数据保护和隐私概述
业务和个人数据是有价值的。 未经授权地披露或访问、处理,或使用个人数据或业务数据可能会给个人和公司造成重大损失。
设备、组织的文件服务器和云存储服务等许多位置保存着越来越多的数据。 还可以使用许多不同设备从不同位置访问数据。 数据泄露、滥用和丢失的风险超出以往任何时候。
对于公司和个人来说,了解数据保护需求并学习必要的技能来帮助保护其数据非常重要。 数据保护的重要性随着创建和存储的数据量和敏感度而增加。
数据保护与数据隐私
数据保护通常涉及帮助保护数据免受非法或未经授权的访问、使用、销毁、损坏或丢失。 数据隐私侧重于个人数据的收集、使用和可允许的处理,以及个人控制已收集的个人数据方面享有的权利。
数据保护一般是指对数据的技术控制。 数据隐私通常是指法律或法规要求。 数据保护不能确保数据隐私,反之亦然。
数据保护
数据保护由可以帮助保护有价值的信息不被损坏、泄漏或丢失的流程、过程和技术组成。 请务必认识到,没有任何单一产品或技术可以保证实现数据保护。 相反,要保护数据,可能必须组合使用可用的过程、技术和产品。
要规划和实施数据保护措施,请考虑以下因素:
数据类型的敏感度。 并非所有数据需要相同级别的保护或受益于相同的数据保护方法。 例如,电子邮件地址等个人数据可能不需要与社会安全号码和健康信息等更为敏感的个人数据相同的保护。
数据的存储位置。 适当的数据保护技术和方法可能取决于数据的存储位置。 例如,你可能对存储在移动设备上的数据和存储在公司文件服务器或云中的数据使用不同的数据保护。
适用的数据保护要求和法规。 法律法规可能会规定特定的数据保护要求。 请与法律团队合作,以确保充分了解这些要求以及它们如何应用于业务。
支持数据保护的技术。 没有一种技术可确保在每种情况下提供完整的数据保护。 请熟悉适合你的特定需求的所有可用平台、流程和技术。
没有一种方法或技术可以保证实现数据保护。 但是,以下关键原则在设计数据保护策略时非常重要。
在数据创建或收集阶段实现某个级别的数据保护,并在数据的整个生命周期中保持实施。
确保组织人员了解数据共享,并了解他们共享的数据、与谁共享数据以及共享数据的方式。 控制数据访问和共享是数据保护的关键部分。
除了保护特定数据外,请确保保护用户标识、用户用于访问数据的设备和网络流量。
数据隐私
数据隐私通常解决以下问题:
- 哪些实体可以收集数据。
- 哪些实体可以访问数据。
- 组织可对所收集的数据执行哪些操作。
- 组织可以保留数据的时间。
- 个人对其数据的控制级别。
隐私法律和法规
各种法律规定了个人和公司控制谁使用他们的数据的权利,并规定了处理不同类型数据的要求。 许多国家/地区以及某些情况下特定的州制定了针对个人数据隐私和保护的法律或法规。 以下单元提供了有关这些隐私法率的更多详细信息。
一般来说,隐私法律法规规定了关于组织以及(在某些情况下)个人如何收集、使用和存储个人数据的法律框架。 在大多数情况下,法律法规并未规定组织在保护数据隐私方面必须采用哪些特定技术。 组织必须确定合规的技术、操作和其他适当的数据隐私保护措施。
定义数据隐私合规性
内部合规性框架应侧重于数据访问、使用和保护的原则和过程。 组织内部数据处理策略的设计必须反映适用于组织和所处理数据的法律法规要求。
数据保护官 (DPO) 必须根据其所在州和国家/地区的法律法规及其组织的内部策略来理解数据处理要求。 然后,DDO 可以定义适当的过程和技术来收集、存储和保护数据。
Microsoft 提供了合规性产品/服务,可以帮助组织遵守国家/地区和行业特定的数据收集与使用要求。 后面的单元会介绍这些产品/服务。