趋势与观点 | 别再把隐私当成“烫手的山芋”
隐私保护在大多数组织中仍然是一个比较新的职能。虽然近年来,欧盟《通用数据保护条例》(GDPR) 和 《加州消费者隐私法案》(CCPA) 等主要法规的实施帮助提升了隐私保护的地位,但许多组织仍处于一种模式,即 “我必须做这件事,但我真的不知道这件事是什么,或者这将如何影响我的组织”。
随着组织纠结于如何把隐私保护职能嵌入到组织架构中,这引起了一连串的难题:隐私保护是一个独立职能吗?隐私保护职能是否应该与安全/和合规职能合并吗?隐私保护职能属于法务部门吗?
有太多需要我们考虑的问题。但是我们首先最重要的是意识到隐私保护的复杂性。不同于安全问题主要来源于技术领域,隐私保护不仅包含技术,还包含法律要素。这就引发了一些模棱两可的难题:公司内部是否有法务部门,法务部门是否了解隐私保护原则?这些问题的答案是确定隐私保护职能在组织中位置的关键变量。我是一个彻头彻尾的技术专家,我的职业生涯是从开发人员开始的。虽然我对隐私保护法规有深度的理解,但我始终不是律师。当公司深入研究某项法律(或该法律的某个方面)是否适用时,采取的最佳方式是征求对范围和管辖权有更深入了解的法律团队的建议。因此,将隐私保护职能融入到既有法律代表又有技术代表的合规部门可能是最佳选择。
在Hudl公司,我的职位是一个相对较新的职位,我有机会从头开始启动隐私保护项目——这是一个绝佳的机会,尽管有时会有点让人不知所措——但是我已经解决了这些问题。在 Hudl,隐私保护归属合规部门(通常是风险管理的一部分)。在我看来,由于隐私保护是合规义务,因此对许多组织来说是有参考价值的。在所有组织必须遵守的规则和条例中,隐私保护是其中一项关键因素。但是由于许多中小型公司刚开始考虑隐私问题,隐私保护通常被纳入到现有安全职能中,甚至进一步与合规职能相结合。上述这三个角色混合在一起,形成我所说的 ComPriSec,即合规、隐私和安全的融合。幸运的是,Hudl也有一个法务部门负责隐私保护法律方面的问题。隐私是一个团队的努力!
©摄图网
但是没有一个唯一正确的答案——隐私保护项目有总比没有好。但是,隐私保护职能究竟放在哪个部门最合适,主要取决于组织规模和组织机构。众所周知,安全职能可以独立存在,但隐私保护不能——它需要安全和技术的支持。当隐私保护与安全结合时,如果团队能够有效合作,并且隐私保护是安全团队工作中的一项真正考虑因素,而不是事后考虑,那么这就可以发挥作用。如果正在实施可靠的解决方案,同时满足安全和隐私保护需求,这对所有人来说都是胜利。
找到最佳方案之前,组织必须有意愿展开讨论,逐步解决特有的变化并了解未来的挑战。我建议从公司通常不会做(即隐私清单)或者做的不够好的事情开始。组织应该有数据清单、供应商清单和应用程序清单——组织中的个人可识别信息无处不在,且通常在我们意识不到的地方。公司也应该有一份合规清单——包含公司应遵从的所有法律法规、法定义务、标准和框架。组织一旦了解隐私保护义务和合规清单,就可以开展评估。这是我论文研究的重点,也是我在上个月RSA 会议上演讲的主题。公司可以明确需求,开展评估,为发现的问题制定解决方案并监控变化。
隐私评估方法
对于组织来说,重要的是开始行动,哪怕他们觉得自己落后了。企业对数据隐私的新关注不会转移。对隐私保护的诉求并未随着GDPR和CCPA的引入而结束——在过去一年半,美国一些州已经开始考虑隐私法以及联邦层面的提案,在世界各地也都上演类似的改变。公司开始意识到隐私保护是组织的基础——没有它,公司既无法获得客户信任,也无法维护客户忠诚度(更不用说因违法违规可能带来的巨额罚款)。
我们很高兴看到这个极具吸引力的领域开始获得应有的关注和资源。这是隐私保护的最佳时机。因为公司对隐私专业人士的需求很大,并且公司已经准备好投入资源启动隐私保护项目。对于多数公司,他们现在才刚刚知道他们必须启动这些项目。但是,他们也仅仅是认识到投资隐私保护项目的重要性。随着隐私保护这一领域的成熟,公司需要停止传递这块“烫手的山芋”,并采取战略方法将隐私保护整合到公司的运营中。
作者:Lisa McKee 博士,Hudl 治理、风险、合规和隐私保护总监
翻译:
王继鑫(Shawn Wang)关注隐私保护,ISACA微信公众号特邀通讯员,任职于安永企业咨询有限公司。
孟昱杨(Ashley Meng)关注数据安全和隐私保护,ISACA微信公众号特邀通讯员,任职于安永企业咨询有限公司。
校对:唐雅琪(Andrea Tang),FIP, CIPP/E, CIPM,ISO 27001 LA,ISACA微信公众号特邀通讯员小组组长,任职于安永企业咨询有限公司。