数据不是黄金——它是铀，所以要小心处理

联邦政府已开始审查“将隐私法带入数字时代”。这可能会让澳大利亚更接近 GDPR 等其他隐私法规。对于澳大利亚企业来说，拟议的变革的影响将是巨大的。

删除不再需要用于其预期目的的数据的义务将会加强，我们预计《隐私法》的规定（目前适用于年营业额超过 300 万美元的企业）将扩展到所有符合以下条件的企业： 2024 年持有个人身份信息 (PII)。  

多年来，企业一直将数据视为极其宝贵的资源。数据被描述为像黄金或石油一样——有时提取起来很困难，但能够为持有者带来巨大的利益。但最近备受瞩目的网络安全漏洞事件打破了这种说法。

尽管数据仍然宝贵，但人们认识到必须谨慎处理数据。数据不再是商业黄金——而是铀。威力强大且有价值，但持有时有风险，一旦逃逸则有毒。  

导致 PII 被盗的网络攻击可能会对企业产生重大影响。Medibank 报告称，2022 年 10 月遭受的攻击造成的损失可能超过 8000 万美元。攻击造成的声誉损害可能会造成经济损失。  

董事会、最高管理层和业务领导者必须采取积极措施，了解他们正在收集哪些数据及其目的，并采取措施在数据生命周期的每个阶段保护这些数据。这意味着识别数据生命周期的每个阶段、每个阶段存在哪些风险，并确保企业履行其法律义务并维护与客户、合作伙伴和其他利益相关者之间基于信任的契约。  

创建和收集 

企业不断创建和收集数据。这可以是任何东西，从制造系统内的生产数据到在线表格、电子邮件或联络中心的联系方式和个人信息。但 PII 只能出于特定的预期目的而收集。 

收集数据“以防万一”的日子已经过去了。《隐私法》和随附的《澳大利亚隐私原则》明确规定，只有在获得同意并出于既定目的的情况下才应收集数据。虽然这一要求仅适用于年营业额超过 300 万美元的公司，但这是所有企业都应该遵循的好规则。 

处理、存储和管理 

数据安全专家谈到数据处于两种主要状态。数据要么处于传输状态，要么处于静止状态。企业必须采取措施确保数据只能由授权方在需要时访问。当数据在不同方或系统之间发送时，应使用加密来保护数据，以确保在威胁行为者拦截数据传输时无法使用数据。 

企业必须采取措施确保只有授权方才能访问数据，并且所有系统都在实施隐私控制的情况下运行。  

备份、存档和销毁 

备份对于确保意外删除、遭受勒索软件攻击或污染的数据能够恢复到已知的良好状态至关重要。一个好的经验法则是应用 3-2-1-0 原则。关键数据的三份副本位于至少两种不同的介质上，其中一份异地副本且零错误。  

存档是保留且无法更改的数据的时间点快照。公司可以选择获取所有数据的完整副本并将其存储在离线设施中。与定期更新的备份不同，存档只写入一次并且永远不会更改。  

从最近的网络安全漏洞中吸取的教训之一是，与早已不再是客户的客户相关的 PII 被持有，并且很容易受到攻击。虽然可能存在保留某些数据的法律义务，但将在规定时间内未访问的数据移至存档的保留策略可以涵盖合规义务。不太可能需要的数据，例如当一批客户被出售给另一个实体时，应该被永久销毁。  

想要降低数据盗窃风险以及威胁行为者突破其防御措施对业务造成的影响的企业必须从战略角度考虑他们收集、使用和保留的数据。收集或生成的每条新数据都会增加潜在破坏性有效负载的大小，恶意方可能会利用这些负载来寻求利润或恶名。