发布日期:2023 年 12 月 19 日
撰稿人:Matthew Kosinski、Amber Forrest
数据隐私,也称为“信息隐私”,是指个人应对其个人数据拥有控制权的原则,包括决定组织如何收集、存储和使用其数据的能力。
企业会定期收集用户数据,如电子邮件地址、生物识别技术和信用卡号。对于处于数据经济时代的企业来说,支持数据隐私意味着采取各种措施,如在处理数据前征得用户同意、保护数据不被滥用,以及让用户能够主动管理自己的数据。
根据《通用数据保护条例》(GDPR) 等法律,许多组织都有维护数据隐私权的法律义务。即使没有正式的数据隐私立法,公司也可以从采取隐私措施中获益。保护用户隐私的做法和工具同样可以保护敏感数据和系统免受恶意黑客的攻击。
订阅 IBM 时事通讯
用户有权知道公司拥有哪些数据。用户应能按需访问其个人数据。他们应能根据需要更新或修改这些数据。
用户有权知道谁拥有他们的数据以及他们如何使用这些数据。在收集数据时,各组织应明确说明收集的内容以及打算如何使用这些数据。收集数据后,组织应让用户了解数据处理的关键细节,包括数据使用方式的任何变更以及与第三方共享数据的情况。
在内部,组织应保持其所掌握的所有数据的最新清单。数据应根据类型、敏感程度、合规要求和其他相关因素进行分类。应根据这些分类执行访问控制和使用政策。
组织在存储、收集、共享或处理数据时,应尽可能征得用户同意。如果一个组织在未经数据主体同意的情况下保存或使用个人数据,它应该有一个令人信服的理由这样做,例如公共利益用途或法律义务。
数据主体应有途径对其数据的处理提出关切或反对。他们应能随时撤回同意。
组织应努力确保其收集和保存的数据准确无误。不准确可能导致侵犯隐私。例如,如果公司存档的是旧地址,就可能不小心将敏感文件邮寄给了错误的人。
组织收集任何数据都应有明确的目的。它应将此目的告知用户,并且数据的使用应仅限于此目的。组织只应收集其既定目的所需的最低数量的数据,并将数据保存到该目的实现为止。
隐私应成为组织内每个系统和流程的默认状态。组织设计或实施的任何产品都应将用户隐私作为核心功能和主要关注点。收集和处理用户的数据时提供的选择应是“选择加入”而不是“选择退出”。用户应在每个步骤中保持对其数据的控制。
组织应实施流程和控制措施,保护用户数据的机密性和完整性。
在流程层面,组织可以采取一些措施,例如对员工进行合规要求培训,以及只与尊重用户隐私的供应商和服务提供商合作。
在技术控制层面,组织可以使用多种工具来保护数据。身份和访问管理 (IAM) 解决方案可以强制执行基于角色的访问控制策略,因此只有授权用户才能访问敏感数据。严格的身份验证措施,例如 Single Sign On (SSO) 和多因素身份验证 (MFA),可以防止黑客劫持合法用户的帐户。
数据丢失预防 (DLP) 工具可以发现数据并对数据进行分类;监控使用情况;防止用户不适当地更改、共享或删除数据。数据备份和归档解决方案可帮助企业恢复丢失或损坏的数据。
组织还可以使用专为遵守法规而设计的数据安全工具。这些工具通常包括加密、自动执行策略和跟踪所有相关数据活动的审计跟踪等功能。
如今,组织一般都会收集大量的消费者数据。预计在未来几年,这一趋势只会愈演愈烈。根据 IDC 的 2023 年数据隐私和保护调查,3近 70% 的组织预计他们处理的数据量在未来三年内会增加。
组织有责任确保这些数据的隐私性,这并非出于善意,而是为了遵守法规、确保安全状况和竞争优势。
联合国4 等机构承认隐私权是一项基本人权,许多国家也通过了隐私权法规,将这项权利写入法律。大多数这些法规都会对违规行为实施严厉处罚。
欧盟的《通用数据保护条例》(GDPR) 被认为是世界上最全面的数据隐私法之一。它制定了严格的规则,要求任何设在欧洲或欧洲以外的公司在处理欧盟居民的数据时必须遵守。违规者最高可被罚款 2000 万欧元或公司全球收入的 4%。
欧盟以外的国家/地区也有类似的监管要求,包括英国 GDPR、加拿大的个人信息保护和电子文档法案 (PIPEDA) 以及印度的数字个人数据保护法案。
美国没有像 GDPR 那样全面的联邦数据保护法,但也有一些针对性更强的立法。《儿童在线隐私保护法》(COPPA) 规定了收集和处理 13 岁以下儿童个人数据的规则。《健康保险流通与责任法案》(HIPAA) 涉及医疗机构和相关实体如何处理个人健康信息。
这些法律规定的处罚可能很重。例如,2022 年,Epic Games 因违反 COPPA 被处以创纪录的 2.75 亿美元罚款。5
美国还有州一级的隐私法规,如《加州消费者隐私法》(CCPA),该法案让加州的消费者对其数据的处理方式和时间有了更多的控制权。CCPA 可能是最著名的州一级隐私法案,它同时也促成了其他州级法律的制定,如《弗吉尼亚州消费者数据保护法》(VCDPA) 和《科罗拉多州隐私法》(CPA)。
如今,组织会收集大量个人身份信息 (PII),例如用户的社会保障号码和银行详细信息。这些数据是黑客的目标,他们可以利用这些数据进行身份盗用、窃取钱财或在暗网上出售。
此外,公司也有自己的专有敏感数据,如知识产权或财务数据,这些都可能是黑客的目标。
根据 IBM 的2023 年《数据泄露的代价》报告,一次泄露平均给公司造成 445 万美元的损失。造成这些代价损失的因素很多,包括系统停机造成的业务损失以及检测和补救漏洞的成本。
许多支持数据隐私的工具同样可以减少外泄威胁,加强整体网络安全状况。例如,防止未经授权访问的 IAM 解决方案可以帮助阻止黑客,同时执行隐私政策。数据安全工具通常可以检测出可能表示网络攻击正在进行的可疑活动,从而使事件响应团队能够更快地采取行动。
同样,员工和消费者可以通过采用数据隐私最佳实践来抵御一些最具破坏性的社交工程攻击。诈骗者通常会在社交媒体应用程序中搜索个人数据,用于制作极具欺骗性的商业电子邮件泄露 (BEC) 和网络钓鱼诡计。通过减少共享信息并锁定帐户,用户可以切断诈骗者的一个有效的信息获取来源。
尊重用户的隐私权有时可以给组织带来竞争优势。
消费者可能会对没有充分保护其个人数据的企业失去信任。例如,在 Cambridge Analytica 丑闻之后,Facebook 的声誉受到了重大打击。6如果企业之前在隐私保护方面存在不足,消费者往往不太愿意与之分享他们的宝贵数据。
相反,在保护数据隐私方面享有盛誉的企业可能更容易获取和利用用户数据。
此外,在相互关联的全球经济中,数据经常在组织之间流动。公司可以将其收集的个人数据发送到云数据库进行存储,或将其发送到咨询公司进行处理。采用数据隐私原则和做法可以帮助组织保护用户数据不被滥用,即使这些数据是与第三方共享的。根据某些法规,如 GDPR,组织在法律上有责任确保其供应商和服务提供商的数据安全。
最后一点,新的生成式人工智能技术可能会带来重大的数据隐私挑战。提供给这些人工智能的任何敏感数据都可能成为工具训练数据的一部分,组织可能无法控制如何使用这些数据。例如,Samsung 的工程师通过将代码输入 ChatGPT 进行优化,无意中泄露了专有源代码。7
此外,如果组织没有获得用户许可就通过生成式 AI 运行其数据,根据某些法规,这可能构成侵犯隐私。
正式的数据隐私政策和控制措施可以帮助企业采用这些人工智能工具和其他新技术,而不会触犯法律、失去用户信任或意外泄露敏感信息。
IBM Security Guardium 是 IBM Security 产品组合中的一系列数据安全软件,可发现漏洞并保护敏感的本地部署和云数据。
IBM Security 解决方案提供一套自适应型的全方位数据隐私方法,基于零信任原则和业已验证的数据隐私保护,帮助您打造可信的客户体验,并且推动业务发展。
IBM Security Verify 提供集中式决策引擎,可跨数据使用目的自动执行同意决定规则。
脚注
所有链接均位于 ibm.com 以外
1 NIST Privacy Framework,NIST
2 Fair Information Practice Principles,联邦隐私委员会
3 2023 Data Privacy and Data Protection Survey,IDC,2023 年 2 月
4 Universal Declaration of Human Rights,联合国
5 Fortnite Video Game Maker Epic Games to Pay More Than Half a Billion Dollars over FTC Allegations of Privacy Violations and Unwanted Charges,联邦贸易委员会,2022 年 12 月 19 日
6 The Cambridge Analytica Files,The Guardian
7 Whoops, Samsung workers accidentally leaked trade secrets via ChatGPT,Mashable,2023 年 4 月 6 日