在技術飛速發展的時代，網絡威脅也日益嚴重。隨之而來的是對數據隱私的高度重視。許多企業組織正處于保護個人身份信息（PII）的關鍵時刻，更嚴格的安全法規、安全挑戰和消費者對數據管理的期望提出了一個關鍵問題：企業是否需要重新考慮如何獲取和保存客戶的個人身份信息？如果需要，又應該怎么做？

不斷變化的威脅環境

如今，企業存儲的信息類型普遍比十年前復雜得多，數量也大得多。因此企業在處理客戶信息、運營數據等一系列數據時所面臨的相關風險大幅增加。

事實上，這種風險每天都在增加。在我們的日常生活中，每天產生的信息量高達 3.28 億 TB。先進的技術、相互連接的 IT 系統，以及個人數據對威脅行為者日益增長的價值，這對所有企業來說都是利害攸關的重大責任。

2023 年僅前9個月發生的數據泄露事件數量已遠超 2022 年全年的量。如今，復雜的勒索軟件攻擊已變得更加普遍，攻擊者甚至能夠侵入最先進的系統并加密數據。同時，網絡釣魚攻擊也變得更有針對性和說服力。

許多黑客都是在未經授權的情況下訪問企業信息和 IT 系統。因此企業必須認識到，"一刀切 "的方法是不夠的，也是無效的。簡而言之，PII 政策必須量身定制，以符合企業及其客戶群的獨特需求和風險狀況。

數據是新的“石油”

隨著威脅的不斷增加，企業必須更仔細地審視其存儲的個人信息類型和存儲時間。盡量采用 "減少和最小化數據 "的方法鼓勵企業只收集和存儲必要的信息。就客戶而言，可以是簡單的名字和電子郵件地址。

現有的隱私法鼓勵企業采用一種合規的數據保留方法，這種方法可能會導致大量 PII （個人身份信息）的存儲，后續可能會帶來一些問題。而對于許多企業來說，數據是新的“石油”這句話已經深入人心，所以他們都盡可能多的存儲數據，而且存儲時間越長越好。 許多企業都誤以為這能為業務運營或客戶營銷工作提供獨特的優勢。然而事實上，存儲大量此類數據的風險很可能大于收益。

這是因為，只有當你知道如何處理這些數據并給予足夠的保護時，這些數據才是有益的。但對于不少企業來說，這些數據很可能處于“休眠狀態”，無法被很好的利用。所以對于所有類型的企業來說，保護 PII 并不是要加強數據存儲和其他已經到位的支持性 IT 系統。關鍵在于修訂文件中存儲的數據類型、保護這些數據存儲的支持政策，以及減少存儲的數據量。

小企業與大問題

無論企業規模大小，一旦發生數據泄露，尤其是涉及個人信息時，所有組織都將面臨同樣嚴厲的處罰。所以資源有限的小型企業在處理客戶數據時更應采取額外的預防措施。

最簡單的方法是重新考慮客戶數據檔案的存儲內容，盡可能只存儲公開可用的數據。例如，姓名和電子郵件地址，這些信息相對于家庭住址、出生日期等信息敏感性較低。此外，限制員工存儲客戶隱私信息的方式也是一個降低風險的有效方法，特別是在規模較小的企業中，很多處理客戶咨詢的員工都可以訪問或負責企業的其他運營部分。

有目的的數據 

對于企業來說，想要保護 PII 數據免遭攻擊的風險，不止需要建立更強大、更先進的安全系統，還需要投入資金，修改信息存儲做法，將政策從根本上剝離，并從頭開始重新思考。

如果不以全新的視角從更廣泛的意義上應對這些風險，那么在未來幾年內，任何規模的企業都更有可能遭遇更嚴重的網絡攻擊以及和 PII 存儲相關的網安難題。