抵抗是徒劳的——保护您的公司免受不遵守数据保护法规的影响

Syncsort 的 David Hodgson

2018 年 5 月 25 日来去匆匆，让许多公司对《通用数据保护条例》(GDPR) 要求的合规水平毫无准备。即使提前四年通知，负责业务弹性策略的 IT 技术人员仍在努力在数据保护目标列表中添加新的复杂性。 同步排序 Syncsort 首席产品官 David Hodgson 表示，《2018 年弹性状况报告》显示，安全和数据隐私问题是大多数 IT 部门的头等大事，尤其是当他们采用云平台来收集、存储和分析数据时。

法律的长臂

根据 GDPR 的作者，“个人数据的处理应该旨在为人类服务。” GDPR 建立在并取代了早期的数据保护指令 95/46/EC 的基础上，其主要目的是统一和标准化整个欧洲的数据隐私法。但是，它为该地区内部和希望与欧盟国家开展业务的外部组织提高了数据隐私标准。

底线：任何地方的任何公司都应该根据 GDPR 重新考虑其数据管理实践。您是否知道您拥有哪些数据、关于谁、您如何使用或与他人共享这些数据？是否妥善防盗？同一项针对近 6,000 名全球受访者的调查发现，大多数公司仍在努力解决这些问题。

让个人重新负责

GDPR 确保个人有权知道公司将个人数据保存在他们身上，这些数据是什么，检查和纠正它的权利，最重要的是，有权将其删除，或被遗忘的权利。

新方法始于同意权。许多人亲身经历过这种情况，公司发送电子邮件以确认批准保留个人数据。当然，尽管数据是许多新商业模式的燃料，但数据现在也是可能导致一些失误的新香蕉皮。

第一步是清楚地跟踪您拥有哪些数据、关于谁的数据并确认同意。其中一个关键部分是统一您对不同系统、数据库和数据源中的个人的看法。大卫霍奇森是大卫霍奇森还是这两个不同的人？要实现这种可见性，请确保您拥有能够交付和维护数据完整性的适当工具。

可以识别个人数据并帮助保持其准确、干净和重复数据删除的数据质量工具对于实现合规性都是必不可少的。同样重要的是能够维护谁访问了个人数据的审计跟踪。然而，这些要求只会在大数据和流数据领域变得更加困难。

什么是个人数据以及如何安全使用？

数据收集实践的传播使我们的在线体验经常个性化，这为数字革命奠定了基础，但它也引发了导致 GDPR 的担忧。

GDPR 第 4(1) 条将个人身份信息 (PII) 定义为识别、描述或对个人而言独一无二的数据。这包括明显的姓名、年龄和社会保险号，还包括 IP 地址和设备 ID 以及散列或加密数据字段等项目，如果它们的目的是识别个人。

GDPR 要求公司保护个人的隐私，并建议大多数处理都通过删除直接标识​​符来完成，这样就不会与特定个人建立联系。这个概念被称为数据假名，它可以减少导致数据被盗的安全漏洞的影响。

与对旧系统进行功能改造相比，构建符合设计要求的新系统总是更容易、更有效。在这两种情况下，匿名化、屏蔽和混淆工具都应该是关键组件，但成本驱动的现实是，大多数公司将寻找与现有数据访问点轻松集成的工具。

大多数公司拥有多个数据库，并且越来越多地在它们之间共享数据以用于实时用例。这些用例通常是公司业务增长的重要驱动力，但它们也是漏洞的来源。跟踪共享数据的工具必须能够应对这些新架构所允许的规模和快节奏变化。

未来总是比你想象的来得更快

时间的速度通常让我们措手不及，在 IT 世界中似乎总是如此。不遵守 GDPR 可能会导致 2000 万欧元的罚款或不合规组织全球营业额的 4%——更不用说对公司声誉的影响。既然 5 月的最后期限已经过去——除非公司完全合规——我们看到第一批执法罚款只是时间问题。

此博客的作者是 Syncsort 首席产品官 David Hodgson