金融服务中的数据主权和隐私：通过以数据为中心的架构，加快适应

全球隐私保护主管 Kadri Linask-Goode
2023 年 7 月 11 日

数据处理受到全球不断发展的各种法律法规的限制。全球金融服务企业的 IT 领导者需要持续平衡数据治理和总体业务目标，这需要适应性强、灵活且以数据为中心的 IT 基础设施。

联合国贸易和发展会议 (UNCTAD) 发现，在 194 个国家和地区中，有 137 个（占总数的 70% 以上）已经出台数据和隐私保护相关法律法规。仅美国就有 5 项新的州级数据保护法将于 2023 年生效。

因此，金融服务企业的领导者应该熟悉越来越多的数据隐私法律，并分别评估法律对业务和处理的影响。

金融服务企业的数据隐私法规

全球的一些数据隐私法规：

• 欧盟通用数据保护条例 (GDPR)
• 巴西通用数据保护法 (LGPD)
• 新加坡 2012 年个人数据保护法 (PDPA)
• 加利福尼亚州消费者隐私法 (CCPA)

除地区数据主权法律外，主要市场的金融服务企业还需满足新的网络安全法律和数据驻留要求。

在美国，这些网络安全要求来自于:

• 纽约州金融服务部 (NYDFS)
• 联邦存款保险公司 (FDIC)
• 格拉姆-里奇-布利雷法案 (GLBA)
• 联邦贸易委员会 (FTC)

越来越多的法规要求全球金融服务企业除了遵守运营所在地的法律外，还要遵循个人客户的本地数据隐私法律。

IT 领导者需要创建一个能够适应新法规并管理复杂性的 IT 架构。数据主权法规还加强了在存储、传输和保护数据时对混合 IT 解决方案的需求。

未能积极应对数据监管会带来风险

全球金融服务企业的 IT 领导者在遵守各种区域数据隐私和主权法规时面临独特的需求和挑战。

管理数据的两种方式：

• 积极构建网络，以合规方式处理数据，避免监管调查
• 在立法颁布后努力遵循

等待新法规生效后再予以反应会带来组织上的弊端：增加出错的可能性，面临监管执法风险，增加企业的压力。

金融服务企业管理着大量敏感数据，如果不能遵守法规，承担巨额罚款和名誉受损的风险就会增加。

DLA Piper 在“GDPR 罚款和数据泄露调查“中指出，欧洲保护监管机构在 2022 年共开出 16.4 亿欧元（17.4 亿美元）的罚单，同比增长 50%。

其他地区也在加大经济处罚力度：新加坡个人数据保护委员会 (PDPC) 在《个人数据保护法执法说明》中指出，将经济处罚上限从固定的 100 万新元提高到组织年营业额超过 1,000 万新元部分的 10%，以较高者为准。

随着许多国家和地区开始严肃对待数据隐私，不合规企业可能会面临重大后果。

金融服务企业如果能积极解决 IT 架构问题，满足不断变化的法规要求，就能避免可能出现的重大处罚，并能合规地最大限度地利用数据来支持企业使命，并提高客户价值。

解决碎片化的传统数据架构

强大的隐私和数据安全能力成为核心差异化因素，加之数据主权要求的演变，数据管理在金融服务领域发挥着至关重要的作用。

IDC 的“2022 年全球首席执行官调查”发现，80% 的欧洲企业将数据主权视为最优先事项。

大多数传统解决方案都是随着时间的推移采用不同的点解决方案构建的，从而导致了 IT 架构的碎片化。领先金融服务企业的 IT 专业人员认识到部署以数据为中心的混合 IT 战略的优势。特别是当它们与数据主权优先事项保持一致时，可以降低当地法规风险，管理复杂性并优化控制。

以数据为中心的混合 IT 战略涵盖：

• 本地化数据存储，特别是在有适用数据法规的国家和地区
• 混合 IT 控制，解决数据治理、主权、合规性和要求问题
• 连接合作伙伴、云、应用和生态系统的数据交换中心
• 优化数据交换，以减少延迟并提高性能，从而缓解数据引力的挑战

让数据为全球金融服务企业服务

金融服务企业的 IT 领导者可以携手拥有全球数据中心平台的组织，创造显著的竞争优势。

清晰的以数据为中心的混合 IT 基础设施能够控制数据的存储位置和汇总方式，并利用尖端技术来防范网络攻击。这有助于企业通过区域化数据存储，满足不断变化的数据主权和隐私要求。

Digital Realty 提供全方位的数据中心、主机代管和互连解决方案，将企业和数据结合，为创新提供动力。PlatformDIGITAL^® 是我们的全球数据中心平台，为客户提供安全的数据场所。

访问我们的金融服务行业页面，了解 PlatformDIGITAL^® 如何帮助 IT 领导者通过数据驱动的转型解锁增长机会和竞争优势。

作者简介：Kadri 拥有 20 余年合规经验和 9 年数据隐私经验，主要负责与 Digital Realty 的全球客户、员工、供应商、产品和运营相关的隐私事务。