GDPR欧盟于2018年5月25日颁布实施的《通用数据保护条例》给本来已经不堪重负的CIO们再次带来了麻烦和挑战。或者,换个角度想,它也可能是有助于推动新业务并提高组织效率的积极的颠覆性因素。
在下文中,我们将尝试探讨最新颁布实施的GDPR如何能令CIO们真正受益,当然还有CIO们所代表的整个企业。
现代CIO必须完成的任务
CIO负责最具挑战性的IT工作之一:他们不仅必须避免外部威胁,同时还必须成为业务驱动因素,利用新技术和数据来帮助企业增加营业额。
如今的CIO如果这个角色还没有被正式任命,则至少需要临时派人顶上,面临数据泄密、勒索软件、病毒、狡猾的网络钓鱼、影子IT和暴力攻击等诸多威胁,这些威胁很可能导致企业瘫痪数周并付出惨重代价。
此外,他们还需面对层出不穷的新法规以及公众舆论和变幻莫测的各种趋势等问题。这些问题令企事业单位普遍感到紧张,有时甚至会引起恐慌。
这也正是CIO存在的原因:企业中必须有一个人能够预测市场趋势并恪守严格的安全标准。企业希望CIO既是能够提前预测并防止出现问题的数字专家,同时又擅长解决已发生的问题(如数据泄露)。
CIO还经常是孤单的斗士,必须帮助企业缓解因缺乏对IT的了解而引发的紧张和恐慌,进而解决IT投资迟迟不到位的问题,敦促企业尽早发放IT投资。
日常工作中的这些困难常令CIO处于被动响应的状态,与这一角色的初衷相悖。CIO本应从战略的高度主动利用新技术和数据,并且发现和评估能够驱动业务发展的新趋势。
Logicalis“2017至2018年度全球CIO调查”显示,很多受访CIO都将数据监管视为业务发展阻力,尤其是欧洲CIO,这很可能是GDPR的颁布实施所致。
GDPR:保护消费者的权利
问题在于CIO将GDPR视为阻碍企业实现目标的潜在危害或商业威胁是否合理,或者说,我们能否改变观点,将GDPR视为实现业务目标的杠杆。
通过认真阅读GDPR,CIO们很可能会发现自己本来可以利用这一新规定的同时还可为自己和企业谋福利。
GDPR的主旨是在数字世界中为企业以及消费者和公民提供保护。更准确地说,GDPR旨在保护个人消费者对其数据的所有权。即以下五项具体权利:
遗忘权:如果个人消费者提出要求,那么,企业必须删除他或她的所有的个人数据。
反对权:个人有权拒绝某些数据使用请求,如用于营销目的数据剖析。
整改权:个人有权补充不完整的数据。
访问权:个人有权知道企业正在处理他或她的哪些数据以及处理方式。
数据可移植性权:个人有权在不同的组织之间自由地传输他或她的数据。
GDPR是实现良好数据治理的催化剂
当企业开始着手履行这些消费者权利并遵守法规时,他们及其CIO们将会发现,这些表面上的阻力实际上是与数据治理相关的一系列新流程。
例如:为了满足GDPR的要求,许多企业都被迫设立了数据保护官(DPO)一职。DPO有时由CIO指派,但大多数情况下都是CISO或法务官兼任。也有一些时候,DPO由CIO亲自兼任,这无疑会增加他们的工作量和责任。
他们必须制定明确的个人数据处理策略,供应商和客户都要求企业提供记录在案的数据治理策略。
企业必须尽量减少数据收集和处理工作,将其控制在必要的水平上。
企业必须遵守数据限时保留的规定,因为个人数据在没有特殊原因的情况下不能在系统中保存多年是GDPR的基本要求。
企业要想将个人数据用于营销目的,必须提前得到(或者几经努力得到)用户同意,并且必须提供明确的退出选项。
企业只关心如何更妥善的管理文件。但是,作为企业数据的掌舵者,CIO则必须面对GDPR带来的数字化管理的变革。GDPR能给CIO带来不可否认的优势,帮助他们在实现数字化变革的同时推动营业额的增长。
下面将举例说明CIO如何能够利用GDPR来实现良好的数据治理。
No.1变被动为主动
直面这项艰巨的任务,CIO和企业可将GDPR作为跳板,对数据治理、风险管理和IT投资采取积极主动的战略性方法。
No.2数据清理
在未来,企业必须在用户续签同意书之后才能为其发送营销资料,这将导致一些用户重新考虑是继续接收还是选择退出。但是,这种做法的好处在于企业可以利用这个机会来清理数据,最终只将更高质量的用户保存在数据库中。此外,企业可通过向这些高质量用户多次发送通知来更有力地传递消息。
No.3IT升级
当CIO向公司请求引入良好的数据治理策略并通过先进的软件来替代遗留IT时,GDPR能给他们提供依据。因为GDPR强制要求各企业必须简化个人数据,从而促使他们设法简化数据处理流程并引入良好的数据治理方法。对于一直主张升级甚至淘汰遗留系统的CIO来说,GDPR无疑可以起到助推器的作用,能够帮助他们争取到预算并向企业呈现一幅更加广阔的前景蓝图。
No.4良好的数据治理
GDPR旨在保护数据。CIO们若能借助良好的数据治理来应对GDPR,则不仅能够确保监管合规,而且还能在商业上产生一些积极影响,包括提高效率和速度以及加强声誉管理等等。
对于良好数据治理,我还想强调以下几点:
良好的数据治理意味着确保轻松访问主数据这对用户行使数据遗忘权或整改权是至关重要的。
良好的数据治理意味着创建客户数据的单一可信版,对于那些力求删除重复客户数据的人来说,这是他们心仪已久的功能,可以帮助确保删除掉整个用户记录中的重复数据,或者不会向不同名字的同一个人重复发送相同的信件。
良好的数据治理还可通过任命数据责任人来确保问责制,并通过更新和审查的数据处理流量来确保完整性。鉴于通过良好的数据治理来确保遵从GDPR是高质量的象征,相当于告诉客户“您可以信任我们并与我们安全地开展业务”,因此还能带来显著的商业优势。
利用技术帮助遵从GDPR等规章制度
支持GDPR合规、良好的数据治理及商业目标的新技术旨在汇聚主数据,而不是将其分散到多个中央系统上,因此能够创建数据的单一可信版本并将数据连接在一起,而不是令其彼此脱节。
如果CIO希望演变成变革推动者,那么,他们不仅需要推动数字化变革,而且还要推动文化变革。GDPR可以起到催化剂的作用,一方面推动大家增强对数据治理的意识,另一方面勾勒出一幅更全面的IT基础架构视图。
因此,CIO不应将GDPR视为压在其肩膀上的另一座大山,而是应将其视为通往变革的必经之路,能够帮其扫除障碍,让IT真正能够带来某些显著的商业影响。
