在部署保存客戶或用戶數(shù)據(jù)的任何應(yīng)用程序時，數(shù)據(jù)合規(guī)性和數(shù)據(jù)隱私都是需要考慮的重要事情。然而，數(shù)據(jù)管理的這兩個領(lǐng)域有時會被誤解。本文將闡明數(shù)據(jù)合規(guī)性和數(shù)據(jù)隱私之間的區(qū)別。

什么是數(shù)據(jù)合規(guī)性？

數(shù)據(jù)合規(guī)性是指在收集、處理和存儲數(shù)據(jù)方面履行某些法律義務(wù)的要求。

例如，在歐洲擁有客戶的公司必須遵守《通用數(shù)據(jù)保護(hù)條例》（GDPR）。這是一個法律框架，賦予消費(fèi)者查看公司持有的關(guān)于他們的數(shù)據(jù)的權(quán)利，反對公司處理這些數(shù)據(jù)，并要求公司刪除這些數(shù)據(jù)。同樣，在加利福尼亞州擁有客戶的公司必須遵守加利福尼亞州消費(fèi)者隱私法案 （CCPA）。

除 GDPR/CCPA 外，其他合規(guī)框架的示例還包括《健康保險流通與責(zé)任法案》（HIPAA）、SOC 2 審核框架和ISO/IEC 27001 標(biāo)準(zhǔn)。這可能包括公司為確保數(shù)據(jù)合規(guī)性而制定的一套政策、程序和審計。

什么是數(shù)據(jù)隱私？

數(shù)據(jù)隱私與保持敏感數(shù)據(jù)的私密性和機(jī)密性有關(guān)。如果數(shù)據(jù)合規(guī)性是數(shù)據(jù)管理的法律要求，則保持?jǐn)?shù)據(jù)的私密性就是技術(shù)問題。隱私計劃的目標(biāo)是倡導(dǎo)數(shù)據(jù)隱私，并確保只有授權(quán)用戶才能在需要知道的基礎(chǔ)上查看數(shù)據(jù)。它包括超出典型合規(guī)性計劃所具有的元素。

數(shù)據(jù)隱私通常適用于任何個人身份信息 （PII），即可用于識別某人的任何數(shù)據(jù)。社會保險號、電子郵件地址、IP 地址等可被視為 PII。努力保護(hù)數(shù)據(jù)隱私的公司需要采取措施保護(hù)這些數(shù)據(jù)的機(jī)密性，即使合規(guī)不需要，也要倡導(dǎo)與數(shù)據(jù)相關(guān)的個人的隱私。數(shù)據(jù)隱私必須建立機(jī)制，以確保只有授權(quán)人員才能訪問數(shù)據(jù)。

存儲敏感數(shù)據(jù)

關(guān)于數(shù)據(jù)合規(guī)性和數(shù)據(jù)隱私的一個誤解是，公司無法使用任何第三方工具存儲其數(shù)據(jù)，因此必須訴諸“內(nèi)部”解決方案。

實(shí)際上，事實(shí)并非如此。第三方工具可能具有強(qiáng)大的訪問控制和安全性，這些訪問控制和安全性已在 SOC 2 和 ISO/IEC 27001 等第三方框架下進(jìn)行了嚴(yán)格審核，而“內(nèi)部”數(shù)據(jù)存儲可能允許通過通用 root 密碼訪問許多員工，而無需任何強(qiáng)大的審核日志記錄可能遠(yuǎn)非合規(guī)。

相反，工程師必須對工具進(jìn)行評估（無論是內(nèi)部還是外部），以確保正確的機(jī)制到位，以滿足安全性和數(shù)據(jù)合規(guī)性標(biāo)準(zhǔn)。如果公司不對內(nèi)部工具應(yīng)用與外部工具相同的嚴(yán)格安全性，則數(shù)據(jù)泄露的可能性可能會增加。

合規(guī)性不僅僅是一個項(xiàng)目問題

GDPR、SOC 2 和其他框架是法律和運(yùn)營框架。雖然它們嚴(yán)重影響項(xiàng)目，但這些框架會影響公司從法律、銷售和支持方面的整個運(yùn)營。如果一家公司需要與另一家企業(yè)合作，那么法律文書工作將為他們鋪平道路。在 AWS 中設(shè)置“安全”環(huán)境并不意味著就一定符合 SOC 2。將數(shù)據(jù)存儲在“內(nèi)部”數(shù)據(jù)庫中并不意味著就一定符合GDPR，因?yàn)橹С趾弯N售等團(tuán)隊需要操作程序。

為了遵守GDPR，兩家公司可以簽署一份通常稱為“數(shù)據(jù)處理附錄”的法律文件，該文件定義了不同方之間如何處理和保護(hù)數(shù)據(jù)。它將定義誰是數(shù)據(jù)控制者，誰是數(shù)據(jù)處理者，如何處理數(shù)據(jù)，違規(guī)期間的SLA和程序等。該協(xié)議應(yīng)涵蓋可歸類為 PII 的所有數(shù)據(jù)，并確保其符合相關(guān)合規(guī)性法規(guī)的要求。

以GDPR為例，這意味著需要有一個流程來滿足個人訪問，反對和要求刪除其數(shù)據(jù)（無論數(shù)據(jù)存儲在哪里）的要求。

保持?jǐn)?shù)據(jù)的私密性

僅僅因?yàn)槟袷?GDPR 或 SOC 2 并不一定意味著數(shù)據(jù)是私密的，無論數(shù)據(jù)存儲在第三方工具中還是存儲在內(nèi)部解決方案中。數(shù)據(jù)隱私是“超越”合規(guī)框架的藝術(shù)，盡一切努力確?？蛻魯?shù)據(jù)的隱私。

有幾種不同的方法可以確保數(shù)據(jù)隱私。例如，Moesif 平臺具有一項(xiàng)稱為隱私規(guī)則的功能，它使您能夠使用基于角色的訪問控制 （RBAC） 根據(jù)需要知道來限制對某些字段的訪問。例如，您可以創(chuàng)建隱私規(guī)則，確保技術(shù)支持人員無法查看或檢查敏感的 HTTP 標(biāo)頭或 PHI（受保護(hù)的健康信息），而分析師可能需要其他訪問字段來報告。

保持?jǐn)?shù)據(jù)私密性的第二種方法是通過客戶端加密，這是降低數(shù)據(jù)泄露風(fēng)險和改善數(shù)據(jù)隱私狀況的最新趨勢。客戶端加密使您能夠使用一組輪換的加密密鑰來加密數(shù)據(jù)，很少有員工可以訪問這些密鑰。維護(hù)底層數(shù)據(jù)基礎(chǔ)結(jié)構(gòu)和處理管道，但沒有業(yè)務(wù)需要查看實(shí)際數(shù)據(jù)的工程師，只要他們無權(quán)訪問加密密鑰，就無法查看。

確保合規(guī)性，讓您高枕無憂

數(shù)據(jù)合規(guī)性和數(shù)據(jù)隱私是重要而嚴(yán)肅的話題，會影響組織中接觸敏感數(shù)據(jù)或客戶數(shù)據(jù)的任何人。法律、運(yùn)營和工程部門應(yīng)協(xié)同工作，確保合規(guī)性。此外，公司應(yīng)努力實(shí)現(xiàn)超出合規(guī)框架要求的進(jìn)一步數(shù)據(jù)隱私。這可以用于數(shù)據(jù)道德或減少數(shù)據(jù)泄露時的暴露。

原文鏈接：??https://dzone.com/articles/what-is-the-difference-between-data-compliance-and??

原文作者：Derric Gilling