以下的文章主要講述的是正確避免安全工具與全球數(shù)據(jù)隱私法規(guī)的陷阱,假如沒(méi)有對(duì)全球數(shù)據(jù)隱私法規(guī)就部署的理解����,例如身份管理���、電子郵件、URL過(guò)濾�����、以及病毒掃描與員工電子監(jiān)控這樣的IT實(shí)踐����,將使做全球業(yè)務(wù)的跨國(guó)公司陷入一堆麻煩中。
如果沒(méi)有理解全球數(shù)據(jù)隱私法規(guī)就部署諸如身份管理�����、電子郵件��、URL過(guò)濾��、病毒掃描和員工電子監(jiān)控這樣的IT實(shí)踐,將使做全球業(yè)務(wù)的跨國(guó)公司陷入一堆麻煩中���。
該警告是Gartner分析師Arabella Hallawell和Carsten Casper在最近的芝加哥Gartner風(fēng)險(xiǎn)管理及合規(guī)性首腦會(huì)議上談到的全球隱私最佳實(shí)踐中提出的幾個(gè)警告之一��。
關(guān)于如何做個(gè)人隱私信息保護(hù)(PII)最好����,在具有限制性協(xié)議的環(huán)境中��,PII總是被弄得很復(fù)雜�,是一個(gè)很棘手的問(wèn)題。
據(jù)Gartner分析師講�����,當(dāng)談到數(shù)據(jù)隱私法規(guī)時(shí)���,世界被分成三個(gè)部分:具有強(qiáng)有力����、適度或立法不完善的國(guó)家����。在歐盟數(shù)據(jù)保護(hù)指導(dǎo)下��,歐盟執(zhí)行最強(qiáng)的隱私保護(hù)法規(guī)��,加拿大和阿根廷也緊隨其后;澳大利亞�����、日本和南非有適度到強(qiáng)(的最近確定)的法規(guī);在中國(guó)、印度和菲律賓�����,法規(guī)是最無(wú)效或執(zhí)行緩慢的���。
在美國(guó)�,數(shù)據(jù)隱私法規(guī)具有模棱兩可的特征����,分為兩類——強(qiáng)柱型,因?yàn)?5個(gè)州把數(shù)據(jù)泄露通知法規(guī)書(shū)面化了;弱柱型�,因?yàn)槿狈β?lián)邦法規(guī)。
即使在這三類之中���,也有很多細(xì)微差別���。在歐盟指導(dǎo)下��,各成員國(guó)制定自己的原則并納入立法�����,像意大利的一些法規(guī)比該指導(dǎo)的標(biāo)準(zhǔn)更為嚴(yán)格��。俄羅斯最近的法規(guī)模仿了強(qiáng)有力的歐盟法規(guī)����,但如何執(zhí)行仍是問(wèn)題���。而在美國(guó)���,具備數(shù)據(jù)泄露法規(guī)通知的州發(fā)生了變化,內(nèi)華達(dá)州和馬薩諸塞州最近提出了最規(guī)范的數(shù)據(jù)隱私立法�����。
遵循個(gè)人數(shù)據(jù)收集的原意
對(duì)于信息隱私�,雖然沒(méi)有普遍的定義,但多數(shù)業(yè)界專家將概念定義為個(gè)人用來(lái)控制其個(gè)人信息如何被使用的權(quán)利。該權(quán)利包括個(gè)人信息的收集����、使用、保存和披露���。
基于歐洲權(quán)利方法的主要原則之一是�����,組織必須有處理個(gè)人資料的理由,該目的必須保持不變��。(您不能收集個(gè)人數(shù)據(jù)以提供商品����,然后使用相同的信息用于大型營(yíng)銷活動(dòng)。)另一個(gè)主要的歐盟原則是禁止將數(shù)據(jù)運(yùn)送到具有不完善的數(shù)據(jù)隱私法的國(guó)家(例如美國(guó)�����,因?yàn)樗狈σ粋€(gè)全面的法規(guī))��。在美國(guó)�����,公司監(jiān)視員工行為的權(quán)力普遍被接受,但在歐洲是受到制約的��。
因此�,Gartner表示,盡管IT安全工具可以用來(lái)幫助開(kāi)發(fā)一個(gè)全球性的隱私方案�,連接隱私和安全工具,必須咨詢隱私專家�,否則首席信息官們可能冒違法的風(fēng)險(xiǎn)。這里是Gartner關(guān)于兩個(gè)IT領(lǐng)域的建議——身份管理和員工監(jiān)視——企業(yè)可以很容易地發(fā)現(xiàn)它們是否觸犯了法規(guī)�。
身份管理
身份管理就是管理個(gè)人信息。
Gartner的Casper說(shuō):“很明顯�,身份管理和全球數(shù)據(jù)隱私管理兩者之間有關(guān)聯(lián)。在某種程度上�,它是一個(gè)進(jìn)行關(guān)聯(lián)、使雙方的專家集中在一起����,并試圖看看是否有可能為另一方改變?cè)谶@一方的投資的問(wèn)題?����!?/p>
隨著公司內(nèi)部和外部網(wǎng)絡(luò)用戶的擴(kuò)張�����,對(duì)跟蹤誰(shuí)已經(jīng)訪問(wèn)了什么的自動(dòng)化系統(tǒng)的需求也隨著增加。并且公司為了遵守諸如薩班斯法案-奧克斯利法(Sarbanes-Oxley)和健康保險(xiǎn)流通與責(zé)任(Health Insurance Portability and Accountability)行為的法規(guī)����,正投入使用身份管理系統(tǒng)。
在隱私方面��,詢問(wèn)組織將他們的個(gè)人信息存儲(chǔ)到哪兒的人數(shù)雖然不多���,但正在增加��。Casper說(shuō)��,緊隨德意志電信公司丑聞,德國(guó)電話業(yè)巨頭承認(rèn)���,它們暗中追蹤數(shù)以千計(jì)的電話呼叫以尋找有關(guān)其內(nèi)部運(yùn)作的媒體泄露源�����,請(qǐng)求訪問(wèn)被公司存儲(chǔ)的個(gè)人信息的員工數(shù)量在一年之中翻了一番���,從700人達(dá)到了1400人。
Casper問(wèn):“如果你沒(méi)有用于存儲(chǔ)那些信息并獲得對(duì)其訪問(wèn)的正確流程,你將如何做���?”
在增加來(lái)自歐洲國(guó)家的員工的合并或收購(gòu)中�����,身份管理工具被證明是有用的����。Casper說(shuō)��,身份和隱私管理之間的天然聯(lián)系點(diǎn)是在“身份校對(duì)”階段����。IT部門(mén)創(chuàng)建員工的身份信息以后,將是通知員工公司擁有其個(gè)人信息的一個(gè)很好的時(shí)間���。這個(gè)流程讓員工知道他或她的個(gè)人信息將如何使用�����,這是歐盟方針的原則之一����。
但Casper說(shuō),整合隱私和身份管理面臨巨大的挑戰(zhàn)�。身份和訪問(wèn)管理涉及各種技術(shù),并且隱私權(quán)涵蓋了各種法規(guī)�����。整合可能是困難的��,正在開(kāi)發(fā)的系統(tǒng)最好使用實(shí)際的數(shù)據(jù)進(jìn)行最好的測(cè)試����,但現(xiàn)場(chǎng)測(cè)試數(shù)據(jù)增加了對(duì)隱私的擔(dān)心。這種對(duì)數(shù)據(jù)的使用超出了收集身份信息的目的�����。
此外�����,個(gè)人數(shù)據(jù)存儲(chǔ)在哪里也是一個(gè)問(wèn)題:通常情況下��,個(gè)人數(shù)據(jù)的IT全球定位和法規(guī)定位之間存在沖突�。(記住���,禁止將個(gè)人數(shù)據(jù)傳輸?shù)讲环蠚W盟標(biāo)準(zhǔn)的國(guó)家����。)
總結(jié):在跨越國(guó)界使用身份管理以前,聘請(qǐng)全球隱私和法規(guī)專家�����。
員工監(jiān)控�、網(wǎng)頁(yè)過(guò)濾、數(shù)據(jù)泄漏預(yù)防
Gartner的Hallawell說(shuō)���,美國(guó)公司遇到麻煩最大的地方可能是員工監(jiān)視����。在過(guò)去的十年中���,一個(gè)接一個(gè)的案例使公司更加堅(jiān)持使用企業(yè)IT系統(tǒng)來(lái)監(jiān)視員工行為的權(quán)力�,而且員工知道它正在發(fā)生����。公司擁有該資產(chǎn),它有權(quán)監(jiān)督其使用�����。
Hallawell說(shuō),“這一點(diǎn)也不被認(rèn)為是理所當(dāng)然的�,尤其在歐盟,在世界其他地區(qū)也是如此��。在歐盟�,你能不能監(jiān)視你的員工有非常嚴(yán)格的人力資源和隱私法?����!?/p>
正使用像Web過(guò)濾和數(shù)據(jù)泄漏預(yù)防這樣的網(wǎng)絡(luò)安全工具的IT部門(mén)越來(lái)越多地發(fā)現(xiàn)他們自己生在水深火熱之中�。要記住的幾點(diǎn):阻止對(duì)不適當(dāng)?shù)木W(wǎng)站的訪問(wèn),通常是好的���,但發(fā)掘員工在Facebook上花費(fèi)多少時(shí)間是不好的����。她說(shuō):“在歐盟���,這種類型的網(wǎng)絡(luò)釣魚(yú)會(huì)讓你陷入許多麻煩?��!?/p>
的確���,因?yàn)閱T工監(jiān)視相關(guān)的活動(dòng)�����,Hallawell已經(jīng)看到“許多客戶”必須處理本地歐盟的和員工監(jiān)視裁決����。對(duì)員工監(jiān)視的指導(dǎo)因國(guó)家不同而有所不同����。意大利是最規(guī)范的;在其他國(guó)家,如德國(guó)���,進(jìn)行員工監(jiān)視必須獲得工作委員會(huì)的批準(zhǔn)�����。
“有些工作委員會(huì)是好的����,只要你告訴他們你正在做什么��,但其他工作委員會(huì)更謹(jǐn)慎?�!狈▏?guó)也把員工監(jiān)視入侵看作是極端嚴(yán)重的�����,根據(jù)在2004和2005年法國(guó)最高法院裁決的證據(jù)發(fā)現(xiàn)��,雇主無(wú)法閱讀電子郵件或文件�,而且不論業(yè)務(wù)理由。
Hallawell強(qiáng)烈呼吁�,在實(shí)施電子郵件和URL過(guò)濾時(shí),IT部門(mén)不要單獨(dú)行事�,且不要秘密監(jiān)視。 她說(shuō):“在歐盟�,確保你和人力資源管理部門(mén)密切合作,且合法的;并且在美國(guó)�,不要只是打開(kāi)網(wǎng)頁(yè)過(guò)濾,并把它作為你的全球策略�����?��!?仔細(xì)查看成員國(guó)數(shù)據(jù)保護(hù)授權(quán)指南�����。相對(duì)于美國(guó)在建立訴訟文化上得到的極差口碑而言���,歐盟員工在捍衛(wèi)自己的全球數(shù)據(jù)隱私權(quán)利方面是“非常積極”的。
網(wǎng)站欄目:避免安全工具與全球數(shù)據(jù)隱私法規(guī)的陷阱描述
文章網(wǎng)址:
http://uogjgqi.cn/article/djhsdsd.html
