數(shù)據(jù)是業(yè)務(wù)的核心所在，但是隨著其容量的爆炸式增長，敏感信息的保護已經(jīng)成為一個艱巨的任務(wù)。

作為企業(yè)來說，必須理解并遵守隱私和數(shù)據(jù)保護的相關(guān)法規(guī)和標(biāo)準(zhǔn)。但是，相關(guān)的法規(guī)如此之多，而且在國與國乃至州與州之間都會有極大差別。該從哪里開始入手呢？這是否是你工作的一部分呢？

和業(yè)界很多的預(yù)測相反，法規(guī)仍然是隱私和數(shù)據(jù)保護的重要內(nèi)容。Forrester的數(shù)據(jù)安全和隱私指南中提出了構(gòu)建隱私管理框架的五個步驟，以此避免在面對此類問題時手足無措。

第1步：定義數(shù)據(jù)隱私的范疇

合規(guī)方面的首要工作是確定其所涵蓋的范疇。比如，如果你的業(yè)務(wù)在美國、加拿大和墨西哥，那么就必須理解這三個國家以及各個州的法律 – 在數(shù)據(jù)隱私方面，總共至少有50部法律。

另外，個人數(shù)據(jù)的定義在不同地區(qū)之間也有很大差異。比如在加利福尼亞，郵政編碼本身即被看作是個人數(shù)據(jù)，而其他州，只有當(dāng)其出現(xiàn)在其他數(shù)據(jù)中時才被視為個人數(shù)據(jù)。如果對于你所要處理的數(shù)據(jù)的類型和劃分理解不當(dāng)，你就無法辨識其是否為個人信息，更談不上加以適當(dāng)?shù)乇Ｗo了。

第2步：明確企業(yè)的角色和責(zé)任

有些被誤導(dǎo)的企業(yè)經(jīng)常將數(shù)據(jù)和隱私保護的所有責(zé)任交給安全專家。由于專家們負(fù)責(zé)管理并保護企業(yè)的數(shù)據(jù)，因此通常就被認(rèn)為也應(yīng)該負(fù)責(zé)兼顧相應(yīng)的法規(guī)條例。而事實上，根據(jù)Forrester在2012年對2383位IT經(jīng)理和技術(shù)負(fù)責(zé)人的調(diào)查，49%的安全團隊認(rèn)為自身應(yīng)該對隱私付全責(zé)，而77%的認(rèn)為至少應(yīng)該負(fù)有一半的責(zé)任。

由于沒有法律的背景，安全專家們必然會將一部分責(zé)任轉(zhuǎn)移出去，讓其他部門也牽涉進來。但是，要注意防止這造成企業(yè)中的另一個藩籬，對此一家咨詢公司的高級合伙人這樣描述到：“人們一聽到個人數(shù)據(jù)，就認(rèn)為是IT的責(zé)任所在，而IT又認(rèn)為這是屬于安全方面的事務(wù)。實際上，這其中很多事情超出了數(shù)據(jù)保護、IT或者安全的范疇。”

作為應(yīng)對，應(yīng)該考慮雇傭一位專業(yè)的隱私專家或者首席隱私官（chief privacy officer），以此確保整個企業(yè)都在合規(guī)方面舉措得當(dāng)。

第3步：建立法規(guī)和業(yè)務(wù)要求之間的映射

根據(jù)客戶的反饋，最常見的一個挑戰(zhàn)是將各項標(biāo)準(zhǔn)轉(zhuǎn)化為實際業(yè)務(wù)中的要求并貫徹到實踐中。對大多數(shù)企業(yè)來說，要達成法規(guī)和業(yè)務(wù)的一致是相當(dāng)復(fù)雜的，因此Forrester認(rèn)為應(yīng)該首先創(chuàng)建內(nèi)部控制的映射工具。

一家全球著名企業(yè)的首席隱私官告訴我們，該企業(yè)最近采用了一種在線工具來完成法規(guī)到流程的映射。在全球各地律師的協(xié)助下，他們梳理了相關(guān)的法規(guī)要求并把工具內(nèi)嵌到業(yè)務(wù)流程中。盡管有時還需要人工的干預(yù)，這個工具已經(jīng)可以讓項目進行自決策 – 僅僅在特殊情況下才需要借助外部的法律援助。

第4步：讓隱私保護成為企業(yè)的文化

隱私保護必須成為企業(yè)的一種內(nèi)在文化。首先是認(rèn)識到當(dāng)前存在的缺陷，然后制定計劃進行糾正，最后以政策和流程的方式加以落實。在整個過程中，堅持是最重要的。正如一位安全經(jīng)理所說：“你必須打起精神，堅持自己的看法并最終讓其他人認(rèn)同。”

第5步：跟上變化的步伐

在梳理清合規(guī)要求并有明晰的框架構(gòu)建理念之后，接下來你可能要應(yīng)對法規(guī)條例的不斷變化。但是，沒必要讓變化成為你前進的阻礙 – 隱私的保護絕非易事，相關(guān)法規(guī)的持續(xù)調(diào)整是無可避免的。