数据最小化背后的想法是简单地收集实现目标所需的最少量信息。 当公司实行数据最小化时,他们仅处理(分析)提供有价值的见解所需的最少量数据。 此外,未经数据主体(信息获取者)授权,不得将所收集的数据用于其他用途。 由于数据有时会无限期地收集和存储,GDPR 鼓励企业遵守数据保护原则,包括数据最小化。 为了能够将数据最小化应用于您的业务,您需要清楚地了解这一原则以及您的业务需要它的原因。
什么是数据最小化?
根据国际隐私专业人士协会 (IAPP) 的说法,数据最小化是企业“仅收集和保留必要的个人数据”的做法。
它描述了仅收集实现目标所需的最少量个人数据的过程。 您的公司存储和维护的数据越少,数据泄露的风险就越低
然而,数据最小化不仅仅是减少数据收集。 它还限制贵公司对用户信息的使用。 例如,企业应该只在需要时收集数据,在需要时保证数据的安全,然后将其处理掉。 最小化原则鼓励企业对消费者隐私采取更彻底、更审慎的方法。
曾经有一段时间,人们倾向于无限期地囤积一切。 然而,随着物联网的发展,企业面临着越来越多的获取数据的机会,特别是私人的个人身份信息。
一些企业可能会保留这些数据,希望它在未来有用,但数据囤积的风险与物理囤积的风险类似:成堆的无用垃圾使我们更难发现我们需要什么。需要它。 这不仅不方便、有风险,而且价格昂贵。
因此,智能数据管理者正在摆脱“保存一切”的心态,转而采用数据最小化理念,仅保留最重要的数据。
数据最小化原则
虽然数据最小化的原则可能看起来很简单,但实际上,它需要组织改变数据收集、处理、存储、保留和删除的方式。 在用户隐私成为关键问题之前,企业并没有那么警惕他们获取的数据、存储数据的位置或保留数据的时间。 现在,企业比以往任何时候都更需要以保护客户和公司本身免受伤害的方式管理用户数据。
简而言之,采用数据最小化原则是解决隐私问题的好方法。 如果您的公司没有任何数据,就没有什么可以处理不当的。 然而,为了消除不必要的数据,您必须首先熟悉手头的信息。 遵循这些准则将帮助您的团队认真对待数据最小化。
另请参阅: 数据仓库:定义、类型、示例和工具
《隐私设计策略小蓝皮书》列出了以下四个实际行动,作为开始实践数据最小化的起点:
#1。 选择
数据最小化并不妨碍您的公司收集数据。 相反,您的组织必须收集数据以满足重要的业务需求。 例如,在欧洲,只有具有符合 GDPR 规定的处理法律依据才允许数据收集。 GDPR 下的数据处理共有六项法律依据:
- 同意。
- 法律要求。
- 合法权益
- 合同的履行。
- 公共利益。
- 切身利益。
此外,贵公司不应将该信息用于未经客户批准的任何其他目的,包括定向广告。 用户应该能够合理地预期您的公司将以某种方式使用他们的数据。 通过仅选择真正必要的信息,您的公司可以避免收集超出其处理能力的数据并将其用于秘密目的。
#2. 排除
限制公司收集的数据量还可以防止其收集超出其处理能力的数据。 大型科技公司开始意识到,在维护客户隐私的同时处理海量数据是多么具有挑战性。 因此,对于企业来说,收集实现特定目标所需的最少量信息至关重要。
例如,如果您的公司向消费者分发东西,您可能需要获取消费者的地址。 但是,您不必询问他们的社会安全号码。 这似乎是一个简单的示例,但它强调了确定哪些类型的数据与您的公司相关、哪些类型不相关以及原因的重要性。
如果您只收集绝对必要的数据,您的公司和客户将受到保护,免受隐私侵犯。
#3。 条
在选择要收集的数据类别并从集合中消除不相关数据后,某些数据片段可能仍然不需要进一步向下游推送到数据结构中。
例如,信用卡处理机构通常只需要地址的邮政编码即可确认卡的所有权。 在这种情况下,隐私专家可以努力从发送到后端的地址数据中删除所有可用于识别用户身份的信息,只留下邮政编码。
欧洲因“不遵守数据最小化原则”而征收了特定的 GDPR 罚款。 尽管加州 CCPA 或其他美国隐私法还没有类似的处罚措施,但数据最小化仍然是一种很好的商业实践,可以确保公司的数据运营精简、高效和低风险。
#4。 破坏
数据最小化的一个关键部分是数据删除(数据擦除)。 GDPR 要求企业“应该只收集他们真正需要的个人数据,并且只在需要时保留这些数据”。 这意味着企业在确定客户数据的保留时间时必须彻底。
由于数据已达到其生命周期的终点,一旦达到预期的业务用途,就应正确删除数据。 尽管有效的数据擦除通常比仅仅擦除单元格值更困难,但如果您的公司不再需要该信息,则不应保留它。 这也适用于备份副本。 即使它们需要在指定的保留期结束时进行清理。
通过遵循这些数据最小化原则,您的公司可以遵守国际法。
数据最小化的三点是什么?
- 充足 – 足以实现您既定的目的;
- 相应 – 在逻辑上与该目的相关; 和,
- 只限于必要的事情, – 您只保留特定目的所需的内容。
数据最小化有什么好处?
为了最大限度地减少数据收集,组织必须仔细考虑他们需要哪些信息以及为什么需要这些信息。 您的数据系统将保持合规且组织良好,您公司的可信度将因此提高。 另一方面,根据新的隐私规则,用户现在对其信息和保护拥有更多发言权。
在公司中采用数据最小化的主要优点包括:
- 降低存储数据的成本
- 改善数据安全状况
- 加强数据隐私保护
- 简化业务流程
- 坚持遵守数据法规
什么是数据最小化与匿名化?
数据最小化是收集或保留尽可能少的数据的做法。 另一方面,匿名化是指对公司拥有的数据进行更改,目的是使重新识别变得不可能。
防止数据丢失的最佳方法是什么?
以下是防止数据丢失的一些最佳方法;
- 备份您的文件或数据
- 保护您的硬件
- 保持电脑井然有序
- 教育您的员工了解信息泄露的危险
- 使用软件进行防病毒和反恶意软件保护
- 创建强大的端点和设备安全策略
- 确保加密任何私人或重要信息
- 经常更新你的程序。
目的限制和数据最小化有什么区别?
目的限制:仅将个人信息用于获取信息的预期目的或其他兼容目的。 数据最小化意味着仅处理对于您所请求的目的而言必要、相关且充分的个人数据。
如何将数据最小化应用于您的业务
#1. 狭窄的数据收集
您必须首先决定您的公司需要哪些信息才能完美运营。 同时,如果您只想分析最相关的数据(无论您如何定义),您将需要改进数据收集方法。 限制对您存储的数据中的敏感信息的访问至关重要。 秘书可以访问的有关客户的信息与销售人员或客户支持代理所访问的信息不同。 所以,缩小范围。 确保每个用户只能访问他们完成任务所需的信息。
#2. 用户的验证和审查
大多数批量数据收集程序都假设用户提交大量有用的相关数据。 实际情况并非如此。 许多公司,从小型初创公司到大型跨国公司,都在不知不觉中收集了大量有害数据。 只要存在于公司系统中,您所持有的数据就可能是伪造的或无条件的,从而给各方带来风险。
为了消除不必要的信息,可靠的数据最小化策略实施用户验证和筛选程序。 如果乘车共享服务采取了此类措施,他们可能会注意到有暴力犯罪历史的申请人试图使用虚假身份。
有了这些基本的评估程序,企业就只能从可靠的来源获得真正有用的信息。
#3。 渐进式数据管理
许多公司忽视了这样一个事实:用户数据会随着时间的推移而变得过时。 这导致数据库因无用或虚假数据而变得臃肿。 这会给您的 IT 系统带来压力,并扭曲您使用这些信息进行的任何业务分析的结果。
包含渐进式审核流程的数据最小化计划可帮助用户保持数据的准确性和新鲜度,从而避免此问题。 此方法使报表数据库对用户输入的响应更加灵敏,从而简化了报表数据库的开发。 随着客户数据量的增加,从长远来看,这有助于公司节省资金和精力,同时降低风险。
#4。 战略性擦除
数据最小化在很大程度上依赖于出于战略目的而选择性删除的做法。 在不断发展的现代数字市场中,每一条消费者数据的用处很快就会过期。 为了保持数据的有用性和安全性,企业应定期从服务器中删除旧记录。 删除过程是任何数据最小化策略的重要组成部分。
未来的业务选择应始终考虑公司所需的新数据类型的识别以及删除对业务不再有用的数据类型。
当您保留信息时,您就打开了安全漏洞、未经验证的信息和其他威胁的大门。 您无法完全避免这些危险。 尽管如此,采用有效的数据最小化措施的企业可以提高数据收集流程的效率,积累更多有用的信息,并减少风险。
数据最小化的例子有哪些?
数据最小化原则还规定,为了实现处理目标,这种数据收集必须是必要的。 例如,收集生物识别信息作为建筑物门口指纹检查的一部分,目的是阻止未经授权的人员进入。
数据保护原则
GDPR 的基本原则与众多数据保护和隐私法规之间存在直接关联。 更深入地掌握数据保护原则将有助于您遵守《通用数据保护条例》(GDPR)。
《通用数据保护条例》(GDPR) 是基于七项隐私原则的一套关于如何以及必须处理个人信息的规则。 掌握 GDPR 的七项指导原则是掌握其法律法规的第一步。
7 项数据保护原则;
- 合法、公平、透明
- 目的限制
- 数据最小化
- 准确性
- 存储限制
- 诚信和保密
- 责任
底线
组织应该只收集和保留他们实际需要的数据,然后删除其余数据。 数据的价值迅速下降,因此,保留数据“以防万一”是一个冒险的过程。
数据最小化是一项基本的隐私保护原则,可用于确保收集、存储和删除数据的过程是有意且合法的。 将此程序纳入数据操作的各个方面不仅可以帮助您保护消费者的隐私,还可以减少公司的任何潜在风险和高额罚款。
相关文章
参考文献
