44名议员,持续5小时,马克·扎克伯格这辈子可能都不会忘记于美国东部时间2018年4月10日下午2点15分出席的美国国会那场“审判”。此前,Facebook因向第三方公司提供数据服务而致使8700万人信息被泄露,这一事件直接引发了可能是这家全球知名企业创立以来的最大公关危机。
2018年5月25日,GDPR(欧盟通用数据保护条例,General Data Protection Regulation)正式生效,开启了一个新的数据合规时代。根据GDPR规定,对违法企业的罚金最高可达2000万欧元(约合1.5亿元人民币)或者其全球营业额的4%,以高者为准。这让所有受其管辖的企业都必须将数据保护合规提升到生存高度予以应对。
GDPR既是挑战,也是机遇。
GDPR称得上是几十年来最具颠覆性的数据规范。它改变了我们管理、存储和处理数据的方式,并在全球范围内引发了一波国家和州的立法浪潮。有些人把这种颠覆性视为坏事,因为它增加了工作量、 扰乱由来已久的流程、强加罚款并带来了风险。但实际上,GDPR 为企业创造了大量的机会:
– 为其客户赋能
– 消灭数据孤岛
– 构建能释放出易用、安全和可信的数据的基础结构
发现您的GDPR机会
虽然 GDPR 是欧洲规定,但它适用于任何拥有欧洲公民个人数据的组织。我们不仅指的是您的 CRM 或营销自动化平台中的数据,GDPR 适用于员工、供应商、合作伙伴和客户数据。
正因如此,这项规定才会影响如此之大,因为它适用于企业所有人员。
实现GDPR准备就绪的六大步骤
GDPR 就绪是数据管理的一项操练内容。您需要收集、清理、管理和掌握您的数据,从而严格控制属于规定范畴内的关键资产。
此过程包含六大关键步骤,让我们逐一检查每项和为实现长期业务价值所需采取的关键行动。
1 定义和管理治理政策
要想把 GDPR 项目扩展到整个企业,您就要采用数据治理 - 这是将数据使用方式、数据移动方式和数据存储方式标准化的唯一方法。它还会让您企业中的所有人的信息一致。
实际上,这意味着要定义政策、发现关键利益相关者并采用更细致入微的数据管理方法,包括设定标准、为大事奠定基础、扩展数据治理、启用协作和通过人工智能实现自动化。
2 发现和分类
GDPR 已经开始正式实施,所以您可能已经完成了所有GDPR 项目的最基本步骤:发现您需要管理的数据。
要想满足 GDPR 的要求,关键是了解您持有的数据、数据的位置、数据的使用方式、数据的保护方式、数据在组织内外的移动方式。
有个至关重要的起点就是发现欧盟数据主体的个人数据和敏感数据并将其分类,列清单时请考虑以下事项:
– 地点:数据是否位于或使用于监管区域内?
– 扩散:该数据如何跨地理位置、跨部门和跨数据存储位置移动?
– 数据量:该数据集中包含多少敏感数据或个人数据记录?
– 部门:谁使用数据?
– 敏感层级:该数据是否被视为机密数据? 是否仅供内部使用?
– 保护:目前采用哪些控制措施保护此数据?
3 链接身份
身份是 GDPR 和其他隐私规定的核心内容。个人数据和敏感数据必须准确、全面地与其在各种系统中所代表的个人相关联。这能帮助您处理数据主体访问权限和数据泄露通知要求。
您需要明确了解每条个人数据和敏感数据属于哪个人。 这包括:
– 把主体的地理位置和存储了该主体个人数据的数据进行映射。
– 衡量个人的数据足迹和风险状况。
– 支持主体的被遗忘权 (RTBF)。
– 让主体能提交数据可移植性和访问请求。
– 支持同意管理和数据泄露通知。
4 分析隐私风险和制定修复计划
您在分析与个人数据和敏感数据相关的风险时,需要设想多种可能。能反映出您的数据保护优先级的框架可以帮助您确认一个合适的补救起点。模拟工具也值得考虑。如果您能提前测试安全政策,就能更轻松地做出关键决策。
要想计算数据隐私风险,您就需要考虑什么对数据本身的安全性具有重要意义:
– 是个人数据并且 / 或者它受 GDPR 控制么?
– 有多少此类数据?
– 它是否受到保护?
– 它对组织有什么价值?
– 谁使用这些数据,它如何在组织中移动?
5 保护数据和管理主体权利
GDPR 的安全要求归根结底就是访问权限。各类数据遍布企业内部,您必须确保只有特定人员才能访问特定类型的数据。
这个原则适用于在内部流程、客户服务、销售、营销、订单处理、分析、报告等中使用的个人数据。关键是,它同样适用于测试和开发举措中涉及的数据。因此,即便个人数据永远不会离开您的办公室,它也必须受到保护。
实际上,您需要具备以下功能,才能满足这些要求:
– 动态数据屏蔽
– 持久数据屏蔽
– 数据存档
– 业务流程编排
– 加密、标记化和匿名化
– 更改 / 更新历史记录
6 衡量和沟通
管理数据隐私是一个持续不断的过程,您必须不断衡量项目和政策的表现,从而评估是否成功,满足审计人员的要求。
您需要能够生成准确的季度报告、按需报告和预测报告的工具。可视化软件也能帮助您追踪日常进度。这样,您就能保持敏捷,适应不断变化的优先级,在必要时重新进行资源定向。
您的数据隐私仪表盘需要满足每个利益相关者对业务功能的要求,能够对数据隐私和数据保护的关键绩效指标进行追踪。这些因素包括:
– IT 勘察:
审计/合规性支持、资产价值和风险、DevOps 隐私。
– 安全勘察:
合规性、安全性决策、数据保护。
– 隐私权勘察:
GDPR、DPIA、数据主体风险、主体访问请求、隐私准备就绪衡量 /追踪。
– 业务/风险勘察:
降低风险、数据治理、监管合规性。
政策解读—当GDPR遇上业务和IT
GDPR 是项复杂的规定,需要进行详细解读。阐明复杂的规定在一定程度上属于法律工作,但也需要业务人员和IT人员将这些要求转化为实际的政策和流程。
这也是此规定所创造的最大机会之一。达成政策定义、职责和流程一致,您就能实现效率最大化并能简化工作流程。
结果如何?项目进展就会更快,您就能提前关注关键项目。更重要的是,您为企业的领导者们搭建了持续协作和开展讨论的平台。
GDPR:转型催化剂
达到 GDPR 合规不仅是为了免遭罚款,它是建立更透明、更具协作力和更以客户为中心的数据管理方法的基础。
您能借此机会:
– 根据准确的数据创建单一客户视图;
– 与客户建立信任;
– 提高数据安全性,加强隐私控制;
– 将松散的各部门连接起来,用 IT 使企业紧密联合。
最重要的是,这是为数据驱动型数字化转型奠定基础的良机。
如能完全控制您的数据,那么推出、维持和加速关键举措(如客户和人力资源分析,以及个性化)也就更加简单易行。
您可以马上行动。合规迫在眉睫,这意味着管理人员必须为您的目标提供支持(和预算),尽快实现合规性也能让大家都受益。
GDPR 不仅是一项让人头痛的颠覆性合规问题。它也能成为数据驱动型转型的催化剂 - 不仅是全球范围内也是企业范围内的转型。这对所有雄心勃勃的数据领导者来说,都是个好消息。
准备好开始行动了么?
Informatica的 GDPR 解决方案能帮助您解决走向合规过程中面临的所有重大挑战 - 从目录数据和统一利益相关者,到了解客户和链接同意,评估风险和自动化保护。马上下载《Informatica GDPR 解决方案简介》,详细了解其主要功能和优点。
