2020年1月16日,美国国家标准技术研究院(NIST)发布了《隐私框架 1.0版:通过企业风险管理来提升隐私的工具》。该隐私框架是众多利益相关者共同开发的,为相关组织改进使用和提升个人数据保护能力提供了一组有用的隐私保护策略。
NIST主任Walter G. Copan表示:“在数字时代,隐私比以往任何时候都重要。《隐私框架》的开发已经获得了强有力的支持,这表明组织迫切需要工具以协助保护人们的隐私。
一、概述
该隐私框架是一个通过企业风险管理改善隐私管理的自愿性工具,虽并非法律法法规,但鼓励各规模、行业的组织进行广泛使用,以帮助组织管理因其产品和服务引起的隐私风险,并提醒其可能违反相关法律,例如《加州消费者隐私法》和欧盟《通用数据保护条例》。它可以帮助组织确定他们想要实现的隐私结果,然后确定需要采取的行动的优先级。该框架还提供了有关隐私风险管理概念,以及隐私框架与NIST网络安全框架之间关系的说明。
隐私保护是一个具有挑战性的话题,不仅因为它是一个包罗万象的概念,有助于维护人的自主权和尊严等重要价值,还因为实现它的方式是千差万别的。此外,人的自主权和尊严并不是固定的、可量化的概念,它们因文化多样性和个体差异而不同。隐私保护的这种宽泛而不断变化的性质,使得在组织内部与组织之间,以及与个人之间很难就隐私风险进行清晰的交流,目前所缺乏的正是一种足够灵活、可以满足各种隐私需求的通用语言和实用工具。
NIST的高级隐私政策顾问Naomi Lefkovitz表示:“您会在框架中找到具体的操作步骤,帮助您实现隐私目标,其中包括组织需要遵循的法律规定。如果您希望通过更具隐私保护性的产品或服务来提高客户信任度,则该框架可以帮助您做到这一点。”
二、隐私框架内容
1、框架构成
如图1所示,隐私框架由三部分组成:框架核心、隐私轮廓和实现级别。 每个组件都通过业务或任务驱动因素之间的联系、组织角色和职责以及隐私保护活动来加强组织对隐私风险的管理:
- 框架核心(Core)是一组隐私保护活动和成果的集合,能够保证在组织中实现从高管级别到实施(运营)级别的、有关隐私保护重点活动和结果的沟通。框架核心依据每个功能进一步分为互不相关的关键类别和子类别。
- 隐私轮廓(Profile)代表组织当前的隐私活动或期望的结果。如需开发隐私轮廓,组织可以查看框架核心中的所有结果和活动,根据业务或任务驱动因素、数据处理生态系统角色、数据处理类型以及个人的隐私需求来确定最重要的结果和活动。组织可以根据需要创建或添加功能、类别和子类别。隐私轮廓可用于识别隐私状况有待改善之处,以及在组织内部或组织之间就如何管理隐私风险进行沟通。
- 实现级别(Implementation Tiers)为组织如何看待隐私风险以及组织是否具有足够的流程和资源来管理该风险提供了参考,实现级别反映了从非正式的、被动的响应到采用敏捷和风险通知的方法的演进。在选择实现级别时,组织应考虑其目标隐私轮廓、当前的风险管理实践对达成成果的正面或负面影响、隐私风险与企业整体风险管理组合手段的集成程度、数据处理生态系统关系以及其员工组成和培训计划。
2、隐私风险管理
2.1 网络安全与隐私风险管理
尽管管理网络安全风险有助于管理隐私风险,但这还不够,因为如图2所示,隐私风险也可能通过与网络安全事件无关的方式出现。若对网络安全和隐私风险的不同来源具有总体认知,则对于确定应对风险的最有效解决方案非常重要。
隐私框架应对隐私风险的方法是将隐私事件视为个人可能会在从数据收集到处置的整个生命周期中遇到的,以数字或非数字形式从系统、产品或服务运营中产生的潜在问题。
每个人可能遇到的问题(NIST将它们表述为“对尊严类型的影响,如使个人困窘或污名化到更实在的伤害,如歧视、经济损失或人身伤害”)的原因是有差别的。如图2所示,问题是组织为了实现其任务或业务目标而进行的数据处理的不利影响而产生的。
例如:智能电网是一项为提高能源效率而在全国范围内进行的技术改进,而某些社区对作为智能电网一部分的“智能电表”的安装感到忧虑。这些电表能够收集、记录和分发有关家用电器使用情况的详细信息,从而可以洞悉人们在家中的行为。仪表按预期运行,但是其中的数据处理可能会使人们感到被监视。
在逐步互联的世界中,人们与系统、产品和服务所发生的交互将导致许多问题,即使正在处理的数据没有与可识别的个人直接关联时也是如此。例如:智慧城市技术可用于改变或影响人们的行为,如人们在城市中的移动的去向或方式。如果在数据处理的某些环节,数据的机密性、完整性或可用性受到损害也会出现问题。例如:外部攻击者盗窃数据,员工未经授权访问或使用数据等。图2中隐私和网络安全风险之间的重叠部分展示了这些与网络安全相关的隐私事件类型。
一旦组织能够确定由数据处理引起的任何给定问题的可能性,它就可以评估当有问题的数据操作发生时将产生的影响。这种影响评估同时涉及隐私风险和组织风险。无论是个人还是集体(包括社会一级),个人都会直接面对和遭受问题带来的影响。由于个人遇到的问题,组织也可能会受到各类影响,例如因不合规造成的损失、因客户抛弃产品和服务而导致的收入损失,或是对外部品牌声誉及内部文化的损害。组织通常在企业风险管理的级别上管理这些类型的影响。通过将个人遇到的问题与这些易于理解的组织影响联系起来,组织可以将隐私风险与他们在更广泛的产品组合中管理的其他风险并驾齐驱,并推动有关资源更明智的分配决策,以加强隐私计划,图3说明了隐私风险和组织风险之间的这种关系。
2.2 隐私风险评估
隐私风险管理是一组跨组织的过程,它帮助组织了解其系统、产品和服务是如何给人们带来问题的,以及如何开发有效的解决方案来管理这些风险。隐私风险评估是识别和评估特定隐私风险的子过程。一般而言,隐私风险评估产生的信息可以帮助组织权衡数据处理的收益和风险,并确定适当的响应措施,这有时称为“相称性” 。根据对个人的潜在影响和对组织的影响,组织可能会选择以不同的方式对隐私风险进行优先级排序和应对,响应的方法包括:
- 缓解风险(例如:组织可将技术和(或)政策措施应用到系统、产品或服务中,将风险降到可接受的程度);
- 转移或分担风险(例如:合同是一种将风险分担或转移给其他组织的手段,隐私通知和同意机制是一种与个人之间分担风险的手段);
- 规避风险(例如:组织可能认为风险大于收益,从而放弃或终止数据处理);或
- 接受风险(例如:组织可能认为个人数据方面的问题是最小的或不太可能发生的问题,因此收益大于风险,从而没有必要投入资源来缓解此风险)。
隐私风险评估尤其重要,因为如上所述,隐私是保护多重价值的一个前提条件。保护这些价值的方法可能不同,而且这些方法可能会彼此之间排斥。如果组织试图通过限制观察活动来实现对隐私的保护,则可能会实施一些措施,如分布式数据架构或甚至可以使数据对组织也不可见的增强隐私的加密技术。如果组织试图实现个人对数据的控制,那么上面提到的措施也可能会产生冲突。例如:如果一个组织的数据以该组织无法访问的方式分布处理或加密,那么,如果一个人请求访问该数据,则该组织可能无法生成其所需的数据。隐私风险评估可以帮助组织在特定的背景下了解保护的价值、实施的方法以及如何对实施不同类型措施进行平衡。
最后,隐私风险评估有助于组织区分隐私风险和合规风险。即便一个组织可能完全符合相关法律或法规,确认该组织的数据处理活动是否会给个人带来问题,也将有助于该组织在系统、产品和服务设计或部署中的进行合乎道德的决策。合乎道德的决策没有客观标准,它是建立在特定社会的规范、价值观和法律期望之上的。这有助于在优化数据的有益使用的同时,最大限度地减少对个人隐私和整个社会的负面影响。同时,也可以避免因丧失信任引起的组织声誉受损、产品和服务的延期采用,甚至弃用。
三、总结
隐私权作为一项公民基本权利已根植于美国《宪法》,我国宪法亦有关于隐私权的条款。随着互联网、云计算、大数据、物联网、人工智能的蓬勃发展与应用深化,大数据已然成为数字时代的石油。通过对用户数据的收集和分析,可能创造出新的商业模式与价值,但同时也带来了安全与隐私风险。即便是低价值的个人数据可能会在若干年后会新的用途,多种非敏感数据进行汇聚融合也可能会生成新的敏感数据。组织采用隐私风险管理的框架,可不断评估和应对新的隐私安全风险,从而更好地为业务保驾护航。
美国宪法第四修正案
公民的人身、住宅、文件和财产不受无理搜查和扣押的权利,不得侵犯。除依照合理根据,以宣誓或代誓宣言保证,并具体说明搜查地点和扣押的人或物,不得发出搜查和扣押状。
《中华人民共和国宪法》
第三十八条 中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。
第三十九条 中华人民共和国公民的住宅不受侵犯。禁止非法搜查或者非法侵入公民的住宅。
第四十条 中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。
隐私和安全是相关的,但概念却截然不同,仅仅采取良好的安全状态并不一定意味着组织可以满足其所有隐私需求。NIST《隐私框架1.0版》以广泛使用的NIST《网络安全框架》为模型基础,并将这两个框架进行互补,NIST未来还会不断对框架进行更新。
参考文献
[1]赵彤彤,李双喜,邵杰泓,洪振宇,吴利志,马瑶婷,林奕.美国NIST隐私框架1.0版中译本.数据法盟,2020.
[2]美国国家标准与技术研究院(NIST):NIST PRIVACY FRAMEWORK: A TOOL FOR IMPROVING PRIVACY THROUGH ENTERPRISE RISK MANAGEMENT,2020.
作者介绍
Sam Lee,信也科技布道师,信息安全高级经理,目前从事信息安全及隐私保护方面的工作。