隐私保护与IT技术应该了解10件事

目前，IT技术在保护公司数据安全和个人隐私信息方面担负巨大责任。本文介绍了在IT技术组织的日常工作中，隐私保护已经变得多么重要与深入人心。

个人隐私已经成为大众关注的焦点。频繁的数据破坏、身份窃取以及诸如钓鱼式攻击欺骗已经给大量公司和消费者带来负担，并严重威胁网络和电子商务服务的可信度。

调查表明，将近半数美国居民对已采取足够措施保护个人信息安全几乎没有信心，伴随这种信心缺乏的是日益增长的复杂网络犯罪。很难说清楚，谁是合法的，但越来越多的用户成为网络的受害者。让我们看几个隐私保护问题，了解它们是如何影响IT技术。

#1：公布泄密的数据：这是法律规定

美国一部分州规定所有组织、个人以及商家在他们的私人信息确认已被某个未授权者获得时，应当向居民公布这个消息。当一个组织拥有的个人信息已经被泄密时，该组织必须公开向大家公布。2003年，加利福尼亚州通过了一项法案，该法案要求所有组织在它们遭受到可能导致个人信息泄密风险的数据安全破坏时，应当通知居民。最近，有28个州通过了类似法案，其它超过15个州的安全破坏通知法案也是迫在眉睫。数据安全破坏通知的代价是昂贵的，因为这通常要每个人交罚单。

#2：客户忠诚度直接取决于个人信息安全

当顾客确信他们的个人和财务信息是受保护的，不会被未授权者非法获得时，他们就会使用网络购物、网上银行、电子政务、网上医疗和其它服务。当这种信任被破坏时，顾客的忠诚度会在一夜间崩溃。身份窃取和其它的欺诈所带来的代价太大了，那些因泄密私人信息而失去顾客信任的公司，其它公司将不会与其做生意。

在2001和2004年间，有关部门采取了超过196项法律行动来处理隐私保护问题，有255家公司成为被告，包括金融服务、健康医疗、医药卫生、信息服务、电子商务、制造、媒体、零售等行业，有超过33类犯罪案件提起诉讼。以下是有些网络用户如何看待隐私的有趣数字：

• 86%的人关心个人信息保密。
• 45%的人从未向网站提供真实姓名。
• 5%的人利用软件隐藏计算机真实信息。
• 86%的人支持在使用数据前的身份验证许可为“选择输入”。
• 94%的人希望惩罚破坏隐私者。

#3：IT 程序在隐私保护中负有重要责任

当开发一个系统时，有以下几点需要考虑：

• 确定你要使用的包括个人身份识别信息的数据类型，这包括用户姓名，电子邮件地址，健康状况和信用卡号或者社会安全号等。不要收集不必要的数据。
• 明确如何实现通知用户可能要收集他们的个人信息的机制，并向他们提供选择方式不参加那些和许可那些数据信息收集。可能还要求签订一个不参加确认记录。
• 确定系统敏感点所在：在应用系统，数据库，无线网络，web访问或者其它接口。
• 确定防止个人身份识别信息被误用或被未授权访问的措施，包括访问控制，加密，物理安全，审计。加密可能是最好的防御措施，当一个加密的膝上电脑被盗时，至少数据是受到保护的。

#4：数据分类策略是必要的

现今，数据管理员已成为组织信息的专业管理人员，组织要求他们把数据看作重要资产加以维护和管理。他们根据数据描述或提供的数据进行数据管理。一个组织应该有一个确定的数据分类策略，秘密的、公开的、明确定义最重要的或秘密的数据。

这种策略的一个重要组成部分是数据安全规划，它将用以处理可预见的对于保存在部门系统中的集成信息安全威胁。个人身份识别信息控制与存取是最近美国隐私保护立法的主题。欧盟也有保护个人身份信息的明确要求。

#5：识别关键系统有助于风险分析

一旦你对数据如何分类有了清楚的了解，并且识别出潜在的数据安全威胁，就可以对管理数据的系统进行更详细的集成数据安全风险分析。

进行这类活动的好处是使你对主要IT技术和系统的风险等级有良好的分类，这就允许你将精力主要集中于潜在高风险区域。按照管理规则要求的对包含重要数据的关键系统进行审计控制是一个良好的方法。