隨著全球隱私法規(guī)的實(shí)施���,組織在獲取、保護(hù)和維護(hù)個(gè)人信息方面��,面臨越來越大的風(fēng)險(xiǎn)����。企業(yè)架構(gòu)和技術(shù)創(chuàng)新領(lǐng)導(dǎo)者必須以合乎道德的方式管理個(gè)人信息,以獲得個(gè)人信任并取得競(jìng)爭(zhēng)性優(yōu)勢(shì)�����。
關(guān)于數(shù)字道德,Gartner給出定義范圍��,數(shù)字道德的范圍很廣���,它包括安全����,網(wǎng)絡(luò)犯罪�,隱私,社會(huì)互動(dòng)�����,治理和自由意志���,以及社會(huì)和整個(gè)經(jīng)濟(jì)。
主要發(fā)現(xiàn)
? 十年來�,組織的個(gè)人數(shù)據(jù)囤積和利用,形成了一個(gè)復(fù)雜的平倉過程���,從所有利益相關(guān)者的心態(tài)轉(zhuǎn)變開始��。
? 隱私侵權(quán)產(chǎn)生的負(fù)面后果�����,遠(yuǎn)遠(yuǎn)超出了重大的監(jiān)管經(jīng)濟(jì)處罰����。這些后果包括聲譽(yù)風(fēng)險(xiǎn),客戶流失��,收入損失和市值下降�。
? 領(lǐng)先的組織支持?jǐn)?shù)字道德,不僅要領(lǐng)先于不斷變化的監(jiān)管環(huán)境��,還要通過贏得信任來提升競(jìng)爭(zhēng)優(yōu)勢(shì)���。
戰(zhàn)略規(guī)劃假設(shè)
? 到2020年��,個(gè)人數(shù)據(jù)的備份和存檔將成為70%組織中最大的隱私風(fēng)險(xiǎn)領(lǐng)域��,高于2018年的10%����。
? 到2021年�����,那些繞過隱私要求并且缺乏隱私保護(hù)的組織將比遵守最佳實(shí)踐的競(jìng)爭(zhēng)對(duì)手支付高出100%的合規(guī)成本。
? 到2022年���,70%的隱私泄露將直接歸因?yàn)槿狈﹄[私工程����。
? 到2023年����,超過75%的大型組織將雇用調(diào)查員進(jìn)行人工智能行為取證以及隱私和客戶信任專家,以降低品牌和聲譽(yù)風(fēng)險(xiǎn)�����。
為什么數(shù)字道德和隱私是十大趨勢(shì)
數(shù)字道德和隱私越來越受到個(gè)人�����,組織和政府的關(guān)注���。消費(fèi)者越來越意識(shí)到他們的個(gè)人信息是有價(jià)值的,并且因被持續(xù)的濫用和違規(guī)行為而感到沮喪����。組織認(rèn)識(shí)到保護(hù)和管理個(gè)人數(shù)據(jù)所涉及的風(fēng)險(xiǎn)越來越大,政府正在該領(lǐng)域?qū)嵤﹪?yán)格的立法。
錯(cuò)誤處理個(gè)人信息的成本很高�。法國監(jiān)管機(jī)構(gòu)因?yàn)椤叭狈ν该鞫龋畔⒉蛔阋约叭狈τ嘘P(guān)廣告?zhèn)€性化的有效同意而對(duì)Alphabet(Google)罰款5000萬歐元�����?��!卑踩┒匆埠馨嘿F�����。Ponemon Institute的2018年數(shù)據(jù)泄露研究成本發(fā)現(xiàn)�����,每封包含敏感和機(jī)密信息的丟失或被盜記錄的平均成本為148美元�����。
私營部門越來越受到隱私立法的約束�����,但執(zhí)法和安全服務(wù)有不同的控制��。比如警察局使用人臉識(shí)別來實(shí)時(shí)識(shí)別感興趣的人�。他們使用自動(dòng)牌照識(shí)別來跟蹤感興趣的車輛。
圖1. 外部力量推動(dòng)數(shù)字化道德和隱私
圖2. 數(shù)字道德和隱私在十大戰(zhàn)略技術(shù)趨勢(shì)列表中的位置
個(gè)人數(shù)據(jù)的成本和風(fēng)險(xiǎn)不斷增加
歐盟通用數(shù)據(jù)保護(hù)條例(GDPR)是成熟隱私計(jì)劃的驅(qū)動(dòng)因素之一�,它引入了對(duì)違規(guī)行為的嚴(yán)厲制裁。但是�����,圍繞隱私的問題對(duì)許多組織而言更為深刻���。隱私風(fēng)險(xiǎn)對(duì)企業(yè)至關(guān)重要����,因?yàn)樗麄兯Wo(hù)的個(gè)人是其員工�����,客戶�,患者,消費(fèi)者和公民���。如果個(gè)人發(fā)現(xiàn)組織侵犯了他們的個(gè)人隱私,則會(huì)影響他們考慮和關(guān)聯(lián)該組織的方式�����。例如,個(gè)人可能對(duì)雇主不那么忠誠�,不太可能從該供應(yīng)商處購買或不太可能信任他們的醫(yī)療保健提供者。
只有在收集數(shù)據(jù)的目的仍然有效�,或者必須這樣做才能滿足法定要求時(shí),組織才應(yīng)保留個(gè)人數(shù)據(jù)��。一旦這些條件終止�,信息也應(yīng)終止。在沒有明確目的的情況下保留個(gè)人數(shù)據(jù)不會(huì)增加現(xiàn)實(shí)價(jià)值�����,同時(shí)組織面臨監(jiān)管�、財(cái)務(wù)和聲譽(yù)風(fēng)險(xiǎn)。GDPR和加利福尼亞州消費(fèi)者隱私法等數(shù)據(jù)保護(hù)法規(guī)定了數(shù)據(jù)刪除要求�,既可降低個(gè)人隱私風(fēng)險(xiǎn),又可滿足主體權(quán)利請(qǐng)求(SRR)���。簡(jiǎn)而言之�����,組織應(yīng)盡可能短時(shí)間保存?zhèn)€人信息�����,以尊重?cái)?shù)據(jù)主體的意愿�,并通過限制風(fēng)險(xiǎn)來降低個(gè)人隱私的風(fēng)險(xiǎn)。
圖3. 管理個(gè)人數(shù)據(jù)
刪除個(gè)人數(shù)據(jù)不是管理風(fēng)險(xiǎn)的唯一方法��。目的不僅僅是清除���,而是根據(jù)組織的風(fēng)險(xiǎn)偏好將風(fēng)險(xiǎn)降低到可接受的水平��。應(yīng)將數(shù)據(jù)進(jìn)行有目的的處理����,明確意圖降低個(gè)人隱私風(fēng)險(xiǎn)�����?��?梢酝ㄟ^匿名化�、假名�、離線存儲(chǔ)空間、訓(xùn)練機(jī)器學(xué)習(xí)模型方式降低隱私泄露風(fēng)險(xiǎn)。
匿名化�����。此清理過程涉及刪除或替換某些字段的內(nèi)容���,以便數(shù)據(jù)不再鏈接到個(gè)人。
假名�。此過程類似于匿名化,但在設(shè)計(jì)上是可逆的����。在匿名化過程中已刪除或替換的字段將單獨(dú)被存儲(chǔ)。當(dāng)處理活動(dòng)超出組織的控制范圍時(shí)��,假名是一種有效的風(fēng)險(xiǎn)降低對(duì)策���。
離線存儲(chǔ)空間���。在某些情況下,組織不會(huì)主動(dòng)使用或訪問信息�����,但拒絕刪除或更改記錄(匿名/假名)�。他們應(yīng)限制對(duì)這些記錄的訪問以降低總體風(fēng)險(xiǎn)���。
訓(xùn)練機(jī)器學(xué)習(xí)模型。簡(jiǎn)單來說�����,機(jī)器學(xué)習(xí)(ML)算法使用大量原始數(shù)據(jù)訓(xùn)練模型��,目的是能夠預(yù)測(cè)結(jié)果或?qū)π聰?shù)據(jù)進(jìn)行分類���。將數(shù)據(jù)提取到機(jī)器學(xué)習(xí)模型中可以為組織提供所需的智能��,而無需保留原始數(shù)據(jù)�����。
1�、管理供應(yīng)商風(fēng)險(xiǎn)
將個(gè)人數(shù)據(jù)處理外包給第三方服務(wù)提供商的那一刻��,數(shù)據(jù)濫用和監(jiān)管不合規(guī)的風(fēng)險(xiǎn)增加����。可根據(jù)組織的政策和相關(guān)的監(jiān)管要求,為個(gè)人信息創(chuàng)建清晰簡(jiǎn)明的一般處理指南�����;在合同中就隱私相關(guān)法律問題可能導(dǎo)致監(jiān)管機(jī)構(gòu)罰款進(jìn)行談判�����,個(gè)人索賠或聲譽(yù)損害的責(zé)任結(jié)構(gòu)�;記錄第三方持有的數(shù)據(jù)的退出條款等�����。
2����、采用隱私工程
隱私工程是一種基于業(yè)務(wù)流程和技術(shù)架構(gòu)的方法,正確實(shí)施后�,可以使組織能夠最大限度地降低風(fēng)險(xiǎn)并最大限度地提高信任度;通過從以隱私為中心的有利位置重新構(gòu)想深度防御��,以緩解違反個(gè)人數(shù)據(jù)的影響��。
圖4. 設(shè)計(jì)原則的隱私
資料來源:Gartner(2019年3月)
3�、隱私工程指南
使用監(jiān)控、執(zhí)行、通信與授權(quán)準(zhǔn)則���,為有效的隱私計(jì)劃奠定基礎(chǔ)��。
監(jiān)控��,如開發(fā)一種允許將結(jié)構(gòu)化元數(shù)據(jù)進(jìn)行記錄的解決方案����;維護(hù)處理個(gè)人信息的獨(dú)立日志(例如���,訪問�,使用和修改)����。支持各種數(shù)據(jù)主體權(quán)利�����,并提供數(shù)據(jù)生命周期的歷史記錄��。
執(zhí)行�,保持一份個(gè)人數(shù)據(jù)的主記錄�,并根據(jù)需要?jiǎng)討B(tài)進(jìn)行動(dòng)態(tài)屏蔽�。創(chuàng)建副本會(huì)擴(kuò)展攻擊面并暴露數(shù)據(jù),從而進(jìn)一步降低隱私風(fēng)險(xiǎn)�;進(jìn)行數(shù)據(jù)最小化掃描,評(píng)估有效性并根據(jù)數(shù)據(jù)保留策略采取糾正措施����。
通信,保持透明��,向外的隱私聲明��。這是組織對(duì)數(shù)據(jù)主體的承諾�����;通過內(nèi)部隱私政策加強(qiáng)隱私聲明中的承諾����,該政策為員工和合作伙伴處理個(gè)人信息提供指導(dǎo)����。
授權(quán),提供安全的用戶儀表盤��,個(gè)人可以從中訪問數(shù)據(jù),并行使其數(shù)據(jù)主體權(quán)利�。
4、增加對(duì)隱私泄露事件的響應(yīng)計(jì)劃
每個(gè)組織都必須有一個(gè)危機(jī)管理團(tuán)隊(duì)來響應(yīng)任何重大的安全事故����。在隱私泄露的情況下,必須解決重大的監(jiān)管和聲譽(yù)風(fēng)險(xiǎn)���。例如����,GDPR第33條要求在72小時(shí)內(nèi)通知違規(guī)行為����,以避免罰款。
5��、應(yīng)用道德方法管理個(gè)人數(shù)據(jù)
任何有關(guān)隱私的討論都必須以更廣泛的數(shù)字道德主題以及客戶����、三方成員和員工的信任為基礎(chǔ)。從隱私轉(zhuǎn)向數(shù)字道德���,將談話從“我們是否合規(guī)��?”轉(zhuǎn)向“我們做對(duì)了嗎����?”。從合規(guī)驅(qū)動(dòng)型組織向道德驅(qū)動(dòng)型組織的轉(zhuǎn)變可以被描述為意圖層次���,它有四個(gè)層次:
圖5. 意圖的層次結(jié)構(gòu)
資料來源:Gartner(2019年3月)
注意合規(guī)��。注意合規(guī)性是意圖層次結(jié)構(gòu)中的最低級(jí)別�。它是由外部驅(qū)動(dòng)的���,專注于避免問題��。歐盟的GDPR重新定義了隱私的基本規(guī)則,并產(chǎn)生了全球影響���。它允許罰款高達(dá)全球年度收入的4%或2000萬歐元����,以較高者為準(zhǔn)�。GDPR的影響是,組織濫用個(gè)人數(shù)據(jù)的風(fēng)險(xiǎn)現(xiàn)在更好地與提供該信息的個(gè)人面臨的風(fēng)險(xiǎn)保持一致��。Gartner預(yù)計(jì),在2021年年底之前��,將發(fā)布超過10億歐元的GDPR違規(guī)罰款����。許多國家包括中國、俄羅斯�、韓國正在制定或?qū)嵤╇[私立法。
降低風(fēng)險(xiǎn)�����。該級(jí)別側(cè)重于組織愿意承擔(dān)的風(fēng)險(xiǎn)而不會(huì)傷害自己��。人們開始反對(duì)某些個(gè)人數(shù)據(jù)的使用��。錯(cuò)誤的個(gè)性化嘗試���、媒體報(bào)道和訴訟使客戶明白了一件事:他們的數(shù)據(jù)很有價(jià)值�,他們希望收回控制權(quán)�����?����?蛻敉ㄟ^選擇支付現(xiàn)金或比特幣,使用VPN掩蓋他們的位置�����,提供虛假信息��,淡出服務(wù)��。
做出改變���。在這個(gè)層面���,道德考慮可以用來為客戶、行業(yè)甚至整個(gè)社會(huì)帶來改變����。對(duì)于商業(yè)企業(yè)而言�,這可以通過從數(shù)字道德中創(chuàng)造價(jià)值主張來實(shí)現(xiàn)競(jìng)爭(zhēng)差異化。比如像Alphabet(谷歌)和Facebook這樣專注于信息貨幣化的公司�。對(duì)于公共部門機(jī)構(gòu)而言,這可能意味著通過超出預(yù)期為公民創(chuàng)造價(jià)值����。在商業(yè)企業(yè)中發(fā)揮作用的一個(gè)例子是實(shí)施“設(shè)計(jì)隱私”原則��,將產(chǎn)品和服務(wù)定位為比競(jìng)爭(zhēng)對(duì)手更加隱私友好���。這創(chuàng)造了基于信任的價(jià)值主張。
遵循你的價(jià)值觀��。意圖等級(jí)中的這一最高級(jí)別是指由組織的道德驅(qū)動(dòng)的決策����。這完全取決于品牌代表什么,組織的價(jià)值觀以及組織的“品牌許可”����。遵循其價(jià)值觀的組織確信他們正在做正確的事情,像對(duì)待客戶一樣對(duì)待客戶���,員工或公民���。技術(shù)的成功使用并不是以犧牲客戶為代價(jià)來最大化其組織效用。相反�����,它決定如何使用技術(shù)從組織和它所依賴的個(gè)人那里獲得最大的價(jià)值。
Gartner行動(dòng)建議
對(duì)于企業(yè)架構(gòu)和技術(shù)創(chuàng)新領(lǐng)導(dǎo)者而言:1�、通過任命數(shù)據(jù)保護(hù)官員來降低個(gè)人數(shù)據(jù)風(fēng)險(xiǎn)。與整個(gè)組織的主要利益相關(guān)方合作��,實(shí)施有效的個(gè)人數(shù)據(jù)生命周期管理實(shí)踐和指標(biāo)��,以解決獲取����,安全性和保留問題,同時(shí)使用數(shù)據(jù)保護(hù)來提高數(shù)據(jù)價(jià)值�����。2�、制定行為準(zhǔn)則,為組織�����,外包商和利益相關(guān)者設(shè)定期望�����。為違反個(gè)人數(shù)據(jù)制定危機(jī)管理計(jì)劃��,以滿足監(jiān)管要求����,最大限度地減少影響并恢復(fù)客戶信心。3��、將數(shù)字道德應(yīng)用于隱私管理�,以超越法規(guī)遵從性,增加客戶信任�,增強(qiáng)關(guān)系并改善結(jié)果。
注:上述內(nèi)容由安華金和副總裁付蓉潔編譯理出自Gartner研究報(bào)告:
《Top 10 Strategic Technology Trends for 2019: Digital Ethics and Privacy》
產(chǎn)品咨詢:4000 258 365 
