對(duì)于很多企業(yè)而言，保護(hù)個(gè)人身份信息越來(lái)越具有挑戰(zhàn)性，隨著全球數(shù)據(jù)量的增加，用于管理和保護(hù)數(shù)據(jù)的規(guī)則、法律和政策的數(shù)量也在增加。即使是最精明的數(shù)據(jù)隱私和法律專業(yè)人士，這種不斷增長(zhǎng)的法規(guī)政策也會(huì)使他們感到困惑。

企業(yè)確保個(gè)人身份信息(PII)的安全性和隱私性的主要方法之一是遵循數(shù)據(jù)匿名化最佳做法。

[[358792]]

什么是PII?

從高層次上講，PII是可以單獨(dú)使用或與其他信息組合以識(shí)別個(gè)人的數(shù)據(jù)。政府和行業(yè)PII法規(guī)的目標(biāo)是定義和執(zhí)行政策，以保持該信息的隱私性。

歐盟委員會(huì)的GDPR條例和《加州消費(fèi)者隱私法案》(CCPA)是兩個(gè)廣為人知的政府監(jiān)管條例，它們?yōu)镻II制定了一套隱私政策。這兩個(gè)政府機(jī)構(gòu)的罰款都可能很高。從發(fā)布之初到2020年1月，GDPR收集超過(guò)1.26億美元的罰款，每項(xiàng)記錄的CCPA罰款從2500美元到7500美元不等。

識(shí)別PII的挑戰(zhàn)在于，數(shù)十個(gè)數(shù)據(jù)元素都是潛在的個(gè)人標(biāo)識(shí)符。此外，政府網(wǎng)站(例如GDPR的信息門戶)提供PII數(shù)據(jù)描述和示例，所使用的語(yǔ)言故意含糊不清，以免將數(shù)據(jù)元素限制為預(yù)定義的集合。因?yàn)槊總€(gè)監(jiān)管條例可能對(duì)PII都有不同的解釋，所以最好針對(duì)特定的隱私控制咨詢專家。

數(shù)據(jù)匿名化

從PII的角度來(lái)看，數(shù)據(jù)匿名化是模糊化信息的過(guò)程，使這些信息無(wú)法用于識(shí)別個(gè)人。匿名化可減少意外泄露PII數(shù)據(jù)的風(fēng)險(xiǎn)，并且，如果確實(shí)發(fā)生數(shù)據(jù)泄露，則被竊取的信息將對(duì)攻擊者毫無(wú)用處。

從合規(guī)性來(lái)看，匿名數(shù)據(jù)被認(rèn)為是非個(gè)人數(shù)據(jù)，因?yàn)樗鼰o(wú)法識(shí)別個(gè)人。

匿名化的最終目標(biāo)是消除PII暴露個(gè)人的機(jī)會(huì)，同時(shí)保留信息對(duì)企業(yè)的價(jià)值。匿名化數(shù)據(jù)與破壞數(shù)據(jù)使其無(wú)法提供有意義的業(yè)務(wù)洞察力之間只存在細(xì)微的界限。

數(shù)據(jù)匿名化是PII隱私的關(guān)鍵

為適當(dāng)?shù)乇Ｗo(hù)PII數(shù)據(jù)，企業(yè)必須制定戰(zhàn)略計(jì)劃，定義角色、規(guī)則、流程和最佳做法，以確保其PII數(shù)據(jù)的安全性、質(zhì)量以及正確使用。該計(jì)劃的目標(biāo)是提供控件的藍(lán)圖，以確保在企業(yè)級(jí)有效管理PII數(shù)據(jù)。

該計(jì)劃需要包括標(biāo)準(zhǔn)IT社區(qū)數(shù)據(jù)匿名化最佳做法，以及企業(yè)、特定于行業(yè)和政府的法規(guī)條例規(guī)范和控制。該計(jì)劃應(yīng)該是一項(xiàng)業(yè)務(wù)和IT聯(lián)合計(jì)劃，兩個(gè)部門都應(yīng)發(fā)揮同等重要的作用。

其中的一項(xiàng)輸出應(yīng)是文檔記錄技術(shù)無(wú)關(guān)的控件，這些控件在企業(yè)中普遍應(yīng)用。這些控件必須包括一組可靠的數(shù)據(jù)匿名化策略和程序。

保護(hù)任何敏感信息的關(guān)鍵組成部分是制定企業(yè)范圍的意識(shí)計(jì)劃。IT部門無(wú)法獨(dú)自保護(hù)PII。與PII進(jìn)行交互的所有業(yè)務(wù)和運(yùn)營(yíng)組必須積極參與，管理層的支持至關(guān)重要。

你無(wú)法匿名處理你不知道的數(shù)據(jù)

在制定政策和程序、購(gòu)買產(chǎn)品或?qū)嵤┦謩?dòng)數(shù)據(jù)匿名化過(guò)程之前，請(qǐng)確定企業(yè)中所有潛在的PII數(shù)據(jù)元素。你的環(huán)境越大，你的企業(yè)就越容易存儲(chǔ)未標(biāo)識(shí)的PII數(shù)據(jù)。

這不是一件容易的事。大多數(shù)包含PII的數(shù)據(jù)都不是處于空閑狀態(tài)。在創(chuàng)建數(shù)據(jù)元素后，它會(huì)迅速傳播到整個(gè)企業(yè)中的報(bào)表、儀表板和其他數(shù)據(jù)存儲(chǔ)。

確保一個(gè)人在整個(gè)企業(yè)中的持續(xù)匿名性具有內(nèi)在的可變性。換句話說(shuō)：事情會(huì)發(fā)生變化。數(shù)據(jù)審計(jì)以及來(lái)自與PII交互的IT和業(yè)務(wù)人員的持續(xù)反饋將有助于發(fā)現(xiàn)潛在問(wèn)題。

數(shù)據(jù)匿名化產(chǎn)品

現(xiàn)在有大量可用的軟件解決方案，從專門關(guān)注數(shù)據(jù)匿名化最佳做法的產(chǎn)品到提供廣泛數(shù)據(jù)安全功能的企業(yè)范圍產(chǎn)品。企業(yè)規(guī)模越大，這些工具就越重要。根據(jù)企業(yè)存儲(chǔ)的數(shù)據(jù)量，你可能需要購(gòu)買一兩個(gè)產(chǎn)品才能正確識(shí)別和保護(hù)敏感的PII數(shù)據(jù)資產(chǎn)。

現(xiàn)在有各種可用的數(shù)據(jù)匿名化產(chǎn)品。此外，現(xiàn)有的數(shù)據(jù)存儲(chǔ)平臺(tái)也可提供匿名化功能。例如，很多領(lǐng)先的數(shù)據(jù)庫(kù)提供匿名化組件(例如加密)作為其基礎(chǔ)軟件堆棧的一部分。還有些產(chǎn)品專門用于匿名化各種數(shù)據(jù)存儲(chǔ)中的數(shù)據(jù)，包含云端和本地?cái)?shù)據(jù)庫(kù)以及平面文件等。

為了正確選擇和部署最合適的PII識(shí)別和數(shù)據(jù)匿名化軟件，技術(shù)專業(yè)人員必須創(chuàng)建和執(zhí)行經(jīng)過(guò)深思熟慮的詳細(xì)競(jìng)爭(zhēng)產(chǎn)品分析。

以下是一般建議，可幫助你快速開(kāi)始分析：

• 在評(píng)估PII數(shù)據(jù)標(biāo)識(shí)和匿名產(chǎn)品時(shí)，企業(yè)應(yīng)遵循標(biāo)準(zhǔn)化的產(chǎn)品評(píng)估方法，以幫助做出選擇。評(píng)估最佳做法包括：選擇合適的評(píng)估團(tuán)隊(duì)、執(zhí)行全面的需求分析以及創(chuàng)建一組強(qiáng)大的加權(quán)評(píng)估指標(biāo)。使用評(píng)估指標(biāo)來(lái)創(chuàng)建供應(yīng)商候選清單，并對(duì)其余供應(yīng)商進(jìn)行深入比較。
• 了解你的業(yè)務(wù)需求。你想達(dá)到什么目的?你是否正在尋找專門針對(duì)數(shù)據(jù)匿名化、PII數(shù)據(jù)識(shí)別的產(chǎn)品，還是提供更廣泛特性和功能的平臺(tái)?
• 使用同行評(píng)估網(wǎng)站(例如Gartner Peer Insights)對(duì)不同產(chǎn)品進(jìn)行社區(qū)評(píng)審。
• 訪問(wèn)供應(yīng)商網(wǎng)站和IT社區(qū)討論論壇。供應(yīng)商經(jīng)常會(huì)購(gòu)買Gartner的《供應(yīng)商魔力象限》，并向公眾開(kāi)放，這可能有助于縮小供應(yīng)商的候選清單
• 根據(jù)你當(dāng)前和預(yù)期的未來(lái)需求，確定供應(yīng)商是支持云端、內(nèi)部還是兩者。