公司保护客户数据的实用技巧

什么是个人数据安全？

在家办公文化中，数据保护方面的法律要求带来了诸多新挑战。安全性的大幅降低似乎无异于给网络犯罪分子发出了邀请函，让他们得以在未经授权的情况下访问个人的工作场所软件，而这可能会带来灾难性的后果。这就给企业主们提出了有关数据保护的重要问题：当没有统一的、安全的网络用于工作以及处理数据时，要如何确保公司的安全呢？如果公司无法完全掌控所使用的设备，又该如何保护客户的数据隐私呢？而且，管理数据保护的原则又有哪些呢？

不仅在工作中，在人们的私人生活里，我们也面临着数据保护以及数据保护缺失所带来的挑战。新技术让人们几乎生活的方方面面都有迹可循，这使得通过个人数据来识别身份变得太过容易。因此，赋予任何机构的对个人数据的透明度和掌控权至关重要。总的来说，我们需要更好的指引。以下是一些确保公司数据安全的实用建议。

数据保护适用于公司吗？

《通用数据保护条例》（GDPR）是世界上最严格的隐私和安全法规。尽管它是由欧盟起草并通过的，但《通用数据保护条例》规定了相关义务，并且只要各组织的目标对象或收集的个人数据中包括欧盟境内的人员，该条例就可适用于世界任何国家的组织。至少通过这些于 2018 年 5 月 25 日生效的新法规和法律，在处理欧盟数据的相关规定时，数据保护能得到保障。其他一些国家的监管没有这么全面，这使得对于合规部门来说，确保公司和个人的数据安全是一项敏感且具有挑战性的工作。因此，如今企业及其数据比以往任何时候都更需要在迅速变化的网络攻击和数据泄露形势与满足业务需求之间取得平衡，尽管并非每个企业都有自己的信息技术安全保护部门或合规部门，而这本身就存在风险。《通用数据保护条例》对那些违反其有关个人数据隐私和安全标准的行为处以高额罚款，数据侵权的罚款金额从数千欧元到数百万欧元不等。

公司和组织可以而且应该使用哪些方法来保护敏感数据呢？

《通用数据保护条例》建议公司遵循美国国家标准与技术研究院（NIST）的框架。《通用数据保护条例》的这一建议涵盖了成功的安全网络的所有基本组成部分，可用于存储敏感数据、防止数据丢失并加强保护：

1. 识别：深入了解自身所处环境，以便评估系统、资产、数据和能力所面临的网络安全风险程度，从而为人员提供更多保护。

2. 保护：为企业内的数据制定并实施适当的安全措施，以限制或控制潜在的网络安全事件对软件和硬件造成的影响。这意味着要控制对数字资产和实物资产的访问权限，同时还要负责为所有员工提供有关隐私等问题的个人数据教育和培训。

3. 检测：使用一个能够对公司进行持续监控的系统，以检测对业务连续性的威胁，例如客户或员工中出现的异常活动。

4. 响应：如果您的数据遭到网络攻击，组织需要有能力了解并控制其影响。因此，您需要确保制定了应对计划，并随后根据所吸取的经验教训更新您的应对计划和规则。

个人数据保护如何适用于公司呢？

在美国，对数据隐私影响最严格的是有关消费者个人信息（PI）和数据的收集、访问、销售及最终控制权的立法，该立法于 2020 年 8 月以《加州消费者隐私法案》（CCPA）的名义获得批准。它适用于年收入总额超过 2500 万美元，购买、接收或销售超过 5 万户加利福尼亚家庭或设备的个人信息和数据，或者其年收益的 50% 来自销售加利福尼亚居民个人信息的每一家企业。非营利组织和政府机构可获豁免。在大多数情况下，与法人实体和企业相关的数据（例如公司员工人数或某个协会的地址）以及纯粹的分析性数据不受数据保护法规的约束，因为这些数据与个人无关。

所有受《加州消费者隐私法案》约束的企业和组织都必须确保自身遵守该法律的监管规定。鉴于《加州消费者隐私法案》的审查程序和规则在某些方面相互矛盾，即使是合规专员也可能难以确定其组织需要对数据处理方式做出哪些改变，才能实现更好的保护。

不过，合规并不等同于数据安全。虽然对安全加密数据的定义各不相同，但数据加密是确保公司数据安全以及保证计算机系统处理的信息不会被用于犯罪目的的人窃取或读取的最基本要素。

在一个组织的日常业务活动中，每个用户都熟悉处理 cookie 以及同意网站处理个人信息和数据（如购买行为）的情况。法律要求企业在收集个人数据时向消费者提供某些详细信息。对于所有企业来说，确保自身遵守《通用数据保护条例》的数据合规规定是极其重要的。