阅读: 1
该文件由美国国家标准与技术研究院(NIST)和美国商务部共同发布,发布时间为2019年9月6日。原文名称:NIST PRIVACY FRAMEWORK: A TOOL FOR IMPROVING PRIVACY THROUGH ENTERPRISE RISK MANAGEMENT(Preliminary draft)。
以下为小蜜蜂翻译组原创译文连载之三:
3.0 如何使用隐私框架
当隐私框架用作风险管理工具时,可以帮助组织优化数据的有益使用并开发创新的系统/产品/服务,同时最大程度地减少对个人的不利影响。组织可以利用隐私框架回答以下基本问题:“在开发系统/产品/服务时,如何考虑对个人的影响?”组织可基于隐私框架制定新的隐私计划或建立机制优化现有计划。无论哪种情况,目的都是完善现有的业务和系统开发运营,提供方法向业务合作伙伴和客户描述隐私要求,并支持组织识别隐私实践中的不足之处。
考虑到各组织的独特需求,隐私框架的使用方法不限,由各组织自行决定。例如,A组织选择使用实现层级来描述期望实现的隐私风险管理流程,B组织已经拥有健全的隐私风险管理流程,但会使用核心组件的五大功能来分析、阐明差距。另外,若组织意欲制定隐私计划,可以将核心组件的大类和子类作为参考。组织使用隐私框架的方式多种多样,因此,不应将“遵守隐私框架”作为统一的或外部参考概念。
以下几小节介绍了组织使用隐私框架的几种方法。
3.1 与参考资料对应
隐私框架遵循技术中立原则,但支持技术创新,任何组织或行业都可以将核心组件中基于结果的子类与各标准/指南/实践对应起来,而后者是随技术和相关业务需求而不断演进的。依靠公认的标准/指南/实践,使用可实现积极隐私结果的工具和方法能够跨越国界,适应隐私风险的全球性质,并随着技术进步和业务需求而发展。使用现有和新兴标准能够实现规模经济,推动系统/产品/服务满足现有市场需求,同时顾及个人的隐私需求。
将各子类与标准/指南/实践的特定部分进行关联有利于实现相应结果。通过子类,还可确定补充或修订的标准/指南/实践将在哪些方面助力组织满足新需求。组织在实现特定的子类或开发新子类时,针对相关活动,可能仅有少量的参考资料可用。为解决此问题,组织可与业界技术龙头和/或标准机构合作,起草、开发或协调制定标准/指南/实践。
NIST已将子类与相关NIST指南一一对应,并开发了流程,用以帮助组织或行业向NIST网站https://www.nist.gov/privacy-framework提交其他参考资料和对应关系说明。这些资源可为组织应用隐私框架并优化隐私实践提供支持。
3.2 加强问责
问责通常被视为关键的隐私原则,尽管从概念上讲,问责并非隐私所特有。问责在整个组织中无处不在,表达时可抽象为各种说法,例如文化价值、治理政策和程序、隐私要求与控制措施之间的可追溯关系等。隐私风险管理将高管(传达组织的隐私价值和风险承受能力)与业务/流程管理人员(在开发和实施支持组织隐私价值的治理政策和程序方面进行协作)联结起来,为组织各级别的问责提供支持。政策和程序传达给实施/运营人员后,由后者合作定义隐私要求,最终在组织的系统/产品/服务中体现。实施/运营人员还要选择、实施和评估满足隐私要求的技术和政策控制措施,上报进度、差距和缺陷以及不断变化的隐私风险,以便业务/流程管理人员和高管了解实情,进行相应响应。
图6描绘了此迭代周期以及如何在其中合入隐私框架元素以拉通流程。采用这种操作,组织便可用隐私框架支持问责。此外,组织还可将隐私框架与提供不同实践的其他框架和指南结合使用,以实现组织内部和组织之间的问责(详见3.5节“在数据处理生态系统内使用”)。
图6 组织内部协作与沟通概念性流程
3.3 制定/改进隐私计划
隐私框架大致划分为“准备、启动、实施”(Ready, Set, Go)三个阶段,可基于此制定或改进隐私计划。为持续提升隐私安全,这些阶段可反复进行。
- 准备
要进行有效的隐私风险管理,组织须了解其业务或任务环境、法律环境、企业风险承受能力、其系统/产品/服务带来的隐私风险以及它在生态系统中的角色或与生态系统中其他组织的关系。组织的“准备”工作包括识别-P和治理-P,具体说,要评估大类和子类,然后撰写“当前实施一览表”和“目标实施一览表”。
组织根据“识别功能”的“风险评估”大类进行隐私风险评估。重要的是,组织要识别新的隐私风险,更深刻地了解其系统/产品/服务对个人的影响。有关隐私风险评估的更多信息,参见附录D。
制定/改进隐私计划的简化方法
准备:执行识别-P和治理-P功能,做好准备。
启动:根据当前实施一览表和目标实施一览表之间的差距,制定行动方案。
实施:着手实施行动方案。
- 启动
组织创建当前实施一览表,明示现阶段要实现其他功能的哪些大类和子类。若某结果已部分达成,会为后续步骤提供基线信息。组织根据隐私风险评估制定目标实施一览表,重点评估大类和子类,阐述组织预期达到的隐私结果。此外,组织还可以开发自己的功能、大类和子类,以应对本组织特有的风险。在制定目标实施一览表时,组织还要考虑外部利益相关者(例如商业客户和合作伙伴)的影响和要求。不同的业务线或流程可能会有不同的业务需求和风险承受能力,因此可开发多个实施一览表进行对应支持。
组织将当前实施一览表和目标实施一览表进行比较,找出差距。接下来,制定优先行动方案,解决差距(阐明任务驱动因素、成本效益和风险),以实现目标实施一览表中列出的结果。组织可同时使用网络安全框架和隐私框架,制定综合行动方案。然后,确定解决差距所需的资源(包括资金和人力),为之后确定适当的层级提供参考。这样,通过实施一览表,组织可对隐私活动作出明智决策,进行风险管理,实现低成本、高效率的针对性改进。
- 实施
行动方案确定后,要考虑优先采取哪些行动来解决差距,然后调整现有隐私措施,实现目标实施一览表。更多信息,请访问如下网站,获取实现大类和子类结果的参考资料:https://www.nist.gov/privacy-framework。组织应确定哪些标准/指南/实践(包括行业标准)最符合其需求。
根据需要,可按任意顺序循环完成各个阶段,持续评估和改善其隐私状况。例如,有些组织会发现,“准备”阶段反复进行可提升风险评估质量。此外,可通过迭代更新当前实施一览表或目标实施一览表来把控进度,应对不断变化的风险,再将两者进行比较。通过这一过程,组织还可以将隐私计划与目标实现层级对齐。
3.4 应用于系统开发生命周期
隐私框架的应用可贯穿于整个系统开发生命周期(SDLC)(规划、设计、构建/采购、运行和停用)。任何系统的SDLC均始于规划阶段,这一阶段为后续所有工作奠定基础。应尽可能清晰地阐述总体隐私考虑因素。规划时应认识到,这些因素和要求在生命周期的后续阶段可能会发生变化。设计阶段的一个关键里程碑是验证系统隐私要求是否符合实施一览表中所描述的组织需求和风险承受能力。在构建阶段开发系统以及在采购阶段购买或外包系统时,应纳入目标实施一览表中预期优先实现的隐私结果。该目标实施一览表列举的系统隐私功能应在部署系统时进行评估,以验证这些功能是否全部实现。接下来,将隐私框架确定的隐私结果作为系统持续运行的基础,包括不定期重新评估,核查当前实施一览表中所列举的结果的实现情况,以验证系统是否仍满足隐私要求。
隐私风险评估通常侧重于信息生命周期,即信息经过的阶段,包括创建/收集、处理、传播、使用、存储、处置和销毁/删除。欲将SDLC与信息生命周期对齐,需要识别和了解数据在SDLC各阶段的处理方法。这样,组织才能更好地管理隐私风险,从而在整个SDLC周期内对隐私控制措施进行明智选择,有效实施。
3.5 在数据处理生态系统中使用
隐私框架为数据处理生态系统内的各方交流提供了通用语言。如图7所示,数据处理生态系统包含一系列实体和角色,这些实体和角色彼此之间以及与个人之间具有复杂的多向关系。当实体由一系列子实体支持时,关系就会更为复杂。例如,服务提供商可能由多个其他服务提供商支持,抑或制造商可能拥有多个组件供应商。另外,图7中,每类实体被赋予特定角色。实际上,一个组织可能具有多种角色,例如,向其他组织提供服务的同时向消费者提供零售产品。图7中的角色只是概念上的分类。实际情况是,组织的角色或有法律定义(例如,有些法律将组织分类为数据控制者或数据处理者),或根据行业进行分类。
图7 数据处理生态系统关系
组织应根据自己在数据处理生态系统中的定位使用隐私框架,在管理隐私风险时不仅要考虑到内部事务的轻重缓急,还要考虑对其他各方隐私风险管理的影响。组织可利用实施一览表来选择与其角色相关的功能、大类和子类,例如:
- 组织可利用目标实施一览表向外部服务提供商(例如存储数据所需的云提供商)传达隐私风险管理要求。
- 组织可利用当前实施一览表传达其隐私状况,上报结果数据或将其与采集需求进行比较。
- 行业部门可创建目标实施一览表,业内组织可将其作为初始基线实施一览表,定制自己的目标实施一览表。
- 组织可基于目标实施一览表确定产品内置功能,以便其业务客户满足其最终用户的隐私要求。
沟通对于数据处理生态系统中的各实体尤为重要。组织在实际操作中应着手管理这种隐私风险,包括识别、评估和缓解数据处理中的隐私风险以及天然缺乏缓解隐私风险能力的系统/产品/服务所带来的隐私风险。此类活动包括:
- 确定服务提供商的隐私要求;
- 将隐私要求形成正式协议(例如合同)条文;
- 与服务提供商沟通如何验证和确认这些隐私要求;
- 通过各种评估方法来验证是否满足隐私要求;以及
- 管控上述活动。
3.6 支撑采购决策
当前或目标实施一览表均可用于生成组织隐私要求列表(按优先级排序),还可用于支撑产品和服务采购决策。首先选择与隐私目标相关的结果,然后根据这些结果评估合作伙伴的系统/产品/服务。例如,在购买用于森林环境监测的设备时,可管理性很重要,有助于最大程度地减少有关森林使用者的数据处理,能够促进基于相应子类别(例如,附录A中的CT.DP-P4:系统或设备配置允许有选择地搜集或公开数据元素)对制造商进行评估。
若无法对某一供应商强加隐私要求,则应基于周密的隐私要求列表,在多个供应商中做出最优购买决策。通常,这意味着要进行某种程度的取舍,将与要求尚有差距的多个产品/服务与实施一览表进行比较。若购买的系统/产品/服务无法完全满足实施一览表中的目标,组织可通过缓解措施或其他管理活动来解决残余风险。
(正文完结)
《NIST隐私框架:通过企业风险管理促进隐私保护(初步草案)》全文章节回顾:
- 第1章:《隐私框架》介绍
- 第2章:介绍了隐私框架组件:核心、实施一览表和实现层级。
- 第3章:举例说明如何使用隐私框架。
- 附录A:用表格形式介绍隐私框架核心:功能、大类和子类。
- 附录B:术语表。
- 附录C:列举本文出现的缩略语。
- 附录D:介绍可促进隐私风险管理的关键做法。
- 附录E:定义了实现层级。
- 附录F:为配套路线图预留位置,介绍NIST的下一步规划,列举哪些关键领域的相关实践难以理解,从而影响组织达成隐私结果。
- 附录G:列举本文档参考资料。
连载内容为正文部分,附录部分请下载原文查看: