由于大(dà)數據衆所周知(zhī),數據的數量和複雜(zá)性已大(dà)大(dà)增加,這與事務記錄系統(SOR)的時代已不可同日而語。來自新數據源的這些新型數據,加上企業組織将數據變成其他信息的種種方式,給隐私、安全和妥善保管方面的合規實踐帶來了獨特的挑戰。
律師邁克爾·R·奧弗列(MichaelR.Overly)早在2015年2月份在《CSO》雜(zá)志(zhì)上的一(yī)篇文章中(zhōng)寫道:“大(dà)數據合規方面的挑戰,加上這越來越多的一(yī)堆亂糟糟的法律、監管、标準和合同義務,讓人不知(zhī)所措。”奧弗列是富理達律師事務所(Foley&LardnerLLP)駐洛杉矶辦事處的合夥人,主管技術交易及外(wài)包、隐私、安全和信息管理等業務。
奧弗列表示:“即便沒有任何個人身份信息岌岌可危,企業還是有義務要落實适當的安全措施,保護其他高度敏感的信息,比如與其商(shāng)業機密、營銷活動、業務合作夥伴關系等方面有關的信息。許多公司常常隻關注法律、監管、标準和指引這片森(sēn)林中(zhōng)的某一(yī)顆樹(shù)或樹(shù)枝,而沒有認識到或者甚至沒有看到其他附近的樹(shù)及其關系,當然很少拉開(kāi)适當的後退距離(lí),冷靜地分(fēn)析一(yī)下(xià),以便全面了解合規這片森(sēn)林。”
這片大(dà)數據合規森(sēn)林涉及多個物(wù)種,駐留在其中(zhōng)的數據來自視頻(pín)、照片、音頻(pín)記錄、機器和第三方廠商(shāng)。數據分(fēn)析員(yuán)執行數據清理和混合,以便獲得業務領導人需要的基本分(fēn)析結果。在這個過程中(zhōng),數據開(kāi)始轉換成新的數據形式。數據不斷演變成新的數據形式時,全部這些活動讓公司很難執行合規工(gōng)作。
奧弗列認爲,公司想要應對大(dà)數據合規挑戰,唯一(yī)的辦法就是制定一(yī)套企業框架,以應對大(dà)數據合規。這套框架要處理好諸多方面,除了數據外(wài),還要兼顧數據駐留在其中(zhōng)的系統,誰可以訪問這些系統,以及是否可以信賴這些數據是準确的數據。
大(dà)數據合規方面要考慮的另外(wài)問題包括:評估各種類型的大(dà)數據風險,評估知(zhī)識産權的保護情況,以及向利益相關方和客戶做出适當的法律透露和承諾。企業在評估這些方面、制定政策時,應該向外(wài)面的法律顧問或審計人員(yuán)尋求忠告,讨教最佳實踐。
向IT管理員(yuán)及領導大(dà)數據項目的其他人傳達的訊息就是,現在考慮大(dà)數據合規,并爲此采取措施不算太早。你應該圍繞大(dà)數據制定一(yī)套可靈活擴展的合規框架,确保所有利益相關方都了解它。下(xià)面是大(dà)數據和分(fēn)析管理員(yuán)除保護系統和數據訪問安全外(wài)還應該采取的三個步驟:
1、評估大(dà)數據合規工(gōng)作
大(dà)多數公司很少開(kāi)始制定大(dà)數據合規計劃。它們使用之前用于事務記錄系統的數據保管、隐私和安全方面的IT準則,它們向利益相關方和客戶發布年度隐私和安全報告。遺憾的是,這其實并沒有真正考慮到大(dà)數據和大(dà)數據轉換的獨特性。
如果公司決定銷售數據,現在沒有太多的政策針對這些數據的隐私、安全和所有權。在這一(yī)系列數據轉換和改頭換面中(zhōng),企業組織必須确定在哪些點執行合規、如何執行以及爲何執行。
2、評估貴企業如何保護文檔的安全
在許多情況下(xià),孤立的業務部門有紙(zhǐ)張記錄,但是它們也一(yī)直在實行數字化,增添這些記錄。其中(zhōng)一(yī)些信息是高度敏感的,包括患者健康記錄和财務記錄,可能還包括公司商(shāng)業機密和專利設計。
可能已落實了标準的安全措施(包括限制進入房間、訪問系統),但是如果你的大(dà)數據策略認爲這種數據與其他記錄系統或第三方數據結合起來很重要,該如何是好?開(kāi)始越過擁有自己的合規規則的傳統數據庫之間的界線時,就需要重新考慮合規。
3、制定管理大(dà)數據合規的新策略
在關系數據庫使用結構化數據的早期日子,很容易識别和檢索敏感數據,因爲數據搜索簡單又(yòu)直觀。大(dà)數據就不是這樣,大(dà)數據是完全非結構化的,也不可預測,很難搜索按照監管準則需要保護的敏感數據。這就是爲何制定管理大(dà)數據合規的新策略很重要。
跟上大(dà)數據合規方面的最新進展
大(dà)數據合規涉及另外(wài)許多方面,包括專門針對大(dà)數據新湧現出來的合規措施。IT決策者及其他負責大(dà)數據的人士應該密切關注這些新方面的動向。 |