数据管理如何支持数据隐私合规性

数据管理中的敏捷创新

GDPR。下一步是什么？数据隐私法规才刚刚开始生效。截至2018年底，我们已经超过GDPR最后期限6个月，距离加州消费者隐私法只有一年的时间了。许多公司仍在分析和制定这些新法规的方法。国际隐私专业人士协会（International Association of Privacy Professionals）最近的一项调查指出，超过50%的公司估计他们还没有遵守GDPR。

然而，这些法规是消费者日益增长的愿望的一部分，以确保组织更加关注其数据。它们的影响是全球性的和真实的，而且将以其他国家（格鲁吉亚？）的形式颁布更多的法律。甚至在联邦层面。

第一笔主要的gdpr罚款是谷歌从法国数据管理局（French Data Authority）处的5700万美元罚款，谷歌计划对此提起上诉。监管机构列出了两个谷歌未能达到gdpr标准的领域：

有关正在收集的数据、处理数据的原因和存储时间的信息不容易访问，有时需要5到6个步骤才能让用户找到。一旦定位，信息并不总是以清晰或全面的方式呈现，从而阻碍了用户对谷歌处理广告个性化操作的理解。

从用户处获得的数据处理同意没有得到充分的通知，也不是“具体的”或“明确的”。用户不知道数据处理的程度，也没有获得每个不同处理操作的同意。

此后，许多与gdpr有关的罚款被征收。有些与数据泄露有关。其他人更关心如何管理和使用数据。例如：

根据隐私顾问在2019年1月3日的报告，葡萄牙的第一次GDPR罚款是针对一家医院的3次违规。首先是违反了最小化原则，允许不加区别地访问过多的用户。第二种是由于未采取技术和组织措施防止非法访问个人数据而违反了诚信和保密性。第三，没有实施技术和组织措施，以确保安全水平足以应对风险。

从数据隐私的角度来看，这些新法律和随后的罚款加剧了企业范围内的法规遵从性需求。数据治理操作模型支持法规遵从性的许多方面，并且应被视为整体解决方案的一部分。

好消息

这些数据隐私法规使您的组织能够在更好的地点结束工作，迫使业务部门和IT部门共同努力，以确保“设计隐私”和“默认数据保护”。这些是许多公司在不断增长的数据需求中忽略的基本好做法。由于这些法规，公司现在需要努力更好地了解他们拥有的数据以及如何使用这些数据。

组织需要证明客户可以开始相信他们是数据的好管理者。那些无法证明主动数据隐私或因这些法规而被罚款的组织可能会失去客户。对数据隐私的公开关注可能成为数据密集型组织的坚实卖点。

在gdpr下，数据主体可以要求您提供关于它们的任何信息的详细信息。他们可以要求您将他们的数据传递给另一个组织，甚至永久删除他们的个人信息，特别是当您不再需要这些信息时。公司需要证明他们完全控制了他们的数据和数据实践，并且他们知道数据来自何处、驻留在何处、谁使用数据、为什么使用数据以及数据流向何处。

使这些新法律如此具有挑战性的是对个人信息的扩展定义。它现在包括照片、GPS定位数据、社交媒体用户名、IP地址、生物特征等数据，还包括所有数据类型，包括结构化、半结构化、非结构化、在线、近线、离线、数字、物理等。

数据组织处理的越多，就越有挑战性地确定任何给定的个人数据的所有权、控制和管理。自助服务数据管理和操作的日益丰富，以及整个组织中相关的数据架构，将使这项任务更加具有挑战性。

以下是从数据管理角度确保数据隐私准备就绪所应采取的一些主要步骤。在适当的数据治理能力下，可以更有效地管理其中的每一项。

一个有效的起点是建立一个全面的数据清单和数据图，确定所有必要的标准。虽然这项工作似乎是一项艰巨的工作，但在实现法规遵从性方面，将数据库存放在适当的位置应该是第一项工作。库存需要从自上而下（采访/调查）和自下而上（系统/应用）的角度进行处理。这是因为组织将需要开发一种理解，不仅是数据及其所在位置，还包括谁使用它、如何使用它以及它如何与业务流程相关。

其中一些信息只能通过面谈和工作会议获取，需要补充任何技术库存。数据管理能力可以通过利用数据所有者和管理员（他们应该是专门知识领域的数据中小型企业）以及将所有这些信息捕获为业务和技术元数据、标记并将其映射到业务流程、系统等来促进这些库存。

作为数据隐私合规性的一部分，组织需要能够证明他们知道自己拥有什么数据，并且能够在整个数据生命周期中对其进行管理。数据生命周期以多种方式定义。简单地说，数据是（1）创建，（2）存储，（3）使用，（4）存档或销毁。数据治理促进了政策、标准和过程的开发，以支持这个生命周期。

例如，数据域所有者或特定的策略所有者可以与公司的适当领域（风险、法律、合规性等）协作，定义有关数据存储、数据架构、数据标准、数据质量、数据分类、数据访问、数据使用、数据共享和数据保留的策略（仅举几个例子！），并将这些策略与数据隐私相关。然后，数据治理办公室可以与数据域所有者或策略所有者合作，在实施这些策略之后，确定适当的监控过程和度量。如果没有数据治理操作模型，协调这些需求并确保遵从性是一项复杂的工作。

风险澄清

基于需求、数据类别和分类以及与数据相关的度量（如访问频率、用户活动、扩散、数量等）的多因素风险评分方法将使基于风险的优先级划分任何与数据隐私相关的问题和差距。

库存、政策评估和风险澄清都将导致需要采取行动计划来确保合规性。还需要解决一些差距。其中一些还可以通过可靠的数据治理程序来实现。例如，考虑主数据管理以识别个人和管理同意书。考虑数据质量管理，使个人信息的准确性具有可视性。这两种功能都利用数据管理和工具来确保持续定义、实施和监控适当的业务规则。

数据治理专门涉及元数据、数据质量管理、主数据管理、策略管理和数据生命周期管理等领域。开发数据管理操作模型和结构将提供适当的角色、职责和责任，以及适当的管理机构，以识别、记录和更好地了解数据环境和环境。然后，通过数据治理开发附带的数据框架，可以实现所需的可视性、风险分析和控制。

此外，数据治理办公室可以开发培训，并确保文档存储在数据治理知识库中。已经具备数据治理能力的组织有一个坚实的开端，可以利用它促进数据隐私合规性的许多方面。没有数据治理能力的组织会发现，对于任何计划继续利用和优化数据以发展业务的组织来说，这越来越是必要的。