作者:Matthew Bernstein,MC Bernstein Data 信息管理战略分析师
公司越来越依赖于从数据中寻找价值,而监管机构、政治家和公众正在加强对公司如何使用消费者数据的审查。
大量可用数据、商品化的 IT 基础设施(例如存储和计算)以及要提取的假定价值创造了保留、存储和处理一切的动力。与此同时,数据隐私法规不断涌现,数据保护和保留规则不断扩大,消费者的权利和期望也在不断提高。由于每家公司的运营中普遍存在“外部化”数据,因此应对这些发展交叉点带来的日益增长的信息治理 (IG) 挑战变得更加困难。在本文中,我们研究了其中一些不断增加的信息治理义务,强调了将关键信息资源外部化所带来的一些风险,并确定了解决这一情况的良好信息治理实践。
数据隐私增加了信息治理风险
在美国,行业监管一直是数据隐私领域的规则。受特定行业数据隐私规则约束的一些行业包括消费者信贷、教育、电信、广告和医疗保健。但是,欧洲通用数据保护条例 (GDPR)、加利福尼亚州的消费者隐私法案 (CCPA)、美国联邦立法草案以及公众对数据使用的关注都证明了这一点,隐私问题的规模和范围正在增加。这一切都建立在现有的 IG 风险和义务之上,例如记录管理、信息安全和 eDiscovery。
风险在哪里?
鉴于许多公司使用的系统和应用程序的多样性,数据管理的“外部化”和外包趋势日益增长,这给公司带来了挑战。识别第三方风险具有挑战性,因为几乎所有广泛使用的通信、处理和存储平台(包括云服务、协作和消息传递工具以及 SaaS 应用程序)都在公司外部运行。
公司可能会使用 Box、Slack、LinkedIn 和 Twitter 等工具进行内部和外部沟通。Salesforce 和 Workday 等企业管理解决方案以及 AWS、Microsoft Azure 和 GoogleCloud 等云提供商是快速发展公司的首选平台。但是,从监管机构的角度来看,管理这些数据的责任仍然由业务用户承担,无论数据是否是外部数据。对这些数据隐私风险的认识和责任不能外包。
更令人担忧的是,服务提供商通常不会自行制定和实施数据隐私政策。解决方案和服务可能会提供保护措施并提供功能,但由用户公司确定其受约束的规则、识别受这些规则约束的数据、指示系统或服务提供商根据这些规则采取行动并确保遵守这些规则。
现在该做什么
为了应对这些情况下的风险,公司应根据以下四个 IG 运营框架“构建块”建立数据隐私风险框架。资源应根据公司的规模和范围进行适当扩展,并且不需要大型企业 IT 解决方案。
法规遵从性
-
了解哪些数据隐私要求(法律和法规)适用于公司的数据
-
识别流程、外部系统和数据存储中受数据隐私要求约束的数据
信息生命周期管理
-
实施流程以支持对不需要的个人数据进行分类、保留、归档和处置
-
确认个人数据的处理符合法律法规
-
通过减少非必要信息的数量,对敏感数据进行分类、划分和加密,以及限制访问,确保个人数据得到适当保护
统辖
-
制定控制措施,以确保供应商了解并遵守适用的公司政策
信息治理技术
-
实施适当的技术,根据政策管理个人数据
采取明智的方法并采取强有力的合规措施的公司将降低监管执法行动的风险。那些不这样做的人可能会发现自己成为新数据保护制度的瞄准目标。
请注意:本文仅代表 Matthew Bernstein 的观点和意见,不代表 Guidepoint Global, LLC(“Guidepoint”)的观点或意见。Guidepoint 不是注册投资顾问,不能作为投资顾问进行交易或提供投资建议。本文提供的信息不构成投资建议,也不作为购买、持有或出售任何证券的要约或要约邀请或建议。未经 Guidepoint 和 Matthew Bernstein 明确书面同意,禁止使用本文。