數據管理中的敏捷創新

GDPR。下一步是什么？數據隱私法規才剛剛開始生效。截至2018年底，我們已經超過GDPR最后期限6個月，距離加州消費者隱私法只有一年的時間了。許多公司仍在分析和制定這些新法規的方法。國際隱私專業人士協會（International Association of Privacy Professionals）最近的一項調查指出，超過50%的公司估計他們還沒有遵守GDPR。

然而，這些法規是消費者日益增長的愿望的一部分，以確保組織更加關注其數據。它們的影響是全球性的和真實的，而且將以其他國家（格魯吉亞？）的形式頒布更多的法律。甚至在聯邦層面。

第一筆主要的gdpr罰款是谷歌從法國數據管理局（French Data Authority）處的5700萬美元罰款，谷歌計劃對此提起上訴。監管機構列出了兩個谷歌未能達到gdpr標準的領域：

有關正在收集的數據、處理數據的原因和存儲時間的信息不容易訪問，有時需要5到6個步驟才能讓用戶找到。一旦定位，信息并不總是以清晰或全面的方式呈現，從而阻礙了用戶對谷歌處理廣告個性化操作的理解。

從用戶處獲得的數據處理同意沒有得到充分的通知，也不是“具體的”或“明確的”。用戶不知道數據處理的程度，也沒有獲得每個不同處理操作的同意。

此后，許多與gdpr有關的罰款被征收。有些與數據泄露有關。其他人更關心如何管理和使用數據。例如：

根據隱私顧問在2019年1月3日的報告，葡萄牙的第一次GDPR罰款是針對一家醫院的3次違規。首先是違反了最小化原則，允許不加區別地訪問過多的用戶。第二種是由于未采取技術和組織措施防止非法訪問個人數據而違反了誠信和保密性。第三，沒有實施技術和組織措施，以確保安全水平足以應對風險。

從數據隱私的角度來看，這些新法律和隨后的罰款加劇了企業范圍內的法規遵從性需求。數據治理操作模型支持法規遵從性的許多方面，并且應被視為整體解決方案的一部分。

好消息

這些數據隱私法規使您的組織能夠在更好的地點結束工作，迫使業務部門和IT部門共同努力，以確保“設計隱私”和“默認數據保護”。這些是許多公司在不斷增長的數據需求中忽略的基本好做法。由于這些法規，公司現在需要努力更好地了解他們擁有的數據以及如何使用這些數據。

組織需要證明客戶可以開始相信他們是數據的好管理者。那些無法證明主動數據隱私或因這些法規而被罰款的組織可能會失去客戶。對數據隱私的公開關注可能成為數據密集型組織的堅實賣點。

在gdpr下，數據主體可以要求您提供關于它們的任何信息的詳細信息。他們可以要求您將他們的數據傳遞給另一個組織，甚至永久刪除他們的個人信息，特別是當您不再需要這些信息時。公司需要證明他們完全控制了他們的數據和數據實踐，并且他們知道數據來自何處、駐留在何處、誰使用數據、為什么使用數據以及數據流向何處。

使這些新法律如此具有挑戰性的是對個人信息的擴展定義。它現在包括照片、GPS定位數據、社交媒體用戶名、IP地址、生物特征等數據，還包括所有數據類型，包括結構化、半結構化、非結構化、在線、近線、離線、數字、物理等。

數據組織處理的越多，就越有挑戰性地確定任何給定的個人數據的所有權、控制和管理。自助服務數據管理和操作的日益豐富，以及整個組織中相關的數據架構，將使這項任務更加具有挑戰性。

以下是從數據管理角度確保數據隱私準備就緒所應采取的一些主要步驟。在適當的數據治理能力下，可以更有效地管理其中的每一項。

一個有效的起點是建立一個全面的數據清單和數據圖，確定所有必要的標準。雖然這項工作似乎是一項艱巨的工作，但在實現法規遵從性方面，將數據庫存放在適當的位置應該是第一項工作。庫存需要從自上而下（采訪/調查）和自下而上（系統/應用）的角度進行處理。這是因為組織將需要開發一種理解，不僅是數據及其所在位置，還包括誰使用它、如何使用它以及它如何與業務流程相關。

其中一些信息只能通過面談和工作會議獲取，需要補充任何技術庫存。數據管理能力可以通過利用數據所有者和管理員（他們應該是專門知識領域的數據中小型企業）以及將所有這些信息捕獲為業務和技術元數據、標記并將其映射到業務流程、系統等來促進這些庫存。

作為數據隱私合規性的一部分，組織需要能夠證明他們知道自己擁有什么數據，并且能夠在整個數據生命周期中對其進行管理。數據生命周期以多種方式定義。簡單地說，數據是（1）創建，（2）存儲，（3）使用，（4）存檔或銷毀。數據治理促進了政策、標準和過程的開發，以支持這個生命周期。

例如，數據域所有者或特定的策略所有者可以與公司的適當領域（風險、法律、合規性等）協作，定義有關數據存儲、數據架構、數據標準、數據質量、數據分類、數據訪問、數據使用、數據共享和數據保留的策略（僅舉幾個例子！），并將這些策略與數據隱私相關。然后，數據治理辦公室可以與數據域所有者或策略所有者合作，在實施這些策略之后，確定適當的監控過程和度量。如果沒有數據治理操作模型，協調這些需求并確保遵從性是一項復雜的工作。

風險澄清

基于需求、數據類別和分類以及與數據相關的度量（如訪問頻率、用戶活動、擴散、數量等）的多因素風險評分方法將使基于風險的優先級劃分任何與數據隱私相關的問題和差距。

庫存、政策評估和風險澄清都將導致需要采取行動計劃來確保合規性。還需要解決一些差距。其中一些還可以通過可靠的數據治理程序來實現。例如，考慮主數據管理以識別個人和管理同意書。考慮數據質量管理，使個人信息的準確性具有可視性。這兩種功能都利用數據管理和工具來確保持續定義、實施和監控適當的業務規則。

數據治理專門涉及元數據、數據質量管理、主數據管理、策略管理和數據生命周期管理等領域。開發數據管理操作模型和結構將提供適當的角色、職責和責任，以及適當的管理機構，以識別、記錄和更好地了解數據環境和環境。然后，通過數據治理開發附帶的數據框架，可以實現所需的可視性、風險分析和控制。

此外，數據治理辦公室可以開發培訓，并確保文檔存儲在數據治理知識庫中。已經具備數據治理能力的組織有一個堅實的開端，可以利用它促進數據隱私合規性的許多方面。沒有數據治理能力的組織會發現，對于任何計劃繼續利用和優化數據以發展業務的組織來說，這越來越是必要的。