什么是数据合规性?

数据合规是企业为了遵守数据隐私法规而进行的一系列努力。

学习目标

阅读本文后,您将能够:

  • 解释数据合规性的含义
  • 将数据合规性与隐私和安全性进行比较
  • 说明数据合规性的重要性

复制文章链接

什么是数据合规性?

数据合规性是指在存储、处理个人信息或敏感数据方面遵守法律和行业标准的行为。为了保护隐私,目前有许多不同类型的法规涉及个人和敏感数据。不遵守这些法规的组织可能会侵犯个人隐私,并因此可能受到相关管理机构的罚款或其他处罚。

在这些监管框架下,个人对其个人数据拥有各种权利。这些权利以及描述这些权利的方式在不同的司法管辖区可能有所不同,并没有一套放之四海而皆准的标准。然而,遵循处理个人信息的通用最佳实践(例如,公平信息惯例)可以让组织朝着正确的合规方向迈进。

为什么数据合规性很重要?

保护个人隐私:

可以推断,遵守数据隐私法规有助于保护个人数据的私密性。许多隐私法赋予消费者对其数据的控制权,允许他们编辑数据或在某些情况下删除数据,并要求收集数据的组织让消费者知道谁能看到他们的数据以及这些数据被如何使用。

许多人(包括 Cloudflare)认为隐私本身就是一个值得追寻的目标。但是,无论一个人对隐私的看法如何,尊重消费者隐私的组织都更可能受到用户和客户的信任。

避免罚款和其他处罚:

希望继续在各个地区开展业务并避免罚款等负面业务后果的组织应该高度重视数据合规性。许多监管框架赋予地方法院很大的权力,可对违规行为处以罚款、制裁和其他处罚。

例如,《通用数据保护条例》(GDPR) 的罚款规定为:

  • 第一级违规行为将被处以最高 1000 万欧元或企业全球年收入 2% 的罚款,以较高者为准
  • 第二级违规行为将被处以最高 2000 万欧元或企业全球年收入 4% 的罚款,以较高者为准
  • 除罚款外,当企业侵犯个人的 GDPR 权利时,个人还可要求损害赔偿

避免数据泄露:

虽然数据合规性本身并不等同于保护数据,但大多数数据隐私框架要求的控制通常会使数据更加安全。这降低了数据泄露的可能性。

数据合规与数据安全是否是一回事?

合规与安全在某些方面相互影响,但二者不完全是一回事。例如,数据合规的一部分要求是落实控制措施,确保未经授权的人员无法查看数据,这也会增强安全性。

合规与安全是不同的两回事,事实上,二者有时会产生冲突。例如,如果第三方反恶意软件工具扫描所有个人档案,这可能会提高安全性。但若该第三方工具不符合适用的监管标准,它也可能使组织不合规。

组织的安全团队和隐私团队必须紧密合作,以确保合规与安全这两项工作不会产生冲突。

要遵循的主要数据合规标准有哪些?

每个地区通常都有自己的数据法规,而且立法机构一直在通过更多法规。一些可能适用于所有全球性企业的主要法规包括:

其他需要了解的法案包括《加州消费者隐私法案》(CCPA)《电子隐私指令》《控制非自愿色情和推销侵扰法》(CAN-SPAM) 以及《萨班斯-奥克斯利法案》(SOX)

如何采取措施实现数据合规

数据合规是一项持续的工作,并且永远无法完全保证组织百分之百合规。但某些做法更有可能实现数据合规。

  • 数据盘点:组织应该知道自己拥有哪些数据,数据位于何处。总体数据治理策略有助于解答这个问题。
  • 访问控制:这将限制数据的可用性,仅供有需要的人员和服务访问,以减少数据暴露、防范攻击者的横向移动并保持数据安全。在某些情况下,不适宜的人员查看个人数据会导致组织规规,因此访问控制至关重要。
  • 加密静态数据和传输中的数据:加密会混淆处理数据,如此一来,只有能够解密数据的个人或服务才能查看或更改数据。
  • 培训员工和承包商:培训和宣讲是防范意外违规或数据泄露的关键。
  • 记录数据使用情况并执行审计:日志记录让组织能够向外部监管机构证明其合规行为,以及有助于确认遵守了适当的数据政策。
  • 了解并研究适用法规:可能适用不同的数据监管框架,具体取决于企业运营地点、客户所在地以及所属行业。组织应该聘请既熟悉适用法规又可以协助数据治理和确保合规的人员。事实上,这是某些法规的要求:例如 GDPR 要求达到一定规模的组织聘请一名“数据保护官”。

Cloudflare 专为合规性而构建,旨在为组织提供保持合规性所需的功能和解决方案。Cloudflare 全球连通云通过在单一平台上提供可组合的控件来简化合规性。探索 Cloudflare 如何简化数据合规性