歐盟GDPR(一般數據保護條例)已正式生效有一週時間,這段期間我們不僅發現有很多跨國企業有相關困惑和業務需求,同時還發現大量開展GDPR研究和諮詢的公司也浮出水面。因為在GDPR法案裡有這樣一句話:GDPR has teeth: Failure to comply leads to financial penalties at 4% of worldwide turnover or €20m if higher……這是被這些跨國企業所關注的。
企業使用個人數據必須得到個人的同意,並且能夠證實得到了個人的同意;
特別隱私數據保護:禁止收集處理反映個人種族或民族起源、政治觀點、宗教/哲學信仰、是否是工會組織成員的數據、包括個人基因識別數據、生物數據、或涉及健康、性生活或性取向的數據;
知情權:controller在使用個人數據時,需要告知個人Controller的身份、聯繫方式等信息。告知處理個人數據的目的、接收人、被存儲週期、數據加工結果(如客戶畫像);
數據修訂權: 個人有權要求controller修訂不準確的個人信息;
數據被遺忘權:個人有權要求controller刪除個人數據;
數據遷移的權利:個人有權利接收個人數據和存儲個人數據到私人設備上;有權利將自己的數據從一個controller給另一個controller;技術上Controller應該提供給個人數據遷移的能力;
為識別觸碰GDPR紅線的潛在風險,跨國公司如何開展海外業務呢?
這將是一項關鍵的舉措。一方面企業有自有業務系統,這是支撐於業務流程的。另外數據中心是數據的承載者和加工廠,同時也是面向於業務部門、開發者及合作伙伴的主要途徑,因此GDPR的防範所在就在於此。
如圖所示,我們必須清晰的瞭解灰色區域究竟發生了什麼?數據的存儲週期、數據的來龍去脈、誰在使用誰在加工、數據提供給誰……這些問題直接影響著信息的合規性。因此關於元數據的收集是至關重要的。將企業當前平臺或系統的全量元數據捕獲到一個專用庫,然後進行預處理、建模和分析,形成相應的分析報告,有助於形成相關分析報告,從而輔助DPIA(數據保護影響評估)的合規性要求。
通過這樣的方案,他主要有三大好處:
1、整合數據,將分散的業務系統多個數據庫的脫敏數據整合到GDPR平臺,通過這種方式,極大縮短DPIA的核查時間、降低核查難度,並以此形成評估報告;
2、企業內外部數據使用者/開發者在進行SQL查詢/讀寫操作時只有訪問鏡像庫的權限,鏡像庫提供多租戶環境,並根據人員組織職責分配數據的使用權限;
3、海量歷史數據(生產數據或無關性業務數據)按需分級存儲及管理,極大降低DPIA的不合規機率。數據整合過程中的分析加工過程,能夠降低用戶錯誤信息的生成概率;
在大數據統一整合中心提供訪問代理鏡像庫服務,提高DPIA在審查多個數據庫/表的效率,並在數據安全方面提供更多保障。
通過這樣的解決方案,似乎可以從技術層面回答應該如何有效的應對GDPR法案,為企業數據加工和使用保駕護航。
分析世界講方案——每天早7點,為您帶來精彩的一頁。
感謝閱讀、感謝共鳴。
閱讀更多 分析世界講方案 的文章
