数据治理如何支持数据隐私合规性

发布时间：2019.02.15来源：CIO浏览量：130次标签：数据治理

敏捷的数据管理创新

GDPR。CCPA。下一步是什么？数据隐私法规刚刚开始实施。截至2018年底，我们距离GDPR截止日期已超过6个月，距离加州消费者隐私法案仅一年之久。许多公司仍在分析和制定他们对这些新法规的处理方法。国际隐私专业人员协会最近的一项调查指出，超过50％的公司估计他们尚未遵守GDPR。

第一个主要的GDPR罚款是谷歌从法国数据管理局处以5700万美元的罚款，谷歌计划上诉。监管机构列出了Google未能达到GDPR标准的两个方面：

有关正在收集的数据，处理数据以及存储时间的信息不易获取，有时需要五到六个步骤供用户查找。找到后，信息并不总是以清晰或全面的方式呈现，从而阻碍用户了解Google的广告个性化处理操作。
从用户处获得的用于数据处理的同意没有充分了解，并且没有“具体”或“明确”。用户不知道数据处理的程度，并且未获得每个不同处理操作的同意。
此后，许多与GDPR有关的罚款都被征收。有些与数据泄露有关。其他人则更关心数据的管理和使用方式。例如：

根据隐私顾问2019年1月3日的规定，葡萄牙的第一份GDPR罚款是针对医院发出的3起违规行为。首先是违反最小化原则，允许不加选择地访问过多的用户。其次是由于未采用技术和组织措施来防止非法访问个人数据而导致的完整性和机密性受到侵犯。第三是未实施技术和组织措施，以确保足以应对风险的安全水平。

从数据隐私角度来看，这些新法律和随后的罚款加剧了企业范围内的法规遵从性的需求。数据治理运营模式可以实现法规遵从的许多方面，并应被视为整体解决方案的一部分。

好消息
这些数据隐私法规使您的组织可以在更好的位置结束，迫使业务和IT一起工作以确保“按设计隐私”和“默认情况下的数据保护”。这些是许多公司忽略的基本良好做法他们对数据的需求日益增长。由于这些法规，公司现在需要努力更好地了解他们拥有哪些数据以及如何使用这些数据。

确保遵守数据隐私对业务也有好处。组织需要证明客户可以开始相信他们是他们数据的良好管家。那些无法展示主动数据隐私或实际因这些规定而被罚款的组织可能会失去客户。对数据隐私的公开关注可能成为数据密集型组织的坚实卖点。

挑战
在GDPR下，数据主体可以询问您拥有的任何信息的详细信息。他们可以要求您将他们的数据传递给其他组织，甚至是您永久删除他们的个人信息，特别是当您不再需要它时。公司需要表明他们完全掌控自己的数据和数据实践，并了解数据的来源，数据来源，使用者以及原因以及发生的位置。

这些新法律如此具有挑战性的原因是个人信息的扩展定义。它现在包括照片，GPS位置数据，社交媒体用户名，IP地址，生物识别等数据。它还包括所有数据类型，包括结构化，半结构化，非结构化，在线，近线，离线，数字，物理，等等

组织处理的数据越多，就越难以找出任何给定的个人数据的所有权，控制权和管理权。越来越多的自助数据管理和操作以及整个组织中相关的数据孤岛将使这项任务变得更具挑战性。

以下是从数据管理角度确保数据隐私准备应采取的一些主要步骤。通过适当的数据治理功能，可以更有效地管理这些中的每一个。

库存
一个有效的出发点是建立一个全面的数据清单和数据图，以确定所有必要的标准。虽然这项工作似乎是一项艰巨的任务，但建立数据清单应该是努力实现合规性的首要努力之一。需要从自上而下（访谈/调查）和自下而上（系统/应用程序）的角度来处理库存。这是因为组织需要不仅要了解数据及其所在的位置，还要了解谁使用它，如何使用它以及它与业务流程的关系。

其中一些信息只能通过访谈和工作会议获取，并且需要对任何技术清单进行补充。数据治理功能可以通过利用数据所有者和管理员来促进这些清单，数据所有者和管理员应该是其特定专业领域的数据中小企业，并将所有这些信息作为业务和技术元数据捕获，标记并将其映射到业务流程，系统，等等

政策管理
作为数据隐私合规性的一部分，组织需要能够证明他们知道自己拥有哪些数据，并且能够在整个数据生命周期中对其进行管理。数据生命周期以多种方式定义。简而言之，数据是（1）创建，（2）存储，（3）使用，（4）存档或销毁。数据治理有助于制定支持此生命周期的策略，标准和程序。

例如，数据域所有者或特定策略所有者与公司的适当区域（风险，法律，合规性等）合作可以定义有关数据存储，数据架构，数据标准，数据质量，数据分类，数据访问的策略，数据使用，数据共享和数据保留（仅举几例！），并相应地将这些政策与数据隐私联系起来。然后，数据管理办公室可以与数据域所有者或策略所有者合作，在实施这些策略后确定适当的监控流程和指标。如果没有数据治理运营模式，协调这些要求并确保合规是一项复杂的工作。

风险澄清
基于需求，数据类别和分类的多因素风险评分方法，以及与数据具体相关的措施，如访问频率，用户活动，扩散，数量等，将使任何数据隐私的基于风险的优先级确定相关问题和差距。

行动计划
清单，政策评估和风险澄清都将导致制定确保合规性所需的行动计划。将存在需要解决的差距。其中一些也可以通过可靠的数据治理程序启用。例如，考虑用于识别个人和管理同意的主数据管理。考虑数据质量管理，以便能够查看个人信息的准确性。这两种功能都利用数据管理和工具来确保持续定义，实施和监控适当的业务规则。

数据治理专注于元数据，数据质量管理，主数据管理，策略管理和数据生命周期管理等领域。开发数据治理运营模式和结构将提供适当的角色，职责和责任，以及适当的管理机构，以识别，记录和更好地理解数据环境和格局。然后，通过数据治理开发相应的数据框架可以实现所需的可见性，风险分析和控制。

此外，数据治理办公室可以开发培训并确保文档驻留在数据治理知识库中。已经具备数据治理功能的组织具有坚实的领先优势，可以利用它来促进数据隐私合规性的许多方面。没有数据治理功能的组织会发现，对于计划继续利用和优化其数据以发展业务的任何组织而言，这变得越来越必要。

（部分内容来源网络，如有侵权请联系删除）

立即免费申请产品试用免费试用

睿治智能数据治理平台

数据采集

数据集成管理

数据交换管理

数据存储

实时计算存储

数据管理

元数据管理

数据标准管理

数据质量管理

主数据管理

数据服务

数据资产管理

大数据治理方案

大数据资产管理方案

主数据管理方案

数据标准化及质量管控方案

数据资产盘点方案

指标体系建设方案

数据仓库及商业智能方案

仓湖一体化数据中心建设方案