避免安全工具和全球数据隐私法规陷阱

如果没有理解全球数据隐私法规就部署诸如身份管理、电子邮件、URL过滤、病毒扫描和员工电子监控这样的IT实践,将使做全球业务的跨国公司陷入一堆麻烦中。

该警告是Gartner分析师Arabella Hallawell和Carsten Casper在最近的芝加哥Gartner风险管理及合规性首脑会议上谈到的全球隐私最佳实践中提出的几个警告之一。

关于如何做个人隐私信息保护(PII)最好,在具有限制性协议的环境中,PII总是被弄得很复杂,是一个很棘手的问题。

据Gartner分析师讲,当谈到数据隐私法规时,世界被分成三个部分:具有强有力、适度或立法不完善的国家。在欧盟数据保护指导下,欧盟执行最强的隐私保护法规,加拿大和阿根廷也紧随其后;澳大利亚、日本和南非有适度到强(的最近确定)的法规;在中国、印度和菲律宾,法规是最无效或执行缓慢的。

在美国,数据隐私法规具有模棱两可的特征,分为两类——强柱型,因为45个州把数据泄露通知法规书面化了;弱柱型,因为缺乏联邦法规。

即使在这三类之中,也有很多细微差别。在欧盟指导下,各成员国制定自己的原则并纳入立法,像意大利的一些法规比该指导的标准更为严格。俄罗斯最近的法规模仿了强有力的欧盟法规,但如何执行仍是问题。而在美国,具备数据泄露法规通知的州发生了变化,内华达州和马萨诸塞州最近提出了最规范的数据隐私立法。

遵循个人数据收集的原意

对于信息隐私,虽然没有普遍的定义,但多数业界专家将概念定义为个人用来控制其个人信息如何被使用的权利。该权利包括个人信息的收集、使用、保存和披露。

基于欧洲权利方法的主要原则之一是,组织必须有处理个人资料的理由,该目的必须保持不变。(您不能收集个人数据以提供商品,然后使用相同的信息用于大型营销活动。)另一个主要的欧盟原则是禁止将数据运送到具有不完善的数据隐私法的国家(例如美国,因为它缺乏一个全面的法规)。在美国,公司监视员工行为的权力普遍被接受,但在欧洲是受到制约的。

因此,Gartner表示,尽管IT安全工具可以用来帮助开发一个全球性的隐私方案,连接隐私和安全工具,必须咨询隐私专家,否则首席信息官们可能冒违法的风险。这里是Gartner关于两个IT领域的建议——身份管理和员工监视——企业可以很容易地发现它们是否触犯了法规。

身份管理

身份管理就是管理个人信息。

Gartner的Casper说:“很明显,身份管理和隐私管理两者之间有关联。在某种程度上,它是一个进行关联、使双方的专家集中在一起,并试图看看是否有可能为另一方改变在这一方的投资的问题。”

随着公司内部和外部网络用户的扩张,对跟踪谁已经访问了什么的自动化系统的需求也随着增加。并且公司为了遵守诸如萨班斯法案-奥克斯利法(Sarbanes-Oxley)和健康保险流通与责任(Health Insurance Portability and Accountability)行为的法规,正投入使用身份管理系统。

在隐私方面,询问组织将他们的个人信息存储到哪儿的人数虽然不多,但正在增加。Casper说,紧随德意志电信公司丑闻,德国电话业巨头承认,它们暗中追踪数以千计的电话呼叫以寻找有关其内部运作的媒体泄露源,请求访问被公司存储的个人信息的员工数量在一年之中翻了一番,从700人达到了1400人。

Casper问:“如果你没有用于存储那些信息并获得对其访问的正确流程,你将如何做?”

在增加来自欧洲国家的员工的合并或收购中,身份管理工具被证明是有用的。Casper说,身份和隐私管理之间的天然联系点是在“身份校对”阶段。IT部门创建员工的身份信息以后,将是通知员工公司拥有其个人信息的一个很好的时间。这个流程让员工知道他或她的个人信息将如何使用,这是欧盟方针的原则之一。

但Casper说,整合隐私和身份管理面临巨大的挑战。身份和访问管理涉及各种技术,并且隐私权涵盖了各种法规。整合可能是困难的,正在开发的系统最好使用实际的数据进行最好的测试,但现场测试数据增加了对隐私的担心。这种对数据的使用超出了收集身份信息的目的。

此外,个人数据存储在哪里也是一个问题:通常情况下,个人数据的IT全球定位和法规定位之间存在冲突。(记住,禁止将个人数据传输到不符合欧盟标准的国家。)

总结:在跨越国界使用身份管理以前,聘请全球隐私和法规专家。

员工监控、网页过滤、数据泄漏预防

Gartner的Hallawell说,美国公司遇到麻烦最大的地方可能是员工监视。在过去的十年中,一个接一个的案例使公司更加坚持使用企业IT系统来监视员工行为的权力,而且员工知道它正在发生。公司拥有该资产,它有权监督其使用。

Hallawell说,“这一点也不被认为是理所当然的,尤其在欧盟,在世界其他地区也是如此。在欧盟,你能不能监视你的员工有非常严格的人力资源和隐私法。”

正使用像Web过滤和数据泄漏预防这样的网络安全工具的IT部门越来越多地发现他们自己生在水深火热之中。要记住的几点:阻止对不适当的网站的访问,通常是好的,但发掘员工在Facebook上花费多少时间是不好的。她说:“在欧盟,这种类型的网络钓鱼会让你陷入许多麻烦。”

的确,因为员工监视相关的活动,Hallawell已经看到“许多客户”必须处理本地欧盟的和员工监视裁决。对员工监视的指导因国家不同而有所不同。意大利是最规范的;在其他国家,如德国,进行员工监视必须获得工作委员会的批准。

“有些工作委员会是好的,只要你告诉他们你正在做什么,但其他工作委员会更谨慎。”法国也把员工监视入侵看作是极端严重的,根据在2004和2005年法国最高法院裁决的证据发现,雇主无法阅读电子邮件或文件,而且不论业务理由。

Hallawell强烈呼吁,在实施电子邮件和URL过滤时,IT部门不要单独行事,且不要秘密监视。 她说:“在欧盟,确保你和人力资源管理部门密切合作,且合法的;并且在美国,不要只是打开网页过滤,并把它作为你的全球策略。” 仔细查看成员国数据保护授权指南。相对于美国在建立诉讼文化上得到的极差口碑而言,欧盟员工在捍卫自己的隐私权利方面是“非常积极”的。