收集客戶數(shù)據(jù)可以幫助企業(yè)改進(jìn)產(chǎn)品和服務(wù)。然而，當(dāng)消費(fèi)者發(fā)現(xiàn)他們的數(shù)據(jù)被大量泄漏并被用于非法牟利活動(dòng)時(shí)，就會(huì)變得越來越謹(jǐn)慎，不再愿意將個(gè)人隱私數(shù)據(jù)提交給企業(yè)。企業(yè)只有制定公布并有效實(shí)施穩(wěn)健全面的數(shù)據(jù)安全政策，才能贏得消費(fèi)者的信任。

根據(jù)近年來個(gè)人隱私信息保護(hù)領(lǐng)域的優(yōu)秀實(shí)踐，本文收集整理了能夠有效幫助企業(yè)保護(hù)其用戶數(shù)據(jù)的12條安全措施，可以作為企業(yè)數(shù)據(jù)保護(hù)建設(shè)中的參考。

1. 明確外包服務(wù)供應(yīng)商的保密義務(wù)

外包業(yè)務(wù)(服務(wù))加大了企業(yè)因安全事件而遭受財(cái)務(wù)和聲譽(yù)損失的風(fēng)險(xiǎn)。企業(yè)需要和服務(wù)提供商在合同條款中明確約定來應(yīng)對(duì)這些風(fēng)險(xiǎn)。在合同中洽談安全條款時(shí)，應(yīng)綜合考慮信息的敏感性，了解服務(wù)提供商的能力，以及依據(jù)雙方內(nèi)部政策和程序所開展的盡職調(diào)查的結(jié)果。

2. 選擇安全可信的員工

當(dāng)企業(yè)業(yè)務(wù)開展涉及大量用戶敏感數(shù)據(jù)時(shí)，選用業(yè)務(wù)人員時(shí)必須考慮其是否值得信任。鑒于目前人才緊缺的現(xiàn)狀，在員工招聘時(shí)就應(yīng)該關(guān)注其的可信度和履歷透明度。比如說，背景篩查很重要(對(duì)銀行和醫(yī)療保健等行業(yè)而言尤其如此)，只有通過透明度和信任能力測(cè)試，才能找到更加合適的人選，公司才能將敏感數(shù)據(jù)放心地交給他們。

3. 利用第三方安全服務(wù)

審計(jì)和合規(guī)要求迫使企業(yè)在技術(shù)環(huán)境中實(shí)施可落地的安全方案，但企業(yè)中常常會(huì)存在通過常規(guī)審計(jì)發(fā)現(xiàn)不了的安全隱患。利用第三方安全測(cè)試服務(wù)可以發(fā)現(xiàn)企業(yè)自身安全團(tuán)隊(duì)可能錯(cuò)過的漏洞，實(shí)踐證明，開展漏洞懸賞計(jì)劃對(duì)企業(yè)的安全建設(shè)會(huì)有幫助。

4. 采用安全設(shè)計(jì)方法

讓公司業(yè)務(wù)系統(tǒng)在開發(fā)時(shí)就采用安全設(shè)計(jì)方法(security by design)可大大提高企業(yè)隱私數(shù)據(jù)的安全性。安全設(shè)計(jì)方法涉及多個(gè)方面，包括教育員工、盡量減少收集的數(shù)據(jù)量、加密數(shù)據(jù)、安全設(shè)計(jì)系統(tǒng)、數(shù)據(jù)訪問控制以及在整個(gè)軟件開發(fā)生命周期中關(guān)注安全等。

5. 為客戶提供價(jià)值

收集客戶數(shù)據(jù)的企業(yè)應(yīng)該讓用戶了解，其收集數(shù)據(jù)的目的是什么。通過使用收集的數(shù)據(jù)能夠?yàn)榭蛻簟⑸鐣?huì)和國(guó)家提供價(jià)值，而不只是一味牟取商業(yè)價(jià)值。企業(yè)需要確定所收集數(shù)據(jù)適用的使用場(chǎng)景，熟悉快速不斷變化的數(shù)據(jù)技術(shù)和法規(guī)要求，并與業(yè)務(wù)團(tuán)隊(duì)密切聯(lián)系。

6. 確保全面遵守安全和隱私框架

企業(yè)應(yīng)該遵守?cái)?shù)據(jù)在收集、存儲(chǔ)和傳輸階段的信息安全或隱私合規(guī)框架，這樣才能確保數(shù)據(jù)的安全使用。此外，應(yīng)審查任何接觸消費(fèi)者數(shù)據(jù)的供應(yīng)商，確保供應(yīng)鏈中每個(gè)環(huán)節(jié)也能夠遵守信息安全法規(guī)或標(biāo)準(zhǔn)。

7. 得到客戶的授權(quán)

知情同意(informed consent)是贏得消費(fèi)者信任的主要基礎(chǔ)?！爸橥狻笔侵钙髽I(yè)明確告知客戶他們的個(gè)人數(shù)據(jù)現(xiàn)在和未來的可能用處，以及在企業(yè)重新獲得客戶同意之前會(huì)將個(gè)人數(shù)據(jù)保留的具體時(shí)間，讓每個(gè)消費(fèi)者可以選擇其同意生效的時(shí)間長(zhǎng)度可以使政策更具個(gè)性化。

8. 讓客戶有選擇退出的權(quán)利

企業(yè)應(yīng)經(jīng)常告知消費(fèi)者所收集數(shù)據(jù)的存儲(chǔ)和使用情況，并詢問他們是否想要選擇退出。有的企業(yè)每季度對(duì)消費(fèi)者做一次隱私安全健康檢查，這將有利于贏得用戶的理解和信任。

9. 對(duì)用戶隱私數(shù)據(jù)安全加密

對(duì)用戶數(shù)據(jù)中的重要敏感數(shù)據(jù)進(jìn)行安全加密是最基礎(chǔ)的防護(hù)要求，但卻被很多企業(yè)忽視，甚至包括一些大型互聯(lián)網(wǎng)企業(yè)。為了讓客戶更加放心，需要告訴他們提交的個(gè)人數(shù)據(jù)都會(huì)經(jīng)過加密處理，連企業(yè)員工都無法隨意讀取。

10. 聘請(qǐng)第三方機(jī)構(gòu)來收集和管理數(shù)據(jù)

對(duì)于中小型企業(yè)組織，建議使用第三方服務(wù)來收集并保管客戶數(shù)據(jù)，許多軟件即服務(wù)(SaaS)產(chǎn)品都可以提供此類服務(wù)。調(diào)查發(fā)現(xiàn)，用戶會(huì)更愿意將其個(gè)人數(shù)據(jù)提交給SaaS產(chǎn)品而不是一家不知名的小公司來保管。

11. 至少保留三份數(shù)據(jù)

企業(yè)有責(zé)任確保數(shù)據(jù)得到合理存儲(chǔ)和全面保護(hù)，建議企業(yè)至少備份三份數(shù)據(jù)，存儲(chǔ)在至少兩種不同形式的介質(zhì)上，一份離線保存、一份異地保存。若有任何變化，都應(yīng)告知客戶，以便他們放心地將數(shù)據(jù)交給企業(yè)保管。

12. 盡量少訪問客戶數(shù)據(jù)

企業(yè)在必須收集用戶數(shù)據(jù)時(shí)，應(yīng)只授權(quán)給必須訪問數(shù)據(jù)的員工。數(shù)據(jù)還應(yīng)該有合適的保留期，這意味著一旦數(shù)據(jù)滿足使用要求并且不再需要，就應(yīng)該刪除。合法收集的數(shù)據(jù)應(yīng)妥善存檔。這種做法將有助于向消費(fèi)者證明企業(yè)有能力保護(hù)其數(shù)據(jù)的安全。

參考鏈接：https://www.forbes.com/sites/forbestechcouncil/2022/05/13/15-strategic-steps-companies-should-take-to-secure-customer-data/?sh=1a8963255133