對于很多企業而言，保護個人身份信息越來越具有挑戰性，隨著全球數據量的增加，用于管理和保護數據的規則、法律和政策的數量也在增加。即使是最精明的數據隱私和法律專業人士，這種不斷增長的法規政策也會使他們感到困惑。

企業確保個人身份信息(PII)的安全性和隱私性的主要方法之一是遵循數據匿名化最佳做法。

[[358792]]

什么是PII?

從高層次上講，PII是可以單獨使用或與其他信息組合以識別個人的數據。政府和行業PII法規的目標是定義和執行政策，以保持該信息的隱私性。

歐盟委員會的GDPR條例和《加州消費者隱私法案》(CCPA)是兩個廣為人知的政府監管條例，它們為PII制定了一套隱私政策。這兩個政府機構的罰款都可能很高。從發布之初到2020年1月，GDPR收集超過1.26億美元的罰款，每項記錄的CCPA罰款從2500美元到7500美元不等。

識別PII的挑戰在于，數十個數據元素都是潛在的個人標識符。此外，政府網站(例如GDPR的信息門戶)提供PII數據描述和示例，所使用的語言故意含糊不清，以免將數據元素限制為預定義的集合。因為每個監管條例可能對PII都有不同的解釋，所以最好針對特定的隱私控制咨詢專家。

數據匿名化

從PII的角度來看，數據匿名化是模糊化信息的過程，使這些信息無法用于識別個人。匿名化可減少意外泄露PII數據的風險，并且，如果確實發生數據泄露，則被竊取的信息將對攻擊者毫無用處。

從合規性來看，匿名數據被認為是非個人數據，因為它無法識別個人。

匿名化的最終目標是消除PII暴露個人的機會，同時保留信息對企業的價值。匿名化數據與破壞數據使其無法提供有意義的業務洞察力之間只存在細微的界限。

數據匿名化是PII隱私的關鍵

為適當地保護PII數據，企業必須制定戰略計劃，定義角色、規則、流程和最佳做法，以確保其PII數據的安全性、質量以及正確使用。該計劃的目標是提供控件的藍圖，以確保在企業級有效管理PII數據。

該計劃需要包括標準IT社區數據匿名化最佳做法，以及企業、特定于行業和政府的法規條例規范和控制。該計劃應該是一項業務和IT聯合計劃，兩個部門都應發揮同等重要的作用。

其中的一項輸出應是文檔記錄技術無關的控件，這些控件在企業中普遍應用。這些控件必須包括一組可靠的數據匿名化策略和程序。

保護任何敏感信息的關鍵組成部分是制定企業范圍的意識計劃。IT部門無法獨自保護PII。與PII進行交互的所有業務和運營組必須積極參與，管理層的支持至關重要。

你無法匿名處理你不知道的數據

在制定政策和程序、購買產品或實施手動數據匿名化過程之前，請確定企業中所有潛在的PII數據元素。你的環境越大，你的企業就越容易存儲未標識的PII數據。

這不是一件容易的事。大多數包含PII的數據都不是處于空閑狀態。在創建數據元素后，它會迅速傳播到整個企業中的報表、儀表板和其他數據存儲。

確保一個人在整個企業中的持續匿名性具有內在的可變性。換句話說：事情會發生變化。數據審計以及來自與PII交互的IT和業務人員的持續反饋將有助于發現潛在問題。

數據匿名化產品

現在有大量可用的軟件解決方案，從專門關注數據匿名化最佳做法的產品到提供廣泛數據安全功能的企業范圍產品。企業規模越大，這些工具就越重要。根據企業存儲的數據量，你可能需要購買一兩個產品才能正確識別和保護敏感的PII數據資產。

現在有各種可用的數據匿名化產品。此外，現有的數據存儲平臺也可提供匿名化功能。例如，很多領先的數據庫提供匿名化組件(例如加密)作為其基礎軟件堆棧的一部分。還有些產品專門用于匿名化各種數據存儲中的數據，包含云端和本地數據庫以及平面文件等。

為了正確選擇和部署最合適的PII識別和數據匿名化軟件，技術專業人員必須創建和執行經過深思熟慮的詳細競爭產品分析。

以下是一般建議，可幫助你快速開始分析：

• 在評估PII數據標識和匿名產品時，企業應遵循標準化的產品評估方法，以幫助做出選擇。評估最佳做法包括：選擇合適的評估團隊、執行全面的需求分析以及創建一組強大的加權評估指標。使用評估指標來創建供應商候選清單，并對其余供應商進行深入比較。
• 了解你的業務需求。你想達到什么目的?你是否正在尋找專門針對數據匿名化、PII數據識別的產品，還是提供更廣泛特性和功能的平臺?
• 使用同行評估網站(例如Gartner Peer Insights)對不同產品進行社區評審。
• 訪問供應商網站和IT社區討論論壇。供應商經常會購買Gartner的《供應商魔力象限》，并向公眾開放，這可能有助于縮小供應商的候選清單
• 根據你當前和預期的未來需求，確定供應商是支持云端、內部還是兩者。