上世纪九十年代末期，欧盟通过了《数据保护条例》，把个人隐私看作人权。这项法律对跨国组织提出了一个严峻的数据管理的挑战：不同地区都有自己关于隐私的法规，组织如何在利用数据分析的同时，跨辖区管理数据。

至今，很多组织仍然面临着这样的问题，而现在他们还要面对大数据安全问题。即便只是一个国家的公司，也会面临很多政府层面，或行业方面的监管与法规的约束，增加了数据分析和管理的困难。但要想实现数据驱动决策，充分使用大数据分析，组织必须找到既满足合规性、保护用户隐私又有效利用数据的方式。

咨询公司Booz Allen Hamilton数据科学家Peter Guerra表示：“这是下一次浪潮。虽然我们有了大数据技术，很多人想要管理所有的数据，也有很多技术处理数据。但还是有很多空白。”

“囤积”数据的危害

Guerra表示，公司可以通过控制访问规避大数据安全问题，但这同时也限制了能够使用大数据集的人数。不过就现在的分析趋势来看，这也未必行得通。很多公司希望让业务人员自己执行分析，分享分析结果。这就要求分析人员能够访问数据。

有一种方法是，公司可以根据数据分布控制访问。比如说，金融服务公司可以授予某些用户访问特权，比如销售管理者可以看到客户的ZIP密码，直接发送邮件。这样就不必开放社交安全数字或其他敏感信息。公司也可以根据客户所在地区制定相应的访问控制条件，以满足不同地区的隐私法规。

不过Guerra也强调，这种根据地域不同部署不同的控制条件的做法在技术上也是一个不小的挑战，足以让很多公司望而却步。

“我们看到，数据管理面临很多不确定因素，尤其对跨国企业来说。随着大数据技术的使用，并逐渐占据企业核心地位，随着企业各项技术的成熟，我相信企业的数据会更细致地分门别类。”

“数据即资产”的观点已经无需赘言。那么，既然数据中蕴含价值，那么谁不想拥有更多数据呢？在这种思想的影响下，很多企业开始存储每一个字节的数据，以备分析之用。

信息安全咨询公司Conventus合伙人Alex Moss表示，企业最忌讳在不了解如何使用数据的情况下一味“囤积”数据，如果能得到应用，数据当然能贡献价值，但数据存储在系统中，也会带来风险。

例如，《美国医疗保险流通与责任法案》规定，医疗信息必须有很强的保护机制。《金融服务现代化法案》规定金融数据必须有严格的访问控制。如果不能遵守这些保护隐私的法律，公司会受到严厉的惩罚。只存储数据，不分析数据的话，企业也要花成本保护数据。

Moss表示：“你需要了解你的数据，以及你为什么收集数据，我是指实战层面，而不是数据源等信息。而且，你还要了解存储数据的风险。”

数据匿名真的管用吗？

大数据分析软件供应商Skytree的总裁兼CEO Martin Hack认为，解决大数据安全问题，也可以通过匿名数据集的方式，把关键数据从记录中移除，信息无法直接对应到个人。只要方法正确，组织完全能够满足隐私法的要求。同时，客户对公司使用自己的数据也不会有怨言。

不过也有人反对这样做，Guerra表示，完全可以通过将匿名数据和其他公共信息联合，将数据对应到个人。尤其是在医疗信息领域。在美国，如果组织泄露了拥有的信息，即便相关人群没有收到实际伤害，组织也要受罚。

“我认为匿名化不足以保护数据，有很多方法可以破解匿名化。”

企业数据文化

遗憾的是，很多企业都是出现数据泄露问题之后才开始重视隐私和安全的。比如众所周知的Target数据泄露事件，信用卡信息泄露事件发生时，Target甚至没有自己的首席信息安全官。

近年来，数据泄漏事件频发。Moss认为，虽然仅凭数据泄露不能否定组织的整个大数据安全项目，但至少它反映出了企业的文化。“那些还没有发生数据泄露的公司，不见得就不会出事。”