《数据隐私》第二章:理解数据和隐私

230 阅读51分钟

第二章:理解数据和隐私

在上一章中,我们开始建立了对隐私和您的业务的高层次理解。在本章中,我们将进一步深入;我们将更直接地将隐私结果与您的业务运营联系起来。更具体地说,在阅读本章之后,您将更好地理解您的业务运营和隐私如何在经济、监管环境和客户情感方面相互关联。为此,我们将关注数据。

隐私及其涵义

为什么成熟的公司和聪明的工程师会发现隐私如此困难?他们拥有创造出令人惊叹的产品和不断增长的利润的技能,为什么他们不能像规划其他成功一样规划隐私成功?我曾经在实际情况中听到过这些问题,这些公司没有恶意意图,而且在成功的产品方面有过记录,却犯下了严重的隐私错误。

现在是时候提供一些背景了。让我们考虑现代工程是如何运作的,以及这如何带来隐私挑战。

为什么隐私很难保护?

就像在上一章中将隐私与人类对信任的本能联系起来一样,我们现在将把隐私结果与贵公司在数据方面做出的具体决策联系起来。比如以下决策:

  • 收集哪些数据
  • 如何访问数据
  • 与谁分享数据
  • 如何利用数据洞察进行操作
  • 如何适当管理风险

然而,首先讨论一下基层工作的进行方式会很有帮助,因为推动隐私的实际跨职能领导者需要这些信息来实施必要的隐私策略和工具。

在互联网泡沫时代过后的一段时间里,编程活动在一个沙盒环境中进行。指令从上到下传达,工程师们执行这些指令。图2.1清楚地展示了一个非常线性和可预测的过程,这是一种本质上自上而下的过程。

image.png

如图2.1所示,公司的使命确定了其产品路线图。路线图确定了产品和功能的具体要求,工程团队按照这一使命进行执行。然后产品被定为发布目标。

这种模式的好处是可预测且可重复。不足之处在于,你可能会投入大量资源和时间来构建一个产品,然后需要等待市场接受或拒绝的反馈。

在我职业生涯的后期,开发过程变得更具创新性、不受限制和不可预测。图2.2描绘了一个画面。

image.png

随着敏捷开发和Scrum等趋势在2010年代初开始扎根,工程创新也在发展。公司仍然可以坚持自上而下的开发模式,但与此同时,团队和工程师可以尝试新的想法,以小块的方式进行创新。

如图2.2顶部行所示,现代企业可以按照传统方式构建产品,其中一位高级副总裁或C级领导者可以支持某个产品。他们的愿景将纳入路线图,专门的团队可以忠实地执行。

同时,一支工程团队可以探索一个新的想法,这个想法可能与公司已知的专业领域相关或不相关。这种创新通常是分散进行的,产品的小部分会逐步发布以获取反馈,可能会引发新的投资。这类项目通常不遵循有关数据和IT资产处理的典型流程。图2.2的第二行显示了这种模式。

考虑到迅速推出产品、推动用户参与和转化收入的压力,第二种模式越来越普遍。这种动态阻止了高管及其技术领导者监督导致特定现状的所有较小决策。这进一步增加了中央隐私和安全工程师的任务复杂性,因为他们的计划必须考虑这些决策在一段时间内对多个学科的影响。

接下来,我们将看看在一个快速发展的公司中,面对新的和不断发展的隐私目标,技术领导者面临的挑战。

在现实中的隐私工程:你需要完成的任务

在本小节中,我们将看看现代公司中隐私工程师面临的挑战以及他们需要完成的任务。在我们刚刚看到的背景下,我将解释为什么他们的角色充满挑战。

图2.3显示了隐私工程是源于法规和行业最佳实践期望的具体体现。图中突出了公司面临的四个关键隐私期望:

  • 数据保护——用户和监管机构希望你保护客户数据。
  • 知情权——公司被期望在请求时提供客户数据的副本。我们将在第8章中详细介绍这一点,该章节涵盖了数据主体访问请求(DSARs)。
  • 被遗忘权——这赋予用户寻求删除其数据的权利。我们也将在第7章中详细讨论这一点。
  • 司法调查——公司需要管理其为法律合规目的收集和保留的数据。

这些抽象的要求映射到具体的隐私工程任务和技术控制措施:

  • 数据最小化,即只收集所需数据
  • 认证,确保能够验证员工和客户的身份
  • 授权,将寻求系统或数据访问权限的人映射到权限结构和策略
  • 数据清单和分类,需要创建数据目录
  • 审计,验证隐私控制(删除、保留等)是否得到执行

与工程师独立收集大量数据并在各自领域进行迭代不同,图2.3中的隐私工程工作是跨职能的,需要协同一致。

image.png

隐私工程师在实施这些隐私控制措施时,需要理解他们在业务中将会遇到的四个关键利益相关者的观点,围绕数据及其收集展开。图2.4识别了这些观点。例如,分析团队追求最大程度的数据收集,以训练他们的模型并获取洞见。这些洞见使产品经理和工程师能够构建推动用户参与和收入增长的产品。隐私工程师可以预期在减少数据收集量、限制数据访问以及添加数据目录和审计步骤时,会遭到这些利益相关者的相当大程度的反对。

image.png

快速发展的高增长公司通常面临着从审计到内部滥用再到数据泄露等各种隐私挑战。这引发了一些困难的问题,例如“我们是如何到达这一步的?”和“为什么我们没有预见到这一点?”当团队进行事后总结时,对这些问题的很多答案归结为基于图2.4中突出的对立观点的不一致决策。了解这些观点非常重要;隐私工程师应该注意并将它们纳入数据治理、隐私工具和审查中。特别是对于隐私来说,许多公司并不将隐私视为早期投资。在科技领域取得业务成功的习惯和流程并不一定鼓励良好的隐私实践。

下一小节将详细介绍隐私工程师必须涵盖的范围,以实现隐私控制的自动化。

隐私、数据系统和策略执行

即使在获得公司各个利益相关者的支持后,隐私工程师仍需要将其工具应用于企业中存在的各种系统中。图2.5展示了这样一个可能的景观。

image.png

在前一章中,您了解到数据在摄入后如何在整个公司中传播。图2.5展示了这些数据可能存在的系统示例。这些系统包括:

  • 像Hadoop和Hive这样的离线分析数据存储
  • 用于实时交易的操作数据,存在于结构化和非结构化数据存储中
  • 像S3和GCP这样的云数据存储

对于所有这些数据存储,隐私工程师需要应用自动化来执行保留和删除等控制措施。当预定义的保留期到期时,可能会发生以下一种或多种结果:

  • 立即删除 - 根据用户的请求或按需任何原因完全删除用户
  • 无活动用户删除 - 如果用户在指定时间内没有活动,则删除用户数据
  • 数据掩码 - 通过部分匿名化等方式将内容与用户分离,这是本书后面将介绍的一个主题
  • 保留 - 仅为特定用途保留数据,例如在保留期结束后,通过加密数据以限制法律团队的访问
  • 归档 - 将数据移动到归档系统中,供一段定义的时间或未来事件使用

隐私工程师可能还需要管理对数据的访问,例如使用加密技术。这项工作涉及以下几个关键步骤:

  • 确定所需的加密级别(应用级别、静态存储、传输中)。这将需要安全、存储、数据平台和分析团队之间的协调一致。
  • 构建密钥管理系统(KMS)以管理解密密钥,以便可以使用自动化方式进行大规模的授权或撤销访问。
  • 配置存储、数据和工作负载系统,从KMS获取密钥以访问数据。通过这种方式,隐私工程师可以确保他们的技术控制措施与个别工程师及其个人喜好无关,而是与系统和数据相关。
  • 配置业务事件和数据生命周期事件,以执行适用数据的加密和解密策略。
  • 构建对访问进行不可变日志记录,包括执行者、目标和返回的数据。为了安全检测和审计响应的目的,您可能需要记录显示谁访问了哪些数据、相应的解密密钥以及在访问时对数据进行了何种操作或更改。

无论是数据删除还是加密,这些技术控制措施需要作为策略整合到公司的工程流程中。这非常重要,因为只有通过自动化和策略配置,才能在大规模上实施执行。以下步骤概述了这样一个工作流程可能的情况:

  • 建立适用数据集识别的策略,之后可以基于隐私风险来识别整个公司的数据。
  • 扩展数据平台工具,以连接数据生命周期事件,以便在数据在整个基础设施中流动时执行策略。
  • 与存储、数据和ETL(抽取、转换、加载)工具集成,以发出生命周期事件,从而触发和执行策略。这一点非常重要,因为随着数据状态的变化,适用于数据的策略也需要相应调整。例如,如果将从客户那里收集的数据与第三方数据合并,可能会增加特定客户被重新识别并遭受隐私损害的风险。这反过来可能需要执行更严格的隐私策略。数据的变化需要发出生命周期事件,以便可以执行适当的策略更改。
  • 触发执行策略以对适用数据进行归档、删除和/或加密。这代表着确保数据隐私工具可以在适当的时间应用于数据的最后一步。

这些步骤将取决于数据所在系统的识别,根据风险对数据进行分类(以便对更敏感的数据进行加密),以及对数据进行标记(以便执行加密策略)。我们将在第3章和第4章中详细介绍数据分类和标记。

考虑到大多数公司在开始工作时缺乏隐私背景,但拥有看似无限的数据,上述步骤通常代表了一项挑战。这就是为什么隐私很难,而我们往往会出现这样的情况:开发的创新和速度与我们向客户提供隐私和安全的能力呈负相关。因此,隐私工程师需要尽可能地自动化这些过程。本书将帮助您做到这一点。

即使如此,隐私工程师仍将从其他公司遇到的使用案例中受益。如上所述的更加结构化的方法将有助于他们获得支持,构建隐私工具并推动公司范围内的采用。

为了了解这些高层战略方向如何映射到操作决策和细节,让我们考虑数据及相关决策如何帮助或阻碍公司、公司的增长以及与客户的关系。

这可能是您的公司

技术领导者了解开发世界的宏观变化是一回事,但了解在造成隐私问题之前需要注意哪些趋势和模式是完全不同的。为了说明这一点,我们将模拟您在过去几年中可能参与的创新过程。您将看到创意的增长和数据的积累如何导致隐私问题,并影响公司的增长。考虑以下情景。

白板、便利贴、用户流程图、概念化旅程。所有的创意涌动,使您的平台变得有吸引力。这是优秀设计与用户兴趣的完美结合,借助云计算的力量进行扩展。供给满足需求,多样的互联网接入市场带来了前所未有的客户和产品组合。

仅仅18个月前,您和其他工程师聚在一起,创建了一个让志同道合的人们聚在一起玩视频游戏的平台。您将提供最初的视频游戏,他们将吸引一批虔诚而活力四溢的追随者。社交媒体将使参与者能够分享关于他们的高分、特殊技巧和技巧的故事。

三个月后,平台准备就绪。您拥有所有经典的视频游戏:超级马里奥、双截龙等等。来自世界各地的游戏玩家可以使用他们的社交媒体凭据登录,邀请他们的朋友(然后朋友可以邀请他们的朋友),与他们竞争,在线分享他们的分数,并组建团队以循环赛的形式互相竞争。

将会有一系列社交参与的同心圆,来自世界各地的人们将玩他们当年最喜欢的视频游戏。您的平台将成为所有这些圈子的中心。

关于用户的数据——他们喜欢什么、玩了多少游戏、邀请了谁以及关于您的在线游乐场的其他见解——将成为营销甚至构建新游戏的动力。您甚至可以将平台出售给一家大型游戏公司或社交媒体公司。

您正在经历检查标记的增长模型(如图2.6所示),在初始的增长和收入下降后,二者都出现了激增。下降是在您构建平台、引入首批游戏和巩固第一个数据存储系统的阶段发生的。一旦用户到来,数据紧随其后,然后使您能够引入更多游戏并吸引更多用户。从经济和审美的角度来看,一切都还不错。

image.png

在此期间,您的工程师团队、数据科学家和产品经理开始尝到了数据的力量。他们利用从客户那里收集的数据构建的机器学习模型给他们带来了强大的洞察力,使他们能够吸引更多客户。您的天才们想,为什么不收集尽可能多的数据,甚至超出了当下的需求。您总是可以稍后使用这些数据,如果不需要,您总是可以删除它。

事实证明,就像我们搬家时从未完全打开的箱子一样,这些未使用的数据从未被完全删除。新的工程师看到经验丰富的工程师随意收集数据,然后效仿他们的做法。每个人都可以访问他们想要的任何数据,因为公司的自下而上的创新文化鼓励“原谅而不是许可”的方式。毕竟,您在平台上越快上线更多游戏,用户的选择就越多。这是一个自我强化的良性循环。

在接下来的15个月里,您的团队开始保留越来越多的数据,其中一些非常敏感,因为它可以识别用户、他们的居住地和年龄。平台的评论功能,是一颗耀眼的明星,可以帮助推断用户的一些详细信息,比如他们的体重、性取向等等。

然后有一天发生了一次数据泄露。黑客从一个未被保护的数据库中窃取了关于大量用户的数据,而这个数据库本不应该存在,本应该被废弃,然后本应该被删除。然而,这些事情都没有发生,黑客对此表示感激。因为在阳光明媚的时候,您的团队没有修补屋顶,现在数据正在泄漏,您的公司、平台以及用户的信任都正在被淹没。

您的商业模式从检查标记变成了倒置的V字形,如图2.7所示。数据泄露导致了信任的瓦解和用户的大规模流失,这些用户曾经涌入您的网站玩游戏。这种参与度的减少导致越来越少的开发者愿意在您的平台上授权他们的游戏,进而使用户参与度减少。您仍然有一个自我强化的循环,但它不再是良性循环,而是一个恶性循环。

注意:隐私问题通常是公司真正问题的滞后指标。在高增长周期中,公司在收集、访问和存储数据方面往往会犯错;这些错误通常使继续创新和增长变得更加困难。公司的隐私实践越早赶上持续创新的步伐,就越好。

image.png

这并不是一个难以想象的情景。实际上,考虑到这种情景有多常见,很容易将其视为发生在其他人身上的事情,那些对数据不够小心或不了解用户隐私需求的人。

然而,必须深刻吸取这种情景中的教训,以免跨职能技术领导者发现您重复了其他人的错误。请记住,在小公司中,一个人可能需要兼顾多个角色,可能需要在做出损害隐私的决策后几个月甚至几年后,才能参与救援行动和修复工作,而他们可能没有足够的时间或必要的背景来处理这些问题。

高级领导者的关键要点如下:

  • 数据收集和分析可以带来改善客户洞察和创新的机会。
  • 这种创新可以导致产品迭代加快和用户参与度增加。
  • 通常,在分散和自下而上的文化中,这种趋势可能会导致随意的隐私做法,而这些做法通常在很久之后才会被揭示出来。
  • 当一家公司发现其隐私做法不够完善时,可能顾客已经遭受了隐私损害,公司的信任也已经破裂。
  • 这可能发生在公司正处于增长期并可能减缓其增长的时候,或者更糟的是,在增长放缓的时候,初始增长的好处可能会丧失。
  • 因此,领导者有责任考虑决策的长期隐私影响,即使这些决策在短期内可能表现良好。

数据可以是一种强大的东西,为企业和客户提供许多潜在的好处。在讨论如何控制我们使用或访问数据的方式之前,值得花时间来欣赏数据的力量。

数据、您的业务增长策略和隐私

数据可以帮助企业解决实际问题,并为业务增长提供支持。本节将帮助确认我们迄今所见的场景和模式是真实世界隐私损害的预测因素。

数据可能在资产负债表上无法以可量化的方式体现,但它提供了解锁客户行为和期望的洞察和模式的能力。这可以帮助您发展业务,并以更有可能成功的方式进行投资。

跟踪用户鼠标移动的平台可能是最早注意到帕金森病症状的平台之一。数据驱动的人工智能可以改善购物和社交网络,提供清洁能源,并更好地管理食品供应和交通系统。数据可以帮助公司管理收入,以实现经济繁荣,并减少由不确定性引起的裁员。

这些能力需要随时间收集大量数据,以研究模式并构建模型。您的技术工具实时和批量收集的数据有助于建模人类行为,而这些模型为产品设计和路线图设定了基调。这是数据科学家和分析师所从事的核心工作。

隐私工程师需要了解数据收集如何帮助您的业务,因为他们需要了解为什么他们在工程、产品管理和营销方面的同事在涉及隐私问题时往往会提出异议。让我们看一个现实生活中的例子来帮助解释。

您的在线业务可能涉及销售食品、杂货、宠物用品或类似打车、酒店等服务。无论产品是什么,如果您希望发展业务,您需要:

  • 吸引并留住更多的客户
  • 增加每位客户的销售额和收入
  • 通过自动化和规模化实现利润最大化

您的在线业务增长策略将基于以下几个数据点:

  1. 网站流量:指您的在线存在所产生的客户流量。
  2. 流量转化率:指流量中转化为客户、销售额、退货等的比例。
  3. 邮件订阅转化率:指选择订阅电子邮件促销的用户的百分比,这可能有助于推动网站流量。
  4. 客户获取成本:指与吸引和保留客户相关的营销和其他成本。
  5. 平均订单价值:不言自明。
  6. 客户生命周期价值:指随着时间推移,每位客户为您创造的收入。这个决策将影响您愿意在客户获取成本上投入多少。
  7. 客户回头率:是客户忠诚度或“粘性”的关键指标。
  8. 放弃率:指在您的网站上开始购物但未完成购买的客户的百分比。

这些指标对于数据科学家来说都是重要的线索。在过去,产品的开发周期常常是几个月甚至几个季度,以期能够让客户满意,但这种方式现在已经大多被淘汰;大多数公司收集大量数据,并根据上述指标快速进行分析,并不断进行改进。这就是隐私至关重要的地方。

您的客户对于自己的数据有多安全感,以及他们有多信任您,这是大多数甚至所有这些指标的关键驱动因素。例如,如果客户信任您的隐私和数据保护做法,可能会导致增加的客户支持和高流量网站(如果我们正在衡量移动数据,则可能是应用程序流量)。同时,如果客户和潜在客户不信任您的隐私做法,他们可能不会大量出现,可能不会花费太多,可能不会向朋友推荐您的业务,也可能不会再次购买更多产品。所有这些可能会导致您不得不提供更多的折扣,增加营销投入,甚至创建新的事后隐私计划,这通常被视为面子工程而不是出于良心的努力。我们的在线经济和个体在线业务都依赖于信任和隐私,这两者都在不断占据客户支出的增长份额。

作为领导者,您会发现工程师和数据科学家声称“数据越多越好”和“我们随时可以后续使用”。对于用户数据过于宽容的制度往往会导致对数据保护的粗心实践。这种不慎保护数据的不谨慎行为有很多例子。

例子:隐私被侵犯时

在构建隐私计划时,领导者往往容易陷入“这种情况不可能发生在我们这里”的思维陷阱,认为隐私事故只会“发生在其他地方”。这种思维方式结合了自下而上组织中常见的创造性粗心,导致公司经常对隐私问题感到震惊。实际上,这些问题是由多个疏忽和过失的累积导致的。以下例子将帮助阐明这一观点。

这些例子还将清楚地表明我们讨论过的另一点:当您的安全机制失效时,隐私也会被埋在废墟中。当您未能从安全的角度保护数据时,数据的所有者几乎可以肯定地遭受隐私侵犯。

Equifax

在2017年9月,Equifax,美国三大消费者信用报告机构之一,宣布其系统遭到入侵,1.48亿美国人的敏感个人数据遭到泄露。

被窃取的数据包括姓名、家庭地址、电话号码、出生日期、社会安全号码和驾驶执照号码。约20.9万名消费者的信用卡号码也受到了侵害。

了解这次违规是如何发生的很重要:

公司最初是通过一个消费者投诉网站遭到黑客攻击,攻击者利用了一个广为人知的漏洞,本应被修补,但由于Equifax内部流程的失误,未能及时修复。 攻击者能够从网站攻击转移到其他服务器,因为这些系统之间的隔离不足,并且攻击者能够找到以明文形式存储的用户名和密码,然后进一步访问其他系统。 攻击者以加密形式将数据从网络中提取出来,在数月内未被察觉,因为Equifax关键性地未能更新其内部安全工具之一的加密证书。 这次违规事件使Equifax在2019年第一季度支付了6.9亿美元以解决正在进行的集体诉讼案件,并可能面临联邦和州政府的罚款。

评级机构穆迪(Moody's)下调了Equifax的评级展望,将网络安全(隐含着隐私问题)作为一个原因。穆迪(Moody's)发言人表示,此次降级是重大的,因为“这是网络安全首次成为展望变化的具名因素”。穆迪(Moody's)还表示,追赶的成本将对Equifax的利润造成拖累。

这里的教训很简单:

  • 如果你认为隐私和安全计划昂贵,忽视它们的代价更高。
  • 在数据的保护和访问方面,确保细节正确非常重要。
  • 就像铃声无法消除一样,数据泄露也无法撤销,对隐私和信任的损害可能同样是不可逆转的。

已经很糟糕了,这么多可以个人识别人和他们的财务状况的数据被曝光,这次事件定义了隐私危害的样貌。然而,这次泄露还公开了这些个体的收入和他们所欠债务的金额。

如果有人能够利用这些信息来识别那些身负债务且同时处于权力职位的个体,那么情况将变得更糟。现在我们来看另一次数据泄露,并探讨该泄露的数据与Equifax泄露的数据结合起来可能对国家安全产生的隐私后果。

注意:小而灵活的公司往往会对构建隐私所涉及的工作量感到犹豫,因为这迫使团队失去一些自主权并进行合作。然而,本章中隐私违规的例子表明,隐私的缺失往往比隐私本身更加昂贵,而且后面你将会看到,隐私可以成为企业的竞争优势。

联邦人事管理局(Office of Personnel Management,简称OPM)遭受的数据泄露事件

在2015年4月,美国联邦人事管理局(Office of Personnel Management,简称OPM)的IT工作人员发现其部分人事档案遭到黑客入侵。被窃取的敏感数据包括数百万份SF-86表格,其中包含进行政府安全审查的人员的极其个人信息,以及数百万人的指纹记录。这次OPM数据泄露事件引发了国会的调查,并导致高层OPM管理人员的辞职,其对国家安全和被盗记录的个人隐私的完整影响可能永远不会完全清楚。

研究人员已经能够拼凑出黑客入侵开始的大致时间线以及攻击者逐步执行计划的情况。这次黑客入侵被认为始于2013年11月,当时攻击者首次入侵了OPM的网络。国会OPM数据泄露报告将此攻击者或组织称为X1。当时X1无法访问任何人事记录,但他们设法窃取了手册和IT系统架构信息。次月,即2013年12月,攻击者试图入侵两家承包商USIS和KeyPoint的系统,它们负责对政府雇员进行背景调查,并可以访问OPM的服务器(尽管USIS可能在几个月前就已被入侵)。

2014年3月,OPM官员意识到他们遭到黑客入侵。然而,他们当时没有公开此次入侵,并且确定攻击者被限制在没有任何人事数据的网络部分,OPM官员选择允许攻击者留在系统中以便监控并获取反情报信息。

2014年5月7日,国会OPM数据泄露报告将攻击者或组织称为X2,他们使用从KeyPoint窃取的凭证在OPM网络中建立了另一个立足点,并在那里安装了恶意软件以创建后门。这个后门可以在没有适当认证凭证的情况下用于非法进入系统。这次入侵未被发现,OPM试图清除攻击者的访问权限或后门的努力失败。在2014年7月和8月,这些攻击者从OPM的系统中窃取了背景调查数据。

到了2014年10月,攻击者通过OPM的环境转移到了内政部的服务器,那里存储着人事记录,而在2014年12月,又有420万人的人事记录被窃取。指纹数据则在2015年3月末被窃取。最后,在2015年4月15日,安全人员注意到OPM网络中出现了异常活动,这迅速使他们意识到攻击者仍在系统中立足。

这次特定数据泄露事件的教训如下:

  • 数据收集越敏感,数量越大,攻击者利用的攻击面就越大。这可能是外部黑客或内部不法行为人。无论哪种情况,对于用户和公司之间的信任关系以及用户的隐私影响都是严重的。
  • 就像分散式开发加速创新一样,数据和系统的扩散使得隐私损害可以在独立的系统和数据存储中发生,并且可能需要一段时间才能了解其组合影响。一个中央隐私团队对于关注整体情况至关重要,而不是由各个技术团队驱动的以参与为中心的孤立方法。
  • 这次隐私损害是由于安全和网络漏洞所致。正如之前所述,安全是隐私的必要前提,在接下来的章节中,我将讨论安全实践和人员如何构成您隐私计划的关键支柱。 Equifax的数据泄露揭示了个人及其财务状况。OPM的数据泄露揭示了个人及其在政府内部的权力。这两个数据库的交集将确定美国内部处于财务困境中的权威人士的身份(见图2.8)。在错误的人手中,这些数据可能提供了勒索或贿赂的机会,从而危及美国国家安全。

隐私和安全风险通常是累积的。工程师们通常认为他们收集的数据不值得隐私保护,因为他们没有不道德行事的意图。这个例子显示了累积的隐私风险通常会在之后的某个时间点出现,经过一系列的安全事件。

image.png

隐私可能是具有上下文和个人性质的,但隐私损害的影响很少仅限于个人。

LabCorp和Quest Diagnostics

LabCorp是一家医学测试公司,表示770万名客户的个人和财务数据通过一次违规事件遭到了泄露。Quest Diagnostics也遭受了一次违规事件,影响了1190万名患者。该违规事件使一名“未经授权的用户”获取了财务信息、社会安全号码和医疗数据。这两起违规事件的共同点是,它们发生在为LabCorp和Quest提供第三方账单收款服务的公司。

从这些违规事件中,企业可以得出以下重要教训:

即使作为一家公司,你做了一切正确的事情,如果你的合作伙伴遭受数据违规事件的影响,你仍然很容易受到攻击。 在未来几年,随着我们逐渐摆脱疫情并且人口老龄化,保护医疗数据将变得更加重要。 LabCorp声称黑客并未获取“任何实验结果”,但几乎无法证明与医疗保健相关的数据没有被窃取,而实验结果却没有受到影响。遭受违规事件几乎无法逆转,其影响几乎无法减轻。 最后,公司经常过分关注保护特定数据的安全,但对其他数据却没有给予同等程度的考虑。这可能是LabCorp在某些数据受到侵害的同时,其他数据仍然安全的原因。领导者需要确保他们的公司采取全面的视角,而不是试图通过隐私来取得轻松的胜利。

正如我们将在后续章节中讨论的那样,你的隐私计划需要明确、客观且可扩展的供应商评估标准,需要在你的合作开始之前验证他们的隐私最佳实践,并需要在数据开始交换后审查他们的方法。

这些只是最近一些暴露了公司和政府软弱隐私和安全层面的违规事件。此外,每一起隐私事件都显示出不同的错误和漏洞,这些都是整体文化的结果,这种文化似乎更加重视速度而非一致性,以及创新而非细节。

因此,许多最近的法规对数据保护采取了更全面的视角。这些法律将隐私和安全结合在一起,比以往任何时候都更加全面。下一节将提供有关正在形成的更广泛背景的指导,但需要注意的是,这些法律对于你的业务的适用性应由你的法律部门和外部律师进行评估。

隐私与监管环境

监管对隐私的关注在近年来有所增加。当我开始从事这个领域的职业时,大多数公司无需担心多个隐私法律,也不需要面对授权的监管机构。但是,近年来情况发生了变化,各个司法管辖区新通过的法律为从用户那里收集数据的公司创建了义务。

由于我不是律师,我建议您咨询您的法律团队或外部法律顾问,了解这些法律的适用性。尽管如此,我将涉及欧洲联盟的《通用数据保护条例》(GDPR)等法律如何改变公司与客户的互动方式。GDPR赋予了客户更多关于他们数据的权力和控制,并以更细致的方式使公司对其访问、处理和保留客户数据负责。

我个人有一个关于GDPR如何影响我所使用的某个企业及其提供给我的服务的例子。

法规如何影响您的产品及其用户

我曾在一个健身房锻炼,可以使用我的凭证在电子亭上签到。一旦我签到,有氧设备上会显示我的姓名和个性化的训练计划。我只需点击我的姓名,无需担心记住用户名和密码。

在GDPR实施后,即使我在亭上签到,跑步机上也无法显示我的姓名。我必须再次输入用户名和密码。我被告知这是为了保护隐私。我的很多朋友也遇到了同样的情况。

我从未弄清楚为什么跑步机和亭子之间的连接被断开。可能是法律团队认为存在隐私问题,或者负责GDPR数据清理的工程师出于技术原因做出了这个改变,或者可能是几个原因的综合作用。无论如何,在GDPR实施前的混乱和紧迫性中,隐私并不总是公司变更和消费者经历中的重点。

无论如何,为了避免输入用户名和密码,一些健身房用户开始使用访客模式。结果是,他们无法使用之前创建的个性化训练计划,这些计划适合他们的减肥和增肌目标。在访客模式下,他们也无法访问他们的训练历史记录。这对于用户满意度来说是一个关键指标。用户行为的这种改变意味着健身公司也无法从用户那里收集任何数据。

现在,请想象自己是健身房业主或有氧设备的制造商。您提供的产品帮助个人变得更健康。您还希望通过收集数据来促进用户参与和持续参与,以更好地教育客户如何更好地管理身体健康。然而,一项复杂的隐私法规在您和用户之间建立了一道障碍。在这种情况下,无论是健身房还是用户都没有从事糟糕的隐私行为,但对隐私行为普遍存在足够的担忧,GDPR成为现实,进而对所有人产生了影响。

以下是几个关键教训:

  • 很容易指出一些隐私做得不好的公司并逍遥法外。 如果收集数据的公司不在隐私方面做得更好,某个地方总会通过一项法律损害大家与客户建立联系的能力。
  • 隐私法律通常旨在确保公司对用户负责,并确保数据的安全交换。在健身房的例子中,特定法律的实施导致了混乱和不理想的体验。
  • 糟糕的隐私做法对每个人都是一种输不起的局面。这包括行业内那些通常没有做错事但受到法律影响和隐私损害所导致的缺乏信任。

从非法律角度来看,我能给出的最有效的隐私指导是:我们正生活在一个制度反应的时代。随着对隐私的认识增加,法律迅速而有些脱节地出现。在确定哪些隐私保护措施有效、将其制定成法律、将其转化为具体的实施和验证指南,并在客户需求不断演变时对其进行迭代之间,可能需要一段时间才能实现对齐。

这个例子为本书所提倡的积极的隐私设计战略提供了论据。当未计划的产品变更导致不良结果时,高级领导者往往感到不满。本书将确保您对细节进行充分考虑,以便您的健身房客户在锻炼时不会遇到不便。

您的程序应如何帮助准备应对不断变化的隐私法律

以下示例展示了您可以创建的流程和工具,以保护数据隐私并提高合规性:

  1. 建立访问控制制度,保护数据而不会创建不必要和逆生产的官僚主义。这样的系统将把数据访问与合法需求联系起来,并采取控制措施以防止滥用。
  2. 将数据保留和删除与合法业务需求和隐私承诺相一致,即您的公司不会以滥用客户信任的方式保留数据,并使数据容易受到侵犯或外泄的风险。
  3. 以保护隐私的方式与外部实体共享数据。您可以使用加密等受保护的工具来共享数据,同时通过聚合和/或匿名化等方式,确保个别用户不被识别。

随后的章节将更详细地讨论这些概念。

本书将帮助您建立一个隐私计划,通过将法律框架作为基础而不是限制,建立与客户的信任关系。您将能够理解客户的隐私需求,因为您重视他们的信任,而不仅仅是出于监管压力。

通过从您的业务和法律的角度审视隐私,现在重要的是增加这个三脚凳的第三个也是最关键的一脚:下一节将探讨隐私在客户眼中的样子。

隐私和用户

往往很容易忽视背后的宠宠字节、数据表和数据湖之后,这些都是关于人类的信息。这些人类珍视自己的个性、身份和隐私。隐私与信任密不可分,隐私与尊重紧密相连。为了解释这种联系,我要讲一个我个人生活中的故事。

成为美国人和隐私

在2013年5月6日,我宣誓成为美国公民。那是一个美丽的仪式。在美国生活了将近13年后,我正式成为了美国人。

但在那个感人而重要的日子之前,我必须经历一个被称为入籍的详细过程。这个过程需要填写多张表格,提供关于我、我的家人和朋友的大量数据,提供我的指纹,并接受誓言下的面试,几乎所有可能的问题都被摆在桌面上。在这个过程中,我不得不提供极为个人的信息 - 财务、生平、家庭等,而且没有拒绝的选项。

我没有权力质疑为什么需要这么多信息来评估我是否有资格成为公民。例如,我的外祖母出生在印度的一个小村庄,甚至在我的父母相遇之前就去世了。政府要求提供她的出生证明。获取这个文件很困难,因为几十年前,她出生的村庄甚至没有发放出生证明。

在整个过程中,我对我的所有信息将如何使用、谁会访问它以及持续多长时间、与谁分享以及如何保护它毫无可见性。七年多过去了,我仍然不知道这些。如果政府向我解释他们为什么需要所有那些文件,其中一些甚至与我的申请毫无关系,那将是有帮助的。虽然我理解当局有责任保护国土安全,不能分享太多细节,但整个过程感觉就像是在抓取数据和加强权力不对称...政府拥有我想要的东西,而我没有任何反击的手段。

我相信隐私是关于透明度和信任的。无论您是一家企业还是政府,审慎地收集数据,谨慎地分享数据,并始终保护数据应该是您的主要指导原则。我领导隐私项目已经很长时间了,我带来了一个敏感度,即没有用户应该感到像当时的我一样无助。

今天的用户及其对隐私的关注

对于需要向高管和财务领导证明隐私工作的工程师和其他技术管理人员来说,本节将您实现业务成功目标与尊重客户义务联系起来。建立隐私声誉和与客户的信任可以帮助您实现以下关键业务目标:

  • 客户忠诚度
  • 业务增长
  • 品牌差异化

SalesForce的研究表明,建立这种信任有多重要。该研究提供了一些初看起来可能违反直觉的客户行为见解:客户重视个性化体验,而这需要您收集数据,但客户也希望您尊重他们的隐私。如果客户信任您,他们更有可能用金钱和推荐来保持忠诚。研究中尤为关键的是关于分享的呼吁;无论是婴儿潮一代、千禧一代还是Z一代的客户,如果他们信任您,他们更有可能分享对您的积极反馈。

该研究还指出,客户对一家企业的信任能力和意愿与该企业如何处理他们的隐私有关。客户的情绪是明确的。客户希望您给予他们控制权,做到透明,不要把他们的同意视为理所当然,并尊重他们的数据。

随着您构建隐私体系,您会注意到许多这些期望已被编入法律。与婚姻平等和薪资平等等其他社会变革一样,这是法律赶上社会期望的一个例子。这就是为什么在将技术隐私操作化时,我将客户信任置于您的首要隐私相关责任之前,而不是法律合规性。

高层领导现在已经明白,隐私是将他们作为业务领导者的成功、遵守不断扩大的监管体制以及与客户群体建立持久信任关系的纽带。

一个功能齐备且不断迭代的隐私计划可以有效地引导您进入一个良性循环,帮助您在实质和声誉上取得成功,其中隐私不被视为阻碍,而是一种推动力和差异化因素。

迄今为止,您所面临的所有挑战都有助于提出隐私工具化的观点,后续章节将对此进行讨论。现在,让我们看看一旦工具准备就绪,您的计划如何扩展。

在构建工具之后,接下来是最困难的部分:建立一个计划

隐私对于个人来说可以是非常个人化和情感化的,同时也非常依赖于上下文。这意味着在规划、衡量和定义隐私方面往往很困难,并且难以用通用的语言来描述。即使在双方都有诚意并努力协调的情况下(公司和客户),制定一项战略也可能很困难。本书将帮助您建立对这个复杂领域的全面理解,并提供一个根据您的需求和组织情况进行调整的行动计划。

根据我的经验,隐私工具和投资的发展过程中存在三个转折点:

  • 当隐私需求出现时,会出现想法和资源的迅速增长。在图2.9中,您可以看到隐私投资的激增;这是第一个转折点。
  • 随着隐私威胁的减弱,资源短缺问题就会出现。这时,隐私投资会重新指向功能开发,图2.9中相应地出现了下降。您甚至可能会发现,隐私支出比一开始还少。
  • 然后,您将处于保持现状的状态,做出一系列的隐私决策,以避免公司陷入监管的困境。隐私支出会增加,但即使在恢复之后,仍然会低于峰值。这是第三个转折点,公司将此状态作为其实际风险容忍水平。

在这种情况下,只有在出现即将发生的危机时,隐私计划才会处于核心位置。在处于反应性恐慌状态下,所有人都会被派遣解决隐私问题。

许多不得不应对GDPR等法律的公司都会经历这样的时刻。GDPR要求公司在2018年初对其流程和工具进行多项变更。

image.png

对许多公司来说,GDPR代表了对他们日常运营的重大变化。许多公司不得不增加员工,这是一个挑战,因为具备深厚隐私背景的个人相对较少。其他团队也受到了这项工作的影响。尽管许多公司确实努力履行其GDPR承诺,但没有长期战略将GDPR作为隐私成熟度的一个阶段。许多领导者将GDPR视为一个顶峰,之后员工将回归到正常的业务工作。然而,实际情况是,员工们不断被拉回来完成隐私工作,导致一种持续的焦虑感。事实上,领导者应该利用并仍然可以利用GDPR作为基础进行建设。接下来的章节将为您提供实践技巧,将隐私嵌入到确保隐私成为您业务努力的战略伴侣而不是与收入生成竞争的紧急情况。

顾客们同样感到困惑。我们中的许多人还记得,几乎与我们互动的每个企业都会发来关于他们为了符合GDPR而做出的变化的电子邮件。我与一些朋友的对话中发现,他们不知道有什么大惊小怪,而其他人担心他们不了解这项法律将如何影响他们的生活。

由于涉及到大量的工作和重新设置优先级,很难评估企业和客户之间是否存在更大的协调和信任。在随后的章节中,我们将探讨如何更好地向客户介绍隐私工具和决策,以便让企业为隐私工作提供更好的理解。这反过来将有助于建立信任,改善公司的品牌,甚至可能减轻一些监管压力。这种预防性的教育至关重要,因为公司应该将法规视为底线,而不是上限,公司应该做正确的事情,因为这对他们的客户来说是正确的,而不是传达他们被法规迫使而不情愿地行动的印象。

自GDPR颁布以来,许多企业在其他与隐私相关的挑战上面临着类似的问题。许多隐私工作需要重新调配资源,并将其他工作降低优先级。一旦危机过去,常态往往重新确立,隐私发现自己受到资源限制,公司则在一个隐私项目上借用资源,根据情况进行决策。与其战略性地投资于使项目具有灵活性,这种方法更像是每当你感到饥饿时都去购物,只带足够的钱支付下一顿饭。

为了长期的商业成功和与用户建立信任,技术领导者应该建立一套隐私知识基础,帮助他们管理和推动事件,而不是被事件驱动。好消息是,其他领域,如安全领域,也经历了相同的成熟演变过程,因此在提高隐私实践方面有先例可循。

身兼多职的技术领导者的关键责任是使业务成功。本书将通过实现以下目标,帮助您将隐私融入到成功战略中:

建立对隐私、安全和合规等术语的深入理解。 了解工程创新过程的变化以及数据驱动创新与隐私之间的紧张关系。 创建一个隐私治理计划,以适应资源有限的业务的有效扩展。 在您的领导工具包中拥有这些知识后,您的隐私项目对资源的消耗将不再像图2.9中的上升-下降-上升序列,而更接近图2.10中的图形。您将建立专业知识,能够在规模上实现隐私的操作和自动化,同时保留人类直觉,为用户做正确的事情。

在项目开始阶段,您需要投入大量资源来弥补在发展期间做出的决策。然而,随着时间的推移,您将能够建立一个可以与安全、数据平台和数据科学协同的项目。这些效益将有助于管理成本并避免对组织的可预测性造成冲击。

图2.10清楚地显示,简单地说,隐私经验与支出之间存在负相关。这对于实际操作的技术领导者和可能包括人力投资和自动化的隐私项目都是如此。隐私的早期阶段将比在您的专业领域内构建产品更加困难,因为隐私领域并不是许多兼职技术领导者深度参与的领域。

image.png

虽然图2.10显示了随着时间推移资源支出的下降趋势,但开始进行隐私工程任务最初会感觉像是攀登一座艰难的山峰。本书将作为一个营地,为您提供一张地图和一条通往山顶的斜坡,同时帮助您锻炼出攀登陡峭且常常不可预测的能力。目标并不是让工程师和架构师成为隐私专家,而是让他们掌握足够的知识,能够接受专家建议并将其纳入具有深远影响的业务决策中。

在构建一个项目的同时,建立一个以隐私为先的文化

本书的核心读者群体主要有两类:技术领导者和工程师以及跨职能的项目经理。在现实世界中,领导者实际上可能在这些群体之间来回穿梭。因此,本书具有广泛的受众和广泛的适用性。

大型数据驱动型企业的技术领导者可能不编写代码,但他们需要理解技术决策的权衡和长期影响。他们必须权衡自己的决策,考虑它们对可衡量的收入/增长目标和更加抽象的信任/品牌目标的影响。这些技术领导者(在某些情况下可能是高管)通常在高层运作,具有战略性的长期视野。他们将经验和直觉与数据融合,做出业务决策。

对于他们来说,隐私代表了一种干扰和风险,因为它影响了他们与客户的连接、市场营销和客户保留的能力。隐私关系到他们如何处理数据、如何保护数据安全以及如何解读复杂的法规。如果没有对隐私风险和控制的概念性和技术性理解,他们就像建造高大的技术结构的建筑师,无意中走到了边缘,缺乏技术指导。

本书将帮助这些技术领导者完成以下几个任务:

  • 创建一种“教授、培训和信任”的文化,使他们能够教导工程师小心处理数据,培训他们以保护客户数据的互操作性而不是孤立地进行工作,并推动一种寻求信任的文化,而不仅仅是追求参与和盈利。
  • 了解在大规模实施隐私工具时的复杂性,以及他们的技术团队获得政治掩护和必要预算以完成工作的必要性。
  • 能够白板绘制技术性隐私解决方案并做出数据驱动的决策,以便为他们的团队提供明确的指导。 这些技术领导者通常是公司的创始人或负责帮助公司在进行IPO或收购过程中成熟的领导者。他们建立起保护他们的投资和用户的实用技能非常重要。

理解隐私对于中小型甚至大型组织的工程师和跨职能项目经理同样有用。这样的企业可能没有专门的职能和层级,而且隐私等职能可能缺乏所有权。本书将提供实用工具和可实施的隐私技术。这些工具将使工程师和其他技术领导者能够在有限的预算下运作,避免不必要的流程,并产生通常只有在大型企业中才可能的隐私成果。因此,本书将使这样的企业能够保持隐私成熟度并避免落后,并保留进一步投资并将隐私转变为差异化的选择。

阅读本书的领导者将了解与客户数据和安全相关的一般情况。这些并不是严格的要求,因为本书建立在对自己业务的一致战略理解之上。

阅读本书后,具备实践经验的技术领导者将能够完成以下任务:

  • 根据隐私风险对数据进行分类。 通过将该分类嵌入到数据中,构建数据目录。
  • 创建隐私控制,如数据删除,以便在用户要求或用户取消账户后删除用户数据。
  • 通过为用户实施身份和访问管理(IAM),管理隐私风险。 开展数据最小化活动,减少系统中敏感数据的副本。
  • 通过内置隐私控制分享数据,以避免对用户造成伤害。 衡量数据混淆等技术的隐私影响,以便随着隐私计划的成熟度提供风险减少的合格。
  • 进行隐私审核,确保能够以法律/合规角度和技术角度评估产品和功能。

表2.1是一个适用于各个发展阶段的敏捷型企业的典型隐私计划模板。它展示了一个简略且有些简化的隐私计划,但它确实显示了一个隐私计划的演进过程。在早期阶段,该计划非常战术化,处理的是损害控制。同时,还需要大量投资来理解该领域,因为公司的技术领导者需要将他们对业务的广泛覆盖与对特定领域的更深入的专业知识相结合。

截屏2023-06-05 17.49.02.png

随着计划的发展,公司将能够构建工具和流程来对数据进行分类、目录化,并使用删除、访问控制和最小化等保护隐私的方法来保护数据。这些工具以及类似的其他工具将构成本书后续章节的核心内容。