会员申请 | 登录

CIO指南:数据隐私战略建设的3条实践

时间:2023-06-01
来源:IDC咨询

许多企业把客户数据看作是变现和客户体验(CX)个性化的工具,但很少关心隐私问题。他们甚至不十分清楚实际掌握了哪些数据,这些数据是如何创建的、在哪里或谁在接触数据。明智的企业都知道,要确保客户安全、满意和忠诚,应当始终把数据隐私放在首位。

IDC与3位数据隐私决策者者探讨了落实数字隐私战略建设的最佳实践。该文节选自《IDC PeerScape:数据隐私战略建设最佳实践》。

360截图16251112669372.png

数据隐私战略建设的3条实践

实践1

制定隐私保护措施,

避免监管处罚,提高效率

企业持续生成或收集海量数据,但其中大部分数据实际上永远无法用于改善业务流程或决策。原因很简单:大多数数据都是非结构化数据,在创建过程中也没有标注,只是堆积在一起。

受访者:餐饮零售数字服务商Paytronix,数据隐私和安全负责人MarcSchultz

Q1

避免客户违反数据隐私,贵司有哪些实践?

我们需要向他们保证我们是一家值得信赖的服务提供商。我们正在通过培训告知客户有关某些界限的问题,但我们不能为他们提供法律建议。为鼓励客户学习相关法律,我们提供信息包括:客户制定隐私政策要承担哪些相关义务?需要关注隐私政策?政策须包含哪些条款?等一系列问题。

Q2

GDPR对您的跨境业务有多大影响?

GDPR对Paytronix造成了很大的积极影响。我们主要以出口美国市场为主的出口公司。因此,我们虽然参与国际市场,但绝大部分客户在美国。由于GDPR的管辖区域是欧洲,Paytronix大多数客户并不关心其有关数据存储和管理的严格规定。但欧洲客户肯定关心。

Q3

如何向客户传递数据隐私价值观?

仅知道我们在欧洲有一个数据中心是不够的,这已经不是一个合不合规的问题,也不是一个技术问题;基本上成了一个教育培训问题。Paytronix还采用了这样一种做法,即目标不应围绕数据数量设定,而是要围绕数据质量设定。这是确保数据隐私工作可管理的最大因素之一。

实践2

制定战略,

实现更个性化的隐私保护

GDPR等法规赋予了消费者特定权利,让他们可以更清楚地了解自己的哪些个人数据被收集了、这些数据的用途以及如何按照自己的要求删除这些数据。这要求企业全面了解和控制拥有的所有数据。

受访者:欧洲最大的家电制造商博西家电集团,数字平台服务负责人BerkeMenekli

Q1

GDPR如何改变贵司与客户间的互动?

既然像资产一样宝贵,博西家电就必须要特别谨慎地收集、存储、访问和处理这些数据。未经客户同意,不得共享,并且必须在客户要求时予以删除。这意味着BSH必须清楚知道自己拥有哪些数据及其存储位置。

Q2

您如何看待企业必须制定数据隐私战略?

我们主张优质的数据管控,除了我们向数据所有者承诺的目的以及同意书中定义和阐述的目的外,我们不会将数据用于其他目的。依照这种方式,我们相信一定能成为深受数据所有者信赖的公司。

Q3

实现个性化隐私保护的挑战?

事实上,对于大多数企业来说,非结构化数据是一个大问题。因此,建议企业从长远角度认真考虑是否真的需要保存他们创建或遇到的所有数据。如果特定数据难以标注或分类,也许是因为从长远来看这些数据没有用。

实践3

将隐私保护变成企业文化的

一部分,使其成为所有员工的共识和关注点

某些个人身份信息的特征不明显,可能导致对这些信息的处理不当。员工应知道这一点,并加倍努力像保护自己的数据一样保护客户数据。

受访者:斯坦福大学,研究数据治理和隐私事务负责人ScottEdmiston

Q1

作为大学而非企业,隐私保护有哪些特点?

我们不同于普通的商业企业,因为我们的项目可能受到多方管理,涉及的利益方太多。终端激增、独特的协作方式、数据规模和来源、协调多种法律和安全机制、控制措施的成本和复杂性、数据“所有者”的识别以及制定可扩展的尽职调查等挑战。保护非结构化数据的隐私尤其困难。

Q2

如何将隐私保护变成学校文化的一部分?

斯坦福大学的数据和IT负责人试图通过员工培训、校园宣传、隐私办公室活动和数据风险评估(DRA)工作,将数据隐私保护融入学校文化中。

Q3

如何践行隐私治理?

我们将隐私作为固有价值或标准的开放治理框架。学校开始采用数据可查找(findable)、可访问(accessible)、可互操作(interoperable)、可重用(reusable)的FAIR原则。我们采用'注重开放'(方法)并开始将隐私嵌入分析中,在实现必要的数据共享同时,兼顾隐私和安全以及伦理、法律和社会影响(ELSI)。

IDC CIO/CXO信息科技智库服务助理研究顾问David Weldon表示,领先的企业都认识到,强大的数据隐私战略是一种竞争优势,这些企业培养了视数据隐私为重要资产的文化。技术实践和政策固然是制定强大数据隐私计划的基础,但赢得客户信任才是制定此计划的基石。

IDC中国高级研究经理李鑫表示:

基于以上实践,IDC提出以下进一步思考供CIO参考:

规划维度:不妨从信息安全的“物理、技术、管理”三个维度着手,企业的物理设施、技术的信息安全技术及提升隐私制度与培训,将会是企业全面践行隐私治理的维度。

分层治理:隐私治理的前提是明确什么是“公”什么是“私”,即数据分层治理。CIO应带领企业做数据梳理及分层规划工作,使落脚点更为明晰。

隐私平衡:过度客户隐私干预会影响客户关系,企业需要有严谨而通融的客户隐私保障策略,以客户价值为第一导向,投身于生态竞争力的打造及隐私治理能力提升的工作。