn)。一個(gè)這樣的框架還使得公司能夠處理隱私的要素，包括身份和訪問(wèn)管理，政策定義。

當(dāng)領(lǐng)導(dǎo)者在實(shí)現(xiàn)數(shù)據(jù)治理模型而需要考慮到隱私時(shí)，他們可能會(huì)面臨一些挑戰(zhàn)，包括不冷不熱的高管認(rèn)可，缺乏連貫的數(shù)據(jù)策略，或者是關(guān)于如何使用和處理數(shù)據(jù)的不同意見(jiàn)。為了掃除這些障礙，領(lǐng)導(dǎo)者應(yīng)該考慮以下行動(dòng)：

建立跨職能的數(shù)據(jù)所有權(quán)和意識(shí)

簡(jiǎn)化數(shù)據(jù)政策和程序

提升技術(shù)及基礎(chǔ)設(shè)施

建立跨職能的數(shù)據(jù)所有權(quán)和意識(shí)

雖然首席數(shù)據(jù)官或首席信息官都可能會(huì)領(lǐng)導(dǎo)數(shù)據(jù)治理框架或模型的實(shí)現(xiàn)，但數(shù)據(jù)治理應(yīng)該是整個(gè)公司的共同責(zé)任。至少，IT部門、隱私辦公室、安全組織和各個(gè)業(yè)務(wù)部門都應(yīng)該參與進(jìn)來(lái)，因?yàn)槊總€(gè)部門在數(shù)據(jù)管理方面都存在著重要的利害關(guān)系。盡早引入各種利益相關(guān)者可以讓公司建立關(guān)鍵數(shù)據(jù)目標(biāo)和更廣泛的數(shù)據(jù)治理愿景。這種合作可以采取專門工作組的形式，也可以包括定期的向執(zhí)行部門報(bào)告數(shù)據(jù)治理和隱私目標(biāo)的方式。

同樣，數(shù)據(jù)隱私也是一項(xiàng)共同的責(zé)任。通過(guò)遵循公認(rèn)的數(shù)據(jù)收集、使用和共享標(biāo)準(zhǔn)，所有員工都可以在維護(hù)數(shù)據(jù)隱私方面發(fā)揮作用。事實(shí)上，在考慮隱私的情況下實(shí)施一個(gè)成功的數(shù)據(jù)治理模型需要對(duì)員工進(jìn)行治理概念、角色和責(zé)任以及數(shù)據(jù)隱私概念和法規(guī)（例如，“個(gè)人信息”與“消費(fèi)者信息”的定義）方面的教育。

在建立治理遠(yuǎn)景并提高員工的意識(shí)之后，組織就可以定義他們想要的數(shù)據(jù)治理角色--比如數(shù)據(jù)所有者、數(shù)據(jù)管理員、數(shù)據(jù)架構(gòu)師和數(shù)據(jù)消費(fèi)者--并根據(jù)他們的需要定制角色了。例如，一些公司可能會(huì)區(qū)分?jǐn)?shù)據(jù)專員和數(shù)據(jù)所有者，前者負(fù)責(zé)執(zhí)行日常數(shù)據(jù)的操作，后者負(fù)責(zé)數(shù)據(jù)策略的定義。對(duì)于一個(gè)擁有龐大而復(fù)雜的IT部門的客戶，Metis Strategy建立了一個(gè)相應(yīng)的治理層次結(jié)構(gòu)，包括一個(gè)執(zhí)行級(jí)別的董事會(huì)、組合而成的數(shù)據(jù)管理員/所有者角色以及其他職位（例如數(shù)據(jù)質(zhì)量保管人）。這種結(jié)構(gòu)簡(jiǎn)化了通信，并使客戶端能夠方便地?cái)U(kuò)展其數(shù)據(jù)管理實(shí)踐。

從長(zhǎng)遠(yuǎn)來(lái)看，企業(yè)應(yīng)該將數(shù)據(jù)治理和管理技能同時(shí)納入其人才戰(zhàn)略和勞動(dòng)力計(jì)劃當(dāng)中?？紤]到某些數(shù)據(jù)密集型崗位所需的專業(yè)知識(shí)以及合格人才的短缺，組織可以考慮尋求人才獵頭公司的幫助，同時(shí)將內(nèi)部精力集中在留住人才和提升技能上面。隨著公司的戰(zhàn)略目標(biāo)和監(jiān)管需求的變化，它們還應(yīng)該在調(diào)整數(shù)據(jù)治理角色和所有權(quán)方面保持靈活性。

簡(jiǎn)化數(shù)據(jù)政策和程序

為了充分響應(yīng)與消費(fèi)者隱私相關(guān)的數(shù)據(jù)請(qǐng)求，組織應(yīng)在數(shù)據(jù)生命周期中建立標(biāo)準(zhǔn)化的過(guò)程和策略。這將使公司能夠充分了解他們收集、使用和共享的數(shù)據(jù)，以及這些實(shí)踐與消費(fèi)者的關(guān)系。

例如，CCPA為消費(fèi)者提供了選擇不將其個(gè)人信息出售給第三方的權(quán)利。如果零售商需要遵守此類要求，則需要能夠回答以下類別的問(wèn)題：

數(shù)據(jù)分類：公司擁有哪些與消費(fèi)者相關(guān)的數(shù)據(jù)元素，如地址、信用卡信息或是產(chǎn)品偏好？公司是否對(duì)這些數(shù)據(jù)元素進(jìn)行了適當(dāng)?shù)姆诸悾?/p>

數(shù)據(jù)沿襲：客戶的數(shù)據(jù)源于何處，在其整個(gè)生命周期中，這些數(shù)據(jù)會(huì)發(fā)生什么變化？例如，公司是否只在內(nèi)部共享客戶數(shù)據(jù)，還是與營(yíng)銷和支付供應(yīng)商共享了數(shù)據(jù)，以促進(jìn)交易或個(gè)性化的廣告活動(dòng)？

數(shù)據(jù)收集和可接受的使用：公司目前是如何從消費(fèi)者那里收集數(shù)據(jù)的？公司收集和處理他們的數(shù)據(jù)是否得到了消費(fèi)者的同意？如果公司與外部各方共享客戶數(shù)據(jù)，是否有適當(dāng)?shù)臄?shù)據(jù)共享協(xié)議？

為上述內(nèi)容制定政策和標(biāo)準(zhǔn)可以幫助組織快速確定根據(jù)隱私法規(guī)來(lái)響應(yīng)客戶請(qǐng)求所需的措施。公司應(yīng)該廣泛地溝通政策，并確保政策能夠得到遵守，因?yàn)椴贿@樣做可能會(huì)導(dǎo)致使用不一致的模板和做法。例如，在一個(gè)Metis Strategy客戶中，很少有利益相關(guān)者對(duì)數(shù)據(jù)管理和訪問(wèn)標(biāo)準(zhǔn)有足夠的認(rèn)識(shí)，盡管客戶的IT部門已經(jīng)圍繞這些標(biāo)準(zhǔn)制定了廣泛的政策。

考慮技術(shù)和基礎(chǔ)架構(gòu)的升級(jí)

為了成功地實(shí)施數(shù)據(jù)治理框架并確保隱私遵從性，企業(yè)可能還需要解決遺留基礎(chǔ)設(shè)施和技術(shù)債務(wù)所帶來(lái)的挑戰(zhàn)。例如，數(shù)據(jù)通常會(huì)存儲(chǔ)在整個(gè)組織的信息孤島中，這會(huì)使得組織很難正確識(shí)別任何數(shù)據(jù)隱私問(wèn)題的來(lái)源，也很難及時(shí)響應(yīng)消費(fèi)者或監(jiān)管機(jī)構(gòu)的要求。

企業(yè)還需要評(píng)估外包的云服務(wù)（如基于云的數(shù)據(jù)湖）所帶來(lái)的安全和隱私風(fēng)險(xiǎn)。那些使用多個(gè)云提供商的公司可能希望簡(jiǎn)化他們的數(shù)據(jù)共享協(xié)議，以便在供應(yīng)商之間建立一致性。

一些技術(shù)可以幫助公司利用客戶數(shù)據(jù)，也同時(shí)降低隱私風(fēng)險(xiǎn)。Carnival Corporation的首席信息官Greg Sullivan在接受Metis Strategy的采訪時(shí)指出，數(shù)據(jù)虛擬化增強(qiáng)了公司的分析能力，降低了運(yùn)營(yíng)和計(jì)算成本，也減少了公司可能面臨的潛在安全和隱私漏洞。

公司還可以考慮采用新的隱私合規(guī)技術(shù)，通過(guò)提高可見(jiàn)性和透明度來(lái)增強(qiáng)數(shù)據(jù)治理。例如，數(shù)據(jù)發(fā)現(xiàn)工具使用了高級(jí)分析來(lái)識(shí)別可能被視為敏感的數(shù)據(jù)元素，而數(shù)據(jù)流映射工具則幫助公司了解了數(shù)據(jù)在內(nèi)部和外部的移動(dòng)方式和位置。這些工具可用于幫助組織確定其最關(guān)鍵的數(shù)據(jù)元素所需的保護(hù)級(jí)別，并在GDPR和CCPA下促進(jìn)對(duì)消費(fèi)者請(qǐng)求的響應(yīng)。

盡管對(duì)遺留技術(shù)進(jìn)行徹底改革可能會(huì)耗費(fèi)一定的時(shí)間和成本，但在避免與技術(shù)債務(wù)相關(guān)的其他挑戰(zhàn)的同時(shí)，果斷進(jìn)行改革的公司將能夠降低其隱私和安全風(fēng)險(xiǎn)。

創(chuàng)建高適應(yīng)性的模型

隨著全球數(shù)據(jù)隱私環(huán)境的發(fā)展，各個(gè)組織應(yīng)不斷地調(diào)整其數(shù)據(jù)治理模型。公司應(yīng)該在設(shè)計(jì)數(shù)據(jù)治理角色、流程、政策和技術(shù)時(shí)就考慮到隱私問(wèn)題，而不是對(duì)當(dāng)前和即將到來(lái)的隱私立法做出反應(yīng)，從而主動(dòng)地履行自己的義務(wù)。這樣做的公司不僅可以改善風(fēng)險(xiǎn)和聲譽(yù)管理，而且還可以鼓勵(lì)企業(yè)提高透明度和數(shù)據(jù)驅(qū)動(dòng)的決策。