過去，“數據工程師”和“監管合規”這兩個術語通常不會在業務對話中相互交叉。數據工程師正在努力構建系統來收集原始數據供數據科學家分析。另一方面，法規遵從是另一個部門的領域，例如法律或安全團隊。

然而，隨著國際、州和行業數據隱私法的興起，組織內的幾乎每個人都必須了解他們的工作如何幫助支持合規性——包括數據工程師。事實上，在美國，已有五個州通過了數據隱私立法：

加利福尼亞州：其先前的數據隱私法《加利福尼亞消費者隱私法》（CCPA）將被更全面的《消費者隱私權法》（CPRA）取代，該法于2023年1月1日生效。

科羅拉多州：科羅拉多州隱私法(CPA)于2023年7月1日生效。

康涅狄格州：康涅狄格州數據隱私法(CDPA)于2023年7月1日生效。

猶他州：猶他州消費者隱私法(UCPA)于2022年12月31日生效。

弗吉尼亞州：弗吉尼亞州消費者數據保護法(VCDPA)于2023年1月1日生效。

違規的罰款可能相當可觀。零售商絲芙蘭最近因為沒有向消費者披露它正在出售他們的數據而被處以120萬美元的罰款。鑒于合規的復雜性——以及罰款——公司優先考慮與合規相關的工作也就不足為奇了。事實上，2022年EMA調查發現，68%的組織正在使用或計劃使用監管合規計劃作為市場差異化因素。

雖然合規性繼續排在業務優先級的隊列中，但數據使用比以往任何時候都代表著更大的風險。云遷移和數據共享已經取代了本地數據存儲的基礎架構和邊界。因此，數據保護要求更加嚴格，因為保護變得更具挑戰性。

因此，與組織中幾乎所有其他人一樣，數據工程師現在必須了解他們對數據的使用和與數據的交互如何影響合規風險。此外，數據工程師必須具備新的技能組合才能在高度合規、云優先的環境中工作。

讓我們仔細看看數據工程師可以支持公司合規工作的三個領域：

1.數據敏感性

組織如何保護數據取決于其數據敏感程度，數據工程師必須深入了解什么構成敏感數據和非敏感數據。在高度合規的商業環境中，更敏感的數據——專有信息、社會安全號碼、信用卡號碼、地址——在使用時必須有更嚴格的保護。

同樣重要的是要認識到隱私法對數據敏感性的定義不同，這會使數據保護復雜化。例如，CPRA對敏感數據進行了廣泛的描述，甚至添加了一個稱為敏感個人信息的子集。CPA將與消費者的性生活和身心健康狀況相關的信息視為敏感數據，而VCDPA包括地理位置信息敏感數據。當數據工程師可以識別數據敏感性并根據該敏感性采取適當的行動時，他們可以大大降低不合規的風險。

二、使用要求

一旦根據敏感性對數據進行了分類，就更容易確定如何處理它，這取決于對數據的處理方式。眾所周知，數據不斷地從本地遷移到云端。它在組織內部和外部共享，并從高環境轉移到低環境。隨著數據從一個位置流向另一個位置，公司必須采用強大的保護方法。

例如，有時必須重新識別一段敏感的、去識別化的數據。在這些情況下，必須采取適當的保護措施，以確保重新識別的數據不會暴露。從那里開始，數據工程師必須知道如何在當前狀態下使用它以確保合規性。沒有線性處方——“做這個，做那個”模型。合規性因企業經營所在的國家、州和行業的獨特組合而異。

3.安全控制

在大規模遷移到云之前，數據安全控制很簡單：保護網絡外圍以防止未經授權的數據訪問。由于云沒有邊界并且數據不斷移動，因此公司必須實施更多的安全控制。必要的控制形式取決于數據類型和用途。

數據工程師必須敏銳地意識到正在使用的無數控制——比如理解掩碼、標記化和加密之間的區別，以及在不降低數據價值的情況下何時以及如何應用它們。雖然數據工程師不負責應用這些控制，但他們需要了解他們可以向誰發送數據，也不能向誰發送數據。他們需要有足夠的安全控制背景知識，才能發現保護方法未應用或被誤用的情況。

數據隱私法規只會越來越多，與數據保護相關的期望也越來越高。組織中的每個人都需要360度全方位的視角來確保人員和數據的安全。數據工程師在幫助組織降低風險方面發揮著重要作用。及時了解最新的數據隱私法，并花一部分時間對數據敏感性、使用要求和安全控制進行自我教育，這將大大有助于確保隱私和合規性成為公司長期結構的一部分。