国内对隐私合规方面着力点,主要有《网络安全法》《个人信息保护法》来实现,同时个人信息在网络中的状态又与《数据安全法》有着千丝万缕的联系。以下,是国外有关隐私合规的探讨,我们不妨一起了解一二。
近年来,对数据隐私的关注开始迅速从合规性转向合规性,预计在不久的将来会以更快的速度发展。毫不奇怪,汤森路透风险与合规性调查报告发现,82% 的受访者认为数据和网络安全问题是其组织面临的最大风险。然而,大多数组织注意到了最近的转变:他们的组织已经从合规性作为一项“勾选”任务转变为一项战略职能。
随着数据隐私的演变,许多组织发现他们需要主动改变自己的方法,为未来做好准备。以下是为数据隐私的未来做好准备的五个关键考虑因素。
1. 建立及时了解新法规和不断发展的法规的流程
虽然数据隐私不仅仅是合规,但您的组织必须首先遵守所有法规,否则将面临罚款和声誉受损的风险。然而,法规不断出台和修改,因此很难保持最新状态。截至2024 年 9 月,已有 20 个州制定了消费者数据隐私法,还有许多其他州正在等待立法。虽然美国目前没有联邦数据隐私法,但《美国隐私权法案》正处于立法的第一阶段。
随着数据隐私监管环境的不断变化,组织必须创建一个流程来管理所有相关法规,这对跨国公司来说可能是一个挑战。由于组织必须遵守客户所在地的法规,而不是公司所在地的法规,因此跨国企业经常会受到许多不同法规的约束。组织越来越多地使用人工智能 (AI)来监控所有相关法规并确保合规,从而节省时间并减少罚款。
2. 注重平衡数据隐私与分析和人工智能目标
宾夕法尼亚大学沃顿商学院的 AI 研究发现,每周使用 AI 的员工比例从 2023 年的 37% 增加到 2024 年的 73%。然而,AI 采用率的大幅快速增长带来了严重的数据隐私问题。主要问题包括缺乏数据透明度、漏洞的新端点、第三方供应商和潜在的监管漏洞。同时,不使用 AI 的企业可能会在生产力和个性化方面很快落后于竞争对手。
由于不使用人工智能很少是正确的商业决策,因此组织必须采取战略方法来在商业价值和数据安全之间取得平衡。虽然技术是解决方案的一部分,但如果没有平衡的方法,平台和系统就无法解决挑战。通过创建流程和框架来帮助组织评估风险和收益,企业可以就数据隐私做出明智的商业决策。例如,一家公司可以在整个组织内采用人工智能自动化,但涉及敏感客户和员工数据的用例除外。
3.考虑隐私保护机器学习(PPML)
通过使用人工智能和分析中的特定技术,组织可以降低数据隐私风险。许多组织正在转向 PPML,这是微软发起的一项计划,旨在在训练大容量语言模型时保护数据隐私。以下是微软定义的 PPML的三个组成部分:
理解: 组织应进行威胁建模和攻击研究,同时确定属性和保证。此外,领导者需要了解监管要求。
衡量标准:为了确定数据隐私的当前状态,领导者应定量捕获漏洞。接下来,团队应开发和应用框架来监控风险和缓解措施的成功率。
缓解:在全面了解数据隐私后,团队必须开发和应用技术来降低隐私风险。最后,领导者必须遵守所有法律和合规规定。
4. 注重数据最小化
过去,许多企业默认会长期保留所有(或至少大部分)数据。然而,所有存储和保存的数据都必须遵守合规性规定,这导致许多组织采用一种称为数据最小化的策略。
德勤将数据最小化定义为采取措施确定需要哪些信息、如何保护和使用这些信息以及保留多长时间。通过采取这种有节制的方法并确定要保留哪些数据,组织可以降低成本、更轻松地找到正确的数据并提高合规性。此外,保护较小量的数据更容易,而且所需的资源也更少。
5. 创建数据隐私文化
就像网络安全一样,数据隐私不仅仅是特定员工的工作。相反,组织需要灌输这样一种观念:每个员工都应对数据隐私负责。创建数据隐私文化并非一朝一夕就能实现的,也不是一次会议就能实现的。相反,领导者必须努力随着时间的推移灌输价值观和关注点。第一步是让领导者成为倡导者,表达责任的转变,并在数据隐私方面“言行一致”。
由于数据隐私取决于团队成员是否遵守指定的流程和要求,因此组织不能只是规定规则,而必须解释数据隐私的重要性。当员工了解不遵守流程的风险以及对组织及其消费者造成的后果时,他们更有可能遵守。
此外,领导者应衡量流程的合规性,以确定当前状态和目标。通过提供激励措施,组织可以帮助鼓励合规性并强调其总体重要性。
立即开始制定数据隐私方法
当您的团队专注于规划 2025 年及以后时,现在是时候停下来确保方法和目标与行业的发展方向保持一致。了解数据隐私可能走向何方并采取必要措施使其目标与数据隐私的未来保持一致的组织可以更好地做好准备,更有效地从数据中获取商业价值,同时仍确保合规性。
— 欢迎关注 往期回顾 —
>>>网络安全等级保护<<<
>>>关键信息基础设施安全保护<<<
>>>数据安全系列<<<
因侵犯公民个人信息罪 深圳一人被判一年三个月 售卖他人求职简历
公安部网安局:河南开展整治网络谣言专项行动 查处造谣传谣3000余人
一公司高管为泄愤攻击智慧停车收费系统,致上千家停车场无法自动抬杆
上海4人被判刑:5元掌握明星偶像行程?贩卖明星信息4人被判刑!
假期内,网络主播直播约架?郑州警方迅速控制,刑拘十人!网络空间不是法外之地!
网络水军团灭记:“转评赞”狂刷单 上百人“网络水军”团伙落网
北京多家公司因不履行网络安全保护义务被处罚!“两高一弱”仍然是安全隐患重点
>>>其他<<<
网络安全知识:什么是CIA三要素 (机密性、完整性、可用性)?
网络安全知识:什么是基于域的消息认证、报告和一致性 (DMARC)?
