主动出击战略管理大数据隐私

似乎所有人都在关注大数据,甚至包括美国联邦政府。美国联邦贸易委员会(FTC)去年年底向数据经纪行业的9家公司发出命令,要求他们提供对客户数据收集和使用情况的信息。FTC的行动明确表明,虽然大数据的兴起提供了很多商业利益,但也带来重大的隐私问题。

为什么要使用大数据?

大数据不同于过去的数据仓库,因为它几乎分析所有类型的数据文件或格式,包括图像、视频以及从社交媒体收集的数据。大数据的另一个特点是它没有像服务器对数据存储的“一对一”的关系,而是依赖虚拟化架构,从大型内容商店和档案中提取内容作为单一全球资源。

在企业管理人员和业务线经理中,使用大数据的最大动机是形成更准确、详细的预测或者推测,从而为企业提供潜在的优势。大数据带来的业务优势很广泛,从新产品开发和改进到最佳定价,再到筛选求职简历和设计有效的营销活动等。事实上,政治运动已经开始利用大数据分析:2012年奥巴马竞选就利用了大数据分析来确定可能投票的选民,然后影响他们,通过他们来筹集竞选资金,并获得选票,这是奥巴马获得最终胜利的关键战略。

大数据隐私问题

FTC最近采取的行动是专门针对数据经纪公司:这种公司收集和分析特定消费者行为数据,然后将分析结果卖给希望提高营销和销售业绩的公司。然而,需要承认的是,使用大数据带来越来越多的隐私问题,这并不仅限于这些传统的数据经纪公司。经济学人信息部(经济学人集团内独立的业务部)公布了使用大数据最多的19个行业领域,包括制造业、IT和技术、金融服务、专业服务、医疗保健、制药和生物技术以及消费品等。毫无疑问,大数据革命已经开始。

根据大数据的特点,以及大数据使用的业务动机,最关键的隐私问题是,简单地说,数据的质量或者准确性;以及企业使用这些数据来作出决定而可能会对个人产生的负面影响。例如,从社交媒体获取的个人信息的准确性?从社交媒体或者其他网络来源的信息可以用于筛选或者排名求职申请,或者提高医疗保险的价格吗?基本的个人资料,例如年龄、婚姻状况、教育或者就业情况通常都是未经验证的。在免费电子邮件服务中同样也没有这些验证,几乎所有用户都会点选接受使用条款和私隐声明,表明同意放弃用于数据汇总的一定程度的隐私权利。

另一个质量问题是,当收集互联网搜索字词或短语时,可能会对它们存在误解。企业利用大数据不佳的例子包括使用互联网搜索词条来评估产品定价,或者潜在目标客户。要知道,在家庭计算机中可能有多个用户,并且有很多原因某人在网上搜索与他们无关的主题。这种类型的数据收集、分析和使用可能产生有问题的分析结果,从而导致错误的决策,而最终造成个人和分析数据的企业两败俱伤的局面。这种缺乏对大数据质量的控制将我们指向另一个隐私保护原则,即收集符合且适合既定目标的个人数据。

大数据隐私的最佳做法

企业处理大数据的最佳做法仍然还没有确定,但已经有一些经验可供我们借鉴,确保在不牺牲个人数据隐私的情况下,推动大数据创新。

有效使用大数据的第一步是正确地采购和管理云服务,这是使大数据符合成本效益的先决条件:大多数企业不能或者不会投资于支持大数据计划所需要的IT基础设施,而是依赖云计算应用、基础设施和处理能力。此外,即使是那些愿意投资的企业也会发现,没有云计算提供的灵活性,他们将举步维艰。这也暴露了很多企业的薄弱环节,即普遍不能确保云计算中数据的安全性和隐私性。企业执行标准的一般安全合同条款并不够。对于特定数据隐私控制,云服务供应商和云服务用户明确各自必须承担的责任。还必须对云服务进行持续的检测和审计,同时通过相关指标来显示数据完整、保密和可用。使用云计算服务的完美的数据保护资源是云安全联盟(Cloud Security Alliance),其官网上有很多指导性文件可供参考。

从过往的经验来看,在部署云服务时,最好在公共云执行大数据原型,然后转移到私有云。为什么?公共云部署,顾名思义,是在第三方环境内,并可能受到“不信任”各方的访问。而私有云部署直接受组织或者企业的控制和管理,即使数据计算设施可能位于企业外部,但私有云部署只能由受信任的各方来访问。

更好地利用大数据的下一个战略是部署融合存储。融合存储更有效,并能够降低错误的可能性,而这些错误可能影响数据质量或准确性。融合存储与数据质量和准确性相关的关键特征是重复数据删除,它还具有成本效益的优势。

另一种最佳做法是正确地清洗数据,以帮助避免一些上述隐私问题。Emory University数据仓库专家Amy Dean表示:“在尽可能早的时候,对数据进行过滤、清理、删减、一致化、匹配、连接和诊断。”鉴于数据质量对分析的影响,Dean建议对多样的不同的数据进行衡量或者评估。Dean还建议,为了查询,数据来源应该有链接或可用,这样有问题的任何数据元素都可以追溯到其源头。

最终,确保个人数据准确性(进而确保更好的数据隐私)的最好办法是鼓励和要求消费者查看、审查和纠正收集到的有关自己的信息,而不只是企业自己动手。此外,消费者审查过程要易用,而且不需要消费者花钱的。对于早期大数据使用者,这是很艰巨的工作,因为他们通常收集大量甚至他们从未使用的数据,操作起来会很复杂。并且,企业可能也担心消费者看到他们收集了如此详细的个人信息。但这种透明度是让消费者决定采用大数据,建立信心的最佳方式。信誉报告实体一直以来让消费者访问、审查和纠正数据,这是长期有效的做法,这也是美国监管部门对该行业的要求。同样,隐私提示、网站声明(其中包含回答问题的详细联系方式)能够实现更好的透明度,也是处理错误数据的方法。

大数据之谜

最富争议的企业隐私观念是取得同意或者允许收集和使用个人数据。如果时光可以倒流,一切重新开始,这将是个理想的基本规则。然而,寻求个人的同意来收集个人数据已经为时已晚,因为已经有大量个人数据被收集和广泛共享。不争的事实是,我们不可能确定所有可能收集了个人数据的企业。

有种办法可以帮助个人重新获得对其个人数据的“控制”,即允许他们完全删除和清除自己的数据。当然,大数据用户并不乐于提供该功能,并且,这是对消费者是否能意识到和相信使用其数据能够带来优势的“严峻考验”。监管部门在考虑保护消费者隐私权利的时候,必然会要求提供删除数据的能力。随着大数据使用的不断发展,在企业大数据部署的技术设计和架构阶段,企业应该考虑提供允许个人删除特定数据字段的功能。

同样的,从保护个人隐私权利的角度来看,使用个人数据的更好的办法就是对所有个人数据“匿名化”处理。然而,匿名化的概念(即删除任何可识别的字段或属性)并没有被证明是可行的。早在2000年, Latanya Sweeney博士(现为哈佛大学教授)就表明只需要三个信息就可以确定87%的美国人:ZIP代码、出生日期和性别,而这些信息都可以在公共记录中找到。考虑到这些研究结果,即使部署了匿名化系统,我们仍然能够重新确定任何居住在美国的个人消费者的身份。

考虑到所有这些问题和战略,在蓬勃发展的大数据领域,保护个人隐私权利的解决办法是,确保可靠的准确的个人数据,并对其进行适当的解译。同时,企业应该将上述隐私原则纳入其大数据开发和使用中,只有这样,企业才能够获得最好的结果,或者说,最少的消费者抵触情绪。