保护个人身份信息对许多企业来说越来越具有挑战性,并且随着全球数据量的增加,用于管理和保护数据的规则、法律和政策的数量也在增加。这种不断增长的监管政策甚至会让最精明的数据隐私和法律专业人士感到困惑。企业确保个人身份信息(PII)安全和隐私的主要方法之一是遵循数据匿名化最佳实践。什么是个人身份信息?从高层次上讲,PII是可以单独使用或与其他信息结合使用以识别个人身份的数据。政府和行业PII法规的目标是定义和执行政策以保护该信息的私密性。欧盟委员会的GDPR法规和《加州消费者隐私法案》(CCPA)是两个著名的政府法规,它们为PII创建了一套隐私政策。两个政府机构的罚款都可能很高。从成立到2020年1月,GDPR收取了超过1.26亿美元的罚款,CCPA每条记录的罚款从2,500美元到7,500美元不等。识别PII的挑战在于,许多数据元素都是潜在的个人标识符。此外,政府网站(如GDPR的信息门户)以故意模糊的语言提供PII数据描述和示例,以免将数据元素限制为预定义的集合。由于每项法规对PII的解释可能不同,因此最好咨询特定隐私控制方面的专家。数据匿名化从PII的角度来看,数据匿名化是对信息进行模糊处理,使其无法用于识别个人身份的过程。匿名化降低了PII数据意外泄露的风险,而且,如果确实发生数据泄露,被盗信息对攻击者毫无用处。出于合规目的,匿名数据被视为非个人数据,因为它不能识别个人。匿名化的最终目标是消除PII暴露个人的机会,同时保留信息对企业的价值。匿名化数据和销毁数据之间只有一线之隔,因此数据无法提供有意义的业务洞察力。数据匿名化是PII隐私的关键为了妥善保护PII数据,企业必须制定战略计划来定义角色、规则、流程和最佳实践,以确保其PII数据的安全性、质量和正确使用。该计划的目标是提供控制蓝图,以确保在企业层面有效管理PII数据。该计划需要包括标准的IT社区数据匿名化最佳实践,以及企业、特定行业和政府的法规和控制。该计划应该是一项联合业务和IT计划,两个部门都扮演同样重要的角色。输出之一应该是记录企业中常用的与技术无关的控制。这些控制措施必须包括一套可靠的数据匿名化政策和程序。保护任何敏感信息的一个关键组成部分是制定企业范围的意识计划。IT部门无法自行保护PII。所有与PII交互的业务和运营团队都必须积极参与,管理支持至关重要。在创建策略和程序、购买产品或实施手动数据匿名化流程、识别企业中所有潜在的PII数据元素之前,您无法匿名化您不知道的数据。您的环境越大,您的企业就越容易存储未识别的PII数据。这不是一件容易的事。大多数包含PII的数据都没有闲置。创建数据元素后,它会迅速传播到整个企业的报告、仪表板和其他数据存储。确保个人在整个企业中的持续匿名性本质上是可变的。换句话说:事情变了。与PII交互的IT和业务人员的数据审计和持续反馈将有助于发现潜在问题。数据匿名化产品目前有大量可用的软件解决方案,从专门关注数据匿名化最佳实践的产品到提供广泛数据安全功能的企业级产品。企业越大,这些工具就越重要。根据您的企业存储的数据量,您可能需要购买一两个产品以正确识别和保护敏感的PII数据资产。今天有各种数据匿名化产品可用。此外,现有的数据存储平台还可以提供匿名化功能。例如,许多领先的数据库都提供匿名化组件(例如加密)作为其底层软件堆栈的一部分。还有一些产品旨在匿名化各种数据存储中的数据,包括云和本地数据库以及平面文件。为了正确选择和部署最合适的PII识别和数据匿名化软件,技术专业人员必须创建并执行经过深思熟虑的详细竞争产品分析。以下是帮助您快速开始分析的一般性建议:在评估PII数据识别和匿名化产品时,组织应遵循标准化的产品评估方法来帮助做出选择。评估最佳实践包括:选择合适的评估团队,执行全面的需求分析,以及创建一套强大的加权评估指标。使用评估指标创建供应商候选名单并对剩余供应商进行深入比较。了解您的业务需求。你想达到什么目的?您是在寻找专门用于数据匿名化、PII数据识别的产品,还是在寻找提供更广泛特性和功能的平台?使用GartnerPeerInsights等同行评审网站对不同产品进行社区评审。访问供应商网站和IT社区论坛。供应商经常购买Gartner的《供应商魔力象限》并向公众提供,这可能有助于缩小供应商候选名单。根据您当前和预期的未来需求,确定供应商是否支持云、本地或两者。
