监管即将到来：初创企业应如何考虑数据，安全性和隐私

 
从1990年代中期的互联网开始，技术行业及其倡导者就一直在与政府法规进行激战。
具有讽刺意味的是，鉴于互联网本身直接是政府计划(国防高级研究计划局(DARPA))的产品。
但是，我们正在进入技术法规的新时代。有了有关外国政府操纵社交媒体的消息，对数据收集和收集的担忧，技术在日常生活中的重要性和影响日益增长，这不足为奇。
令人惊讶的是，这一次，技术行业及其拥护者软化了对法规的反对。微软总裁布拉德·史密斯(Brad Smith)在他的“工具和武器”一书中公开谈论了监管的必要性。比尔·盖茨(Bill Gates)在介绍该书时还谈到了监管的必要性。最近，思科首席执行官查克·罗宾斯(Chuck Robbins)表示，技术行业需要受到监管。
政策制定者呼吁监管，而技术行业本身对此表示开放。
相关：初创企业准备《加利福尼亚消费者隐私法》(CCPA)的指南
那个协议很好，但是就协议而言。正如今年Geekwire峰会的小组成员所指出的那样，不仅存在一个真正的问题，不仅是该行业的监管方式，而且甚至是可行的。美国代表Pramila Jayapal在活动期间说：“我认为这永远不应该与停止技术和创新有关。”
虽然监管进展不快，但显然即将到来。由于内在的开销和对企业的拖累，对初创企业而言，监管尤其困难。
对法规进行预测总是有风险的。但是，安全和隐私是最有可能成为监管目标的，因为它们是涉及普遍关注的领域，对于监管机构而言很容易取胜。
我认为，我认为在监管的早期阶段可能会选择四个安全和隐私领域。
尤其是对于初创公司而言，这些领域今天采取的措施将随着业务的增长而使您的业务受益。事先做好这些准备可以节省您的争夺之路。可以认为这是开始提早转动车轮，以便更安全，成功地转弯。
下面，我概述了这四个领域，解释了为什么这些可能是早期监管的候选人，以及为什么所有公司(尤其是初创公司)现在都可以实施。
1.系统和设备安全更新的要求
2.互联网设备“检查”访问标准
3.隐私权条例，管理对信息的访问以及删除信息的权利
数据泄露通知规定
1.系统和设备安全更新的要求
数十年来，业界已经知道定期更新的重要性。从2000年代的蠕虫爆发中，我们看到最大的挑战是促使人们应用更新。
不幸的是，在涌向移动设备和物联网(IoT)的过程中，这些课程被忘记或忽略了。
您只需查看Mirai僵尸网络，即可查看未更新移动设备和IoT设备时发生的情况的示例。我们看到的一个关键是，许多IoT设备尤其无法更新：它们是在构建和发布时毫不犹豫地进行更新的。
这就是使安全更新要求成为显而易见的法规候选的原因。没有人认为提高安全性是一件坏事，而这是一个已被证实的问题领域。
这方面的要求可能非常简单：您需要能够更新软件和设备。对于那些通过应用商店发布应用的企业，您几乎可以肯定已经在做这件事。对于制造设备的企业而言，这可能会更困难(这就是为什么某些公司不这样做的原因)。但是，更新不仅有利于客户的安全，还可以使您为客户带来持续的价值并提供保持联系的理由。
作为奖励，保持联系也可以帮助将来增加销量。物联网设备可以是商品，客户会忘记其商品的制造商。拥有更新机制可以通过为您和您的客户建立持续关系的原因来帮助解决这一问题。
2.互联网设备“检查”访问标准
这个想法在原理上是简单的。政府已经建立了规范高速公路上车辆健康的机构：不难想象将其扩展到信息高速公路上的设备。
几乎每当涉及系统和设备的重大事件对更广泛的Internet构成威胁时，就会出现这种情况。无论是感染了Conficker的未打补丁的系统，还是构成Mirai等物联网僵尸网络的设备，事实都是其他人的不良“卫生”可能会产生影响，有时甚至会造成影响。
同样，考虑到Internet访问的性质，这相对容易实现。没有人“直接”连接到互联网。它们连接到提供程序，该提供程序也连接到其他上游提供程序。
对于提前考虑这种可能性的企业而言，采取的步骤相对简单，并且与第一点密切相关：提供一种更新应用程序和设备的方法，并使客户更容易地看到它们已被更新。同样，这是一次使您的企业与客户之间的关系更加持续的机会。随着时间的推移，这可以建立信任，而信任则可以建立品牌忠诚度。
安全和隐私是可以且很可能会首先发生良好，明智的监管的领域。良好监管的最明显领域是公司今天可以采取步骤做好准备的领域。
3.关于信息访问和删除信息的权利的隐私法规
这种法规方法已经在《通用数据保护法规》(GDPR)中在欧洲通过，并将于下个月在《加利福尼亚消费者隐私法案》(CCPA)下在加利福尼亚实施。仅根据这些法规，几乎可以保证将这种方法广泛应用。
如果您的公司与欧洲和/或加利福尼亚州有业务往来(或在欧洲和/或有客户)，那么您已经受制于此，或者很快就会受制于此。
即使这种法规尚未对您产生影响，但很显然，这一法规即将到来。
正如我在关于CCPA的文章中指出的那样，为此类法规做准备实际上可以使企业受益。布拉德·史密斯(Brad Smith)说，为GDPR做准备为微软的业务提供了帮助，这一教训广泛适用。
简而言之，收集数据并将其锁定的日子已经一去不复返了。通过准备这种法规，您可以为客户提供他们长期以来一直希望并且会越来越期望的东西：查看和删除数据的能力。仅以此为基础，尽早响应此法规要求将使您的创业公司或企业处于良好的主动客户服务基础上。
4.数据泄露通知规定
这是我们在GDPR和CCPA中都已经看到的另一条法规。如上所述，这使您几乎可以押注该法规。尤其如此，因为对大型公共数据泄漏的响应速度缓慢，导致定期的骚动加剧，这使得这种规章比数据访问更具吸引力。
所有作为数据托管人的企业都应该已经能够在不良事件发生时以及何时发生响应。但是现实是，很少有人这样做。数据泄漏确实是两个事件：泄漏本身和对泄漏的响应。在违规事件中，第一个事件几乎总是已经发生的事件，因此这是企业无法控制的事件。这就是企业的“成败”事件。
对于初创企业而言，赌注再高不过了。数据泄露和响应迟钝实际上会杀死一家公司。
当前法规的指示是需要快速通知，并且几乎可以肯定这不会改变，这意味着在展望未来法规时，您应该期待同样的事情并做好相应的准备。
除了当前和未来可能的监管方向之外，我可以证明，响应速度，尤其是围绕沟通的响应速度，是最终整体情况如何发挥的最重要的单个因素。
如果您还没有数据泄露应对计划，那么现在该开始构建它了。特别是从。如果/当您需要它时，就无法构建它。
结论
关于当今的技术世界，它说了很多关于法规的最新讨论都得到了业界本身的认可而不是敌意。这意味着，就像《权力的游戏》中的冬天一样，法规即将来临。
尤其是对于初创公司而言，很容易遵循敌意的旧法规。但是这次，它不起作用：它已经在发生。
通过接受法规的必然性并努力制定更智能，更合理的法规，初创企业和技术行业可以成为塑造更好成果的合作伙伴。
安全和隐私是可以且很可能会首先发生良好，明智的监管的领域。良好监管的最明显领域是公司可以立即采取措施做好准备，并在此过程中帮助明智地制定监管的领域。最重要的是，我概述的这些领域都是当今初创企业明显受益的领域。