新的数据隐私法的出现,为互联网公司敲响了警钟。
尽管2018年5月生效的欧盟GDPR《通用数据保护条例》已经正式实施了两年多的时间,但在欧洲,违规通知已超过160,000起,包含数以百万美元的罚款。
DLA Piper(欧华律师事务所,是一家跨国律师事务所,由两个合作伙伴组成,总部位于英国的DLA Piper International LLP和位于美国的DLA Piper LLP(US),两家合伙企业共享一个全球董事会)国际数据保护主席Patrick Van Eecke表示,许多公司没有为遵守GDPR做好准备,而监管机构正在采取行动努力使法律落到实处,查处更多触犯GDPR条款的行为。
GDPR不是唯一的监管措施,因为新的《加州消费者隐私保护法》(CCPA)以及其他预期将实施的隐私条例正在各国出现,因此可能会有更多法律法规和可能产生的罚项。
从GDPR被罚案件中获得的主要教训是,正确的隐私和数据保护需要以数据为中心的方法来处理企业所做的所有事情。绝大多数公司已经拥有大量数据,因此不能从头开始,但是从零开始的公司可以更轻松地通过新研发的产品、服务和流程的合规来实现“产品设计中的隐私保护”(Protection By Design,GDPR的条款要求之一)。
以下4个步骤,以帮助公司更好的进行合规,更加熟练地跨客户和供应商的生态系统,安全地共享数据,从而促使公司获得竞争优势。
步骤1:弄清楚企业拥有哪些数据。这包括所有数据,甚至是旧数据。弄清楚数据来自何处,如何到达企业的,数据还会流向何处,企业有权访问哪些数据以及为何访问这些数据。公司安全员应掌握此信息,因为这是很好的一手资源。通过盘点现有的数据,企业可以更轻松地根据隐私法规确定可能有哪些数据泄露的风险。
步骤2:确定由数据驱动的业务流程。通过了解数据的使用方式以及由谁使用,企业可以更清楚地看到数据是否被正确使用,并且可以更好地向监管机构展示未发生滥用的情况。在某些情况下,数据可能会被共享,这可能会使企业面临违反法规的风险,即使是因为业务流程改变需要进行数据共享。
步骤3:泄露整改。这可能包括停止不必要的数据流通,更新业务流程或添加工具以解决问题。例如,包含大量数据的Excel报表在传递时可能不必要共享太多的数据,应该减少这种不必要的共享。
步骤4:为数据分析结果划分等级。这是通过从原始数据中区分数据分析的结果来限制数据泄露发生的可能性。每个人都在产生数据,每个人也都需要正确的对待数据。通过划分数据分析结果的级别预估泄露后的风险,可以减少基础数据被过度共享的风险。
竞争优势
企业寻求合规发展可以简单地看作是拓展业务的成本。但是,那些将数据和数据分析视为资产并将分析转化为同业差异化的公司将会拥有很多竞争优势。企业通过有效和安全地共享数据以及分析数据,可以通过个性化产品和服务为客户提供更好的服务。
本文由SCA安全通信联盟整理,转载请注明出处。