提高标准，超越隐私合规

在默认的隐私环境中，隐私遵从性是远远不够的.

合规性为隐私专业人员设定了最低标准，而且不是很高的标准. 事实上, 在默认的隐私上下文中, 作为一名隐私专业人士，遵从性仅仅触及了你的受托责任的表面. 对于那些觉得自己有责任提供的不仅仅是法律规定的最低限度的隐私专业人士和负责任的客户/公民数据管理员, 请继续阅读.

So, 在处理他们的遵从性义务时，为什么会有人实际地考虑比遵从性更多的东西呢? 挑战始于这样一个事实，即法律——因此我们有义务遵守法律——在许多与隐私有关的问题上保持沉默，并将继续保持沉默.

例如, 当前关注cookie横幅的法律义务——主要是由GDPR驱动的，因此对任何地方收集欧盟自然人数据的任何组织都有合规要求——可能对个人默许的cookie接受请求的许多事情保持沉默. 文本和/或隐私政策可以这样读, 通过接受cookie请求, 客户的数据可能以一种客户无法接受的方式处理. 然而, 通过点击“接受”，客户将在法律上同意这种不可接受的行为.“很多人都不知道这一点，因为很多人都懒得去读一下这一键的含义.

实际上, 该组织现在通过明确同意的方式获得了处理甚至出售你的数据的许可，就像在GDPR等法律颁布之前一样, 因为客户通过点击“接受”向组织提供了明确的同意.实际上, 这意味着客户可能会产生隐私错觉, 认为一个合规的组织是在积极地保护他们的法律所定义的利益. 然而, 真正改变的是，客户明确同意组织以与这些法律生效之前和需要同意之前相同的方式处理数据.    

这一问题由于缺少有关供应商提供的服务的可行替代方案而变得更加严重，这意味着除了点击“接受”之外，通常没有可行的选择,这就引出了一个问题，即所提供的明确同意是否真的是自愿的. 法律又一次对这件事保持沉默.

我在12月8日ISACA的隐私实践虚拟会议上的演讲, “未来的隐私治理要求董事会有责任履行,，帮助强调了隐私专业人士——实际上是董事会——应该关注的8个领域，以便真正向客户展示他们的受托责任. 该演示特别强调了为什么仅仅遵守法规是远远不够的, 考虑到法律并不一定服务于它所保护的人的最大利益.

编者按: 了解更多有关ISACA新技术隐私认证的信息， 注册数据隐私解决方案工程师(CDPSE).