如果沒(méi)有理解全球數(shù)據(jù)隱私法規(guī)就部署諸如身份管理、電子郵件、URL過(guò)濾、病毒掃描和員工電子監(jiān)控這樣的IT實(shí)踐，將使做全球業(yè)務(wù)的跨國(guó)公司陷入一堆麻煩中。

該警告是Gartner分析師Arabella Hallawell和Carsten Casper在最近的芝加哥Gartner風(fēng)險(xiǎn)管理及合規(guī)性首腦會(huì)議上談到的全球隱私最佳實(shí)踐中提出的幾個(gè)警告之一。

關(guān)于如何做個(gè)人隱私信息保護(hù)（PII）最好，在具有限制性協(xié)議的環(huán)境中，PII總是被弄得很復(fù)雜，是一個(gè)很棘手的問(wèn)題。

據(jù)Gartner分析師講，當(dāng)談到數(shù)據(jù)隱私法規(guī)時(shí)，世界被分成三個(gè)部分：具有強(qiáng)有力、適度或立法不完善的國(guó)家。在歐盟數(shù)據(jù)保護(hù)指導(dǎo)下，歐盟執(zhí)行最強(qiáng)的隱私保護(hù)法規(guī)，加拿大和阿根廷也緊隨其后；澳大利亞、日本和南非有適度到強(qiáng)（的最近確定）的法規(guī)；在中國(guó)、印度和菲律賓，法規(guī)是最無(wú)效或執(zhí)行緩慢的。

在美國(guó)，數(shù)據(jù)隱私法規(guī)具有模棱兩可的特征，分為兩類(lèi)——強(qiáng)柱型，因?yàn)?5個(gè)州把數(shù)據(jù)泄露通知法規(guī)書(shū)面化了；弱柱型，因?yàn)槿狈β?lián)邦法規(guī)。

即使在這三類(lèi)之中，也有很多細(xì)微差別。在歐盟指導(dǎo)下，各成員國(guó)制定自己的原則并納入立法，像意大利的一些法規(guī)比該指導(dǎo)的標(biāo)準(zhǔn)更為嚴(yán)格。俄羅斯最近的法規(guī)模仿了強(qiáng)有力的歐盟法規(guī)，但如何執(zhí)行仍是問(wèn)題。而在美國(guó)，具備數(shù)據(jù)泄露法規(guī)通知的州發(fā)生了變化，內(nèi)華達(dá)州和馬薩諸塞州最近提出了最規(guī)范的數(shù)據(jù)隱私立法。

遵循個(gè)人數(shù)據(jù)收集的原意

對(duì)于信息隱私，雖然沒(méi)有普遍的定義，但多數(shù)業(yè)界專(zhuān)家將概念定義為個(gè)人用來(lái)控制其個(gè)人信息如何被使用的權(quán)利。該權(quán)利包括個(gè)人信息的收集、使用、保存和披露。

基于歐洲權(quán)利方法的主要原則之一是，組織必須有處理個(gè)人資料的理由，該目的必須保持不變。（您不能收集個(gè)人數(shù)據(jù)以提供商品，然后使用相同的信息用于大型營(yíng)銷(xiāo)活動(dòng)。）另一個(gè)主要的歐盟原則是禁止將數(shù)據(jù)運(yùn)送到具有不完善的數(shù)據(jù)隱私法的國(guó)家（例如美國(guó)，因?yàn)樗�缺乏一個(gè)全面的法規(guī)）。在美國(guó)，公司監(jiān)視員工行為的權(quán)力普遍被接受，但在歐洲是受到制約的。

因此，Gartner表示，盡管IT安全工具可以用來(lái)幫助開(kāi)發(fā)一個(gè)全球性的隱私方案，連接隱私和安全工具，必須咨詢隱私專(zhuān)家，否則首席信息官們可能冒違法的風(fēng)險(xiǎn)。這里是Gartner關(guān)于兩個(gè)IT領(lǐng)域的建議——身份管理和員工監(jiān)視——企業(yè)可以很容易地發(fā)現(xiàn)它們是否觸犯了法規(guī)。

身份管理

身份管理就是管理個(gè)人信息。

Gartner的Casper說(shuō)：“很明顯，身份管理和隱私管理兩者之間有關(guān)聯(lián)。在某種程度上，它是一個(gè)進(jìn)行關(guān)聯(lián)、使雙方的專(zhuān)家集中在一起，并試圖看看是否有可能為另一方改變?cè)谶@一方的投資的問(wèn)題�！�

隨著公司內(nèi)部和外部網(wǎng)絡(luò)用戶的擴(kuò)張，對(duì)跟蹤誰(shuí)已經(jīng)訪問(wèn)了什么的自動(dòng)化系統(tǒng)的需求也隨著增加。并且公司為了遵守諸如薩班斯法案-奧克斯利法（Sarbanes-Oxley）和健康保險(xiǎn)流通與責(zé)任（Health Insurance Portability and Accountability）行為的法規(guī)，正投入使用身份管理系統(tǒng)。

在隱私方面，詢問(wèn)組織將他們的個(gè)人信息存儲(chǔ)到哪兒的人數(shù)雖然不多，但正在增加。Casper說(shuō)，緊隨德意志電信公司丑聞，德國(guó)電話業(yè)巨頭承認(rèn)，它們暗中追蹤數(shù)以千計(jì)的電話呼叫以尋找有關(guān)其內(nèi)部運(yùn)作的媒體泄露源，請(qǐng)求訪問(wèn)被公司存儲(chǔ)的個(gè)人信息的員工數(shù)量在一年之中翻了一番，從700人達(dá)到了1400人。

Casper問(wèn)：“如果你沒(méi)有用于存儲(chǔ)那些信息并獲得對(duì)其訪問(wèn)的正確流程，你將如何做？”

在增加來(lái)自歐洲國(guó)家的員工的合并或收購(gòu)中，身份管理工具被證明是有用的。Casper說(shuō)，身份和隱私管理之間的天然聯(lián)系點(diǎn)是在“身份校對(duì)”階段。IT部門(mén)創(chuàng)建員工的身份信息以后，將是通知員工公司擁有其個(gè)人信息的一個(gè)很好的時(shí)間。這個(gè)流程讓員工知道他或她的個(gè)人信息將如何使用，這是歐盟方針的原則之一。

但Casper說(shuō)，整合隱私和身份管理面臨巨大的挑戰(zhàn)。身份和訪問(wèn)管理涉及各種技術(shù)，并且隱私權(quán)涵蓋了各種法規(guī)。整合可能是困難的，正在開(kāi)發(fā)的系統(tǒng)最好使用實(shí)際的數(shù)據(jù)進(jìn)行最好的測(cè)試，但現(xiàn)場(chǎng)測(cè)試數(shù)據(jù)增加了對(duì)隱私的擔(dān)心。這種對(duì)數(shù)據(jù)的使用超出了收集身份信息的目的。