企業加強客戶隱私數據保護的12條建議

收集客戶數據可以幫助企業改進產品和服務。然而，當消費者發現他們的數據被大量泄漏并被用于非法牟利活動時，就會變得越來越謹慎，不再愿意將個人隱私數據提交給企業。企業只有制定公布并有效實施穩健全面的數據安全政策，才能贏得消費者的信任。

根據近年來個人隱私信息保護領域的最佳實踐，本文收集整理了能夠有效幫助企業保護其用戶數據的12條安全措施，可以作為企業數據保護建設中的參考。

1. 明確外包服務供應商的保密義務

外包業務（服務）加大了企業因安全事件而遭受財務和聲譽損失的風險。企業需要和服務提供商在合同條款中明確約定來應對這些風險。在合同中洽談安全條款時，應綜合考慮信息的敏感性，了解服務提供商的能力，以及依據雙方內部政策和程序所開展的盡職調查的結果。

2. 選擇安全可信的員工

當企業業務開展涉及大量用戶敏感數據時，選用業務人員時必須考慮其是否值得信任。鑒于目前人才緊缺的現狀，在員工招聘時就應該關注其的可信度和履歷透明度。比如說，背景篩查很重要（對銀行和醫療保健等行業而言尤其如此），只有通過透明度和信任能力測試，才能找到更加合適的人選，公司才能將敏感數據放心地交給他們。

3. 利用第三方安全服務

審計和合規要求迫使企業在技術環境中實施可落地的安全方案，但企業中常常會存在通過常規審計發現不了的安全隱患。利用第三方安全測試服務可以發現企業自身安全團隊可能錯過的漏洞，實踐證明，開展漏洞懸賞計劃對企業的安全建設會有幫助。

4. 采用安全設計方法

讓公司業務系統在開發時就采用安全設計方法（security by design）可大大提高企業隱私數據的安全性。安全設計方法涉及多個方面，包括教育員工、盡量減少收集的數據量、加密數據、安全設計系統、數據訪問控制以及在整個軟件開發生命周期中關注安全等。

5. 為客戶提供價值

收集客戶數據的企業應該讓用戶了解，其收集數據的目的是什么。通過使用收集的數據能夠為客戶、社會和國家提供價值，而不只是一味牟取商業價值。企業需要確定所收集數據適用的使用場景，熟悉快速不斷變化的數據技術和法規要求，并與業務團隊密切聯系。

6. 確保全面遵守安全和隱私框架

企業應該遵守數據在收集、存儲和傳輸階段的信息安全或隱私合規框架，這樣才能確保數據的安全使用。此外，應審查任何接觸消費者數據的供應商，確保供應鏈中每個環節也能夠遵守信息安全法規或標準。

7. 得到客戶的授權

知情同意（informed consent）是贏得消費者信任的主要基礎。“知情同意”是指企業明確告知客戶他們的個人數據現在和未來的可能用處，以及在企業重新獲得客戶同意之前會將個人數據保留的具體時間，讓每個消費者可以選擇其同意生效的時間長度可以使政策更具個性化。

8. 讓客戶有選擇退出的權利

企業應經常告知消費者所收集數據的存儲和使用情況，并詢問他們是否想要選擇退出。有的企業每季度對消費者做一次隱私安全健康檢查，這將有利于贏得用戶的理解和信任。

9. 對用戶隱私數據安全加密

對用戶數據中的重要敏感數據進行安全加密是最基礎的防護要求，但卻被很多企業忽視，甚至包括一些大型互聯網企業。為了讓客戶更加放心，需要告訴他們提交的個人數據都會經過加密處理，連企業員工都無法隨意讀取。

10. 聘請第三方機構來收集和管理數據

對于中小型企業組織，建議使用第三方服務來收集并保管客戶數據，許多軟件即服務（SaaS）產品都可以提供此類服務。調查發現，用戶會更愿意將其個人數據提交給SaaS產品而不是一家不知名的小公司來保管。

11. 至少保留三份數據

企業有責任確保數據得到合理存儲和全面保護，建議企業至少備份三份數據，存儲在至少兩種不同形式的介質上，一份離線保存、一份異地保存。若有任何變化，都應告知客戶，以便他們放心地將數據交給企業保管。

12. 盡量少訪問客戶數據

企業在必須收集用戶數據時，應只授權給必須訪問數據的員工。數據還應該有合適的保留期，這意味著一旦數據滿足使用要求并且不再需要，就應該刪除。合法收集的數據應妥善存檔。這種做法將有助于向消費者證明企業有能力保護其數據的安全。