当被问及作为首席隐私官的职责时, 我经常说,我的主要职能是为我的组织收集的个人数据的个人辩护, 维护和处理. 这种反应最初可能会让人感到困惑, 因为我们经常认为法律和合规专业人员是那些守卫着护墙的人, 不惜一切代价保护组织的利益. 然而, 稍微调整一下视角, 很明显,保护那些将其数据委托给您的组织的人的利益最终会实现组织的保护目标.
那么隐私专家是如何发挥这种倡导作用的呢? 当涉及到隐私遵从性时,利益相关者的识别对于确保我们的组织保持在正确的一边至关重要. 各行各业的IT专业人士, 从信息安全人员到应用程序开发人员再到IT审计员, 为了实现我们的共同目标,隐私专业人员最重要的合作伙伴是什么. 让我们来探讨一些IT技能可以发挥作用的核心隐私概念.
个人资料
隐私的核心概念是“个人数据”或“个人身份信息(PII)”。.“虽然不同司法管辖区对构成个人数据的法律定义略有不同, 一般来说,个人数据是识别自然人的信息. 这可以通过一个数据元素实现,例如国家身份证号. 其他时候,这需要两个或多个数据元素一起使用. 重要的是要了解这些数据需要高度保护, 知道你有哪些个人数据, 存储在哪里, 如何获取信息至关重要. IT专业人员处于最佳位置,他们知道可以实施哪些强大的信息安全控制. 甚至更好的, 如果有可能在数据生命周期的某个时间点去标识数据, 要么通过掩蔽, 加密, 或者匿名化技术, 该数据不再被视为个人数据.
数据最小化
如果隐私行业有什么信条的话,那就是“少即是多”.因为违反隐私法规将面临越来越大的罚款, 消除个人资料可将私隐风险减至最低. 数据最小化的原则是, 因此, 正如它听起来的那样——最小化组织收集的个人数据量,以降低隐私风险. 我们的目标是明确界定资料规定,将个人资料的收集限制在最低限度. 同样,知道个人数据何时不再有任何用途也同样重要. 数据最小化也可以通过在个人数据使用结束时对其进行清理或归档来实现.
因为数据最小化可以在整个数据生命周期的多个地方完成, IT专业人员可以帮助确定业务用户的选项. 例如, 在设计新产品或服务时, 仔细考虑需要从客户那里收集的数据以提供它. 在提供产品或服务时不需要收集的个人资料应是可选的或根本不收集. 同样的, 考虑对数据存储位置中存在的某些数据类型执行年度检查. 如果扫描数据存储显示美国客户的社会安全号码非常普遍, 确定维护这些数据是否有相应的目的. 如果无法确定该目的,则最好清除该数据.
个人资料外泄
最受关注的隐私话题是个人数据泄露, 通常是由于大量数据泄露或巨额罚款(或两者兼而有之). 当然, 没有哪个组织愿意因为个人数据泄露而成为头条新闻, 为了预防这些疾病,人们付出了相当大的努力和费用. 虽然健全的网络安全计划可以防止外部行为者的数据泄露, 另一个重点领域应该是消除数据泄露和内部威胁. 这是IT审计人员可以特别有帮助的一个领域, 因为他们通常是发现流程缺陷和像“坏人”一样思考的专家.”
隐私不再是一本手册, 法律, “复选框”认证练习, 如果它曾经是真的. 资讯科技专业人士已经具备必要的技能,不仅可以协助私隐主任达成他们的目标, 但更重要的是,成为将隐私保护纳入运营的关键驱动力. 了解上述核心私隐概念,有助促进私隐专业人员与资讯科技专业人员之间的合作.
编者按: 有关更多ISACA隐私资源,请了解ISACA的新 认证数据隐私解决方案工程师(CDPSE)认证 和 加入Engage上的隐私对话.
