收集客戶數(shù)據(jù)可以幫助企業(yè)改進(jìn)產(chǎn)品和服務(wù)。然而，當(dāng)消費者發(fā)現(xiàn)他們的數(shù)據(jù)被大量泄漏并被用于非法牟利活動時，就會變得越來越謹(jǐn)慎，不再愿意將個人隱私數(shù)據(jù)提交給企業(yè)。企業(yè)只有制定公布并有效實施穩(wěn)健全面的數(shù)據(jù)安全政策，才能贏得消費者的信任。

根據(jù)近年來個人隱私信息保護(hù)領(lǐng)域的優(yōu)秀實踐，本文收集整理了能夠有效幫助企業(yè)保護(hù)其用戶數(shù)據(jù)的12條安全措施，可以作為企業(yè)數(shù)據(jù)保護(hù)建設(shè)中的參考。

1. 明確外包服務(wù)供應(yīng)商的保密義務(wù)

外包業(yè)務(wù)(服務(wù))加大了企業(yè)因安全事件而遭受財務(wù)和聲譽損失的風(fēng)險。企業(yè)需要和服務(wù)提供商在合同條款中明確約定來應(yīng)對這些風(fēng)險。在合同中洽談安全條款時，應(yīng)綜合考慮信息的敏感性，了解服務(wù)提供商的能力，以及依據(jù)雙方內(nèi)部政策和程序所開展的盡職調(diào)查的結(jié)果。

2. 選擇安全可信的員工

當(dāng)企業(yè)業(yè)務(wù)開展涉及大量用戶敏感數(shù)據(jù)時，選用業(yè)務(wù)人員時必須考慮其是否值得信任。鑒于目前人才緊缺的現(xiàn)狀，在員工招聘時就應(yīng)該關(guān)注其的可信度和履歷透明度。比如說，背景篩查很重要(對銀行和醫(yī)療保健等行業(yè)而言尤其如此)，只有通過透明度和信任能力測試，才能找到更加合適的人選，公司才能將敏感數(shù)據(jù)放心地交給他們。

3. 利用第三方安全服務(wù)

審計和合規(guī)要求迫使企業(yè)在技術(shù)環(huán)境中實施可落地的安全方案，但企業(yè)中常常會存在通過常規(guī)審計發(fā)現(xiàn)不了的安全隱患。利用第三方安全測試服務(wù)可以發(fā)現(xiàn)企業(yè)自身安全團(tuán)隊可能錯過的漏洞，實踐證明，開展漏洞懸賞計劃對企業(yè)的安全建設(shè)會有幫助。

4. 采用安全設(shè)計方法

讓公司業(yè)務(wù)系統(tǒng)在開發(fā)時就采用安全設(shè)計方法(security by design)可大大提高企業(yè)隱私數(shù)據(jù)的安全性。安全設(shè)計方法涉及多個方面，包括教育員工、盡量減少收集的數(shù)據(jù)量、加密數(shù)據(jù)、安全設(shè)計系統(tǒng)、數(shù)據(jù)訪問控制以及在整個軟件開發(fā)生命周期中關(guān)注安全等。

5. 為客戶提供價值

收集客戶數(shù)據(jù)的企業(yè)應(yīng)該讓用戶了解，其收集數(shù)據(jù)的目的是什么。通過使用收集的數(shù)據(jù)能夠為客戶、社會和國家提供價值，而不只是一味牟取商業(yè)價值。企業(yè)需要確定所收集數(shù)據(jù)適用的使用場景，熟悉快速不斷變化的數(shù)據(jù)技術(shù)和法規(guī)要求，并與業(yè)務(wù)團(tuán)隊密切聯(lián)系。

6. 確保全面遵守安全和隱私框架

企業(yè)應(yīng)該遵守數(shù)據(jù)在收集、存儲和傳輸階段的信息安全或隱私合規(guī)框架，這樣才能確保數(shù)據(jù)的安全使用。此外，應(yīng)審查任何接觸消費者數(shù)據(jù)的供應(yīng)商，確保供應(yīng)鏈中每個環(huán)節(jié)也能夠遵守信息安全法規(guī)或標(biāo)準(zhǔn)。

7. 得到客戶的授權(quán)

知情同意(informed consent)是贏得消費者信任的主要基礎(chǔ)。“知情同意”是指企業(yè)明確告知客戶他們的個人數(shù)據(jù)現(xiàn)在和未來的可能用處，以及在企業(yè)重新獲得客戶同意之前會將個人數(shù)據(jù)保留的具體時間，讓每個消費者可以選擇其同意生效的時間長度可以使政策更具個性化。

8. 讓客戶有選擇退出的權(quán)利

企業(yè)應(yīng)經(jīng)常告知消費者所收集數(shù)據(jù)的存儲和使用情況，并詢問他們是否想要選擇退出。有的企業(yè)每季度對消費者做一次隱私安全健康檢查，這將有利于贏得用戶的理解和信任。

9. 對用戶隱私數(shù)據(jù)安全加密

對用戶數(shù)據(jù)中的重要敏感數(shù)據(jù)進(jìn)行安全加密是最基礎(chǔ)的防護(hù)要求，但卻被很多企業(yè)忽視，甚至包括一些大型互聯(lián)網(wǎng)企業(yè)。為了讓客戶更加放心，需要告訴他們提交的個人數(shù)據(jù)都會經(jīng)過加密處理，連企業(yè)員工都無法隨意讀取。

10. 聘請第三方機構(gòu)來收集和管理數(shù)據(jù)

對于中小型企業(yè)組織，建議使用第三方服務(wù)來收集并保管客戶數(shù)據(jù)，許多軟件即服務(wù)(SaaS)產(chǎn)品都可以提供此類服務(wù)。調(diào)查發(fā)現(xiàn)，用戶會更愿意將其個人數(shù)據(jù)提交給SaaS產(chǎn)品而不是一家不知名的小公司來保管。

11. 至少保留三份數(shù)據(jù)

企業(yè)有責(zé)任確保數(shù)據(jù)得到合理存儲和全面保護(hù)，建議企業(yè)至少備份三份數(shù)據(jù)，存儲在至少兩種不同形式的介質(zhì)上，一份離線保存、一份異地保存。若有任何變化，都應(yīng)告知客戶，以便他們放心地將數(shù)據(jù)交給企業(yè)保管。

12. 盡量少訪問客戶數(shù)據(jù)

企業(yè)在必須收集用戶數(shù)據(jù)時，應(yīng)只授權(quán)給必須訪問數(shù)據(jù)的員工。數(shù)據(jù)還應(yīng)該有合適的保留期，這意味著一旦數(shù)據(jù)滿足使用要求并且不再需要，就應(yīng)該刪除。合法收集的數(shù)據(jù)應(yīng)妥善存檔。這種做法將有助于向消費者證明企業(yè)有能力保護(hù)其數(shù)據(jù)的安全。

參考鏈接：https://www.forbes.com/sites/forbestechcouncil/2022/05/13/15-strategic-steps-companies-should-take-to-secure-customer-data/?sh=1a8963255133