上个月,上海国家互联网信息办公室(CAC)宣布,已对一批未能有效履行消费者个人信息保护责任且存在严重问题的知名企业实施行政处罚。
其中最令人惊讶的是某知名火锅连锁品牌:在收集个人信息的过程中,其投递微信小程序还在强行索要精确位置信息; 在存储个人信息的过程中,它已经建立了近30年5亿条会员个人信息和18万条公司员工信息未加密存储,“多年来一直处于'裸奔'状态”。
所以在当今日益严重的网络威胁中,企业必填重新审视您如何处理个人身份信息 (PII)。以确保数据安全。
技术的快速发展和对数据隐私的日益关注导致许多企业重新思考如何收集和存储客户的个人信息。
数据是新的“石油”。 与十年前相比,企业现在存储的数据类型更加复杂和复杂。 因此,企业在处理各种数据(如客户信息和业务数据)时面临的风险要高得多。
每天产生的信息量已达到惊人的 328 亿 TB,这是一个巨大的数字。 先进的技术、互联的 IT 系统和个人数据对恶意行为者的吸引力越来越大,使数据安全成为企业的一项紧迫任务。
仅在 2023 年前 9 个月,数据泄露的数量就超过了 2022 年全年。 与此同时,复杂的勒索软件攻击变得越来越普遍,攻击者甚至能够入侵最先进的系统并加密数据。 网络钓鱼攻击也变得更具针对性和说服力。
许多黑客在未经授权的情况下访问公司信息和 IT 系统,因此“一刀切”的方法不再有效。 简而言之,PII 政策需要根据企业及其客户群的特定需求和风险状况进行定制。
那么,在网络威胁时代,公司究竟如何保护数据隐私呢?
第一修改存储的数据类型,制定支持这些数据存储的策略,并减少存储的数据量。
随着威胁的不断增长,企业必须仔细检查他们存储的个人信息类型和存储时间。 鼓励企业采用“减少和最小化数据”的方法,仅收集和存储必要的信息,例如客户的姓名和电子邮件地址。
虽然现有的隐私法规鼓励企业采用合规的数据保留方法,但这可能会导致存储大量 PII,从而导致问题。
许多企业认为数据是“石油”,错误地认为存储大量数据对业务运营或客户营销具有独特的优势。 然而,在现实中,存储大量此类数据的风险可能大于收益。 因为只有当您知道如何处理它并为其提供足够的保护时,这些数据才有价值。 对于许多企业来说,这些数据可能处于“休眠状态”,无法有效利用。
因此,保护 PII 不仅意味着增强数据存储和其他支持 IT 系统,还意味着修改存储的数据类型、制定支持这些数据存储的策略以及减少存储的数据量。
第二小企业采取额外的预防措施。
无论组织规模大小,在发生数据泄露时,所有组织都面临同样严厉的处罚,尤其是在涉及个人信息时。 因此,资源有限的小型企业在处理客户数据时应采取额外的预防措施。
最简单的方法是重新考虑您在客户数据配置文件中存储的内容,并尝试仅存储公开可用的数据,例如姓名和电子邮件地址,而不包括敏感信息,例如家庭住址和出生日期。 此外,限制员工存储客户私人信息的方式也是降低风险的有效方法,尤其是在小型企业中,许多员工可能有权访问或负责企业运营的其他部分。
第三以数据为目的保护
为了降低对 PII 数据的攻击风险,组织不仅需要构建更强大、更先进的安全系统,还需要投资于改变信息存储实践并从根本上重新审视策略。
如果不以全新的视角从更广泛的意义上解决这些风险,那么未来几年,各种规模的企业都可能遭受更严重的网络攻击和与 PII 存储相关的网络安全问题。