數據是業務的核心所在，但是隨著其容量的爆炸式增長，敏感信息的保護已經成為一個艱巨的任務。

作為企業來說，必須理解并遵守隱私和數據保護的相關法規和標準。但是，相關的法規如此之多，而且在國與國乃至州與州之間都會有極大差別。該從哪里開始入手呢？這是否是你工作的一部分呢？

和業界很多的預測相反，法規仍然是隱私和數據保護的重要內容。Forrester的數據安全和隱私指南中提出了構建隱私管理框架的五個步驟，以此避免在面對此類問題時手足無措。

第1步：定義數據隱私的范疇

合規方面的首要工作是確定其所涵蓋的范疇。比如，如果你的業務在美國、加拿大和墨西哥，那么就必須理解這三個國家以及各個州的法律 – 在數據隱私方面，總共至少有50部法律。

另外，個人數據的定義在不同地區之間也有很大差異。比如在加利福尼亞，郵政編碼本身即被看作是個人數據，而其他州，只有當其出現在其他數據中時才被視為個人數據。如果對于你所要處理的數據的類型和劃分理解不當，你就無法辨識其是否為個人信息，更談不上加以適當地保護了。

第2步：明確企業的角色和責任

有些被誤導的企業經常將數據和隱私保護的所有責任交給安全專家。由于專家們負責管理并保護企業的數據，因此通常就被認為也應該負責兼顧相應的法規條例。而事實上，根據Forrester在2012年對2383位IT經理和技術負責人的調查，49%的安全團隊認為自身應該對隱私付全責，而77%的認為至少應該負有一半的責任。

由于沒有法律的背景，安全專家們必然會將一部分責任轉移出去，讓其他部門也牽涉進來。但是，要注意防止這造成企業中的另一個藩籬，對此一家咨詢公司的高級合伙人這樣描述到：“人們一聽到個人數據，就認為是IT的責任所在，而IT又認為這是屬于安全方面的事務。實際上，這其中很多事情超出了數據保護、IT或者安全的范疇。”

作為應對，應該考慮雇傭一位專業的隱私專家或者首席隱私官（chief privacy officer），以此確保整個企業都在合規方面舉措得當。

第3步：建立法規和業務要求之間的映射

根據客戶的反饋，最常見的一個挑戰是將各項標準轉化為實際業務中的要求并貫徹到實踐中。對大多數企業來說，要達成法規和業務的一致是相當復雜的，因此Forrester認為應該首先創建內部控制的映射工具。

一家全球著名企業的首席隱私官告訴我們，該企業最近采用了一種在線工具來完成法規到流程的映射。在全球各地律師的協助下，他們梳理了相關的法規要求并把工具內嵌到業務流程中。盡管有時還需要人工的干預，這個工具已經可以讓項目進行自決策 – 僅僅在特殊情況下才需要借助外部的法律援助。

第4步：讓隱私保護成為企業的文化

隱私保護必須成為企業的一種內在文化。首先是認識到當前存在的缺陷，然后制定計劃進行糾正，最后以政策和流程的方式加以落實。在整個過程中，堅持是最重要的。正如一位安全經理所說：“你必須打起精神，堅持自己的看法并最終讓其他人認同。”

第5步：跟上變化的步伐

在梳理清合規要求并有明晰的框架構建理念之后，接下來你可能要應對法規條例的不斷變化。但是，沒必要讓變化成為你前進的阻礙 – 隱私的保護絕非易事，相關法規的持續調整是無可避免的。