• 尊龙凯时

    尊龙凯时

    尊龙凯时科技

    • 安全产品与方案

      安全产品与方案

    • 基础设施安全

      基础设施安全

    • 数据安全

      数据安全

    • 云计算安全

      云计算安全

    • 工业互联网安全

      工业互联网安全

    • 物联网安全

      物联网安全

    • 信息技术应用创新

      信息技术应用创新

    • 全部产品

      全部产品

    • 全部解决方案

      全部解决方案

    基础设施安全

    • 政府

      政府

    • 运营商

      运营商

    • 金融

      金融

    • 能源

      能源

    • 交通

      交通

    • 企业

      企业

    • 科教文卫

      科教文卫

    返回列表

    「公益译文」NIST隐私框架:通过企业风险管理促进隐私保护1.0版(一)

    2020-07-16

    一、《隐私框架》介绍

    在过去的二十多年间,互联网和相关信息技术驱动了前所未有的创新,创造了经济价值,让社会服务更为便利。这些益处大多源自复杂生态系统中的个人数据,这个系统是如此复杂以至于个人很难认识到与系统/产品/服务交互时可能会对自己的隐私造成什么样的后果。即使是组织也未必能充分意识到这种后果。对隐私风险放任不管会对个人和社会造成直接的不利影响,后续会持续影响组织的品牌、收入和未来增长预期。数据处理一方面为组织带来益处,另一方面,带来了隐私风险,如何在此过程中保护个人隐私,这个任务颇具挑战,没有一刀切的解决方案。

    之所以说隐私保护具有挑战性,是因为:

    (1)隐私保护是个含义宽泛的概念,旨在帮助维护诸如人的自主权和尊严之类的重要价值观;

    (2)隐私保护实现方式各有不同,例如可以通过隔离、限制查看或个人控制其身份相关信息(身体、数据、声誉等)来实现隐私。此外,人的自主权和尊严并非是一成不变、可量化的概念,而是经过文化多样性和个体差异的过滤。隐私的这种宽泛、易变的性质让组织内部、组织之间以及组织和个人之间很难明确传达隐私风险,原因是缺少了通用语言和可满足各种隐私需求的灵活的实用工具。

    该自愿性《NIST隐私框架:通过企业风险管理促进隐私保护》(《隐私框架》)适用于各种规模的组织,不局限于特定的技术、行业、法律或司法管辖区域。框架采用了通用方法(可适应数据处理生态系统中的各种组织角色),旨在帮助组织从如下方面着手管理隐私风险:

    l  在设计和部署影响到个人的系统/产品/服务时考虑隐私;

    l  宣讲隐私实践;

    l  鼓励各类组织人员(例如高管、法务和IT人员)在开发Profile、选择实现层级、实现结果过程中紧密协作。

    二、隐私框架概述

    隐私框架由三部分组成:核心、Profile和实现层级。各组件将业务/任务驱动因素、组织角色及其职责和隐私保护活动关联起来,以此加强隐私风险管理。

    IMG_258

    图1:核心、实施一览表和实现层级

    1. “核心”指一系列的隐私保护活动和结果,通过这个组件,可在整个组织范围内(从管理层到执行/运营层)将划分好优先级的隐私保护活动和结果进行扩散。核心组件的每项功能细分为关键大类和子类,描述的是互无关联的各种结果。

    2. “Profile”涵盖组织当前的隐私保护活动或期望的结果。要制作Profile,组织须检视核心组件所涵盖的所有结果和活动,基于业务/任务驱动因素、数据处理生态系统角色、数据处理类型以及个人的隐私需求,确定其中最需要关注的事项。组织可根据需要创建或添加功能、大类和子类。通过将“当前”Profile(即现状)与“目标”Profile(即未来状况)进行比较,组织可识别机会,改善隐私状况。Profile适用于自查以及组织内部或组织之间就当前隐私风险管理方法进行沟通。

    3.“实现层级”(层级)反映了组织对隐私风险的看法以及组织现有流程和资源是否足以管理隐私风险。层级逐级递升,最低级表示组织对风险只是毫无计划的被动回应,最高级表示组织采用了虑及风险的敏捷方法。在选择层级时,组织应考虑目标Profile,还要考虑当前风险管理实践、隐私风险融入企业风险管理的程度、数据处理生态系统关系、人力组成以及培训项目是否支持或妨碍实现目标结果。

    三、隐私风险管理

    尽管某些组织对隐私风险管理有透彻理解,但这一领域的许多方面尚未达成普遍共识。为促进更多组织达成共识,本节介绍了组织可用于开发、改进或沟通隐私风险管理的概念和注意事项。

    1、网络安全与隐私风险管理

    《网络安全框架》自2014年发布以来,成为了组织沟通和管理网络安全风险的得力助手[1]。管理网络安全风险有助于管理隐私风险,但这还不够,因为隐私风险或与网络安全事件无关,如图2所示。全面了解网络安全风险和隐私风险,明了各自来源,才能选择最有效的风险解决方案。

    图2:网络安全与隐私风险之间的关系

    《隐私框架》的隐私风险处理方法考虑的是从数据搜集到废弃的整个生命周期中,个人因系统/产品/服务运营中的数据(数字形式或非数字形式的数据)处理而遭遇隐私事件的可能性。

    《隐私框架》同时提到数据操作和数据处理,两者本质上相同。个人在数据处理中遇到的问题有多种分类方法,NIST按影响将其划分为几类,轻则影响尊严(如令人难堪或败坏名声),重则造成更明显的危害(如歧视、经济损失或人身伤害)。

    个人之所以会遭遇隐私问题,原因不一。如图2所示,组织为完成任务/业务目标而进行数据处理时会产生副作用,例如,国家为提高能源效率进行全国性的技术改造,部署智能电网,安装智能电表,而某些人群对此表示不安,因为这些电表会搜集、记录和传送精确的家庭用电信息,让他人窥探自己在家中的行为。智能电表如期推行,却因涉及数据处理让人感到被监视。

    在万物互联的今天,有些问题可能仅仅是由于个人与系统/产品/服务的交互所产生,即使所处理的数据与个人并无直接联系。例如,智慧城市技术可用于改变或影响人们的行为,比如在城市中的位置或出行方式。如果在数据处理过程中破坏了保密性、完整性或可用性(外部攻击者窃取数据或员工未经授权访问或使用数据),也会出现问题。这类与网络安全相关的隐私事件是隐私风险和网络安全风险的重叠之处,如图2所示。

    若能确定数据处理引起特定问题(《隐私框架》将其称为可疑数据操作)的概率,组织就可以评估此类操作的影响。影响评估在隐私风险和组织风险管理中均会涉及。个人无论是单独一人还是身处集体(包括社会)之中,都会直观感受到这些问题的影响。个人遇到问题时,组织可能会受到波及,承受诸如违规成本、产品/服务客户流失造成的收入减少或外部品牌声誉/内部文化损害等方面的影响。组织通常将这类影响作为企业风险进行管理。通过将个人遭遇的问题与这些易于理解的组织影响联系起来,组织可以像管理风险管理项目中的其他风险一样去管理隐私风险,促进对资源分配进行更明智的决策,推动隐私计划实施。隐私风险和组织风险之间的关系如图3所示。

    IMG_261

    图3:隐私风险与组织风险之间的关系

    2、隐私风险评估

    隐私风险管理涉及一系列跨组织流程。通过这些流程,组织可了解其系统/产品/服务为个人带来的问题以及如何开发有效的解决方案来管理此类风险。隐私风险评估是其中的一个子流程,用于识别、评估特定的隐私风险。一般来说,基于隐私风险评估产生的信息,组织可权衡数据处理的好处和风险,按照所谓的“相称性”原则,确定合理的应对措施。组织可根据对个人的潜在影响以及对组织的附带影响确定风险优先级,选择不同的方法应对隐私风险。应对方法包括:

    l  缓解风险(例如,组织可对系统/产品/服务采取技术和/或政策措施,将风险降低到可接受的程度);

    l  转移或分担风险(例如,可利用合同将风险分担或转移给其他组织,利用隐私声明和同意机制将风险转嫁给个人);

    l  规避风险(例如,组织在确定风险大于收益时可选择放弃或终止数据处理);

    l  接受风险(例如,组织认为问题对个人的影响极低或几近于零,因而确定收益大于风险,无需投入资源进行防护)。

    如上所述,隐私是维护多项价值的条件,因而隐私风险评估极为重要。维护方法会有所不同,彼此之间可能互相制约。例如,若组织试图通过限制查看来保护隐私,则可能会实施诸如分布式数据架构或增强隐私的加密技术之类的措施,这些措施甚至会对组织隐匿数据。若组织同时想控制个人,则这些措施可能会发生冲突。假设用户请求访问数据,而该数据的分发、加密方式限制组织访问,则组织无法输出所请求的数据。隐私风险评估有助于组织了解特定背景下要保护的价值、采用的方法以及平衡各种措施的实施方式。

    最后,隐私风险评估可帮助组织区分隐私风险与合规风险。即使组织完全遵守了适用的法律法规,确定数据处理是否会给个人带来问题也能为系统/产品/服务设计或部署中的道德决策提供支撑。道德决策没有客观标准;它建立在特定社会的规范、价值观和法律期望的基础上。这有助于促进数据的正面使用,同时最大程度地降低对个人隐私和整个社会的不利影响,并避免因信任受损而破坏组织的声誉或使得客户推迟采用或放弃产品/服务。

    下期预告:后续将介绍《NIST隐私框架:通过企业风险管理促进隐私保护1.0版》第二讲,敬请期待。

    文章译者声明    :由尊龙凯时科技博客与“安全加”社区小蜜蜂公益翻译组合作完成,免责声明及相关责任由“安全加”社区承担。

    文章信息 :该文件由美国国家标准与技术研究院(NIST)和美国商务部共同发布,发布时间为2020年1月16日。原文名称:NIST PRIVACY FRAMEWORK: A TOOL FOR IMPROVING PRIVACY THROUGH ENTERPRISE RISK MANAGEMENT(V1.0)。

    小蜜蜂翻译组公益译文:小蜜蜂翻译组公益译文项目,旨在分享国外先进网络安全理念、规划、框架、技术标准与实践,将网络安全战略性文档翻译为中文,为网络安全从业人员提供参考,促进国内安全组织在相关方面的思考和交流。

    <<上一篇

    即将揭晓 | 尊龙凯时科技首款业务安全新品

    >>下一篇

    新基建时代,如何构建工业互联网数据安全体系?

    您的联系方式

    *姓名
    *单位名称
    *联系方式
    *验证码
    提交到邮箱

    购买热线

    • 购买咨询:

      400-818-6868-1

    提交项目需求

    欢迎加入尊龙凯时科技,成为我们的合作伙伴!
    • *请描述您的需求
    • *最终客户名称
    • *项目名称
    • 您感兴趣的产品
    • 项目预算
    您的联系方式
    • *姓名
    • *联系电话
    • *邮箱
    • *职务
    • *公司
    • *城市
    • *行业
    • *验证码
    • 提交到邮箱

    服务支持

    智能客服
    智能客服
    购买/售后技术问题
    盟管家-售后服务系统
    盟管家-售后服务系统
    在线提单|智能问答|知识库
    支持热线
    支持热线
    400-818-6868
    尊龙凯时科技社区
    尊龙凯时科技社区
    资料下载|在线问答|技术交流
    微博
    微博

    微博

    微信
    微信

    微信

    B站
    B站

    B站

    抖音
    抖音

    抖音

    视频号
    视频号

    视频号

    服务热线

    400-818-6868

    服务时间

    7*24小时

    © 2024 NSFOCUS 尊龙凯时科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号 京ICP备14004349号 京ICP证48052245号

    尊龙凯时