江苏龙网

  1. 首页 > 资讯 > 资讯 > >

Profile|「公益译文」NIST隐私框架:通过企业风险管理促进隐私保护初步草案(一)

_原题为 「公益译文」NIST隐私框架:通过企业风险管理促进隐私保护初步草案(一)
该文件由美国国家标准与技术研究院(NIST)和美国商务部共同发布 , 发布时间为2020年1月16日 。 原文名称:NIST PRIVACY FRAMEWORK: A TOOL FOR IMPROVING PRIVACY THROUGH ENTERPRISE RISK MANAGEMENT(V1.0) 。
以下为小蜜蜂翻译组原创译文连载之一:
国家标准与技术研究院(NIST)与公私有利益相关者合作 , 采用基于共识的透明流程 , 开发了《隐私框架:通过企业风险管理促进隐私保护》(简称《隐私框架》) 。 这是一个自愿性隐私管理工具 , 用以优化隐私工程实践 , 支持“隐私设计”(Privacy by Design)概念 , 帮助组织保护个人隐私 。
1.0《隐私框架》介绍 在过去的二十多年间 , 互联网和相关信息技术驱动了前所未有的创新 , 创造了经济价值 , 让社会服务更为便利 。 这些益处大多源自复杂生态系统中的个人数据 , 这个系统是如此复杂以至于个人很难认识到与系统/产品/服务交互时可能会对自己的隐私造成什么样的后果 。 即使是组织也未必能充分意识到这种后果 。 对隐私风险放任不管会对个人和社会造成直接的不利影响 , 后续会持续影响组织的品牌、收入和未来增长预期 。 数据处理一方面为组织带来益处 , 另一方面 , 带来了隐私风险 , 如何在此过程中保护个人隐私 , 这个任务颇具挑战 , 没有一刀切的解决方案 。
之所以说隐私保护具有挑战性 , 是因为:(1)隐私保护是个含义宽泛的概念 , 旨在帮助维护诸如人的自主权和尊严之类的重要价值观;(2)隐私保护实现方式各有不同[1] , 例如 , 可以通过隔离、限制查看或个人控制其身份相关信息(身体、数据、声誉等[2])来实现隐私 。 此外 , 人的自主权和尊严并非是一成不变、可量化的概念 , 而是经过文化多样性和个体差异的过滤 。 隐私的这种宽泛、易变的性质让组织内部、组织之间以及组织和个人之间很难明确传达隐私风险 , 原因是缺少了通用语言和可满足各种隐私需求的灵活的实用工具 。
【Profile|「公益译文」NIST隐私框架:通过企业风险管理促进隐私保护初步草案(一)】该自愿性《NIST隐私框架:通过企业风险管理促进隐私保护》(《隐私框架》)适用于各种规模的组织 , 不局限于特定的技术、行业、法律或司法管辖区域 。 框架采用了通用方法(可适应数据处理生态系统中的各种组织角色) , 旨在帮助组织从如下方面着手管理隐私风险:
· 在设计和部署影响到个人的系统/产品/服务时考虑隐私;
· 宣讲隐私实践;
· 鼓励各类组织人员(例如高管、法务和IT人员)在开发Profile、选择实现层级、实现结果过程中紧密协作 。
1.1 隐私框架概述 如图1所示 , 隐私框架由三部分组成:核心、Profile和实现层级 。 各组件将业务/任务驱动因素、组织角色及其职责和隐私保护活动关联起来 , 以此加强隐私风险管理 。 如第2章所述:
Profile|「公益译文」NIST隐私框架:通过企业风险管理促进隐私保护初步草案(一)
文章图片
图1:核心、Profile和实现层级
· “核心”指一系列的隐私保护活动和结果 , 通过这个组件 , 可在整个组织范围内(从管理层到执行/运营层)将划分好优先级的隐私保护活动和结果进行扩散 。 核心组件的每项功能细分为关键大类和子类 , 描述的是互无关联的各种结果 。
· “Profile”涵盖组织当前的隐私保护活动或期望的结果 。 要制作Profile , 组织须检视核心组件所涵盖的所有结果和活动 , 基于业务/任务驱动因素、数据处理生态系统角色、数据处理类型以及个人的隐私需求 , 确定其中最需要关注的事项 。 组织可根据需要创建或添加功能、大类和子类 。 通过将“当前”Profile(即现状)与“目标”Profile(即未来状况)进行比较 , 组织可识别机会 , 改善隐私状况 。 Profile适用于自查以及组织内部或组织之间就当前隐私风险管理方法进行沟通 。
· “实现层级”(层级)反映了组织对隐私风险的看法以及组织的现有流程和资源是否足以管理隐私风险 。 层级逐级递升 , 最低级表示组织对风险只是毫无计划的被动回应 , 最高级表示组织采用了虑及风险的敏捷方法 。 在选择层级时 , 组织应考虑目标Profile , 还要考虑当前风险管理实践、隐私风险融入企业风险管理的程度、数据处理生态系统关系、人力组成以及培训项目是否支持或妨碍实现目标结果 。
1.2 隐私风险管理 尽管某些组织对隐私风险管理有透彻理解 , 但这一领域的许多方面尚未达成普遍共识[3] 。 为促进更多组织达成共识 , 本节介绍了组织可用于开发、改进或沟通隐私风险管理的概念和注意事项 。 有关关键隐私风险管理实践的更多信息 , 参见附录D 。
脚注5:
见《对NIST隐私框架信息征询结果的简要分析》 , 第7页 。
1.2.1 网络安全与隐私风险管理
《网络安全框架》自2014年发布以来 , 成为了组织沟通和管理网络安全风险的得力助手[1] 。 管理网络安全风险有助于管理隐私风险 , 但这还不够 , 因为隐私风险或与网络安全事件无关 , 如图2所示 。 全面了解网络安全风险和隐私风险 , 明了各自来源 , 才能选择最有效的风险解决方案 。


推荐阅读


上一篇:挖矿|币安三周年|CEO庄重:懂挖矿才算懂区块链

下一篇:运动|众筹仅售999元!不足千元告别健身房