個性化的客戶體驗、自動化的商業營運以及資料科學導向的洞察睿見,都取決於資料的品質和數量。這就是為什麼你的資料隱私策略必須不僅止於道德政策而已。
文/Chris Davis 譯/曹乙帆
隨著企業急於遵守諸如歐盟《一般資料保護規則》(GDPR)和《加州消費者隱私權法案》(CCPA)等資料隱私法規,他們因此持續面臨全面施行上的挑戰。這主要是由於它們的資料管理與法規的嚴格要求之間出現不匹配的狀況所導致的。
組織可以藉由定義明確的資料治理框架來解決隱私法規的複雜性,該框架善用人員、流程和技術來建立資料存取、管理和使用的標準。這樣的框架並促使公司能夠處理包括身分與存取管理、同意管理(Consent Management)和政策定義在內等隱私權要素。
當領導者在實施資料治理模型並考慮到隱私時,他們可能會面臨許多挑戰,包括興趣缺缺高層主管的認同與支持,缺乏富凝聚力的資料戰略,或關於如何使用和處理資料方面的分歧意見。為了解決這些障礙,領導者應考慮採取以下行動:
一、建立跨部門的資料所有權和意識
儘管CDO資料長或CIO資訊長可以領導整個資料治理框架或模型的落實與執行,但資料治理應是整個公司的共同責任。至少IT部門、隱私辦公室(Privacy Office)、安全部門和各個業務部門應參與其中,因為每個部門在資料管理中都有重要的利害關係。儘早讓各種利害關係人參與其中,可讓公司建立關鍵資料目標和更廣泛的資料治理願景。這種協同合作可以採取專責工作小組的形式,也可以定期向執行委員會(Executive Board)報告資料治理和隱私權目標。
同樣的,資料隱私也是一項共同的職責。所有員工都應遵守資料收集、使用和共享的公認標準,以便能在維護資料隱私方面發揮作用。實際上,要落實一個將隱私權考量在內的成功資料治理模型,就需要對員工進行治理概念、角色和職責,以及資料隱私權概念和法規方面的教育(例如,「個資」vs. 「消費者資訊」的定義)。
在建立治理願景並推動員工認知之後,組織可以定義他們想要的資料治理角色(例如資料擁有者、資料管理員、資料架構師和資料使用者),並根據自己的需求量身訂製角色。例如,一些公司可能會區分資料管理員和資料擁有者,前者負責執行日常資料的操作,而後者負責資料政策的定義。對於一位擁有龐大且複雜IT部門的客戶,Metis Strategy建立了一個包括執行主管委員會(Executive-Level Board)、合併的資料管理員/擁有者角色,以及其他職位(例如,資料品質保管人)等組成的治理等級制度。這種結構簡化了溝通,並使該客戶能夠擴展其資料管理實務。
從長遠來看,公司應將資料治理和管理技能納入其人才策略和勞動力計畫之中。有鑑於某些資料密集型職位所需的專業知識以及合格人才的短缺,組織可以考慮尋求人力資源公司的幫助,同時將內部心力與重點放在人才的保留和技能的提升上。隨著公司策略目標和合規要求的變化,它們在調整資料治理角色和所有權時應保持彈性。
二、簡化資料政策和程序
為了充分回應與消費者隱私相關的資料請求,組織應建立橫跨整個資料生命週期的標準化程序和策略。這使得公司能了解他們收集、使用和共享哪些資料,以及這些實務與消費者之間的關係。
例如,CCPA法案賦予消費者有權選擇不將個人資訊出售給第三方。如果零售商需要遵守此類要求,那麼就必須能回答以下類別的問題:
●資料分類:公司擁有哪些與消費者有關的資料單元(例如地址、信用卡資訊或產品偏好)?公司是否對這些資料單元(Data Element)進行了適當的分類(如果有的話)?
●資料處理歷程(Data Lineage):客戶的資料源於何處,這些資料在其整個生命週期中發生了什麼?例如,公司是否只在內部共享客戶的資料,還是與市場行銷及支付供應商共享資料,以促進交易或個性化廣告活動?
●資料收集及合理使用(Acceptable Use):公司目前如何從消費者那裡收集資料?公司在收集和處理消費者資料時是否得到消費者的同意?如果公司與外部各方共享客戶的資料,是否與外部各方達成適當的資料共享協議?
為上述問題制定政策和標準,可以幫助組織快速確定在隱私法規下回應客戶請求所需的行動。公司應廣泛地溝通政策並確保政策會被遵循,因為如果不這樣做的話,那麼就可能會導致範本和實務在運用推廣上的不一致。例如,在一位Metis Strategy客戶中,很少有利害關係者對資料管理和存取標準有足夠的認知與理解,儘管該客戶的IT部門已制定了以這些標準為核心的廣泛政策。
三、技術和基礎架構升級
為了成功實施資料治理框架並確保隱私權合規性,企業可能還需要解決傳統既有基礎設施和技術債(Technical Debt)所帶來的挑戰。例如,在整個組織中,資料孤島(Data Silos)的儲存形式十分普遍,因此很難適當地識別任何資料隱私問題的根源,並難以迅速回應消費者或監管機構。
企業也需要評估委外雲端服務(例如雲端資料湖)所帶來的安全和隱私風險。那些使用多個雲端服務供應商的公司,可能希望簡化其資料共享協議,以便能在不同供應商之間建立一致性。
一些技術可以幫助公司在運用客戶資料的同時,又能降低隱私風險。Carnival Corporation 資訊長 Greg Sullivan 在一次Metis Strategy採訪中指出,資料虛擬化增強了他公司的分析能力,降低了營運和運算成本,並降低了公司面臨潛在安全和隱私差距(Privacy Gap)的風險。
公司另外也可以考慮使用新的隱私合規技術,這些技術可以透過提高可視性和透明度來強化資料治理能力。例如,一些資料探勘工具使用了進階分析技術來識別可能被視為敏感的資料單元,資料流對應工具可幫助公司了解資料在內部和外部的移動方式和位置。這些工具可用來幫助組織判定他們最關鍵資料單元所需的保護等級,並促使對基於GDPR規則和CCPA法案之消費者要求的快速回應。
儘管對舊有技術進行大刀闊斧的改革既耗時又昂貴,但有決心這麼做的公司可以減少隱私和安全風險,同時避免與技術債相關的其他挑戰。
建立可適性模型
隨著全球資料隱私趨勢的發展,企業組織應不斷調整自家資料治理模型。公司應在設計資料治理角色、流程、策略和技術的同時,也能將隱私權納入考量,進而主動履行自身的義務,而不只是對當前和即將制定的隱私法規被動地做出回應而已。這樣做的公司不僅可以改善風險和聲譽管理,而且可以激勵整個組織提高透明度並擬定更具資料導向性的決策。