公司在急于遵守欧洲通用数据保护条例(GDPR)和加州消费者隐私法案(CCPA)等数据隐私法规时,继续面临实施挑战。这主要是由于他们对数据的管理与法规施加的严格要求不匹配。组织可以通过定义良好的数据治理框架来解决隐私法规的复杂性,该框架利用人员、流程和技术来建立数据访问、管理和使用的标准。这样的框架还使公司能够解决隐私问题,包括身份和访问管理、政策定义。当领导者在考虑隐私的情况下实施数据治理模型时,他们可能会面临挑战,包括高管支持冷淡、缺乏连贯的数据战略,或者对数据的使用和处理方式存在分歧。为消除这些障碍,领导者应考虑采取以下行动:建立跨职能数据所有权和意识简化数据政策和程序改进技术和基础设施建立跨职能数据所有权和意识虽然首席数据官或首席信息官都可以领导数据治理框架或模型的实施,但数据治理应该是整个公司的共同责任。至少,IT部门、隐私办公室、安全组织和各个业务部门都应该参与进来,因为每个部门在数据管理中都有重要的利益。尽早引入各种利益相关者可以让公司建立关键数据目标和更广泛的数据治理愿景。这种合作可以采取特设工作组的形式,或包括定期向行政当局报告数据治理和隐私目标。同样,数据隐私是一项共同责任。通过遵循公认的数据收集、使用和共享标准,所有员工都可以在维护数据隐私方面发挥作用。事实上,在考虑隐私的情况下实施成功的数据治理模型需要对员工进行治理概念、角色和责任以及数据隐私概念和法规(例如,“个人信息”与“消费者信息”的定义)的教育。教育。在建立治理愿景并提高员工意识后,组织可以定义他们想要的数据治理角色——例如数据所有者、数据管理员、数据架构师和数据消费者——并根据他们的需要定制角色。例如,一些公司可能会区分负责对数据执行日常操作的数据管理员和负责定义数据策略的数据所有者。对于拥有庞大而复杂的IT部门的客户,MetisStrategy建立了相应的治理层级,包括执行级别的董事会、合并的数据管家/所有者角色以及其他职位(例如数据质量保管员)。这种结构简化了沟通,使客户能够轻松扩展他们的数据管理实践。从长远来看,组织应该将数据治理和管理技能纳入其人才战略和劳动力计划。鉴于某些数据密集型角色所需的专业知识和合格人才的短缺,组织可能会考虑寻求人才搜索公司的帮助,同时将内部努力集中在保留和提高技能上。随着公司战略目标和监管需求的变化,他们还应该在调整数据治理角色和所有权方面保持灵活性。简化数据政策和程序为了充分响应与消费者隐私相关的数据请求,组织应在整个数据生命周期中建立标准化流程和政策。这将使公司能够充分了解他们收集、使用和共享的数据,以及这些做法与消费者的关系。例如,CCPA为消费者提供了选择不将其个人信息出售给第三方的权利。如果零售商要遵守此类要求,他们需要能够回答以下几类问题:数据分类:公司拥有哪些关于消费者的数据元素,例如地址、信用卡信息或产品偏好?适当的分类法?数据沿袭:客户的数据源自何处以及该数据在其整个生命周期中发生了什么?例如,公司是只在内部共享客户数据,还是与营销和支付供应商共享,以促进交易或个性化广告活动?数据收集和可接受的使用:公司目前如何收集消费者的数据?公司是否在消费者同意的情况下收集和处理他们的数据?如果公司与外部各方共享客户数据,是否有数据共享协议?制定上述政策和标准可以帮助组织快速确定根据隐私法规响应客户请求所需的内容。公司应广泛传达政策并确保遵守这些政策,否则可能会导致使用不一致的模板和做法。例如,在MetisStrategy的一个客户中,很少有利益相关者对数据管理和访问标准有足够的认识,即使客户的IT部门已经围绕这些标准制定了广泛的政策。考虑技术和基础设施升级为了成功实施数据治理框架并确保隐私合规性,组织可能还需要解决遗留基础设施和技术债务带来的挑战。例如,数据通常存储在整个组织的孤岛中,这可能使组织难以正确识别任何数据隐私问题的来源并及时响应消费者或监管要求。组织还需要评估外包云服务(例如基于云的数据湖)带来的安全和隐私风险。那些使用多个云提供商的人可能希望简化他们的数据共享协议,以在提供商之间建立一致性。多种技术可以帮助公司利用客户数据,同时降低隐私风险。CarnivalCorporation首席信息官GregSullivan在接受MetisStrategy采访时指出,数据虚拟化增强了公司的分析能力,降低了运营和计算成本,并减少了公司可能面临的潜在安全和隐私漏洞。公司还可以考虑采用新的隐私合规技术,通过提高可见性和透明度来加强数据治理。例如,数据发现工具使用高级分析来识别可能被视为敏感的数据元素,而数据流映射工具帮助公司了解数据在内部和外部移动的方式和位置。这些工具可用于帮助组织确定其最关键数据元素所需的保护级别,并促进响应GDPR和CCPA下的消费者请求。虽然彻底改造遗留技术可能既费时又费钱,但进行果断改革的公司将能够降低其隐私和安全风险,同时避免与技术债务相关的其他挑战。创建自适应模型随着全球数据隐私环境的发展,组织应不断调整其数据治理模型。公司应通过在设计数据治理角色、流程、政策和技术时考虑到隐私问题来主动履行其义务,而不是对当前和即将出台的隐私立法做出反应。这样做的公司不仅可以改善风险和声誉管理,还可以鼓励企业提高透明度和数据驱动的决策制定。
