保护客户的个人资料:如何遵守资料保护法例

通过安迪标志b| 2019年6月25日

保护现有和潜在客户的个人数据对世界各地的企业来说变得越来越重要,无论是在法律上还是在客户的要求下。欧盟(EU)和世界各国正在实施新的法律,要求组织保护他们收集和保存的个人数据。

本文提供了有关新数据保护法的详细信息,并就组织应采取的步骤提供了建议,以确保他们正确地保护个人数据。

甚么是资料保障?

这个词数据保护指企业为保护重要信息免遭盗窃、丢失或损坏而采取的措施。但数据保护也越来越成为……的代名词数据隐私信息隐私这些术语描述了这样一个概念,即人们有权知道一个组织收集或保存了哪些个人信息,并有权对一个组织是否收集和保存有关他们的数据发表意见。

各种州、联邦和国际法律也要求组织保证个人数据的安全。在此情况下,个人资料包括:

  • 名字
  • 地址
  • 文化概要
  • 医疗记录
  • 刑事司法调查及诉讼
  • 金融机构使用情况及交易情况
  • 生物特性,如遗传物质
  • 居住地及地理记录
  • 基于位置的服务和地理定位
  • 使用持久cookie的网络冲浪行为或用户首选项
  • 学术研究
  • 有线电视观看习惯
  • 财务信息
  • 政治信息
  • 教育信息

什么是违反资料保障?

违反数据保护通常被称为数据泄露,即敏感或受保护信息以未经授权的方式被披露或访问的事件。

数据泄露是一个越来越普遍的问题。追踪数据泄露的非营利组织身份盗窃资源中心(Identity Theft Resource Center)报告称,2017年有1500多起公开报告的泄露事件。此外,数据安全公司泰雷兹电子安全公司2018年的一项研究表明,46%的美国组织在前一年遭遇数据泄露。

保障资料的主要目标

强大的数据保护不仅符合所有法律标准,而且允许组织使用未受损害的数据来开展业务,从而使组织受益。以下是数据保护的主要目标:

  • 确保资料私隐
  • 保护数据免受丢失、损坏或损害
  • 确保组织能够定期和持续地使用数据来开展业务

马丁内斯说:“我认为这种担忧已经持续了好几年。”“高管和董事会担心如何保护客户数据,因为他们看到了数据泄露造成的损害。”

数据保护的作用是防止一系列可能损害数据或破坏组织开展业务的特定故障。一些主要的潜在问题包括:

  • 存储设备或存储系统故障:组织用于存储和使用数据的设备和系统可能会出现故障,从而导致数据丢失。
  • 数据损坏:数据可能会被破坏,要么是由于工作人员的错误或系统故障造成的意外,要么是由组织内外的人故意造成的。
  • 数据中心故障:存储组织所有信息的外部数据中心可能遭受故障或入侵,导致数据丢失或损坏。

数据保护作为商业优势

随着人们越来越担心他们的数据隐私以及公司如何收集他们的个人信息,他们是否相信一家公司会妥善处理他们的数据,这将是一个重要的商业差异。他们不会和他们不信任的公司做生意。

公司应采取的保护其数据的关键步骤

  • 了解您拥有的数据:许多公司甚至不了解他们可能拥有的个人数据,哪些数据是最敏感的,他们如何以及在哪里保存这些数据,以及如何最好地保护这些数据。TITUS的Charbonneau说:“一切都与数据有关。”“企业需要好好看看这些信息是如何进来的,以及他们是如何追踪这些信息的。”
  • 了解和遵守资料保护标准:其中一个公认的标准叫做ISO 27001,这是一套数据安全的最佳实践,由总部位于瑞士的独立非政府组织国际标准化组织(International Organization of Standardization)建立。对于特定行业,可能会有其他政府和隐私标准。你公司的专家必须理解并遵循它们。
  • 确保你的员工了解资料保护:员工必须了解数据保护的重要性,了解公司的数据保护政策,并遵守这些政策。深思熟虑的公司政策没有任何好处,除非员工遵守。
  • 观察和监控移动设备上的活动:确保你的数据保护政策涵盖了员工在办公室外使用手机、笔记本电脑和其他设备访问公司数据的方式。
  • 确保您的业务合作伙伴遵守数据保护条例:确认您的承包商、第三方供应商以及与您共享数据的任何其他组织也遵循良好的数据保护政策。新的数据安全法——包括欧盟的《通用数据保护条例》(GDPR)——如果合作伙伴的数据保护失败涉及到你的数据,你的公司可能会承担责任。
  • 保持所有公司软件更新:网络犯罪分子不断在软件中寻找漏洞,使他们能够访问个人数据。安全专家和软件公司也在不断了解这些漏洞,并通过软件更新中的“补丁”来修复软件。这就是为什么对组织来说使用所有软件的最新版本是如此重要。

还有一些重要的事情是组织和员工经常忘记的:

  • 了解和使用适当的密码:许多人使用简单的密码,比如“123456”甚至“password”,这很容易被黑客猜到。当黑客使用计算机在数千个可能的选项中连续移动时,较短的密码更容易破解。计算机可以在不到一秒钟的时间内破解一个7个字符的密码。

    Schrader建议:“使用长而容易记忆的内容。”“这对于一台蛮力计算机来说很难破解。”
  • 跟踪和擦拭已处理的设备:当科技过时了,人们就会把它扔掉。很多时候,人们忘记了硬盘上的数据还在那里,并且很容易被有兴趣寻找它的人检索到。


  • 避免网络钓鱼及鱼叉式网络钓鱼攻击:这些攻击越来越常见,当有人冒充您的银行、国税局或其他受信任的组织发送电子邮件,要求您点击电子邮件中的网站链接并提供基本个人信息时,就会发生这种攻击。该链接将把你带到一个恶意网站,该网站收集你的个人信息,并允许黑客进入你的银行账户,或窃取你的其他信息。

读作“数据安全101:了解数据泄露的危机,以及保持组织数据安全的最佳实践,以获取更多有关保障个人资料安全的建议。

业务连续性和灾难恢复的区别

为了开展业务,企业需要继续处理数据。因此,重要的是他们有数据问题的计划,并在数据泄露或其他问题期间有效地实施这些计划。对问题的长期组织规划-数据问题或其他问题,包括自然灾害-通常称为业务连续性。在问题或灾难发生后调用操作灾难恢复

  • 业务连续性:业务连续性更具有前瞻性,涉及到如何处理未来可能出现的问题的整体规划。在数据问题的上下文中,业务连续性意味着建立有助于确保业务能够快速解决问题并在数据泄露或其他数据问题后恢复的流程和程序。
  • 灾难恢复:灾难恢复的反应性更强,与组织从问题中恢复所采取的步骤的有效实现有关。在数据问题的上下文中,灾难恢复意味着必须立即采取的步骤,以停止数据问题、修复系统和恢复正常的业务操作。

有哪些资料保护措施?

广泛的控制可以帮助组织保护他们的数据。包括ISO 27001在内的数据安全标准可以帮助企业了解保护数据的最佳方式。在广泛的控制范围内,可以帮助进行数据保护的流程或设备有三个领域:保护数据的存储技术、帮助进行数据存储的流程以及保护和恢复数据的流程。

保护数据的存储技术包括:

  • 硬盘或磁带备份:能够保存信息的物理技术,这些信息可以被传输并存储在其他更大的存储设备上。
  • 数据库镜像:在另一个位置或设备上不断创建所有数据的副本,这意味着数据始终是主位置数据的精确副本。
  • 云备份:一种在外部网络服务器上复制所有数据的方法。
  • RAID (Redundant Array of Independent Disks):将相同的数据存储在不同位置的多个硬盘上的过程。

其他有助于数据存储和恢复的过程包括:

  • 擦除编码:将数据分解成片段,然后扩展、编码并存储在不同位置的过程。
  • 数据重复数据删除:消除数据的冗余副本,以释放组织的存储容量来执行数据备份。
  • 持续数据保护(CDP):一种允许在数据发生任何变化时进行连续备份的系统。

以下是一些保护和恢复数据的过程:

  • 拷贝数据管理:管理和减少组织需要保留的数据副本数量的过程,同时仍然拥有所有数据的适当备份。
  • Hyperconvergence:一种集存储、计算和网络于一体的系统框架,可以降低数据中心的复杂性。
  • 灾难恢复即服务(DRaaS):复制数据并将其托管在由外部供应商维护的服务器上。

流动装置的资料保障

移动设备——尤其是移动电话和笔记本电脑——经常受到数据泄露和数据保护问题的严重保护。员工通常会用他们的个人手机和笔记本电脑访问公司的基本数据,而这些设备的数据保护弱点通常会立即危及组织的数据。RH Strategic Communications公司的赫尔曼解释说:“每次你增加一个新设备,你的风险就会增加。

了解漏洞并修复它们非常重要。以下是一些可以改善数据保护的步骤:

  • 监控谁正在访问云服务以访问组织的数据,以及他们使用哪些设备和应用程序来访问组织的数据。
  • 确保这些设备和应用程序的技术符合公司的数据保护政策。
  • 使用文件同步和共享服务(如Box)。这些工具允许用户从移动电话、笔记本电脑和其他设备通过安全网站共享和访问文档。
  • 尽可能减少复杂性。虽然保护您的数据很重要,但部署对员工来说不太复杂的技术也很重要。如果一个工具很复杂,它们就会绕过某些控制,从而削弱数据保护。

遵守数据隐私法的基础知识

除了保护客户数据的商业利益之外,保护数据还有另外两个关键原因:第一,这是为现有和潜在客户做的正确的事情;其次,法律越来越要求保护数据。

数据隐私法可能很复杂,但组织需要了解一些基本主题,以确保它们符合要求。其中包括:

  • 维护数据:建立一个数据保护系统,适当地保护你收集和保存的个人数据,并向有关当局展示你是如何建立和维护该系统的。
  • 同意:这可能是欧盟新GDPR最重要的要求。你必须获得数据被收集者的直接同意。他们也有权在任何时候撤销同意。
  • 弄清楚适用于你的组织的规则:您需要了解您收集和保存的个人数据的性质和广度,以及法规可能如何管理这些数据,从而管理您使用这些数据的方式以及您的业务运营方式。
  • 教育员工:数据保护不仅仅是IT部门的事。数据保护还包括简单的电子邮件,以及通过移动电话访问客户名单。确保您的员工在数据隐私和安全的细微差别方面接受了充分的培训。

透过资讯系统的新发展保障私隐

大多数数据保护是通过专家建立和监督数据以及收集和存储数据的信息系统来实现的。但在整个21世纪,技术的进步使系统本身能够提供一些数据保护:

  • 隐私偏好平台(P3P)这个现在已经过时的系统是在21世纪初创建的,它允许网站提供他们打算如何使用从使用网络浏览器的人那里收集的信息的信息。
  • 政策执行:一些计算机语言可以以机器可读的方式表达隐私策略,这使得组织的软件系统能够使用该信息在组织的计算机系统中执行隐私策略。
  • 保护互联网上的私隐:众所周知,电子邮件和网页浏览容易受到数据泄露的影响。新技术可以帮助加密电子邮件,并允许人们通过所谓的网络来浏览网页网管。从本质上讲,匿名器是在用户的计算机和互联网之间运行的代理计算机服务器,允许用户的识别计算机信息保持隐藏。
  • 通过个性化改善隐私:安全专家认为,基于用户特征和习惯的个性化信息和安全“提示”可能会提高对安全协议的遵从性

有关信息隐私的法律问题

即使在GDPR之外,在过去十年左右的时间里,也有一些引人注目的国际法律问题围绕着信息隐私:

  • 安全港架构及私隐护盾:1995年,欧盟制定了一项隐私指令,规定欧盟公民的个人数据只有在接收国有足够的数据隐私保护的情况下才能转移到欧盟以外。作为该指令的结果,美国和欧盟签署了《安全港框架》(Safe Harbor Framework),该协议定义了美国将遵循的隐私原则。

    然而,欧洲法院在2015年驳回了该框架的有效性,裁定美国没有提供足够的保护。因此,在2016年,两国政府达成了一项新协议:隐私盾。即使GDPR于2018年5月生效,该协议仍然有效。尽管如此,《隐私盾》中没有任何内容允许美国公司忽视GDPR更详细的要求。
  • 旅客姓名记录协议:欧盟批准了一项新的“乘客姓名记录”指令,作为GDPR的一部分。旅客姓名记录协议这些规定管理着人们向航空公司提供的姓名和其他信息,以便购买从一个国家飞往另一个国家的机票。近几十年来,乘客姓名记录成为一个特别有争议的问题,包括美国在内的各国政府都在广泛使用这些记录来打击潜在的恐怖主义。

    一些人对政府通过乘客姓名记录轻易获取个人信息感到担忧。美国和欧盟批准了《旅客姓名记录协议》(Passenger Name Record Agreement),以规范收集哪些数据以及如何保存和使用这些数据。

管理数据和与信息隐私相关的法律和当局

英国的1998年数据保护法案是为了保护存储在电脑和文件系统中的个人数据而创建的。该法律在1995年欧盟数据保护指令之后在英国实施,并于2000年3月生效。

该法律现在已被GDPR和英国新的数据保护法所取代。但该法案在通过之时极为重要,因为它赋予了英国公民更明确的权利来控制有关自己的信息。

在英国信息专员办公室(Information Commissioner’s Office)的监管下,该法律将个人数据定义为能够识别个人身份的任何数据。它还对以下“敏感”信息提供了特别严格的保护:

  • 种族背景
  • 政治观点
  • 宗教信仰
  • 健康
  • 性生活
  • 犯罪史

法律赋予人们某些权利,包括做以下事情的权利:

  • 查看组织所拥有的有关它们的数据,方法是创建一个主题访问请求
  • 纠正错误信息
  • 要求数据不用于造成损害或窘迫
  • 要求数据不用于直接营销

该法律还规定了以下有关数据保护的总体原则:

  • 个人资料只应在某些情况下处理,包括在大多数情况下,只有当个人同意收集他或她的资料时才应处理。
  • 为某一目的而收集的个人资料,不应保存超过所需的时间。
  • 机构应实施“适当的技术和组织措施”,以保护个人资料不受损失。
  • 个人数据不应转移到欧盟以外的另一个国家,除非该国家有足够的个人数据保护水平。

然而,法律明确指出,这不适用于以下数据处理实例:

  • 维护国家安全
  • 评估税收或预防或侦查犯罪
  • 仅为个别家庭或个人家庭事务处理的

全球数据隐私法

近几十年来,许多国家都批准了数据隐私法,并建立了权威机构来管理和监督这些法律。一些已得到改善的法律包括:

  • 隐私法,1983年(加拿大)
  • 数据保护指令,1995年(欧盟)
  • 1998年《数据保护法》(联合王国)
  • 《2012年数据保护法》(加纳)
  • 俄罗斯的数据保护(隐私)法律(主要在2005年和2006年颁布)
  • 2012年《个人资料保护法》(新加坡)
  • 2016年通用数据保护条例(欧盟)

监管特定国家数据保护法律的机构包括:

  • 欧盟和欧洲自由贸易协会的国家数据保护当局
  • 澳大利亚信息专员办公室(澳大利亚)
  • 全国信息和自由委员会(法国)
  • 联邦数据保护和信息自由专员(德国)
  • 数据保护专员(爱尔兰)
  • 数据保护监督员办公室(马恩岛)
  • 联邦数据保护和信息专员(瑞士)
  • 资讯专员公署(英国)
  • 个人资料私隐专员(香港)

GDPR如何影响数据保护和数据隐私

欧盟的《通用数据保护条例》(GDPR)于2018年5月生效,正在并将继续对全球数据保护和数据隐私产生深远影响。

如前所述,GDPR取代了1995年欧盟的数据保护指令,该指令是在互联网处于起步阶段,网上个人数据很少的时候批准的。GDPR影响的组织远远超出欧盟,因为它规定了欧盟公民的所有个人数据和信息的收集、保存和使用方式。这意味着该法律管辖着美国和世界其他地方的许多组织,因为它们经常收集和存储欧盟公民的基本信息——即使只是当欧盟公民访问美国公司网站时。

GDPR以各种方式影响数据保护和数据隐私。以下是其最重要的三个要求:

  1. 禁止组织在未经个人同意的情况下收集或存储个人信息
  2. 要求组织在数据泄露后72小时内通知监管机构,并在某些情况下通知数据丢失或泄露的人员
  3. 要求组织在大规模处理个人数据时雇用“数据保护官”

GDPR规定了对违规行为的巨额罚款——对重大违规行为的罚款最高可达2000万欧元,相当于实体全球总收入的4%。但批准该法律的欧盟委员会辩称,该法律对于重建人们对其个人数据可以保密的信任非常重要。它还认为,这实际上有助于降低企业成本,因为企业将不再需要跟踪和遵守不同欧盟国家的许多不同法律。

企业遵守GDPR的建议

GDPR的全文有261页,可能非常复杂。但为了遵守法律,世界各地的公司应该牢记一些基本原则:

  • 获得同意:当你打算收集客户的信息时,直接征求他们的同意,并且只有在他们同意后才收集这些信息。
  • 交流公开:即使在获得客户同意后,也要向客户清楚地说明你是如何以及为什么使用他们的个人信息的。
  • 确保访问和可移植性:允许人们访问他们的数据,如果他们愿意,可以将其提供给另一家公司。
  • 通知人们资料外泄:法律要求,当数据泄露对人们的隐私构成重大风险时,你必须通知人们。
  • 请求时擦除数据:如果有人提出要求,你必须删除他们的数据。
  • 理解分析规则:例如,如果你根据人们的个人信息来决定是否发放贷款,你必须让一个人检查这个过程,并允许人们有权对任何负面决定提出异议。
  • 允许选择退出营销:你必须让人们有权选择不使用他们的个人数据进行营销。
  • 敏感信息的特殊保护措施:您必须对特别敏感的个人信息(包括有关个人健康、种族、性取向、政治或宗教的数据)使用额外的保护措施。
  • 儿童特别同意:收集16岁以下儿童的个人信息必须征得父母的同意。
  • 在欧盟以外转移个人数据时要小心:任何欧盟公民的个人数据转移到欧盟以外的国家只能有足够的隐私保护,或者在其他法律条件下转移,适当地保护信息。
  • 执行“设计保障资料”:从一开始就设计通信和其他系统以保护个人数据。
  • 检查你是否需要资料保障主任:如果你处理了大量的个人数据,法律要求你雇佣一名数据保护官。
  • 请记住,可能需要进行影响评估:在某些情况下,如果一个组织正在考虑采用新技术或对其处理信息的方式进行其他重大改变,法律要求该组织进行评估,以确定这种改变可能如何影响数据保护和数据隐私。

英国2018年《数据保护法》的主要原则是什么?

2018年英国数据保护法案取代了英国1998年的《数据保护法》,并正式实施了GDPR要求欧盟成员国实施的数据隐私条款。该法律以几个广泛的原则为指导,在一些次要条款上,它与GDPR有所不同。确保个人资料:

  • 公平、合法、透明地使用
  • 用于特定的和确定的目的
  • 以相关的方式使用,但仅限于需要的内容
  • 准确并保持最新
  • 保存时间不超过需要的时间
  • 以适当的安全措施处理

法律中的条款涵盖了一系列特定领域——其中许多类似于GDPR的条款,其中一些类似于1998年英国数据保护法的条款。

其中一些规定包括:

  • 赋予被收集数据的人一系列权利。
  • 规定个人数据如何以及在何种情况下可以合法转移到欧盟以外的国家。
  • 当组织使用新技术或对数据处理方式做出重大改变时,要求进行“数据保护影响评估”。
  • 如果发生数据泄露,要求通知英国信息专员。
  • 要求处理大量个人资料的机构雇用资料保障主任。

2018年英国数据保护法:它保护的个人信息

2018年的《英国数据保护法》保护了广泛的个人数据,包括个人姓名、地址、电子邮件地址和网络浏览活动等信息。

法例对某些类别的个人资料提供特别严格的保障,包括:

  • 比赛
  • 种族背景
  • 政治观点
  • 宗教信仰
  • 工会会员资格
  • 健康
  • 遗传学
  • 生物识别技术,用于识别特定的人
  • 性取向或性行为

该法律还规定了与刑事定罪有关的信息的单独保障措施。

2018年英国数据保护法:赋予“数据主体”的权利

法律规定数据对象作为个人资料可能被收集及储存的人士。数据主体被赋予广泛的权利,包括以下权利:

  • 同意或不同意收集数据
  • 被告知他们的数据将被如何使用
  • 有权查阅机构正在收集或已储存的个人资料
  • 更正不正确的个人资料
  • 如果个人要求删除个人资料
  • 请求组织停止收集和存储他们的数据
  • 取得某机构所收集的个人资料,并将其转移至不同的机构
  • 如果个人资料被用于自动决策(例如申请贷款),则有额外的追索权

英国2018年的《数据保护法》在一些条款上与GDPR有所不同,包括与移民某些方面有关的数据处理,以及与英国国家安全有关的数据处理。

爱尔兰2018年数据保护法案

爱尔兰签署了2018年数据保护法案于2018年5月24日生效,也就是GDPR在整个欧盟生效的前一天。

该法案赋予了爱尔兰数据保护委员会新的执法权力。它还列出了与GDPR在数据保护法方面的一些差异,在GDPR允许各国拥有的领域减损(或豁免或细微差异)GDPR条款。

爱尔兰2018年的《数据保护法》包括以下详细条款:

  • 政府将如何保护爱尔兰公民个人数据的基本知识
  • 处理特殊类别的个人资料,以及处理与刑事定罪有关的个人资料
  • 执法机关对个人资料的处理
  • 如何将个人资料适当地转移到爱尔兰和欧盟以外的国家
  • 违反法律的罚款
  • 如何向资料保障委员会提出索取个人资料的要求、如何提出对资料私隐的关注,以及如何通知资料泄露委员会

通过IT和运维智能表获得流程可见性,提高数据保护

通过设计一个灵活的平台来满足你的团队的需求,并随着需求的变化而适应,从而使你的员工能够超越自己。

Smartsheet平台可以轻松地从任何地方计划、捕获、管理和报告工作,帮助您的团队更有效地完成更多工作。报告关键指标,并通过汇总报告、仪表板和自动工作流实时了解工作情况,以保持团队的联系和信息。

当团队对要完成的工作有了清晰的认识时,就不知道他们在同样的时间内能完成多少工作。今天就免费试用Smartsheet吧。

了解为什么超过90%的财富100强公司信任Smartsheet来完成工作。

联系Smartsheet了解更多信息