避免安全工具與全球數據隱私法規的陷阱描述
以下的文章主要講述的是正確避免安全工具與全球數據隱私法規的陷阱,假如沒有對全球數據隱私法規就部署的理解,例如身份管理、電子郵件、URL過濾、以及病毒掃描與員工電子監控這樣的IT實踐,將使做全球業務的跨國公司陷入一堆麻煩中。
如果沒有理解全球數據隱私法規就部署諸如身份管理、電子郵件、URL過濾、病毒掃描和員工電子監控這樣的IT實踐,將使做全球業務的跨國公司陷入一堆麻煩中。
該警告是Gartner分析師Arabella Hallawell和Carsten Casper在最近的芝加哥Gartner風險管理及合規性首腦會議上談到的全球隱私最佳實踐中提出的幾個警告之一。
關于如何做個人隱私信息保護(PII)最好,在具有限制性協議的環境中,PII總是被弄得很復雜,是一個很棘手的問題。
據Gartner分析師講,當談到數據隱私法規時,世界被分成三個部分:具有強有力、適度或立法不完善的國家。在歐盟數據保護指導下,歐盟執行最強的隱私保護法規,加拿大和阿根廷也緊隨其后;澳大利亞、日本和南非有適度到強(的最近確定)的法規;在中國、印度和菲律賓,法規是最無效或執行緩慢的。
在美國,數據隱私法規具有模棱兩可的特征,分為兩類——強柱型,因為45個州把數據泄露通知法規書面化了;弱柱型,因為缺乏聯邦法規。
即使在這三類之中,也有很多細微差別。在歐盟指導下,各成員國制定自己的原則并納入立法,像意大利的一些法規比該指導的標準更為嚴格。俄羅斯最近的法規模仿了強有力的歐盟法規,但如何執行仍是問題。而在美國,具備數據泄露法規通知的州發生了變化,內華達州和馬薩諸塞州最近提出了最規范的數據隱私立法。
遵循個人數據收集的原意
對于信息隱私,雖然沒有普遍的定義,但多數業界專家將概念定義為個人用來控制其個人信息如何被使用的權利。該權利包括個人信息的收集、使用、保存和披露。
基于歐洲權利方法的主要原則之一是,組織必須有處理個人資料的理由,該目的必須保持不變。(您不能收集個人數據以提供商品,然后使用相同的信息用于大型營銷活動。)另一個主要的歐盟原則是禁止將數據運送到具有不完善的數據隱私法的國家(例如美國,因為它缺乏一個全面的法規)。在美國,公司監視員工行為的權力普遍被接受,但在歐洲是受到制約的。
因此,Gartner表示,盡管IT安全工具可以用來幫助開發一個全球性的隱私方案,連接隱私和安全工具,必須咨詢隱私專家,否則首席信息官們可能冒違法的風險。這里是Gartner關于兩個IT領域的建議——身份管理和員工監視——企業可以很容易地發現它們是否觸犯了法規。
身份管理
身份管理就是管理個人信息。
Gartner的Casper說:“很明顯,身份管理和全球數據隱私管理兩者之間有關聯。在某種程度上,它是一個進行關聯、使雙方的專家集中在一起,并試圖看看是否有可能為另一方改變在這一方的投資的問題。”
隨著公司內部和外部網絡用戶的擴張,對跟蹤誰已經訪問了什么的自動化系統的需求也隨著增加。并且公司為了遵守諸如薩班斯法案-奧克斯利法(Sarbanes-Oxley)和健康保險流通與責任(Health Insurance Portability and Accountability)行為的法規,正投入使用身份管理系統。
在隱私方面,詢問組織將他們的個人信息存儲到哪兒的人數雖然不多,但正在增加。Casper說,緊隨德意志電信公司丑聞,德國電話業巨頭承認,它們暗中追蹤數以千計的電話呼叫以尋找有關其內部運作的媒體泄露源,請求訪問被公司存儲的個人信息的員工數量在一年之中翻了一番,從700人達到了1400人。
Casper問:“如果你沒有用于存儲那些信息并獲得對其訪問的正確流程,你將如何做?”
在增加來自歐洲國家的員工的合并或收購中,身份管理工具被證明是有用的。Casper說,身份和隱私管理之間的天然聯系點是在“身份校對”階段。IT部門創建員工的身份信息以后,將是通知員工公司擁有其個人信息的一個很好的時間。這個流程讓員工知道他或她的個人信息將如何使用,這是歐盟方針的原則之一。
但Casper說,整合隱私和身份管理面臨巨大的挑戰。身份和訪問管理涉及各種技術,并且隱私權涵蓋了各種法規。整合可能是困難的,正在開發的系統最好使用實際的數據進行最好的測試,但現場測試數據增加了對隱私的擔心。這種對數據的使用超出了收集身份信息的目的。
此外,個人數據存儲在哪里也是一個問題:通常情況下,個人數據的IT全球定位和法規定位之間存在沖突。(記住,禁止將個人數據傳輸到不符合歐盟標準的國家。)
總結:在跨越國界使用身份管理以前,聘請全球隱私和法規專家。
員工監控、網頁過濾、數據泄漏預防
Gartner的Hallawell說,美國公司遇到麻煩最大的地方可能是員工監視。在過去的十年中,一個接一個的案例使公司更加堅持使用企業IT系統來監視員工行為的權力,而且員工知道它正在發生。公司擁有該資產,它有權監督其使用。
Hallawell說,“這一點也不被認為是理所當然的,尤其在歐盟,在世界其他地區也是如此。在歐盟,你能不能監視你的員工有非常嚴格的人力資源和隱私法。”
正使用像Web過濾和數據泄漏預防這樣的網絡安全工具的IT部門越來越多地發現他們自己生在水深火熱之中。要記住的幾點:阻止對不適當的網站的訪問,通常是好的,但發掘員工在Facebook上花費多少時間是不好的。她說:“在歐盟,這種類型的網絡釣魚會讓你陷入許多麻煩。”
的確,因為員工監視相關的活動,Hallawell已經看到“許多客戶”必須處理本地歐盟的和員工監視裁決。對員工監視的指導因國家不同而有所不同。意大利是最規范的;在其他國家,如德國,進行員工監視必須獲得工作委員會的批準。
“有些工作委員會是好的,只要你告訴他們你正在做什么,但其他工作委員會更謹慎。”法國也把員工監視入侵看作是極端嚴重的,根據在2004和2005年法國最高法院裁決的證據發現,雇主無法閱讀電子郵件或文件,而且不論業務理由。
Hallawell強烈呼吁,在實施電子郵件和URL過濾時,IT部門不要單獨行事,且不要秘密監視。 她說:“在歐盟,確保你和人力資源管理部門密切合作,且合法的;并且在美國,不要只是打開網頁過濾,并把它作為你的全球策略。” 仔細查看成員國數據保護授權指南。相對于美國在建立訴訟文化上得到的極差口碑而言,歐盟員工在捍衛自己的全球數據隱私權利方面是“非常積極”的。
【編輯推薦】
