在一个科技深刻塑造我们生活本质的时代,隐私的概念已经获得了新的、复杂的含义。随着我们步入2024年,隐私的代价已经成为全球个体和社会的首要关切。世界各地的政府已经认识到在数字时代保护公民隐私的紧迫性。作为回应,他们引入和更新旨在保护个人数据的法规。我国既《网络安全法》后相继生效实施了《数据安全法》《个人信息保护法》,欧洲联盟的《通用数据保护条例》(GDPR)和加利福尼亚州消费者隐私法(CCPA)等隐私法律继续影响着组织如何处理用户数据。这些法规在赋予个体更大对其个人信息的控制方面起着关键作用。
一、NIST隐私框架
2020年1月16日,美国国家标准技术研究院(NIST)发布了《隐私框架 1.0版:通过企业风险管理来提升隐私保护的工具》。该隐私框架是众多利益相关者共同开发的,为相关组织改进使用和提升个人数据保护能力提供了一组有用的隐私保护策略。
2023年4月24日,NIST发布《网络安全框架2.0核心》(Cybersecurity Framework 2.0 Core,简称“CSF 2.0”)讨论草案,该草案确定了CSF 2.0核心的潜在功能、类别和子类别,旨在提高CSF 2.0更新过程的透明度并促进讨论,从而为完善CSF提供具体建议。
NIST隐私框架主要由框架核心,隐私轮廓和实现级别三部分组成:
框架核心(Core)
是一组隐私保护活动和成果的集合,能够保证在组织中实现从高管级别到实施(运营)级别的、有关隐私保护重点活动和结果的沟通。隐私框架的核心部分由5大功能板块、18个类别构成:识别板块(ID-P)可以识别机构外部的环境和现状;治理板块(GV-P),用于建立公司内部治理体系;控制板块(CT-P),可适用于精细化管理数据的场景;交流板块(CM-P),用于开展活动、帮助机构和个人交流隐私风险相关的问题;保护板块(PR-P),可以实施保护措施以防止网络安全事件。
隐私轮廓(Profile)
代表组织当前的隐私活动或期望的结果。如需开发隐私轮廓,组织可以查看框架核心中的所有结果和活动,根据业务或任务驱动因素、数据处理生态系统角色、数据处理类型以及个人的隐私需求来确定最重要的结果和活动。
实现级别(Implementation Tiers)
为组织如何看待隐私风险以及组织是否具有足够的流程和资源来管理该风险提供了参考,实现级别反映了从非正式的、被动的响应到采用敏捷和风险通知的方法的演进。
二、隐私风险管理
隐私风险管理是一组跨组织的过程,它帮助组织了解其系统、产品和服务是如何给人们带来问题的,以及如何开发有效的解决方案来管理这些风险。尽管管理网络安全风险有助于管理隐私风险,但这还不够,隐私风险也可能通过与网络安全事件无关的方式出现。若对网络安全和隐私风险的不同来源具有总体认知,则对于确定应对风险的最有效解决方案非常重要。隐私框架应对隐私风险的方法是将隐私事件视为个人可能会在从数据收集到处置的整个生命周期中遇到的,数字或非数字形式从系统、产品或服务运营中产生的潜在问题。
一旦确定由数据处理引起的任何给定问题的可能性,NIST隐私框架就可以评估当有问题的数据操作发生时将产生的影响。这种影响评估同时涉及隐私风险和组织风险。无论是个人还是集体(包括社会一级),个人都会直接面对和遭受问题带来的影响。由于个人遇到的问题,组织也可能会受到各类影响,例如因不合规造成的损失、因客户抛弃产品和服务而导致的收入损失,或是对外部品牌声誉及内部文化的损害。组织通常在企业风险管理的级别上管理这些类型的影响。通过将个人遇到的问题与这些易于理解的组织影响联系起来,组织可以将隐私风险与他们在更广泛的产品组合中管理的其他风险并驾齐驱,并推动有关资源更明智的分配决策,以加强隐私计划。
隐私风险评估有助于组织区分隐私风险和合规风险。即便一个组织可能完全符合相关法律或法规,确认该组织的数据处理活动是否会给个人带来问题,有助于该组织在系统、产品和服务设计或部署中的进行合乎道德的决策,有助于在优化数据的有益使用的同时,最大限度地减少对个人隐私和整个社会的负面影响。同时,持续性的隐私风险评估也可以避免因丧失信任引起的组织声誉受损、产品和服务的延期采用,甚至弃用。
三、总结和建议
隐私保护和网络安全是相关的,但良好的网络安全状态并不一定意味着组织可以满足其所有隐私需求。大数据已然成为数字时代的石油,通过对用户数据的收集和分析,可能创造出新的商业模式与价值,但同时也带来了安全与隐私风险。即便是低价值的个人数据可能会在若干年后会新的用途,多种非敏感数据进行汇聚融合也可能会生成新的敏感数据。
NIST《隐私框架1.0版》以广泛使用的NIST《网络安全框架》为模型基础,通过企业风险管理改善隐私管理,虽并非法律法规,但鼓励各行业广泛使用,组织采用隐私风险管理的框架,不断评估和应对因其产品和服务引起的隐私风险,并提醒其可能违反相关法律,更好地为业务保驾护航。
本文内容仅供一般参考用,并非针对任何个人或团体的个别或特定情况而提供。虽然我们已致力提供准确和及时的资料,但我们不能保证这些资料在阁下收取时或日后仍然准确。任何人士不应在没有详细考虑相关的情况及获取适当的专业意见下依据所载内容行事。本文所有提供的内容均不应被视为正式的审计、会计或法律建议。
©2024毕马威华振会计师事务所(特殊普通合伙)、毕马威企业咨询(中国)有限公司及毕马威会计师事务所,均是与英国私营担保有限公司— 毕马威国际有限公司(“毕马威国际”)相关联。毕马威国际及其关联实体不提供任何客户服务。各成员所均为各自独立的法律主体,其对自身描述亦是如此。毕马威华振会计师事务所(特殊普通合伙) — 中国合伙制会计师事务所;毕马威企业咨询 (中国) 有限公司 — 中国有限责任公司;毕马威会计师事务所 — 香港合伙制事务所。版权所有,不得转载。毕马威的名称和标识均属于毕马威国际的商标或注册商标。
