从信用机构违规、信用卡被盗,到GDPR和社交媒体数据,隐私最近一直是新闻热点,这无疑是每个CEO心中的问题。Gartner的一项调查¹发现,对“快速加速的隐私法规”的担忧已成为高管面临的首要风险。
尽管大多数客户来到Integral Partners寻求围绕身份管理、特权访问和治理的解决方案,但网络安全是一个广泛且相互关联的领域。我们的许多客户也在处理隐私问题,他们想知道IAM和隐私是如何重叠的。
我们喜欢帮助我们的客户看到周围的角落,所以我们想分享我们对隐私话题的看法。我们希望这些考虑将帮助您预测和规划未来的趋势、事件、法规和战略。
客户与员工隐私
当涉及到身份和访问管理(IAM)时,我们基本上看到了两种隐私:客户隐私和员工隐私。它们有何不同?从组织的角度来看,客户是为您的服务付费的人,而员工是您为其服务付费的人员。
许多组织目前对待客户和员工数据都是一样的:他们也将针对员工身份制定的规则和规定应用于客户。然而,这些数据集非常不同,它们需要不同的工具来管理它们的控制。例如,大多数IAM系统通常不管理客户数据生命周期;他们管理管理这些客户的员工,以及可以访问这些客户数据的员工。例如,在一家零售公司,IAM系统将管理能够访问客户奖励计划中数据的员工。在一家将患者视为客户的医疗保健公司,IAM解决方案将管理可能访问患者数据的员工。
客户隐私是最重要的
在许多公司中,客户数据被视为属于与客户交互并管理客户的销售或营销业务组。(这与员工数据形成对比,员工数据通常被视为IT的权限。)客户数据经常被输入到商业智能、营销数据和其他应用程序中,这使其对公司非常有用,但保护其使用的过程变得复杂。因此,许多组织的IT团队尚未承担起保护客户数据的责任和风险。但由于围绕如何处理客户数据引入了新的规则和期望,这一点正在发生变化。
客户隐私是当今许多高管的头等大事,因为侵犯客户隐私的行为充斥着头条新闻。这些漏洞从黑客攻击和安全漏洞到第三方疏忽和内部泄露。这样的违规行为已经司空见惯,给公司带来了数十亿美元的损失,有时还会让首席信息官或首席执行官失去工作。许多高管甚至不知道他们的客户身份保存在哪里,也不知道谁可以访问客户数据,但最终他们要对其安全负责。
GDPR对客户隐私的影响
2018年在欧盟生效的《通用数据保护条例》规定了组织如何收集、管理和保护公民个人数据的规则。例如,数据收集必须公开,存储的数据必须匿名,数据使用必须经过个人的知情同意。法律要求处理用户数据的组织指定一名负责GDPR合规的“数据保护官员”,违反GDPR可能会受到严重的经济处罚。GDPR还为公民提供“被遗忘权”,个人可以要求从公司记录中删除某些类型的信息。
尽管GDPR是欧盟法律,但它适用于任何在欧盟内部“处理”个人数据的跨国组织。许多美国组织已经在遵守GDPR;事实上,任何一家网站对欧洲游客开放的公司都已经修改了服务条款。此外,许多公司现在认为,类似的法规很快就会在美国出台。每当有公司背叛客户信任或滥用用户数据的情况发生时,要求美国实施类似GDPR的要求的呼声就会增加。
许多公司都在努力遵守GDPR,因为“忘记”用户数据集所需的控制措施尚不存在,创建这些数据集所必需的方法将复杂且成本高昂。与此同时,各公司正在努力找出如何在保护客户数据的同时保持良好的声誉,同时在接受审计时不会受到政府机构的惩罚。美国公司担心GDPR会朝着这个方向发展,一些公司正在抓紧准备。
员工隐私
尽管员工隐私通常被视为比客户隐私更不重要的问题,但它仍然是高管关注的焦点。关于如何处理客户数据的观点正在改变,这也影响了关于如何管理员工数据的共识。
工人数据的隐私通常是安全和管理协议的领域。当员工接受公司的职位时,他们与雇主签订合同,并承认需要收集和存储一定数量的私人数据。技术解决方案已经发展起来,可以帮助公司保护这些员工数据,确保其不受外部侵犯,并且只能由公司内部的合适人员在适当的时间访问。这是IAM的域。
工人们传统上认为,与消费者数据相比,他们无权规定如何使用员工数据。当涉及到员工隐私时,没有“被遗忘权”,事实上,为了税务和法律目的,许多组织都必须保留员工数据,即使员工已经离开公司。然而,许多员工对雇主人力资源数据库中的身份越来越有归属感。这可能是日益增长的消费者隐私权运动的影响,但工作场所的人口统计也可能对此负责。虽然老一辈人接受公司会保留他们的信息,但千禧一代人并不一定会做出这样的假设,尽管他们在个人生活中提供了大量信息。
随着雇主以新的方式利用员工的数据,例如,将个人健身追踪器连接到公司激励计划,使用个人指纹作为访问机制,或在公司发行的笔记本电脑上安装监控软件,有关适当数据管理的问题只会升级。
拐角处的变化
有多少客户真正阅读了他们光顾的公司的服务条款?有多少公司对客户的数据及其使用和存储方式透明?到目前为止,对遭受隐私侵犯的公司几乎没有什么影响,因为许多消费者似乎觉得,剥夺隐私是他们为获取技术所付出的代价,其好处大于代价。
然而,随着客户和公司对隐私问题的认识和教育越来越深,头条新闻可能会产生法律后果。Gartner预测,“到2020年,个人数据的备份和归档将成为70%组织面临的最大隐私风险领域,而2018年为10%”。
解决隐私问题不可能很快或很容易。一些公司会倡导客户和员工隐私,有些公司则不会。人们将越来越多地要求隐私,而公司则努力满足这一要求。公司将认识到,他们需要明确数据的所有权,确保数据得到集中管理,并以一致、安全的方式实施控制、法规和工作流程。他们会明白,员工隐私和客户隐私之间的差异可能需要不同的解决方案和专业知识。
隐私考虑建议
以下是从何处开始思考组织内部隐私问题的一些想法。
- 与执行领导层接触,以获得有关隐私的支持和赞助,并与执行利益相关者定期举行会议,以在工作进展过程中提供指导和决策。
- 考虑您的客户数据位于何处,以及谁拥有这些数据。市场营销部或销售部是您客户数据的保管人,还是与其他部门合作?哪些员工或第三方可以访问它?
- 确定现在和将来适用于客户数据的法规或控制措施。例如,如果你是一家医疗保健公司,你需要考虑的不仅仅是HIPAA,GDPR可能很快就会出现在你的后视镜中。
- 确定制定了哪些隐私政策。客户数据的隐私政策应与内部用户数据隐私政策不同,因为每个政策的法规和期望都是独一无二的。审查现有政策,填补任何缺失政策的空白。确保适当级别的权限在涉及风险和安全的政策设计中有发言权。
- 重新评估。通过审查这些法规和控制措施,您发现了哪些您不知道的,需要知道的?您的客户数据的存储和访问方式需要做哪些改变?
- 确保您对所有员工数据拥有集中的IAM控制系统,这不仅意味着员工,还意味着承包商、合作伙伴和供应商。自动化、审计合规性和定期政策审查至关重要;更好的是为您的组织计划如何应对即将到来的监管变化制定路线图和战略。
找一个能为制定战略提供指导的人。例如,合规人员往往非常关注当前,而公司需要考虑近期和长期的未来。客户现在要求什么,一年后他们想要什么?如果公司能够预见这些需求和担忧并做好准备,他们就能以更低的成本更快地做出反应。
