如果沒有理解全球數(shù)據(jù)隱私法規(guī)就部署諸如身份管理、電子郵件、URL過濾、病毒掃描和員工電子監(jiān)控這樣的IT實踐，將使做全球業(yè)務(wù)的跨國公司陷入一堆麻煩中。

該警告是Gartner分析師Arabella Hallawell和Carsten Casper在最近的芝加哥Gartner風(fēng)險管理及合規(guī)性首腦會議上談到的全球隱私最佳實踐中提出的幾個警告之一。

關(guān)于如何做個人隱私信息保護（PII）最好，在具有限制性協(xié)議的環(huán)境中，PII總是被弄得很復(fù)雜，是一個很棘手的問題。

據(jù)Gartner分析師講，當(dāng)談到數(shù)據(jù)隱私法規(guī)時，世界被分成三個部分：具有強有力、適度或立法不完善的國家。在歐盟數(shù)據(jù)保護指導(dǎo)下，歐盟執(zhí)行最強的隱私保護法規(guī)，加拿大和阿根廷也緊隨其后；澳大利亞、日本和南非有適度到強（的最近確定）的法規(guī)；在中國、印度和菲律賓，法規(guī)是最無效或執(zhí)行緩慢的。

在美國，數(shù)據(jù)隱私法規(guī)具有模棱兩可的特征，分為兩類——強柱型，因為45個州把數(shù)據(jù)泄露通知法規(guī)書面化了；弱柱型，因為缺乏聯(lián)邦法規(guī)。

即使在這三類之中，也有很多細(xì)微差別。在歐盟指導(dǎo)下，各成員國制定自己的原則并納入立法，像意大利的一些法規(guī)比該指導(dǎo)的標(biāo)準(zhǔn)更為嚴(yán)格。俄羅斯最近的法規(guī)模仿了強有力的歐盟法規(guī)，但如何執(zhí)行仍是問題。而在美國，具備數(shù)據(jù)泄露法規(guī)通知的州發(fā)生了變化，內(nèi)華達(dá)州和馬薩諸塞州最近提出了最規(guī)范的數(shù)據(jù)隱私立法。

遵循個人數(shù)據(jù)收集的原意

對于信息隱私，雖然沒有普遍的定義，但多數(shù)業(yè)界專家將概念定義為個人用來控制其個人信息如何被使用的權(quán)利。該權(quán)利包括個人信息的收集、使用、保存和披露。

基于歐洲權(quán)利方法的主要原則之一是，組織必須有處理個人資料的理由，該目的必須保持不變。（您不能收集個人數(shù)據(jù)以提供商品，然后使用相同的信息用于大型營銷活動。）另一個主要的歐盟原則是禁止將數(shù)據(jù)運送到具有不完善的數(shù)據(jù)隱私法的國家（例如美國，因為它缺乏一個全面的法規(guī)）。在美國，公司監(jiān)視員工行為的權(quán)力普遍被接受，但在歐洲是受到制約的。

因此，Gartner表示，盡管IT安全工具可以用來幫助開發(fā)一個全球性的隱私方案，連接隱私和安全工具，必須咨詢隱私專家，否則首席信息官們可能冒違法的風(fēng)險。這里是Gartner關(guān)于兩個IT領(lǐng)域的建議——身份管理和員工監(jiān)視——企業(yè)可以很容易地發(fā)現(xiàn)它們是否觸犯了法規(guī)。

身份管理

身份管理就是管理個人信息。

Gartner的Casper說：“很明顯，身份管理和隱私管理兩者之間有關(guān)聯(lián)。在某種程度上，它是一個進行關(guān)聯(lián)、使雙方的專家集中在一起，并試圖看看是否有可能為另一方改變在這一方的投資的問題�！�

隨著公司內(nèi)部和外部網(wǎng)絡(luò)用戶的擴張，對跟蹤誰已經(jīng)訪問了什么的自動化系統(tǒng)的需求也隨著增加。并且公司為了遵守諸如薩班斯法案-奧克斯利法（Sarbanes-Oxley）和健康保險流通與責(zé)任（Health Insurance Portability and Accountability）行為的法規(guī)，正投入使用身份管理系統(tǒng)。

在隱私方面，詢問組織將他們的個人信息存儲到哪兒的人數(shù)雖然不多，但正在增加。Casper說，緊隨德意志電信公司丑聞，德國電話業(yè)巨頭承認(rèn)，它們暗中追蹤數(shù)以千計的電話呼叫以尋找有關(guān)其內(nèi)部運作的媒體泄露源，請求訪問被公司存儲的個人信息的員工數(shù)量在一年之中翻了一番，從700人達(dá)到了1400人。

Casper問：“如果你沒有用于存儲那些信息并獲得對其訪問的正確流程，你將如何做？”

在增加來自歐洲國家的員工的合并或收購中，身份管理工具被證明是有用的。Casper說，身份和隱私管理之間的天然聯(lián)系點是在“身份校對”階段。IT部門創(chuàng)建員工的身份信息以后，將是通知員工公司擁有其個人信息的一個很好的時間。這個流程讓員工知道他或她的個人信息將如何使用，這是歐盟方針的原則之一。

但Casper說，整合隱私和身份管理面臨巨大的挑戰(zhàn)。身份和訪問管理涉及各種技術(shù)，并且隱私權(quán)涵蓋了各種法規(guī)。整合可能是困難的，正在開發(fā)的系統(tǒng)最好使用實際的數(shù)據(jù)進行最好的測試，但現(xiàn)場測試數(shù)據(jù)增加了對隱私的擔(dān)心。這種對數(shù)據(jù)的使用超出了收集身份信息的目的。