2020年1月16日,美国国家标准技术研究院(NIST)发布了《隐私框架 1.0版:通过企业风险管理来提升隐私的工具》。该框架是众多利益相关者合作完成的,为相关组织改进使用和保护个人数据方法提供了一组有用的隐私保护策略。该框架还提供了有关隐私风险管理概念,以及隐私框架与NIST网络安全框架之间关系的说明。

一、概述

NIST发布的《隐私框架1.0版》不是法律法规,而是一种自愿性工具,可以帮助组织管理因其产品和服务引起的隐私风险,并提醒其可能违反相关法律,例如《加州消费者隐私法》和欧盟《通用数据保护条例》。它可以帮助组织确定他们想要实现的隐私结果,然后确定需要采取的行动的优先级。NIST主任Walter G. Copan表示:“在数字时代,隐私比以往任何时候都重要。《隐私框架》的开发已经获得了强有力的支持,这表明组织迫切需要工具以协助保护人们的隐私。”NIST的高级隐私政策顾问Naomi Lefkovitz表示:“您会在框架中找到具体的操作步骤,帮助您实现隐私目标,其中包括组织需要遵循的法律规定。如果您希望通过更具隐私保护性的产品或服务来提高客户信任度,则该框架可以帮助您做到这一点。”

二、内容介绍

(一)构成

该隐私框架分为三个部分:核心、配置以及实施层,每个部分都通过业务或者任务驱动因素、组织角色和职责以及隐私保护活动之间的关系来加强组织对于隐私风险的管理。

核心:是一组隐私保护活动和结果,允许在整个组织中从执行级别到实施/运营级别传达优先的隐私保护活动和结果。

配置:是组织当前的隐私活动或期望的结果。进行配置,组织可以查看核心中的所有结果和活动,以根据业务或任务驱动因素、数据处理生态系统角色、数据处理类型以及个人隐私需求来确定最期望的结果和活动。组织还可以根据需要创建或添加功能、类别和子类别。通过将“当前配置”与“目标配置”进行比较,配置可用于识别改善隐私状况。配置还可以帮助组织进行自我评估,以及在组织内部或组织之间就如何管理隐私风险进行沟通。

实施层:是为组织如何看待隐私风险以及组织是否具有足够的流程和资源来管理该风险提供了参考。实施层反映了从非正式的、被动的反应到提升到进行敏捷和风险告知。在开展实施层时,组织应考虑其目标概况、其当前的风险管理实践、隐私风险与企业风险管理产品组合的程度、数据处理生态系统关系以及其员工组成和培训计划。

(二)隐私风险管理

1、网络安全与隐私风险管理

尽管管理网络安全风险有助于管理隐私风险,但这还不够,因为隐私风险也可能通过与网络安全事件无关的方式出现。全面了解网络安全和隐私风险的不同来源对于制定解决风险的方案很重要。《隐私框架1.0版》中针对隐私风险的应对方法是将隐私事件视为个人可能会经历的潜在问题,这些问题可能是由于从数字化或非数字化形式的系统、产品或服务运营中产生的。个人因数据处理而可能遇到多种问题,NIST认为这些问题从影响尊严(如污名化)到更明显的伤害(如歧视、经济损失或人身伤害)各不相同。而且,个人遇到的问题原因可能会有不同,一般而言,问题是因为组织为了实现其任务或业务目标而进行的数据处理所产生的不利影响。例如,某些社区对作为智能电网一部分的“智能电表”的安装感到担忧。虽然这是一项提高能源效率的措施,但是民众担心电表公司通过收集,记录和传输家庭详细的用电信息,可以分析出自己在家中的行为,害怕自己会被监视。

在日益连接的世界中,即使正在处理的数据未直接与可识别的个人相连接,也可能由于个人与系统、产品和服务的交互而产生一些问题。例如,智慧城市技术可用于改变或影响人们的行为,包括他们在城市中的移动位置或方式。如果在数据处理的某个时刻失去机密性、完整性或可用性,也会出现问题。例如,外部攻击者盗窃数据或员工未经授权访问或使用数据,此种情况属于隐私风险与网络安全风险的重叠部分。

一旦组织能够确定数据处理引起的任何既定问题的可能性(《隐私框架》将其称为有问题的数据操作),它就可以评估有问题的数据操作可能发生的影响。其中,个人、组织以及社会都可能受到影响。由于个人遇到的问题,组织可能会受到影响,例如违规成本,因客户放弃产品和服务而导致的收入损失或损害其外部品牌声誉或内部文化。通过将个人遇到的问题与组织可能受到的影响联系起来,组织可以将隐私风险与他们在产品管理中产生的其他风险处于同等地位,并推动通过资源分配做出更明智的决策,以加强隐私保护。

2. 隐私风险评估

隐私风险管理可以帮助组织了解其系统、产品和服务如何为个人带来问题以及如何开发有效的解决方案来管理此类风险。隐私风险评估是识别特定隐私风险的最重要的过程。通常,隐私风险评估会生成相应信息,这些信息可以帮助组织权衡数据处理带来的好处与风险之间的关系,并确定适当的应对措施。根据对个人的潜在影响以及对组织的影响,组织可以选择以不同的方式对隐私风险进行优先级排序和应对。应对措施包括:

—降低风险(例如,组织能够将风险最小化到可接受程度,并实施相应技术和/或政策措施);

—转移或分担风险(例如,合同是将风险分担或转移给其他组织的手段,隐私声明和同意机制是与个人分担风险的手段);

—规避风险(例如,组织确定风险大于收益时,放弃或终止数据处理);

—接受风险(例如,组织可以确定针对个人的问题较少或不太可能发生,此时收益大于风险,不必投入资源进行缓解)。

根据组织的目标,如果组织试图通过限制监测来实现隐私,则可能导致实施诸如分布式数据体系结构或增强隐私保护的加密技术之类的措施。如果组织也试图实现用户控制,则这些措施可能会发生冲突。例如,如果用户请求访问数据,此时数据已经以无法访问的方式进行了传输或加密,则无法访问数据。隐私风险评估可以帮助组织了解要保护的价值、采用的方法以及如何平衡不同类型措施的实施。

最后,隐私风险评估可帮助组织区分隐私风险和合规风险。即使组织可能完全遵守法律或法规,识别数据处理是否会给个人带来问题,方便组织在设计或部署系统,产品和服务中进行道德决策。这有助于促进数据的有益使用,并最大程度地减少对个人隐私和整个社会的不利影响,并避免因信任受损而破坏组织的声誉。

三、评价

隐私作为美国的一项基本权利已根植于美国《宪法》,但其在数字时代的应用仍在不断发展,部分原因是技术本身正在以迅猛的速度变化。数据的新用途不断发展。特别是在物联网和人工智能的背景下,通过对数据的收集和分析,可能创造出新的商业模式,但同时也带来了风险。如今,我们认为的低价值的个人数据类型可能会在几年后有全新的用途。或者将两种不敏感的数据进行结合,可以产生敏感的数据。因此组织需要一个隐私风险管理的框架,不断评估和应对新的安全风险。

隐私和安全是相关的,但概念却截然不同,仅仅采取良好的安全状态并不一定意味着组织可以满足其所有隐私需求。《隐私框架1.0版》以广泛使用的NIST《网络安全框架》为模型,并将这两个框架进行互补,NIST未来还会不断对框架进行更新。

《隐私框架1.0版》中还提出了一些具体的隐私保护措施,对于组织也很有助益。例如加强问责制,NIST认为隐私风险管理可以成为组织实施问责制的一种方式,因为它可以将传达组织隐私价值和承受隐私风险的高级管理人员与在开发和实施协作方面的业务/流程经理级人员联合起来支持组织的隐私治理策略和程序。然后,再将这些策略和程序传达给实施/运营级别的人员,定义隐私要求,这有助于在组织的系统、产品和服务中体现策略和程序。另外,实施/操作级别的人员还需要实施和评估措施是否满足隐私要求,并报告进度、差距以及不断变化的隐私风险,以便业务/流程经理级别和高级主管可以更好地理解隐私风险并适当地做出应对。

作者简介:杨婕,中国信息通信研究院互联网法律研究中心研究员

参考资料

The NIST Privacy Framework: A Tool for Improving Privacy through Enterprise Risk Management

声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。