通用数据保护条例（GDPR）的实施与公司的数据治理计划有着内在的联系。许多文章都与这两项举措有关，但没有一篇文章像丹尼斯•斯莱特里（dennisslattery）最近在LinkedIn上发表的文章那样明确。将治理与隐私之间的婚礼比喻得非常贴切，但也凸显了一个关键因素：成功的长期婚姻建立在坚实的基础和相互努力的基础上，或者正如亨利·福特所说："走到一起是一个开始；保持在一起就是进步；合作就是成功。"那么，我们如何使这段婚姻成功呢？《全球数据保护条例》对保护数据公民权利需要做些什么非常明确，但大多数公司面临的一个公开问题是，如何遵守该条例和/或超越最低限度，使GDPR为他们服务。目前关于如何实现GDPR的讨论大多集中在两种方法中的一种：自顶向下或自下而上。我认为，这些方法不是相互排斥的，成功实施GDPR必须基于这些互补方法的组合。在一种自上而下的方法中，GDPR团队将与企业接触，以明确了解以某种方式涉及个人数据的所有业务（数据）流程。对于每个流程（考虑第三方信用检查、地址验证、数据分析等），都有许多属性需要澄清，例如：这一特定过程是否已获得同意？收藏的商业目的是什么？谁是管制员？谁是处理器？谁是负责数据保护的官员？什么是数据保留期？收集什么类型的数据？还有更多这不是一次性的工作：一旦所有与个人数据相关的过程都被识别和分类，它们将需要随着组织、其基础设施和流程的发展而得到维护。自下而上的方法本质上更具技术性。为这些已经建立的数据属性和数据管理（PII）分配相关的数据元素，并尝试使用GDI对这些数据进行分类。这种方法很快就遇到了一个瓶颈，因为相同的数据可以用于多种业务目的，因此不容易为GDPR分类。成功的GDPR实现将把这两种方法结合起来或结合起来（用丹尼斯的比喻）。第一阶段是GDPR团队分析涉及PII和业务的数据流程，然后在数据治理平台中对这些流程进行编目和维护。在第二个阶段，将元数据加载到数据治理平台中，并确定与GDPR相关的数据元素。一旦数据流程和数据元素被识别和治理，您就可以将它们链接在一起，并轻松地跟踪在哪个业务（数据）流程中使用了哪些数据元素。识别和分类涉及个人数据的数据过程和元素并不是游戏的终点：它只是你GDPR旅程的开始。该条例要求公司对这一过程实施基于风险的方法。实际上这是什么意思？您将需要业务流程和数据元素的风险度量，以确定您的高风险违规。对于高风险流程，必须进行数据保护影响评估。在违约风险较高的情况下，基于风险的方法需要某种形式的缓解措施，以降低风险敞口。缓解措施有多种方式，技术方面最有效的两种缓解措施是假名化和匿名化。上述所有内容（数据流程、数据元素、属性、风险度量、缓解措施等）都必须受到监管，并且必须在任何时候由监管机构进行审计。为了在这场婚礼上获得长久的幸福，今天就投资正确的解决方案吧。Collibra提供了一个支持GDPR的同类最佳数据治理解决方案。或者正如亨利·福特雄辩地写道："合作就是成功。"