對于很多企業(yè)而言，保護個人身份信息越來越具有挑戰(zhàn)性，隨著全球數(shù)據(jù)量的增加，用于管理和保護數(shù)據(jù)的規(guī)則、法律和政策的數(shù)量也在增加。即使是最精明的數(shù)據(jù)隱私和法律專業(yè)人士，這種不斷增長的法規(guī)政策也會使他們感到困惑。

企業(yè)確保個人身份信息(PII)的安全性和隱私性的主要方法之一是遵循數(shù)據(jù)匿名化最佳做法。

[[358792]]

什么是PII?

從高層次上講，PII是可以單獨使用或與其他信息組合以識別個人的數(shù)據(jù)。政府和行業(yè)PII法規(guī)的目標是定義和執(zhí)行政策，以保持該信息的隱私性。

歐盟委員會的GDPR條例和《加州消費者隱私法案》(CCPA)是兩個廣為人知的政府監(jiān)管條例，它們?yōu)镻II制定了一套隱私政策。這兩個政府機構(gòu)的罰款都可能很高。從發(fā)布之初到2020年1月，GDPR收集超過1.26億美元的罰款，每項記錄的CCPA罰款從2500美元到7500美元不等。

識別PII的挑戰(zhàn)在于，數(shù)十個數(shù)據(jù)元素都是潛在的個人標識符。此外，政府網(wǎng)站(例如GDPR的信息門戶)提供PII數(shù)據(jù)描述和示例，所使用的語言故意含糊不清，以免將數(shù)據(jù)元素限制為預定義的集合。因為每個監(jiān)管條例可能對PII都有不同的解釋，所以最好針對特定的隱私控制咨詢專家。

數(shù)據(jù)匿名化

從PII的角度來看，數(shù)據(jù)匿名化是模糊化信息的過程，使這些信息無法用于識別個人。匿名化可減少意外泄露PII數(shù)據(jù)的風險，并且，如果確實發(fā)生數(shù)據(jù)泄露，則被竊取的信息將對攻擊者毫無用處。

從合規(guī)性來看，匿名數(shù)據(jù)被認為是非個人數(shù)據(jù)，因為它無法識別個人。

匿名化的最終目標是消除PII暴露個人的機會，同時保留信息對企業(yè)的價值。匿名化數(shù)據(jù)與破壞數(shù)據(jù)使其無法提供有意義的業(yè)務洞察力之間只存在細微的界限。

數(shù)據(jù)匿名化是PII隱私的關鍵

為適當?shù)乇ＷoPII數(shù)據(jù)，企業(yè)必須制定戰(zhàn)略計劃，定義角色、規(guī)則、流程和最佳做法，以確保其PII數(shù)據(jù)的安全性、質(zhì)量以及正確使用。該計劃的目標是提供控件的藍圖，以確保在企業(yè)級有效管理PII數(shù)據(jù)。

該計劃需要包括標準IT社區(qū)數(shù)據(jù)匿名化最佳做法，以及企業(yè)、特定于行業(yè)和政府的法規(guī)條例規(guī)范和控制。該計劃應該是一項業(yè)務和IT聯(lián)合計劃，兩個部門都應發(fā)揮同等重要的作用。

其中的一項輸出應是文檔記錄技術無關的控件，這些控件在企業(yè)中普遍應用。這些控件必須包括一組可靠的數(shù)據(jù)匿名化策略和程序。

保護任何敏感信息的關鍵組成部分是制定企業(yè)范圍的意識計劃。IT部門無法獨自保護PII。與PII進行交互的所有業(yè)務和運營組必須積極參與，管理層的支持至關重要。

你無法匿名處理你不知道的數(shù)據(jù)

在制定政策和程序、購買產(chǎn)品或?qū)嵤┦謩訑?shù)據(jù)匿名化過程之前，請確定企業(yè)中所有潛在的PII數(shù)據(jù)元素。你的環(huán)境越大，你的企業(yè)就越容易存儲未標識的PII數(shù)據(jù)。

這不是一件容易的事。大多數(shù)包含PII的數(shù)據(jù)都不是處于空閑狀態(tài)。在創(chuàng)建數(shù)據(jù)元素后，它會迅速傳播到整個企業(yè)中的報表、儀表板和其他數(shù)據(jù)存儲。

確保一個人在整個企業(yè)中的持續(xù)匿名性具有內(nèi)在的可變性。換句話說：事情會發(fā)生變化。數(shù)據(jù)審計以及來自與PII交互的IT和業(yè)務人員的持續(xù)反饋將有助于發(fā)現(xiàn)潛在問題。

數(shù)據(jù)匿名化產(chǎn)品

現(xiàn)在有大量可用的軟件解決方案，從專門關注數(shù)據(jù)匿名化最佳做法的產(chǎn)品到提供廣泛數(shù)據(jù)安全功能的企業(yè)范圍產(chǎn)品。企業(yè)規(guī)模越大，這些工具就越重要。根據(jù)企業(yè)存儲的數(shù)據(jù)量，你可能需要購買一兩個產(chǎn)品才能正確識別和保護敏感的PII數(shù)據(jù)資產(chǎn)。

現(xiàn)在有各種可用的數(shù)據(jù)匿名化產(chǎn)品。此外，現(xiàn)有的數(shù)據(jù)存儲平臺也可提供匿名化功能。例如，很多領先的數(shù)據(jù)庫提供匿名化組件(例如加密)作為其基礎軟件堆棧的一部分。還有些產(chǎn)品專門用于匿名化各種數(shù)據(jù)存儲中的數(shù)據(jù)，包含云端和本地數(shù)據(jù)庫以及平面文件等。

為了正確選擇和部署最合適的PII識別和數(shù)據(jù)匿名化軟件，技術專業(yè)人員必須創(chuàng)建和執(zhí)行經(jīng)過深思熟慮的詳細競爭產(chǎn)品分析。

以下是一般建議，可幫助你快速開始分析：

• 在評估PII數(shù)據(jù)標識和匿名產(chǎn)品時，企業(yè)應遵循標準化的產(chǎn)品評估方法，以幫助做出選擇。評估最佳做法包括：選擇合適的評估團隊、執(zhí)行全面的需求分析以及創(chuàng)建一組強大的加權評估指標。使用評估指標來創(chuàng)建供應商候選清單，并對其余供應商進行深入比較。
• 了解你的業(yè)務需求。你想達到什么目的?你是否正在尋找專門針對數(shù)據(jù)匿名化、PII數(shù)據(jù)識別的產(chǎn)品，還是提供更廣泛特性和功能的平臺?
• 使用同行評估網(wǎng)站(例如Gartner Peer Insights)對不同產(chǎn)品進行社區(qū)評審。
• 訪問供應商網(wǎng)站和IT社區(qū)討論論壇。供應商經(jīng)常會購買Gartner的《供應商魔力象限》，并向公眾開放，這可能有助于縮小供應商的候選清單
• 根據(jù)你當前和預期的未來需求，確定供應商是支持云端、內(nèi)部還是兩者。