如果没有理解全球数据隐私法规就部署诸如身份管理、电子邮件、URL过滤、病毒扫描和员工电子监控这样的IT实践,将使做全球业务的跨国公司陷入一堆麻烦中。
该警告是Gartner分析师Arabella Hallawell和Carsten Casper在最近的芝加哥Gartner风险管理及合规性首脑会议上谈到的全球隐私最佳实践中提出的几个警告之一。
关于如何做个人隐私信息保护(PII)最好,在具有限制性协议的环境中,PII总是被弄得很复杂,是一个很棘手的问题。
据Gartner分析师讲,当谈到数据隐私法规时,世界被分成三个部分:具有强有力、适度或立法不完善的国家。在欧盟数据保护指导下,欧盟执行最强的隐私保护法规,加拿大和阿根廷也紧随其后;澳大利亚、日本和南非有适度到强(的最近确定)的法规;在中国、印度和菲律宾,法规是最无效或执行缓慢的。
在美国,数据隐私法规具有模棱两可的特征,分为两类——强柱型,因为45个州把数据泄露通知法规书面化了;弱柱型,因为缺乏联邦法规。
即使在这三类之中,也有很多细微差别。在欧盟指导下,各成员国制定自己的原则并纳入立法,像意大利的一些法规比该指导的标准更为严格。俄罗斯最近的法规模仿了强有力的欧盟法规,但如何执行仍是问题。而在美国,具备数据泄露法规通知的州发生了变化,内华达州和马萨诸塞州最近提出了最规范的数据隐私立法。
遵循个人数据收集的原意
对于信息隐私,虽然没有普遍的定义,但多数业界专家将概念定义为个人用来控制其个人信息如何被使用的权利。该权利包括个人信息的收集、使用、保存和披露。
基于欧洲权利方法的主要原则之一是,组织必须有处理个人资料的理由,该目的必须保持不变。(您不能收集个人数据以提供商品,然后使用相同的信息用于大型营销活动。)另一个主要的欧盟原则是禁止将数据运送到具有不完善的数据隐私法的国家(例如美国,因为它缺乏一个全面的法规)。在美国,公司监视员工行为的权力普遍被接受,但在欧洲是受到制约的。
因此,Gartner表示,尽管IT安全工具可以用来帮助开发一个全球性的隐私方案,连接隐私和安全工具,必须咨询隐私专家,否则首席信息官们可能冒违法的风险。这里是Gartner关于两个IT领域的建议——身份管理和员工监视——企业可以很容易地发现它们是否触犯了法规。
身份管理
身份管理就是管理个人信息。
Gartner的Casper说:“很明显,身份管理和隐私管理两者之间有关联。在某种程度上,它是一个进行关联、使双方的专家集中在一起,并试图看看是否有可能为另一方改变在这一方的投资的问题。”
随着公司内部和外部网络用户的扩张,对跟踪谁已经访问了什么的自动化系统的需求也随着增加。并且公司为了遵守诸如萨班斯法案-奥克斯利法(Sarbanes-Oxley)和健康保险流通与责任(Health Insurance Portability and Accountability)行为的法规,正投入使用身份管理系统。
在隐私方面,询问组织将他们的个人信息存储到哪儿的人数虽然不多,但正在增加。Casper说,紧随德意志电信公司丑闻,德国电话业巨头承认,它们暗中追踪数以千计的电话呼叫以寻找有关其内部运作的媒体泄露源,请求访问被公司存储的个人信息的员工数量在一年之中翻了一番,从700人达到了1400人。
Casper问:“如果你没有用于存储那些信息并获得对其访问的正确流程,你将如何做?”
在增加来自欧洲国家的员工的合并或收购中,身份管理工具被证明是有用的。Casper说,身份和隐私管理之间的天然联系点是在“身份校对”阶段。IT部门创建员工的身份信息以后,将是通知员工公司拥有其个人信息的一个很好的时间。这个流程让员工知道他或她的个人信息将如何使用,这是欧盟方针的原则之一。
但Casper说,整合隐私和身份管理面临巨大的挑战。身份和访问管理涉及各种技术,并且隐私权涵盖了各种法规。整合可能是困难的,正在开发的系统最好使用实际的数据进行最好的测试,但现场测试数据增加了对隐私的担心。这种对数据的使用超出了收集身份信息的目的。
相关阅读