Documentation
搜索文档
karat

+

K

API 参考 ↗
安全数据保护和治理

注意:以下翻译的准确性尚未经过验证。这是使用 AIP ↗ 从原始英文文本进行的机器翻译。

数据保护和治理

Foundry 使用户能够在企业范围内集成、变换、分析和操作数据,同时安全地协作和共享数据产品。每个数据策略和计划的重要部分是确保数据的合法、合法、合规和适当使用。数据保护和数据治理是使用 Foundry 的核心概念。

  • 数据保护 是指可用的技术和组织手段的范围,以确保个人数据的处理始终仅限于实现合法处理结果所需的必要和相称的范围。
  • 数据治理 是指从数据摄取到访问到删除的整个处理生命周期中对企业数据的管理。

虽然隐私法规因地而异,但大多数法规要求系统化和程序化的方法来了解一个组织拥有哪些数据,以便适当地使用和处理数据。在 Foundry 中,数据保护和数据治理是密不可分的。本文件概述了可供客户使用的最佳实践和工具,以帮助在 Palantir Foundry 中处理数据,包括敏感或个人数据时,促进充分和适当的数据保护和数据治理。

本文档旨在为数据管理员、数据治理负责人、数据所有者以及在平台上处理敏感数据并希望了解 Foundry 保护这些数据的能力的用户提供指导。

如果您对数据保护、数据治理或保护敏感数据有任何疑问,Palantir 拥有一个 隐私和公民自由 (PCL) 团队 ↗,可以提供有关在 Palantir Foundry 中处理敏感数据的指导。请联系您的 Palantir 代表以与 Palantir 的 PCL 团队取得联系。

数据保护原则

平台管理员和用户应始终以负责任的态度处理企业数据,特别是个人或敏感数据。公平信息实践原则(FIPPs)提供了一组有用的指导方针,作为处理个人数据以实施隐私保护的基础原则。

公平信息实践原则 (FIPPs)

下面,我们引用 国际隐私专业人员协会 (IAPP) ↗ 的工作,概述 FIPPs:

  • 收集限制原则。 应该对个人数据的收集进行限制,并且任何此类数据的获取应通过合法和公平的方式,并在适当情况下,获得数据主体的知情同意。
  • 数据质量原则。 个人数据应与其被用于的目的相关,并在这些目的所需的范围内,应准确、完整并保持最新。
  • 目的说明原则。 收集个人数据的目的应在数据收集时或之前明确说明,并且后续使用应限于实现这些目的或与这些目的不相容的其他目的,并在每次更改目的时说明。
  • 使用限制原则。 个人数据不应披露、提供或以其他方式用于指定目的之外的目的,除非 a) 得到数据主体的同意,或 b) 依法授权。
  • 安全保障原则。 个人数据应通过合理的安全保障措施保护,以防止数据丢失或未经授权的访问、破坏、使用、修改或披露等风险。
  • 开放性原则。 应就个人数据的开发、实践和政策有一个普遍的开放政策。应有便捷的方式来确定个人数据的存在和性质及其主要用途,以及数据控制者的身份和通常居住地。
  • 个人参与原则。 个体应有权:
    • 从数据控制者处或以其他方式获得数据控制者是否拥有与其相关的数据的确认;
    • 在合理的时间内,以不超出合理的费用、合理的方式和易于理解的形式,将与其相关的数据传达给其;
    • 如果根据(a)和(b)小节提出的请求被拒绝,获得理由并能够对该拒绝提出异议;以及
    • 对与其相关的数据提出异议,如果异议成功,则应删除、纠正、补充或修改数据;
  • 问责原则。 数据控制者应对遵守上述原则的措施负责。

这些 FIPPs 的共同主题之一是数据最小化的必要性,数据的收集(“收集限制原则”)和使用(“使用限制原则”)应仅限于明确和授权的目的(“目的说明原则”)。此外,数据在处理时必须始终考虑安全保障(“安全保障原则”)。

FIPPs 示例

例如,考虑以下场景。

某金融机构(FI)可能会在考虑如何处理提供银行服务所需的新客户计划时应用 FIPPs。

当 FI 设置该计划时,该金融机构将仅寻求从参与该计划的客户那里收集运行该计划所需的个人信息(“收集限制原则”),所有目的都提前提供(“目的说明原则”),并公开披露数据处理的详细信息和方法(“开放性原则”)。

当数据为用户准备好时,数据所有者和准备人员确保数据定期维护和审核,以便与数据相关的任何决策都使用准确的最新信息(“数据质量原则”),同时确保所有数据都安全存储(“安全保障原则”)。系统范围的流程,如定期审核,确保数据仅用于预先指定的目的(“问责原则”)。数据一旦为用户准备好,只有那些为批准目的处理数据的授权用户才能访问这些数据(“使用限制原则”)。

与此同时,在消费者方面,FI 允许消费者定期请求访问、删除或更正信息(“个人参与原则”)。此外,除了 FIPPs 之外,可能还需要遵守其他金融部门的要求,例如为了合规原因需要保留数据的时间。

仅在这一示例中,数据处理涉及许多复杂性和考虑因素。本文件中概述的最佳实践将提供 Palantir Foundry 中的广泛技术工具概览,帮助在处理敏感数据时实现这些基础原则,包括个人数据。

超越 FIPPs

FIPPs 只是评估个人或敏感信息隐私的起点。公平性、非歧视和伦理原则也可能与个人数据处理相关。不同的法律、监管和行政要求可能因司法管辖区、行业和一般规范而异。请咨询法律顾问或隐私专家以获取相关要求的建议。

敏感数据分类

识别敏感数据是关键的第一步。上下文很重要,因为某些数据是否被视为敏感取决于相关的隐私法规和规范。

敏感数据在此定义为任何被广泛分类和/或需要额外安全的数据。一些法律正式指定特定的数据元素为敏感(例如,欧盟的通用数据保护条例),而其他数据则由数据所有者或无论法律地位如何的普遍认可来确定(如社会保障号码)。数据是否被分类为敏感,通常在很大程度上取决于数据的类型或分类(例如,个人可识别信息)、工作流类型(如仅限于特定目的)或任何可能触发访问控制限制的内容(如敏感的企业信息)。

敏感数据的一个常见示例是 个人可识别信息(PII),其中包括直接标识符和可以用来重新识别个人或将其单独列出的其他信息。

敏感信息的示例包括:

  • 联系信息: 姓名、电子邮件、电话号码
  • ID 号: 社会保障号码(SSN)、执照号、医疗记录号、税号(TIN)
  • 生物特征: 面部特征、指纹、个人图像、DNA
  • 日期: 出生日期、入院或出院日期
  • 位置信息: 住址、办公地址、可穿戴设备位置信息、手机位置
  • 健康信息: 过去、现在或未来的身体或心理健康状况、药物、治疗和诊断
  • 财务信息: 收入或资产、医疗账单或付款、帐户号码
  • 其他敏感信息: 电话记录、IP 地址

根据司法管辖区或领域的不同,敏感数据可能有不同的分类。以下是一些相关的数据保护和隐私法规定义的示例:

欧盟通用数据保护条例 (GDPR)

欧盟通用数据保护条例(GDPR)是一项明确定义个人数据的法规。总结来说,GDPR 将个人数据定义为可以识别个人的任何数据,并将种族和政治观点等特征归类为敏感数据。正式定义如下:

GDPR 的 第 4(1) 条 ↗ 将个人数据分类为:

与已识别或可识别的自然人(“数据主体”)相关的任何信息;可识别的自然人是指可以直接或间接识别的个人,尤其是通过引用标识符(如姓名、识别号、位置数据、在线标识符)或一个或多个特定于该自然人的物理、生理、遗传、心理、经济、文化或社会身份的因素。

此外,GDPR 的 第 9(1) 条 ↗ 突出了以下类型的个人数据,作为需要额外注意和保护的特别类别个人数据:

揭示种族或民族出身、政治观点、宗教或哲学信仰、工会会员身份的数据,以及用于唯一识别自然人的遗传数据、生物特征数据、健康数据或自然人性生活的数据。

美国健康保险可携性和责任法案 (HIPAA)

美国的健康保险可携性和责任法案(HIPAA)在 HHS 的 详细指导 ↗ 中概述了在美国处理医疗保健数据的常见框架。HIPAA 适用于医疗保健提供者和保险公司的数据,但不一定适用于相同数据的其他处理者。要确认,请咨询法律顾问或隐私专家以获取相关要求。

根据 HIPAA,

受保护的健康信息是指与以下事项相关的信息,包括人口统计信息:

  • 个体的过去、现在或未来的身体或心理健康状况,
  • 向个体提供的医疗保健,或
  • 为向个体提供的医疗保健的过去、现在或未来的付款,并且识别个体或有合理依据相信可以用于识别个体的信息。受保护的健康信息包括许多常见标识符(例如姓名、地址、出生日期、社会保障号码),当它们可以与上述健康信息相关联时。

例如,由 HIPAA 涵盖的实体处理的医疗记录、实验室报告或医院账单将是 PHI,因为每个文件都将包含患者的姓名和/或与健康数据内容相关的其他标识信息。

其他

其他可能适用于您的组织或项目的相关国际数据保护框架包括:

  • 巴西 - 通用数据保护法 (LGPD)
  • 日本 - 个人信息保护法 (AAPI)
  • 加拿大 - 个人信息保护和电子文档法 (PIPEDA)
  • 美国加州 - 加州消费者隐私法 (CCPA) / 加州隐私权法 (CPRA)
  • 美国弗吉尼亚州 - 弗吉尼亚消费者数据保护法 (CDPA)
  • 美国科罗拉多州 - 科罗拉多隐私法 (CPA)

上述列表并不详尽,明确的定义将因当地司法管辖区、地区或行业而异。请咨询您的法律、合规和/或数据保护团队,以了解基于适用规则和法规的相关数据分类和具体处理说明。

数据治理监督

在开始在 Palantir Foundry 中处理数据之前,请确保您识别出您组织中负责数据保护和数据治理的相关主题专家 (SMEs) 和责任当局。处理企业数据,包括个人和其他敏感数据,伴随一系列考虑因素:从法律和监管要求到使组织规则在平台/数据所有者设定的情况下运作。

以下是在 Palantir Foundry 中开始处理数据之前,您可以在您的组织中遵循或检查的一系列常见程序:

识别治理委员会/SMEs 或指定数据治理负责人

  • 治理委员会不需要是一个正式的团体,并且可能因每个组织而异。了解谁是组织中负责思考、裁决并帮助解决数据治理和数据保护问题的责任方或各方是很重要的,因为平台的使用不断发展,应用案例不断扩大等。
  • 确保数据被适当处理的责任通常在于相应的数据所有者。这包括确定以下所述的数据处理基本原则如何应用于特定工作流,还包括确保可以满足系统范围的数据治理要求,例如确保使用平台的责任(使用审核日志)并配置相关的保留政策
  • 这些数据治理要求通常由组织的数据保护办公室 (DPO)、信息安全、合规或法律职能部门定义。
最佳实践

与相应的数据所有者或数据控制者协商,以识别在适用法规、使用协议和其他要求下处理数据的相关方。

完成所需的隐私审查或隐私影响评估

  • 根据行业、地区/司法管辖区、应用或组织特定要求,可能需要额外的文档才能开始处理。这可能以组织特定或监管要求的形式准备文档,例如隐私门槛评估、隐私/数据保护影响评估、合规评估、隐私声明、处理活动记录、系统记录通知 (SORNs) 等。
  • 请与内部相关团队核对启动新项目的标准操作程序,特别是如果这些项目涉及处理敏感数据。

与您的法律和合规团队合作

最佳实践

与内部法律和合规团队合作,以确定系统开始处理敏感数据所需的文档。

在有临时问题或需要更广泛的对齐时,请确保您作为数据管理员或用户与相关的法律和合规团队保持联系,以了解需求。

最佳实践

尽早与法律和合规团队沟通,以便他们了解 Foundry 平台的使用和范围。

与 Palantir 的隐私和公民自由团队联系

Palantir 还拥有一个隐私和公民自由 (PCL) 团队,可以用作在 Palantir Foundry 中处理敏感数据的通用最佳实践的资源。请联系您的 Palantir 代表以与 Palantir 的 PCL 团队取得联系。

最佳实践和提示

确保数据最小化

如果某些用户组或项目不需要敏感数据,请删除包含这些数据的列或行,以限制下游对敏感数据的访问。确保对敏感数据的任何访问仅限于数据所有者和/或相关数据保护和数据治理团队定义的明确批准目的。

为了增加一层安全性,我们建议使用 Cipher 服务通过加密操作(加密、解密或哈希)来混淆数据。Cipher 为用户提供工具,以在 Foundry 的存储和网络级别的复杂加密之上配置隐私和治理保护。

确保可问责的数据使用

Checkpoints 是一个 Foundry 应用程序,通过使数据治理团队在某些敏感数据操作可以执行之前请求理由,来促进可问责性和目的限制。有关更多详细信息,请参阅 Checkpoints 文档和有关请求敏感操作理由的工作流。

最佳实践

如果用户在能够执行被视为敏感的操作之前应该提供理由和/或确认,请部署 Checkpoints。

扫描敏感数据集

Sensitive Data Scanner 是一个 Foundry 应用程序,使管理员能够创建特定于组织的敏感数据定义(如 PII)以及围绕识别到与此定义匹配的数据时应采取的策略。Sensitive Data Scanner 可以手动触发或配置为在后台运行,并监视数据集、项目或平台中输入的新数据。当 Sensitive Data Scanner 检测到数据集包含符合预先指定的敏感数据定义的信息时,应用程序将触发配置的响应,例如通过创建一个 Foundry 生成的问题 来提醒管理员,或通过应用 安全权限标记 来主动锁定数据集。有关更多详细信息,请参阅 Sensitive Data Scanner 文档

配置数据保留和删除

数据保留 描述了管理数据在 Foundry 中存储时间长度以及数据从 Foundry 中移除的过程。与 FIPPs 一致,像 PII 这样的敏感数据通常需要在处理目的实现后立即删除,以便遵守适用的数据保护法规。

根据您的合同协议或合规需求,某些数据也可能需要保留。因此,您应该注意到,某些时候从 Foundry 删除是不可逆的,并在整个保留过程中主动实施相关控制,例如资格审查。

我们强烈建议您尽早确定保留要求,理想情况下在任何数据被摄取之前。

有关更多信息,请参阅有关 Foundry 中保留如何工作的文档,或联系您的 Palantir 代表。