隱私政策需與軟體開發並重
與資料安全一樣,隱私政策通常在產品發布時草率推出,而不是成為每次平臺更新的核心。這樣的結果是,未能實現隱私政策所能提供的價值,而是提供了中規中矩的客戶體驗。開發人員必須將隱私政策視為軟體開發生命周期的重要組成部分,如果他們要實現客戶對資料完整性、質量和控制的全部期望。
將隱私政策納入軟體開發生命周期
在 DevOps 週期中,將隱私政策納入軟體開發生命周期是一個高度重要的事情。早期引入隱私政策,並在創造新的創新隱私保護措施和功能時採取更具領導力的心態,應該成為目標。數學家和前美國首席資料科學家 DJ Patil 在 LinkedIn Learning 的一個名為《人們如何為資料隱私而戰鬥?》的影片中分享了他對隱私的見解。他說:“如果你是一位開發人員或設計師,你有責任”,“就像一個建築師必須確保以負責任的方式構建一個應用程式或系統一樣,你有責任說出我們應該如何做。”根據 Patil 的說法,這一責任包括將客戶資料視為自己家庭的資料。
從給使用者更多控制開始
對於使用者來說對資料的控制權越來越重要。當蘋果在 iOS 14.5 中引入應用程式追蹤透明度政策時,這一點得到了證實。根據這一政策,iPhone、iPad 和 Apple TV 應用程式必須要求使用者的許可,以便跟蹤他們在每個應用程式中的活動,用於資料收集和廣告定位等目的。在美國,將近 96%的使用者選擇拒絕應用程式追蹤。全球各地的使用者對於控制自己的資料的需求比以往任何時候都更大,包括被遺忘的權利,這是歐洲的《通用資料保護條例》(GDPR)和巴西的《通用資料保護法》(LGPD)的核心要素。加州是美國第一個頒布模仿 GDPR 的資料隱私法的州。在 2020 年,《加利福尼亞隱私權法》(CCPA)修訂的《加州隱私權法》(CPRA)透過,內容與 GDPR 相似並具有 GDPR 般的權利。2023 年 1 月 1 日,大部分 CPRA 條款生效,2023 年 7 月 1 日將開始執行。猶他州的《消費者隱私法》(UCPA)將於 2023 年 12 月 31 日生效。該法是根據弗吉尼亞州《消費者資料保護法》以及加利福尼亞和科羅拉多的消費者隱私法制定的。在 GDPR、LGPD、CCPA 和即將生效的法律的背景下,前安大略省訊息和隱私專員安·卡沃基安提出的隱私保護七個基本原則成為 DevOps 團隊將隱私納入其開發流程中的安全保障。
走向隱私工程
隱私工程是隱私政策的未來。Anshu Sharma 是資料隱私保護領域領先供應商 Skyflow 的共同創始人兼 CEO。他在最近的一次訪談中告訴 VentureBeat:“我們最終創造了一種名為多型資料加密的新型加密方式。你可以在使用資料的同時保持資料加密。” Skyflow 的 GPT 隱私保險庫在上個月推出,體現了 Sharma 和 Skyflow 團隊對隱私工程的承諾。該隱私保險庫為企業提供了對 GPT 等大型語言模型的敏感資料在全生命週期中的精細控制,確保只有獲得授權的使用者才能存取這些系統中的特定資料集或功能。Skyflow 的 GPT 隱私保險庫還支援資料收集、模型訓練以及經過遮蔽和匿名處理的互動,以在不影響隱私的情況下最大限度地提升 AI 的能力。它使全球企業能夠在滿足 GDPR 和 LGPD 等資料居住地要求的同時使用 AI。
企業需要問自己五個隱私問題
Sharma 提醒組織在實施隱私工程時應考慮以下五個問題:你是否知道你的組織擁有多少 PII 資料以及它是如何管理的?有誰可以存取你組織內的 PII 資料以及為什麼?資料儲存在哪裡?哪些國家和地區擁有 PII 資料,你能夠區分每個位置儲存的資料型別嗎?你能夠編寫並實施政策並展示政策的執行情況嗎?Sharma 觀察到,能回答這五個問題的組織有比平均水平更好的保護資料隱私的可能性。對於那些在開發過程中始終沒有將隱私保護放在核心位置的企業軟體公司,這五個問題需要指導他們每天改進其軟體開發生命周期,將隱私保護納入其開發和發布過程中。
延伸閱讀
- 美國對電信公司因未經同意分享客戶位置資料處以 2 億美元罰款
- AI 新創點子解決創辦人個資外洩的痛 - 這位創辦人深受影響後的啟發
- Sanlo 科技遊戲新創公司的網購工具或幫助開發者避免高昂的應用商店費用
- 流行的手機追蹤應用程式發現安全漏洞,使用者精確位置外洩
- 你的安卓手機可能裝有 Stalkerware — 這裡提供移除方法
- 元宇宙公司 "同意或付款" 策略絕不能侵害隱私,歐盟權利團體發出警告
- AI 資料安全初創企業 Cyera 確認完成 30 億美元融資,估值達 14 億美元
- 美司法部稱蘋果隱私辯護是為了金融利益的「彈性盾牌」
- 微軟真的很想談談 Copilot
- 美國運輸部將調查頂級航空公司的資料安全和隱私實踐