阅读: 0

该文件由美国国家标准与技术研究院(NIST)和美国商务部共同发布,发布时间为2019年9月6日。原文名称:NIST PRIVACY FRAMEWORK: A TOOL FOR IMPROVING PRIVACY THROUGH ENTERPRISE RISK MANAGEMENT(Preliminary draft)。

以下为小蜜蜂翻译组原创译文连载之一:

1.0 《隐私框架》介绍

在过去的二十多年间,互联网和相关信息技术驱动了前所未有的创新,创造了经济价值,让社会服务更为便利。这些为人类带来的益处大多源自个人数据,此类数据通过复杂的生态系统传输,这个系统是如此复杂以至于个人很难认识到与系统/产品/服务的交互可能会对自己的隐私造成什么样的后果。。即使是组织也未必能充分意识到这种后果。对隐私风险放任不管会对个人和社会直接造成不利影响,后续会持续影响组织的声誉、收入和未来的增长预期。在利用数据的同时保护个人隐私,这个任务颇具挑战,没有一刀切的解决方案。

之所以说隐私保护具有挑战性,是因为:

(1)隐私保护是个含义宽泛的概念,旨在帮助维护诸如人的自主权和尊严之类的重要价值观;

(2)隐私保护实现方式各有不同,例如,可以通过隔离、限制查看或个人控制其身份相关信息(身体、数据、信誉等)来实现隐私。此外,人的自主权和尊严并非是一成不变、可量化的概念,而是经过文化多样性和个体差异的过滤。隐私的这种宽泛、易变的性质让组织内部、组织之间以及组织和个人之间很难明确传达隐私风险,原因是缺少了通用语言和可满足各种隐私需求的灵活的实用工具。

国家标准与技术研究院(NIST)的自愿性《NIST隐私框架:通过企业风险管理促进隐私保护》(《隐私框架》)帮助组织从如下方面着手管理隐私风险:

  • 在设计和部署影响到个人的系统/产品/服务时考虑隐私;
  • 将隐私实践融入到业务流程中,从而产生有效的解决方案,减轻负面影响;以及
  • 宣讲这些隐私实践。

隐私框架适用于各种规模的组织,不局限于特定的技术、行业、法律或司法管辖区域。

  • 组织中的各类人员,包括高管、法务和信息技术(IT)人员,所负责的结果和活动或有不同。
  • 鼓励跨组织协作,共同制作实施一览表,达成结果。
  • 任何组织或实体都可以使用隐私框架,无论其在数据处理生态系统(参与创建或部署系统/产品/服务的实体之间的复杂互联的关系)中担当什么角色。

1.1 隐私框架概述

如图1所示,隐私框架由三部分组成:核心、实施一览表和实现层级。各组件将业务/任务驱动因素和隐私保护活动关联起来,以此加强隐私风险管理。如第2章所述:

  • 核心指一系列的隐私保护活动和结果,通过这个组件,可在整个组织范围内(从管理层到执行/运营层)将划分好优先级的隐私保护活动和结果进行扩散。该组件有五大功能:识别-P、治理-P、控制-P、沟通-P和防护-P(注:“-P”表示来自隐私框架,以免与网络安全框架功能混淆。)。前四种功能可用于管理数据处理中的隐私风险,而防护-P可用于管理与隐私泄露相关的隐私风险。防护-P并非管理与隐私泄露相关的隐私风险的唯一方法。例如,组织可以将网络安全框架功能与隐私框架结合使用,同时解决隐私和网络安全风险。核心组件的每项功能细分为关键大类和子类,描述的是互无关联的各种结果。
  • 实施一览表涵盖组织当前的隐私保护活动或期望的结果。要制作实施一览表,组织须审视所有的功能、大类和子类,基于业务/任务驱动因素、数据处理类型以及个人的隐私需求,确定其中最需要关注的事项。组织可根据需要创建或添加功能、大类和子类。通过将“当前” 实施一览表(即现状)与“目标” 实施一览表(即未来状况)进行比较,组织可识别机会,改善隐私状况。实施一览表适用于自查以及组织内部或组织之间就当前隐私风险管理方法进行沟通。
  • 实现层级为组织评估隐私风险以及组织的流程和资源是否足以管理隐私风险提供参考依据。这些层级反映了由非正式的被动回应到虑及风险的敏捷方法的递进转变。在选择层级时,组织应考虑目标实施一览表及其与当前风险管理措施之间的关系、数据处理系统/产品/服务、法律法规要求、业务/任务目标、组织的隐私价值和个人的隐私需求以及组织的约束因素。

图1:核心、实施一览表和实现层级

1.2 隐私风险管理

尽管某些组织对隐私风险管理有透彻理解,但这一领域的许多方面尚未达成普遍共识。为促进更多组织达成共识,本节介绍了组织可用于开发、改进或沟通隐私风险管理的概念和注意事项。有关关键隐私风险管理实践的更多信息,参见附录D。

1.2.1   网络安全与隐私风险管理

自2014年发布以来,《网络安全框架》为多个组织沟通和管理网络安全风险提供了参考。尽管管理网络安全风险有助于管理隐私风险,但这还不够,因为隐私风险或会超出网络安全风险范围。网络安全和隐私风险之间的重叠与差异,见图2。

图2:网络安全与隐私风险之间的关系

NIST的隐私风险处理方法考虑的是从数据搜集到处理的整个生命周期中,个人可能因系统/产品/服务运营而遭遇的潜在数据问题,无论是数字还是非数字形式的数据。隐私框架中,这些数据操作统称为数据处理,若用单数表示,则指某一数据操作。个人在数据处理中遇到的问题有多种分类方法,NIST按影响将其划分为几类,轻则影响尊严(如令人难堪或败坏名声),重则造成更明显的危害(如歧视、经济损失或人身伤害)。组织为实现其任务/业务目标进行数据处理时可能会导致意外问题。例如,国家为提高能源效率进行全国性的技术改造,部署智能电网,其中涉及智能电表,而某些人群对智能电表的安装表示担忧,因为这些电表会搜集、记录和传送精确的家庭用电信息,让他人窥探自己在家中的行为。电表使用是计划中的事,但人们感到被监视却是数据处理所导致的意外后果。

数据操作

在系统/产品/服务的整个数据生命周期内进行的操作,包括但不限于搜集、保留、记录、生成、转换、使用、公开、共享、传输和处置。

数据处理一系列数据操作的集合。

当然,这些问题还有可能源自于隐私泄露,原因是在数据处理的某个环节破坏了机密性、完整性或可用性,如外部攻击者窃取数据或员工越权访问或使用数据。如图2所示,破坏机密性、完整性或可用性和为完成任务/业务目标进行数据处理所带来的意外后果中均存在隐私泄露风险。

若能确定数据处理引起特定问题(《隐私框架》将其称为可疑数据操作)的概率,组织就可以评估此类操作的影响。影响评估在隐私风险和组织风险管理中均会涉及。个人—无论是单独一人还是身处集体(包括社会层级)之中—都会直观感受到这些问题的影响。个人遇到问题时,组织可能会受到波及,承受诸如违规成本、产品/服务客户流失或外部品牌声誉/内部文化损害等方面的影响。对于组织的这些影响会促使人们就资源分配做出明智决策,改进隐私计划,将隐私风险与所管理的企业级风险视为同等重要的大事。隐私风险和组织风险之间的这种关系如图3所示。

图3:隐私风险与组织风险之间的关系

1.2.2   隐私风险管理与风险管理之间的关系

隐私风险管理涉及一系列跨组织流程,让组织了解其系统/产品/服务为个人带来的问题以及如何开发有效的解决方案来管理此类风险。隐私风险评估是其中的一个子流程,用于识别、评估、响应特定的隐私风险并为其划分优先级。总体而言,隐私风险评估所产出的信息应能帮助组织平衡数据处理带来的好处与风险,并确定适当的应对措施(有关隐私风险评估操作方面的更多信息,详见附录D)。组织可根据对个人的潜在影响以及对组织的附带影响选择不同的方法应对隐私风险。具体方法如下:

  • 缓解风险(例如,组织可对系统/产品/服务采取技术和/或政策措施,将风险降低到可接受的程度);
  • 转移或分担风险(例如,可利用合同将风险分担或转移给其他组织,利用隐私声明和同意机制将风险转嫁给个人);
  • 规避风险(例如,组织在确定风险大于收益时可选择放弃或终止数据处理);或
  • 接受风险(例如,组织认为问题对个人有微弱或没有影响,因而确定收益大于风险,因此无需投入资源进行防护)。

隐私风险评估尤为重要。如上所述,隐私是维护多项价值的条件。维护方法会有所不同,彼此之间可能互相制约。例如,若组织试图通过限制查看来保护隐私,则可能会实施诸如分布式数据架构或增强隐私的加密技术之类的措施,这些措施甚至会对组织隐匿数据。若组织还想进行个人控制,则这些措施可能会发生冲突。例如,若某人请求访问某组织的数据,而该数据的传输或加密方式限制该组织访问,则无法输出所请求的数据。隐私风险评估有助于组织了解特定背景下要保护的价值、采用的方法以及平衡各种措施的实施方式。

最后,借助于隐私风险评估,组织可将隐私风险与合规风险区分开来。即使组织完全遵守了适用法律法规,在为系统/产品/服务设计或部署进行道德决策时,也要事先确定数据处理是否会给个人带来问题。这有助于促进数据的有益使用,同时最大程度地降低对个人隐私和整个社会的不利影响,并避免因信任受损而破坏组织的声誉、让客户推迟采用或放弃产品/服务。

(未完待续)