趋势与观点 | 数据最小化:一种数据治理的方法
数据推动了全球企业的急剧增长并成为“新的石油”。但最近备受瞩目的数据泄露事件和数据保护法律法规的兴起使数据成为一把双刃剑,因此需要格外小心地使用。
围绕数据处理的挑战已经加剧。原因是收集数据通常并不是因为需要,而是因为它很容易获得并且收集,因此数据所有者在实践中选择放弃数据以换取对“免费”产品和服务的访问。 除此之外,数据存储成本大幅下降和数据实时和永久访问的便捷性,也使得数据存储更加容易。最后,数据收集一直是由能够从数据中提取未来价值的承诺所驱动,这意味着过去和现在的数据收集都不关任何人的事情。
所有这一切并不是完全没有缺点,至少有两个在我看来很突出:一是泄漏的可能性,二是法律法规的兴起,使得这些泄漏非常昂贵且危险。有趣的是,Gartner预测,截至2023 年,全球人口的65% 的个人数据将受到现代隐私法律法规的保护,因此企业必须认真对待隐私问题。如果这还不够,2021年6月“思科消费者隐私调查”表明,86% 的消费者表示他们关心自己的数据隐私并希望对自己的数据有更多的控制权,47% 的消费者表示他们已经拒绝使用某项服务或他们不信任其数据隐私政策的公司的产品。然而,这并不令人沮丧,Gartner 的其他研究结果表明,与其他组织相比,在数据隐私和数据保护方面提高并保持客户信任的公司将预计会产生高达30%的利润增长。这些方面为企业如何收集、处理和管理数据提供了额外的要求,从而引发了关于如何在其生命周期内管理数据的新观点。
一些主要法律法规比如《通用数据保护条例 (GDPR) 》和《中华人民共和国个人信息保护法 (PIPL) 》等已经进一步推动了对数据管理范式转变的需求,赋予数据所有者或数据主体更多权力——换句话说,你和我。如果真正意义上实施,企业需要关注数据最小化的观点,随着时间的推移,企业不仅可以确保更好地遵守GDPR和PIPL等法律法规要求,还需要确保直接和间接的得到更好的结果。
数据最小化实施得当可以在许多领域受益,包括风险最小化、降低存储成本、降低泄漏影响并提高合规程度。数据最小化从询问为什么要收集数据这个关键问题开始,将会贯穿数据管理生命周期的各个阶段,创建-存储-使用-归档-销毁。重要的是要了解数据最小化可以横向部署,跨越企业中现有和未来的数据。要将数据最小化理念应用于现有应用程序,有必要发现正在收集/存储哪些数据以及原因。无论是处理现有数据还是将要收集的数据,数据最小化都将是发展的方向,特别是企业要在数据不仅用于交付产品和服务的时代中生存和发展,同时数据还可能被威胁行为者以对企业及其客户产生不利影响的目的进行使用。随着 “元”的兴起,数据保护变得越来越重要。这表明人们需要重新重视和关注数据以及可以用这些数据做什么。因此,当涉及到数据保护和真正意义上实施数据最小化原则时,您和您的企业现在可以为未来做好以下准备工作:
1.对正在收集的数据及收集原因保持透明。
2.明确数据将被如何使用,谁可以访问以及用于什么目的。
3.让客户/数据主体能够轻松访问他们的数据并更改数据
4.不要等待法规或泄漏来从数据角度推动您正在做的事情。
5. 从数据管理角度旨在成为做正确事情的领导者 - 这将带来长期回报。
6.主动建立对数据相关政策和实践的意识,并且了解您如何遵守相关法律法规要求
7.在设计和使用新的自动化决策工具和技术时,尤其是那些使用个人数据的工具和技术时,采取“基于设计”的方法
8.建立道德原则和监督结构,例如治理委员会,以便在采用人工智能等新技术与数据结合时提供洞察力和监督。
9.最后但并非最不重要的是,记住客户而非数据;数据只是客户与企业和生态系统交互的副产品。
采用这些和其他与数据管理相关的最佳实践,包括数据最小化,将会吸引重视隐私保护并愿意为之花钱的客户。减少和适当的数据量将会促进创新和业务敏捷性,从而带来长期增长和成功。
编者注:本文首次发表于2021年12月8日ISACA官网News and Trends /Newsletters/ @ISACA。文章内容仅代表作者本人观点。
作者:R.V. Raghu, CISA, CRISC, ISACA前董事
翻译:王刘东博(Franklin Wang)关注渗透测试,web安全,ISACA微信公众号特邀通讯员,任职于安永企业咨询有限公司。
校对:唐雅琪(Andrea Tang),FIP, CIPP/E, CIPM,ISO 27001 LA,ISACA微信公众号特邀通讯员小组组长,任职于安永企业咨询有限公司。