多年来，公司几乎免费地利用了海量的数据。但时代变了，“数据越多越好”的概念正在消失，因为数据已经从一种商品变成了公司的一种沉重负担。

当我与初创公司和其他相对较新的公司交谈时，我经常听到他们不收集用户数据，也不使用运营业务所需的最低限度信息。然而，有了GDPR(通用数据保护规则)和全球类似的法规，客户现在意识到他们的数据属于他们，如果有人想使用他们的数据，那么他们应该得到相应的报酬。

对于传统业务，情况有点不同。多年来，他们尽可能的收集了更多的数据，只是为了在某个过程中能将这些数据货币化。

在网络安全领域有20多年经验的里克·赫德曼(Rick Hedeman)认为，每家公司最终都必须将它们收集和用于商业目的的数据最小化。如果他们不愿意这么做，政客和监管机构就会用新的方法介入。

英国数据保护机构最新发布的数据匿名、假名和隐私增强技术指南，似乎是减少公司对不必要数据渴望的措施之一。

数据匿名化和假名化

英国信息专员办公室(ICO)发布了其匿名、假名和隐私增强技术指南的第一章。本章介绍了上述概念，并探讨了何时可以对数据进行匿名化以达到降低风险的目的。

“我们知道数据共享可以给组织、个人和整个社会带来好处，但是也有风险。然而，有效的匿名技术为共享个人数据提供了一个隐私友好的选择，”并要求对草案进行反馈。

匿名化意味着数据不能被重新归为个人。假名是一种替代或删除个人信息的技术。例如，它可能涉及用引用号替换名称或其他标识符。

“这是一个有趣而棘手的领域。匿名化更安全，但用处更小。假名更有用，但不太安全。”

两组完全以假名命名的记录组合在一起，仍然可以用来识别个人。

Hedeman解释说道：“我们一直在把性别、年龄、邮政编码等数据集与其他数据集(比如情绪数据、消费者数据或遥测数据)结合起来。我们不会对每一组数据单独考虑太多，但当它们结合在一起时，可以揭示出比预期或实现的更多的东西。”

在与客户和合作伙伴的讨论中，Hedeman认为最广泛的暴露仍然是相当简单的——大多数企业不知道他们的敏感数据在哪里。

“大部分情况下大多数组织都知道数据的来源和记录的来源，但他们很难理解数据是如何在整个组织中转换、复制和使用的。他们通常会控制记录的来源，但不太可能控制下游数据的副本和衍生品。”

例如，公司可以指向他们的数据源，一些源自HR(人力资源)系统的信息。但一旦它被复制到某个报告或电子表格中，就很难保护这些信息了。

Hedeman说:“我认为，监管机构将解决的是这个领域——努力在哪里能获得最佳的风险或收益回报。这更多地是关于公司做好基础工作，而不是探究特别深奥或复杂的方法。”

网络攻击不会受到公众的欢迎，尤其是当它影响到消费者时。殖民管道公司(Colonial Pipeline)曾因网络攻击而遭遇天然气短缺，这只是众多例子之一。

敏感数据的突然爆发

你拥有的数据越少，你失去的就越少。但是很多年来，数据一直是一种商品，直到最近，企业才开始意识到，它也是一项巨大的负债。监管机构确保他们将其视为一种责任，网络罪犯正好显示出了这一点，在没有网络的情况下收集大量数据的成本可能会很高。（本文出自SCA安全通信联盟，转载请注明出处。）