公司持續(xù)面臨著實施的挑戰(zhàn)，因為它們正急于遵守數(shù)據(jù)隱私條例，如歐洲通用數(shù)據(jù)保護條例（GDPR）和加州消費者隱私法（CCPA）。這在很大程度上是由于它們對數(shù)據(jù)的管理與法規(guī)規(guī)定的嚴格要求不相匹配。

組織可以通過定義一個良好的數(shù)據(jù)治理框架來解決隱私法規(guī)的復雜性，該框架可以利用人員、流程和技術來建立數(shù)據(jù)訪問、管理和使用的標準。一個這樣的框架還使得公司能夠處理隱私的要素，包括身份和訪問管理，政策定義。

當領導者在實現(xiàn)數(shù)據(jù)治理模型而需要考慮到隱私時，他們可能會面臨一些挑戰(zhàn)，包括不冷不熱的高管認可，缺乏連貫的數(shù)據(jù)策略，或者是關于如何使用和處理數(shù)據(jù)的不同意見。為了掃除這些障礙，領導者應該考慮以下行動：

建立跨職能的數(shù)據(jù)所有權和意識

簡化數(shù)據(jù)政策和程序

提升技術及基礎設施

建立跨職能的數(shù)據(jù)所有權和意識

雖然首席數(shù)據(jù)官或首席信息官都可能會領導數(shù)據(jù)治理框架或模型的實現(xiàn)，但數(shù)據(jù)治理應該是整個公司的共同責任。至少，IT部門、隱私辦公室、安全組織和各個業(yè)務部門都應該參與進來，因為每個部門在數(shù)據(jù)管理方面都存在著重要的利害關系。盡早引入各種利益相關者可以讓公司建立關鍵數(shù)據(jù)目標和更廣泛的數(shù)據(jù)治理愿景。這種合作可以采取專門工作組的形式，也可以包括定期的向執(zhí)行部門報告數(shù)據(jù)治理和隱私目標的方式。

同樣，數(shù)據(jù)隱私也是一項共同的責任。通過遵循公認的數(shù)據(jù)收集、使用和共享標準，所有員工都可以在維護數(shù)據(jù)隱私方面發(fā)揮作用。事實上，在考慮隱私的情況下實施一個成功的數(shù)據(jù)治理模型需要對員工進行治理概念、角色和責任以及數(shù)據(jù)隱私概念和法規(guī)（例如，“個人信息”與“消費者信息”的定義）方面的教育。

在建立治理遠景并提高員工的意識之后，組織就可以定義他們想要的數(shù)據(jù)治理角色--比如數(shù)據(jù)所有者、數(shù)據(jù)管理員、數(shù)據(jù)架構師和數(shù)據(jù)消費者--并根據(jù)他們的需要定制角色了。例如，一些公司可能會區(qū)分數(shù)據(jù)專員和數(shù)據(jù)所有者，前者負責執(zhí)行日常數(shù)據(jù)的操作，后者負責數(shù)據(jù)策略的定義。對于一個擁有龐大而復雜的IT部門的客戶，Metis Strategy建立了一個相應的治理層次結構，包括一個執(zhí)行級別的董事會、組合而成的數(shù)據(jù)管理員/所有者角色以及其他職位（例如數(shù)據(jù)質量保管人）。這種結構簡化了通信，并使客戶端能夠方便地擴展其數(shù)據(jù)管理實踐。

從長遠來看，企業(yè)應該將數(shù)據(jù)治理和管理技能同時納入其人才戰(zhàn)略和勞動力計劃當中?？紤]到某些數(shù)據(jù)密集型崗位所需的專業(yè)知識以及合格人才的短缺，組織可以考慮尋求人才獵頭公司的幫助，同時將內部精力集中在留住人才和提升技能上面。隨著公司的戰(zhàn)略目標和監(jiān)管需求的變化，它們還應該在調整數(shù)據(jù)治理角色和所有權方面保持靈活性。

簡化數(shù)據(jù)政策和程序

為了充分響應與消費者隱私相關的數(shù)據(jù)請求，組織應在數(shù)據(jù)生命周期中建立標準化的過程和策略。這將使公司能夠充分了解他們收集、使用和共享的數(shù)據(jù)，以及這些實踐與消費者的關系。

例如，CCPA為消費者提供了選擇不將其個人信息出售給第三方的權利。如果零售商需要遵守此類要求，則需要能夠回答以下類別的問題：

數(shù)據(jù)分類：公司擁有哪些與消費者相關的數(shù)據(jù)元素，如地址、信用卡信息或是產品偏好？公司是否對這些數(shù)據(jù)元素進行了適當?shù)姆诸悾?/p>

數(shù)據(jù)沿襲：客戶的數(shù)據(jù)源于何處，在其整個生命周期中，這些數(shù)據(jù)會發(fā)生什么變化？例如，公司是否只在內部共享客戶數(shù)據(jù)，還是與營銷和支付供應商共享了數(shù)據(jù)，以促進交易或個性化的廣告活動？

數(shù)據(jù)收集和可接受的使用：公司目前是如何從消費者那里收集數(shù)據(jù)的？公司收集和處理他們的數(shù)據(jù)是否得到了消費者的同意？如果公司與外部各方共享客戶數(shù)據(jù)，是否有適當?shù)臄?shù)據(jù)共享協(xié)議？

為上述內容制定政策和標準可以幫助組織快速確定根據(jù)隱私法規(guī)來響應客戶請求所需的措施。公司應該廣泛地溝通政策，并確保政策能夠得到遵守，因為不這樣做可能會導致使用不一致的模板和做法。例如，在一個Metis Strategy客戶中，很少有利益相關者對數(shù)據(jù)管理和訪問標準有足夠的認識，盡管客戶的IT部門已經圍繞這些標準制定了廣泛的政策。

考慮技術和基礎架構的升級

為了成功地實施數(shù)據(jù)治理框架并確保隱私遵從性，企業(yè)可能還需要解決遺留基礎設施和技術債務所帶來的挑戰(zhàn)。例如，數(shù)據(jù)通常會存儲在整個組織的信息孤島中，這會使得組織很難正確識別任何數(shù)據(jù)隱私問題的來源，也很難及時響應消費者或監(jiān)管機構的要求。

企業(yè)還需要評估外包的云服務（如基于云的數(shù)據(jù)湖）所帶來的安全和隱私風險。那些使用多個云提供商的公司可能希望簡化他們的數(shù)據(jù)共享協(xié)議，以便在供應商之間建立一致性。

一些技術可以幫助公司利用客戶數(shù)據(jù)，也同時降低隱私風險。Carnival Corporation的首席信息官Greg Sullivan在接受Metis Strategy的采訪時指出，數(shù)據(jù)虛擬化增強了公司的分析能力，降低了運營和計算成本，也減少了公司可能面臨的潛在安全和隱私漏洞。

公司還可以考慮采用新的隱私合規(guī)技術，通過提高可見性和透明度來增強數(shù)據(jù)治理。例如，數(shù)據(jù)發(fā)現(xiàn)工具使用了高級分析來識別可能被視為敏感的數(shù)據(jù)元素，而數(shù)據(jù)流映射工具則幫助公司了解了數(shù)據(jù)在內部和外部的移動方式和位置。這些工具可用于幫助組織確定其最關鍵的數(shù)據(jù)元素所需的保護級別，并在GDPR和CCPA下促進對消費者請求的響應。

盡管對遺留技術進行徹底改革可能會耗費一定的時間和成本，但在避免與技術債務相關的其他挑戰(zhàn)的同時，果斷進行改革的公司將能夠降低其隱私和安全風險。

創(chuàng)建高適應性的模型

隨著全球數(shù)據(jù)隱私環(huán)境的發(fā)展，各個組織應不斷地調整其數(shù)據(jù)治理模型。公司應該在設計數(shù)據(jù)治理角色、流程、政策和技術時就考慮到隱私問題，而不是對當前和即將到來的隱私立法做出反應，從而主動地履行自己的義務。這樣做的公司不僅可以改善風險和聲譽管理，而且還可以鼓勵企業(yè)提高透明度和數(shù)據(jù)驅動的決策。