過(guò)去，“數(shù)據(jù)工程師”和“監(jiān)管合規(guī)”這兩個(gè)術(shù)語(yǔ)通常不會(huì)在業(yè)務(wù)對(duì)話中相互交叉。數(shù)據(jù)工程師正在努力構(gòu)建系統(tǒng)來(lái)收集原始數(shù)據(jù)供數(shù)據(jù)科學(xué)家分析。另一方面，法規(guī)遵從是另一個(gè)部門(mén)的領(lǐng)域，例如法律或安全團(tuán)隊(duì)。

然而，隨著國(guó)際、州和行業(yè)數(shù)據(jù)隱私法的興起，組織內(nèi)的幾乎每個(gè)人都必須了解他們的工作如何幫助支持合規(guī)性——包括數(shù)據(jù)工程師。事實(shí)上，在美國(guó)，已有五個(gè)州通過(guò)了數(shù)據(jù)隱私立法：

加利福尼亞州：其先前的數(shù)據(jù)隱私法《加利福尼亞消費(fèi)者隱私法》（CCPA）將被更全面的《消費(fèi)者隱私權(quán)法》（CPRA）取代，該法于2023年1月1日生效。

科羅拉多州：科羅拉多州隱私法(CPA)于2023年7月1日生效。

康涅狄格州：康涅狄格州數(shù)據(jù)隱私法(CDPA)于2023年7月1日生效。

猶他州：猶他州消費(fèi)者隱私法(UCPA)于2022年12月31日生效。

弗吉尼亞州：弗吉尼亞州消費(fèi)者數(shù)據(jù)保護(hù)法(VCDPA)于2023年1月1日生效。

違規(guī)的罰款可能相當(dāng)可觀。零售商絲芙蘭最近因?yàn)闆](méi)有向消費(fèi)者披露它正在出售他們的數(shù)據(jù)而被處以120萬(wàn)美元的罰款。鑒于合規(guī)的復(fù)雜性——以及罰款——公司優(yōu)先考慮與合規(guī)相關(guān)的工作也就不足為奇了。事實(shí)上，2022年EMA調(diào)查發(fā)現(xiàn)，68%的組織正在使用或計(jì)劃使用監(jiān)管合規(guī)計(jì)劃作為市場(chǎng)差異化因素。

雖然合規(guī)性繼續(xù)排在業(yè)務(wù)優(yōu)先級(jí)的隊(duì)列中，但數(shù)據(jù)使用比以往任何時(shí)候都代表著更大的風(fēng)險(xiǎn)。云遷移和數(shù)據(jù)共享已經(jīng)取代了本地?cái)?shù)據(jù)存儲(chǔ)的基礎(chǔ)架構(gòu)和邊界。因此，數(shù)據(jù)保護(hù)要求更加嚴(yán)格，因?yàn)楸Ｗo(hù)變得更具挑戰(zhàn)性。

因此，與組織中幾乎所有其他人一樣，數(shù)據(jù)工程師現(xiàn)在必須了解他們對(duì)數(shù)據(jù)的使用和與數(shù)據(jù)的交互如何影響合規(guī)風(fēng)險(xiǎn)。此外，數(shù)據(jù)工程師必須具備新的技能組合才能在高度合規(guī)、云優(yōu)先的環(huán)境中工作。

讓我們仔細(xì)看看數(shù)據(jù)工程師可以支持公司合規(guī)工作的三個(gè)領(lǐng)域：

1.數(shù)據(jù)敏感性

組織如何保護(hù)數(shù)據(jù)取決于其數(shù)據(jù)敏感程度，數(shù)據(jù)工程師必須深入了解什么構(gòu)成敏感數(shù)據(jù)和非敏感數(shù)據(jù)。在高度合規(guī)的商業(yè)環(huán)境中，更敏感的數(shù)據(jù)——專有信息、社會(huì)安全號(hào)碼、信用卡號(hào)碼、地址——在使用時(shí)必須有更嚴(yán)格的保護(hù)。

同樣重要的是要認(rèn)識(shí)到隱私法對(duì)數(shù)據(jù)敏感性的定義不同，這會(huì)使數(shù)據(jù)保護(hù)復(fù)雜化。例如，CPRA對(duì)敏感數(shù)據(jù)進(jìn)行了廣泛的描述，甚至添加了一個(gè)稱為敏感個(gè)人信息的子集。CPA將與消費(fèi)者的性生活和身心健康狀況相關(guān)的信息視為敏感數(shù)據(jù)，而VCDPA包括地理位置信息敏感數(shù)據(jù)。當(dāng)數(shù)據(jù)工程師可以識(shí)別數(shù)據(jù)敏感性并根據(jù)該敏感性采取適當(dāng)?shù)男袆?dòng)時(shí)，他們可以大大降低不合規(guī)的風(fēng)險(xiǎn)。

二、使用要求

一旦根據(jù)敏感性對(duì)數(shù)據(jù)進(jìn)行了分類，就更容易確定如何處理它，這取決于對(duì)數(shù)據(jù)的處理方式。眾所周知，數(shù)據(jù)不斷地從本地遷移到云端。它在組織內(nèi)部和外部共享，并從高環(huán)境轉(zhuǎn)移到低環(huán)境。隨著數(shù)據(jù)從一個(gè)位置流向另一個(gè)位置，公司必須采用強(qiáng)大的保護(hù)方法。

例如，有時(shí)必須重新識(shí)別一段敏感的、去識(shí)別化的數(shù)據(jù)。在這些情況下，必須采取適當(dāng)?shù)谋Ｗo(hù)措施，以確保重新識(shí)別的數(shù)據(jù)不會(huì)暴露。從那里開(kāi)始，數(shù)據(jù)工程師必須知道如何在當(dāng)前狀態(tài)下使用它以確保合規(guī)性。沒(méi)有線性處方——“做這個(gè)，做那個(gè)”模型。合規(guī)性因企業(yè)經(jīng)營(yíng)所在的國(guó)家、州和行業(yè)的獨(dú)特組合而異。

3.安全控制

在大規(guī)模遷移到云之前，數(shù)據(jù)安全控制很簡(jiǎn)單：保護(hù)網(wǎng)絡(luò)外圍以防止未經(jīng)授權(quán)的數(shù)據(jù)訪問(wèn)。由于云沒(méi)有邊界并且數(shù)據(jù)不斷移動(dòng)，因此公司必須實(shí)施更多的安全控制。必要的控制形式取決于數(shù)據(jù)類型和用途。

數(shù)據(jù)工程師必須敏銳地意識(shí)到正在使用的無(wú)數(shù)控制——比如理解掩碼、標(biāo)記化和加密之間的區(qū)別，以及在不降低數(shù)據(jù)價(jià)值的情況下何時(shí)以及如何應(yīng)用它們。雖然數(shù)據(jù)工程師不負(fù)責(zé)應(yīng)用這些控制，但他們需要了解他們可以向誰(shuí)發(fā)送數(shù)據(jù)，也不能向誰(shuí)發(fā)送數(shù)據(jù)。他們需要有足夠的安全控制背景知識(shí)，才能發(fā)現(xiàn)保護(hù)方法未應(yīng)用或被誤用的情況。

數(shù)據(jù)隱私法規(guī)只會(huì)越來(lái)越多，與數(shù)據(jù)保護(hù)相關(guān)的期望也越來(lái)越高。組織中的每個(gè)人都需要360度全方位的視角來(lái)確保人員和數(shù)據(jù)的安全。數(shù)據(jù)工程師在幫助組織降低風(fēng)險(xiǎn)方面發(fā)揮著重要作用。及時(shí)了解最新的數(shù)據(jù)隱私法，并花一部分時(shí)間對(duì)數(shù)據(jù)敏感性、使用要求和安全控制進(jìn)行自我教育，這將大大有助于確保隱私和合規(guī)性成為公司長(zhǎng)期結(jié)構(gòu)的一部分。