机器学习正在成为GDPR的一个“战略外围”

至顶网安全频道 06月04日 编译：隐私倡导者给机器学习冠以了不公平的污名。尽管你可能通过大众媒体听到这样那样的信息，但机器学习并不是侵犯人们隐私的恶意工具。现在欧盟的“通用数据保护条例”已经生效，对在目标市场营销、客户参与、体验优化以及其他涉及个人身份信息（PII）场景中使用机器学习实施了更加严格的审查机制。

但实际上，机器学习正在成为企业组织管理GDPR和其他隐私权要求的关键要素。机器学习在GDPR合规方面所发挥的作用，核心在于横跨复杂的、分布式的应用环境中作为以这个发现、组织、管理和控制企业个人身份信息资产的工具。

近几个月来Wikibon已经看到，那些把用于发现目的的机器学习融入到更广泛GDPR合规解决方案组合中的产品正在激增。这是推动自动化处理数据主体关于同意或拒绝在复杂数据环境中使用其个人身份信息的关键因素。这对使用和管理个人身份信息的透明审查、以及在数据被泄露时发出即时通知来说也是至关重要的。

以下是一些值得关注的面向GDPR合规的个人身份信息发现解决方案提供商。在下面的讨论中，我们将提到每家提供商不同的GDPR用例和部署场景：

- 在DevOps管道中利用机器学习发现个人身份信息：BigID利用机器学习持续跟踪数据中心或云中跨生产环境和开发环境的个人身份信息变化情况。BigID的BigOps使用机器学习跨所有数据存储库发现、背景化和编目个人身份信息。它接入开源DevOps环境（如Jenkins）跨整个开发生命周期自动监控个人身份信息的变更。它使用机器学习将其数据与可疑数据库进行对比，以快速确定哪里存在需要及时通知的违规情况。

- 利用机器学习发现个人身份信息以加速“被遗忘权”的处理：Loom Systems利用机器学习来分析日志和非结构化机器数据，以便即时查看IT环境。它的Sophie for GDPR有一个“找到我的个人身份信息”功能，可以自动收集敏感的日志数据集，在个人身份信息“被遗忘权”下根据数据主题请求快速定位和删除个人身份信息。

- 在网络层面利用机器学习发现个人身份信息：DB Networks利用机器学习来发现包含个人身份信息的数据库，并自动映射信息的处理方式。它的DBN-6300在网络终端接入点上执行被动扫描（而不是主动扫描，因为这可能会遗漏未记录的数据库）。它可作为物理设备或开放虚拟化格式，支持包括Oracle Server、Microsoft SQL Server和SAP Sybase ASE在内的数据库管理系统。虚拟机方面，它支持VMware vSwitch、dvSwitch、以及配置为允许网络点击的软件定义网络平台。

- 使用机器学习发现个人身份信息以便跨混合云进行快速修复：Informatica提供了机器学习驱动的数据发现和修复解决方案，可帮助企业自动发现混合云中新的和现有的个人身份信息及其他数据资产，识别和屏蔽敏感数据，并执行风险分析以确定有效的修复流程。它嵌入了元数据驱动的人工智能，为数据管理者提供自动化和加速隐私和安全工作流程的相关建议。它将客户在现有Informatica解决方案（包括Enterprise Data Catalog、Informatica Data Quality、Axon Data Governance和Secure@Source）上的投资整合在一起。

- 使用机器学习发现个人信息中字母数字和像素级数字格式的敏感数据：MinerEye使用机器学习持续识别、组织、追踪和保护个人身份信息和其他信息资产。它的Data Tracker利用机器学习在字节层面上筛选企业数据存储库，甚至使用计算机视觉（一种深度学习的形式）在像素级别执行此操作。它可以对除了实时数据流之外的归档信息执行这种扫描。它不断跟踪大量个人身份信息，利用机器学习来适应和覆盖形式和文件的各种变化。它可以识别和跟踪组织内部或外部的敏感数据。它可以提醒企业合规性管理员注意可疑的数据行为，特别是在关键资产方面。

- 使用机器学习发现个人身份信息，用于虚拟企业数据目录中：Waterline Data使用机器学习创建一个持续更新的虚拟视图，查看个人身份信息、保存在数据库和组织内其他结构化数据库中的数据。它的GDPR Data Management Application建立在Waterline现有智能数据目录上，该数据目录帮助业务分析人员在没有IT部门参与的情况下查找、组织和分类数据。这个GDPR专有应用通过自动识别受管理的主体数据及其上下文使用和沿袭，来帮助数据隐私官和数据管理员处理GDPR特定的问题以及其他法规问题。集成的访问控制机制可以实施自动流程以便让数据合规，并生成合规报告，以及与GDPR特定条例一致的工作流程。利用机器学习，可以训练该平台来查找某些类型的数据（例如驾驶证号码），并在所有数据集中发现该数据。该系统可以通过将数据类型与GDPR涵盖的数据类型进行对比，来协助进行风险评估规划，从而缩短了这个让许多组织需要花费数周的过程。