什么是全面的数据保护方法?
根据 Gartner® 的研究,预计到 2024 年,全球 75% 的人口的个人数据将受到现代隐私法规的管辖。¹ 而数据领导的任务就是驾驭日益复杂的政策和技术,确保敏感数据既受到保护,又易于访问。数据保护是个概括性术语,涵盖隐私、合规、数据安全和数据道德等方面。通过采用全面的数据保护和网络安全方法,有助于有效应对网络攻击(包括勒索软件),保持法规合规性以避免代价高昂的罚款,交付值得信任的 AI,以及创造卓越的客户体验。
在 2022 年,数据泄露成本平均为 435 万美元,达到历史新高。² 而且,这还不包括品牌声誉和客户忠诚度方面的隐含成本。消费者希望自己的个人数据受到保护,决策者通过制定新的数据隐私法规作为响应。还没有为这个新的数据合规时代的要求做好准备的组织可能会付出高昂的代价。随着 GDPR、CCPA 和 LGPD 等越来越多法规的出台,在整体数据战略中融入全面的数据保护方法已成为全球企业的共识。.
这种方法不仅仅是研究如何收集数据,然后保障合规性与私密性;它还旨在了解如何在当今世界中使用敏感数据。它迫使组织提出以下问题:收集这些数据是否合乎道德规范?我们用这些信息做什么?是否与所收集的这些数据的所有者分享了我们的意图?这些数据保留多长时间,保留在哪里?我们能否跟上风险管理和恶意软件的进步速度?企业中负责收集数据的任何人,尤其是组织的领导层,应该对这些对话非常熟悉。
“这确实是从最高层开始的。”IBM 杰出工程师、可信数据与隐私工程战略与解决方案的 CTO Neera Mathur 说道,“IBM 的 CEO Arvind Krishna 有句名言:‘信任是我们的运营许可证。’我觉得这道出了一切。当人们向 IBM 提供自己的数据,而我们以符合道德规范的方式妥善管理这些数据时,就能够增进彼此之间的信任。对我而言,责任从最高层开始,自上而下渗透到我们企业的所有层级。”
根据 Gartner® 的研究,到 2024 年,全球 75% 的人口的个人数据将受到现代隐私法规的管理。¹
在 2022 年,数据泄露的平均成本为 435 万美元,达到历史新高。²
IBM CEO Arvind Krishna 有句名言:“信任是我们的运营许可证。”我觉得这道出了一切。当人们向 IBM 提供自己的数据,而我们以符合道德规范的方式妥善管理这些数据时,就能够增进彼此之间的信任。对我而言,责任从最高层开始,自上而下渗透到我们企业的所有层级。
Neera Mathur
杰出工程师、可信数据与隐私工程战略与解决方案的 CTO
IBM
数据保护的支柱
数据道德、数据隐私和数据安全这三大支柱共同撑起数据保护的大伞,帮助构建灵活的框架,以应对不断变化的法规和业务预期,并支撑用户信心。
支柱 1
简介
数据道德
组织对数据保护的文化观点决定了数据隐私和安全策略的制定和执行方式。哈佛商学院将“数据道德”定义为与个人可识别信息的收集、保护和使用以及这些行动所带来的影响相关的道德义务。³ 要负责任地做出有关数据的决策,促进可信 AI 的发展,须考虑以下数据道德原则。
所有权
所有权
获得数据道德权利始于了解谁拥有您所使用的数据。仅仅是因为用户给您数据,并不代表您就拥有这些数据。必须获得数据所有者的同意,数据保护和数据尊重也是必要条件。保持数据完整性意味着不会滥用数据,以及在使用完数据后立即进行处置。
透明性
透明性
在数据保护方面,透明性表示客户清楚他们所提供数据的使用方式。Pew Research Center 的研究发现,81% 的人认为数据收集的潜在风险高于收益。⁴为了克服这种根深蒂固的不信任,应当帮助用户了解客户数据的目的和生命周期,以便让他们感到放心:贵组织将正确使用数据,并用于最合适的意图。
隐私
隐私
当企业收集、储存和分析信息时,不得出于获得数据的初衷以外的其他目的,使用、储存、共享、维护、保留或处置这些信息。这也是数据隐私战略发挥作用的地方,有助于加强数据道德和安全策略。
意图
意图
无论贵组织是解决方案提供商还是数字提供商,在使用数据和机器智能时,必须始终确保目的明确。可信 AI 确保用户了解数据和技术如何协同工作,以及 AI 做出决策的原因。通过使用解释器工具包、AI 方法分类和 AI 管理解决方案等工具,可帮助我们加深对 AI 的信任,而这样又确保用户了解贵组织的意图,从而信任贵组织的技术、流程以及使用他们的数据所产生的结果。
预防
预防
数据泄露、勒索软件攻击和数据处理失误都会对客户造成伤害,考验他们对贵组织的耐心、忠诚度和信心。因为这些问题可能而且也将会发生,所以实施风险管理保障措施至关重要。一项 IBM 调研发现,那些在实施安全战略的过程中完整部署 AI 和自动化技术的企业,可以比未这样做的企业平均节省 305 万美元的数据泄露成本。
支柱 2
简介
数据隐私
数据道德建立了数据管理企业文化,规范了原则行为和实践。理想情况下,这种道德文化和数据素养会在贵组织中生根发芽,开花结果,并反映在产品和运营之中。而数据隐私则是定义策略和实践,以通过人员、业务流程和技术激活这些原则行为,并在从收集到存储的整个数据生命周期内付诸实施。这种方法的本质就是创建并自动执行牢靠的数据治理框架,以此作为 Data Fabric 方法的一部分。
数据治理有助于在限制数据访问以确保隐私与支持更广泛的数据访问以改进分析之间实现平衡。为了使组织能够更加无缝地使用数据,同时防止未经授权的访问,必须实施适当的数据隐私工具,如数据访问控制。将这些与 AI 结合,例如对敏感数据进行匿名化,使其在使用时不会暴露个人身份,或者,可以标记数据以对其实施相关策略。
通过建立适当的数据架构,例如 Data Fabric,并实施严格的数据管理,可有力地确保隐私数据保持私密和安全,同时仍允许数据用户从中获得洞察。
“数据保护框架必须具有极致的弹性和响应能力,能够有效应对法规变化、第三方数据、AI 规则以及未来发展等方面的未知因素。”IBM 首席隐私官办公室服务、合规与研究副总裁兼 Lee Cox 说道,“隐私、道德与数据治理之间的协同作用比我们预想的要强大。而我们现在所拥有的技术使我们能够以前所未有的高效率,充满信心地依靠数据采取行动。”
数据隐私的优点
数据隐私的优点
数据隐私的优点首先是保护客户数据,并在不断变化的法规形势下保持信任,这也是其最重要的一个优点。在目前的市场中,这也是一个差异化的商业竞争优势。IBM 首席隐私官 Christina Montgomery 认为:“隐私是竞争优势的一部分,涉及到我们公司的实践,并随着我们构建技术以支持全球隐私计划,直接为收入做出贡献。”
2018 年颁布的《通用数据保护条例》(GDPR) 给包括 IBM 在内的众多企业带来挑战,促使他们加速制定隐私计划。对于一家全球性企业而言,合乎逻辑的第一步是将当地的法律要求统一并整合到全球隐私合规框架中。例如,通过对来自数以千计的现有数据存储库的元数据进行分类,并整合到中央 Data Fabric 中, IBM 现在可以快速确定整个企业中正处理哪些类型的个人信息、由谁处理以及存储在哪里。统一隐私框架 (PDF, 4.7 MB) 提供了元数据驱动的方法和单一的可信事实来源,这对于降低 IBM 的法规风险至关重要。
了解面对不断变化的数据隐私法规,如何始终领先一步。
数据隐私要素
数据隐私要素
不止实现监管合规性的组织可以与客户建立信任,并从竞争对手中脱颖而出。 这种全面的自适应式数据隐私方法还可以带来其他优势:
了解数据风险
根据客户和法规责任评估数据使用情况和风险。
安全的数据共享
借助网络安全控制措施,保护个人数据,打造可信的体验。
自动响应事件
高效应对风险与合规问题,更轻松地进行扩展。
支柱 3
简介
数据安全
“技术在不断发展,但威胁也呈指数级与日俱增。”IBM 杰出工程师、数据平台服务全球 CTO Mehdi Charafeddine 这样表示,“幸好,应用数据保护和支持数据隐私的成熟方法越来越多。”
根据 Gartner 的定义,数据安全包含各种流程和相关方法,旨在保护敏感信息资产,无论这些数据在传输过程中还是静态存储中。这就是为什么数据安全实际上涉及用于保护数据隐私的工具和软件,无论是加密、多因素认证、数据掩盖、擦除还是数据弹性。但建立适当的控制与策略不仅仅在于部署适当的应用和算法,还需要转变组织文化。
从技术角度而言,可通过 Data Fabric 架构保护数据,它可以在“前门”保护数据(也就是用户与应用互动以处理数据的环节),还可以在生成和存储数据的来源(“后门”)保护数据,当然也不会漏过两者之间的任何地方。这种“前门/后门”方法对于确保实施适当的数据安全策略和控制至关重要。
“我们的许多客户在多个地理区域开展运营,”IBM 数据治理、数据隐私和数据科学产品管理总监 Priya Krishnan 表示,“因此他们的数据科学家希望数据分析能够覆盖多个地理区域。但由于孤岛式组织架构或没有集中的治理机制,他们往往无法共享数据。他们以前的解决方案是‘想象和模拟数据,然后建立模型’。但实施 Data Fabric 后,组织在实施适当的治理与隐私规则的情况下向数据科学家提供数据,从而使他们确信自己是在实施覆盖整个组织的计划。”
将数据安全措施“编织”到端到端数据管理机制中,对于支持安全和隐私(尤其是对于敏感数据)至关重要。以医院中的医学研究为例。医院可能与第三方专家或数据科学家合作,这些专家需要使用特定数据或应用,但无法看到任何受监管的信息或可识别个人身份的信息。基于角色的自动化数据策略可以支持与不同参与方的合作,同时在应用级别从隐私与合规角度保护数据。同时,要建立可信的 AI,数据必须在存储源头受到保护,例如,用于首先收集数据的本地数据库。否则,如果网络犯罪分子渗透进这些系统,患者信息将处于危险之中。
正确实施的数据安全将人员、流程和技术整合在一起,并建立对 AI 的信任。探索以下最佳实践,使信息安全成为企业中所有领域的优先任务。
了解数据所在的位置以及具有访问权的人员
了解数据所在的位置以及具有访问权的人员
保护敏感数据的关键步骤包括自动实现可视性,建立上下文,控制访问策略以及实施持续监控,以及时发现漏洞和风险,防患于未然。
保护数据以防止灾难性泄露
保护数据以防止灾难性泄露
针对数据管理实施零信任方法,部署一系列整合的能力,包括自动创建和安全隔离数据副本,以消除本地或混合云部署中的网络安全不足之处。
简化合规性
简化合规性
应对越来越多的隐私要求已经够困难了。满足报告要求是团队的另一个难点。通过自动化、分析和活动监控来简化合规流程。
数据保护从哪里开始?
使用以下 6 个步骤开始实施数据保护战略:
1
动员最高管理层
要实施适当的数据保护战略,需要获得整个组织的支持,这种支持应当从贵组织的最高管理层开始。
2
召集高管团队
建立专注于数据保护的战略委员会。这个步骤可以表明来自最高层主管的承诺。例如 IBM 在副总裁层级成立了隐私咨询委员会和道德委员会,旨在推动政策的制定,营造数据保护使命感。“通过这种机制,我们能够验证自己的战略,同时这也是决策的强大催化剂,能够对整个企业产生广泛影响。”Cox 表示。
3
激发协作
战略委员会定期开会,制定并检验数据保护战略。这个过程将数据素养计划放在数据保护和业务目标的核心。负责数据治理和隐私的 IBM Data Fabric 架构师 Christopher Giardina 表示,中央数据办公室、CEO 办公室和中央隐私办公室之间的合作堪称最佳合作模式之一。
4
为服务部门赋能
鼓励整个组织的领导成为数据保护运营模式的延伸。通过建立相应的战略委员会、实施集中式数据保护策略,以及提供必要的培训服务和技术,服务部门和业务单位可以携手实现数据保护战略目标。
5
统一战略
成熟的数据保护框架借助统一的数据战略转变企业文化,动员各个不同的部门和单位,统一整个组织的思想与行动。如果不仅仅是 CDO,而且 CPO 和 CIO 也在谈论数据保护带来的竞争优势,那么您就可以围绕信任与透明如何推动收入增长来建立业务案例。“在企业层面,这意味着必须打破传统的组织孤岛。”Cox 说道。
6
自动实施治理
要大规模提供数据保护与隐私,组织必须建立治理框架,使数据既受到妥善保护,又易于访问。Data Fabric 架构提供贵组织所需的方法,帮助自动执行数据治理和隐私措施,保持弹性,无论明天会发生什么。
成功案例
信任问题
当人们了解技术的工作方式,并觉得它安全可靠之后,就会更倾向于信任它。以 IBM 开发的一个工作流程为例,它能够准确预测患者对肠易激综合征 (IBD) 药物的反应(良好或不良),准确率达到 95%。通过结合 IBD 患者数据和可解释的 AI 方法以调查药物反应,算法的结果集表明,这有可能解锁 IBD 数据的黑盒,从而可以理解、预测和解释 IBD 患者对市场上和研发中的不同药物的反应。
这是持续的迭代过程
全面的数据保护方法不可能做到一劳永逸。这是持续的迭代过程,随着法律法规、业务需求和客户期望的不断变化而与时俱进。要相信,自己现在所做的努力是值得的。数据战略将成为差异化的竞争优势,在数据驱动型组织中占据核心地位。最终,数据保护将促进信任。通过制定符合道德规范、可持续而且自适应的数据战略,在不断发展的数据格局中确保合规与安全,帮助组织成为市场领导者。
后续步骤
您应如何着手?
构建正确的数据架构是一个迭代过程,它将随着业务的发展而不断适应和增长。 我们随时为您提供帮助。
脚注
¹Gartner 发现到 2024 年的五大隐私趋势(链接位于 ibm.com 外部),新闻稿,Gartner,2022 年 5 月 31 日。
²2022 年数据泄露成本报告 2022 (PDF, 2.4 MB),由 IBM Security® 赞助的 Ponemon Institute 报告,2022 年 7 月。
³企业数据道德五项原则,Business Insights 博客(链接位于 ibm.com 外部),.Harvard Business School Online,2021 年 3 月16 日。
⁴美国人与隐私:担忧与困惑,感觉无法掌控个人信息(链接位于 ibm.com 外部), Pew Research Center,2019 年 11 月 15 日。