不少人都有这样的经历:手机浏览某些网站之后,马上就接到相关行业的推销电话。很多人纳闷,自己并没有留下电话等个人信息,为何这些拨打骚扰电话的公司营销人员却能精准获取自己的浏览行为和联系方式?
这是今年315晚会曝光的数据隐私滥用现象:一些科技公司利用大数据技术,获取用户个人信息和上网行为,并提供给营销公司,形成利用大数据拨打骚扰电话的黑色产业链。此消息一经报道,舆论瞬间哗然。
无独有偶,近年来数据滥用、数据隐私保护不利的现象频发,涉及到科技、金融、教育等多个领域,也让数据安全相关话题多次成为焦点,这驱使业界共同思考该如何上好数据隐私保护这门必修课:
即在数字经济蓬勃发展的今天,数据成为企业最重要的生产要素,面对逐渐完善的数据法律与条例,以及日益猖獗的数据黑产,企业的数据安全合规体系应该如何建设,以实现对业务的保驾护航;企业又应该如何安全、合规地使用数据,让数据价值得以最大化?
01
打开数据隐私保护新思路
十年前,舍恩伯格在《大数据时代》指出,大数据将开启一次重大的时代转型。如今看来,深以为然。
十年前,很多行业的企业数据源单一,数据量较小,数据流动性低,基于数据的应用场景匮乏,数据安全与合规相对简单;十年之后,很多企业数据源丰富,拥有海量数据,甚至数据的收集开始从“饥渴”到“克制”,数据跨部门、跨公司、跨行业的流动性强,数据使用主体迅速变多,使得数据安全与合规面临的潜在风险迅速增加。
尤其是《数据安全法》、《个人信息保护法》等法律法规陆续实施之后,标志着数据安全与合规相关法律走向健全,过去“无拘无束”的时代宣告终结,企业需要时刻绷紧数据安全与合规这根弦。
种种变化无疑让很多企业的数据安全与隐私建设需要与时俱进。多位数据隐私保护领域的专家向大数据在线表示,企业数据安全与合规建设需要新思路,从制度、意识和员工等多个角度全面提升数据安全水平。
首先,企业的数据安全与合规需要建立起更加符合未来趋势的管理制度,从业务发展、数据治理、风险容忍度等来制定相应的制度,对数据进行分类和分级,并利用领先的技术、产品和解决方案来制定相应的数据合规策略。
例如,《个人信息保护法》出来之后,从华为、腾讯等大型科技企业到苹果等外企,都在积极、有针对性制定相应的安全策略,为产业界树立起良好榜样。
图:苹果数据隐私声明
值得欣喜的是,现在越来越多企业都开始组建由业务、风险管控、审计、IT管理、安全等部门共同形成的数据安全治理小组,根据数据重要性进行分级和分类,并制定相应的数据使用与合规制度。
其次,数据文化在我国众多企业中依然处于萌芽状态,需要在数据文化中不断灌输数据安全和数据合规的内容。以互联网企业为例,业务变化快、基于数据的创新多、数据文化浓厚,往往过于重视技术,却忽视了流程、理念和管理方式,对于数据合规的理念依然停留在过去传统方式,甚至一些公司的数据安全治理、自我监管的意愿匮乏。
又如,某位城商行数据部主任向大数据在线透露:最近两年,好几家金融机构因为数据泄露而被巨额罚款,额度都在千万级,根本原因在于数据安全与合规的意识缺乏。
第三,企业员工的的数据合规与安全水平也至关重要,这对于推动企业数据安全管理走向合法化和正规化有着关键作用。过去,数据安全理念讲究的“筑墙”,将外部攻击挡在外面;如今,数据安全与合规需要内外兼修,外部攻击固然可能带来很大危害,但员工数据使用不合规、数据安全意识不足,在数据流动的过程中,带来潜在隐患也不容忽视。员工对于数据隐私保护的重视以及数据合规使用,将极大有利于减少诸多隐患。
也正因为如此,国内越来越多企业将目光瞄准到IAPP和IEEE等国外权威机构,从国际数据安全与隐私保护专业组织中汲取先进经验,逐步从制度、意识和员工能力上逐步建设,让数据安全策略走向正规化。
近年来,流行着一个经典的观点:“Data is driving innovation. Data protection & privacy is driving trust.”--数据驱动创新、数据保护驱动信任。在数字化时代里,任何组织/企业/个人都无法独善其身,数据隐私保护需要从一点一滴做起,从而构建起一个更加美好的数字世界。