「公益译文」NIST隐私框架:通过企业风险管理促进隐私保护1.0版(三)
2020-07-27
往期回顾:
1、
2、
该文件由美国国家标准与技术研究院(NIST)和美国商务部共同发布,发布时间为2020年1月16日。原文名称:NIST PRIVACY FRAMEWORK: A TOOL FOR IMPROVING PRIVACY THROUGH ENTERPRISE RISK MANAGEMENT(V1.0)。
以下为小蜜蜂翻译组原创译文连载之三:
3.0 如何使用《隐私框架》
当《隐私框架》用作风险管理工具时,可以帮助组织优化数据的有益使用并开发创新的系统/产品/服务,同时最大程度地减少对个人的不利影响。组织可以利用《隐私框架》回答以下基本问题:“在开发系统/产品/服务时,如何考虑对个人的影响?”开发《隐私框架》的目的是完善现有的业务和系统开发运营,但考虑到各组织的独特需求,框架可灵活使用,至于如何使用,由各组织自行决定。
例如,某组织已拥有健全的隐私风险管理流程,但可能会使用核心组件的五大功能来分析、阐明差距;打算建立隐私计划的组织可以参考核心组件的大类和子类;有些组织可能会根据数据处理生态系统中的不同角色所要求的风险管理优先级来确定合适的Profile或实现层级。组织使用《隐私框架》的方式多种多样,因此,不应将“遵守《隐私框架》”作为统一的或外部参考概念。以下各节介绍了使用《隐私框架》的一些方法。
3.1 引用参考资料
参考资料对应子类,为框架实现提供支持,包括工具、技术指南、标准、法律、法规和最佳实践方面的相关引用。对照表(Crosswalk)将标准、法律和法规的规定与子类对应,帮助组织确定重点活动或结果,以满足合规要求。《隐私框架》遵循技术中立原则,但支持技术创新,任何组织或行业都可以随着技术和相关业务需求的演进而更新对照表。依靠公认的标准、指南和实践,使用可实现积极隐私结果的工具和方法能够跨越国界,适应隐私风险的全球性质。使用现有和新兴标准能够实现规模经济,推动系统/产品/服务满足现有市场需求,同时顾及个人的隐私需求。
若发现参考资料有不足,还可确定应补充或修订哪些标准、指南和实践,以助力组织满足新需求。组织在实现特定的子类或开发新子类时,针对相关活动或结果可能仅有少量的指导材料可用。为解决此问题,组织可与业界技术龙头和/或标准机构合作,起草、开发并协调制定标准、指南或实践。
网站上有大量的参考资料,可支持组织使用《隐私框架》优化隐私实践。
3.2 加强问责
问责通常被视为关键的隐私原则,尽管从概念上讲,问责并非隐私所特有。问责在整个组织中无处不在,表达时可抽象为各种说法,例如文化价值、治理政策和程序、隐私要求与控制措施之间的可追溯关系等。隐私风险管理将高管(传达组织的隐私价值和风险承受能力)与业务/流程管理人员(在开发和实施支持组织隐私价值的治理政策和程序方面进行协作)联结起来,为组织各级别的问责提供支持。政策和程序传达给执行/运营人员后,由这些人员合作定义隐私要求,最终在组织的系统/产品/服务中体现。执行/运营人员还要选择、实施和评估满足隐私要求的技术和政策控制措施,上报进度、差距和缺陷以及不断变化的隐私风险,以便业务/流程管理人员和高管了解实情,进行相应响应。
图1展示了这种双向协作和沟通以及如何合入《隐私框架》元素以拉通流程。采用这种操作,组织便可用《隐私框架》支持问责。此外,组织还可将《隐私框架》与提供不同实践的其他框架和指南结合使用,以实现组织内部和组织之间的问责。
图1:组织内部协作与沟通概念性流程
3.3 制定/改进隐私计划
《隐私框架》大致划分为“准备、启动、实施”(Ready, Set, Go)三个阶段,可基于此制定或改进隐私计划。在这些阶段,组织可参考相关资料确定优先级、实现结果。有关参考资料的更多信息,见“引用参考资料”小节。此外,可访问http://www.nist.gov/privacy-framework获取相关资料。
准备
要进行有效的隐私风险管理,组织须了解其业务/任务环境、法律环境、风险承受能力、系统/产品/服务带来的隐私风险以及它在数据处理生态系统中的角色。组织的“准备”工作包括识别-P和治理-P,具体说,要评估大类和子类,然后撰写当前Profile和目标Profile。建立组织隐私价值和政策、确定并传达组织的风险承受能力、进行隐私风险评估(参见附录D)等活动和结果为“启动”阶段的Profile制定奠定了基础。
|
制定/改进隐私计划的简化方法 准备:执行识别-P和治理-P功能,做好准备。 启动:根据当前Profile和目标Profile之间的差距,制定行动方案。 实施:着手实施行动方案。 |
启动
组织创建当前Profile,明示现阶段要实现其他功能的哪些大类和子类。若某结果已部分达成,会为后续步骤提供基线信息。组织根据实现“识别”和“治理”功能时所输出的信息(如组织隐私价值和政策、组织风险承受能力和隐私风险评估结果等)制定目标Profile,重点评估大类和子类,阐述组织预期达到的隐私结果。此外,组织还可以开发自己的功能、大类和子类,以应对本组织特有的风险。在制定目标Profile时,组织还要考虑外部利益相关者(例如商业客户和合作伙伴)的影响和要求。不同的业务线或流程可能会有不同的业务需求和风险承受能力,因此可开发多个Profile进行对应支持。
组织将当前Profile和目标Profile进行比较,找出差距。接下来,制定优先行动方案,解决差距(阐明任务驱动因素、成本效益和风险),以实现目标Profile中列出的结果。组织可同时使用《网络安全框架》和《隐私框架》,制定综合行动方案,然后,确定解决差距所需的资源(包括资金和人力),为之后确定适当的层级提供参考。这样,通过Profile,组织可对隐私活动作出明智决策,进行风险管理,实现低成本、高效率的针对性改进。
实施
行动方案确定后,要考虑优先采取哪些行动来解决差距,然后调整现有隐私措施,实现目标Profile。
根据需要,组织可按任意顺序持续评估和改善其隐私状况。例如,有些组织会发现,“准备”阶段反复进行可提升风险评估质量。此外,可通过迭代更新当前Profile或目标Profile来把控进度,应对不断变化的风险,再将两者进行比较。
3.4 贯穿系统开发生命周期
目标Profile可与系统开发生命周期(SDLC)中的各阶段(规划、设计、构建/采购、部署、运行、停用)对齐,支持重点隐私结果的实现。从规划阶段开始,重点隐私结果可转化为系统的隐私功能和对系统的隐私要求,在生命周期的后续阶段,隐私要求可能会发生变化。设计阶段的一个关键里程碑是验证隐私功能和要求是否符合目标Profile所描述的组织需求和风险承受能力。在部署系统时,将该目标Profile作为内部列表进行评估,以验证是否所有隐私功能和要求均得以实现。接下来,将《隐私框架》确定的隐私结果作为系统持续运行的基础,包括不定期重新评估,核查当前Profile所列举结果的实现情况,确保系统始终满足隐私功能和要求。
隐私风险评估通常侧重于数据生命周期,即数据经过的阶段,包括创建/搜集、处理、传播、使用、存储、处置和销毁/删除。欲将SDLC与数据生命周期对齐,需要识别和了解数据在SDLC各阶段的处理方法。这样,组织才能更好地管理隐私风险,从而对隐私控制措施进行明智选择,有效实施,满足隐私要求。
3.5 在数据处理生态系统中使用
隐私风险管理的一个关键因素是实体在数据处理生态系统中的角色,角色不仅决定了组织的法律义务,还决定了应该采取什么样的隐私风险管理措施。如图8所示,数据处理生态系统包含一系列实体和角色,这些实体和角色彼此之间以及与个人之间具有复杂的多向关系。当实体由一系列子实体支持时,关系就会更为复杂。例如,服务提供商可能由多个其他服务提供商支持,制造商可能拥有多个组件供应商。图2中,每类实体被赋予特定角色。实际上,一个实体可能具有多种角色,例如,向其他组织提供服务的同时向消费者提供零售产品。图8中的角色只是概念上的分类。实际情况是,实体的角色或有法律定义(例如,有些法律将组织分类为数据控制者或数据处理者),或根据行业进行分类。
图2:数据处理生态系统关系
实体基于《隐私框架》,根据其角色开发一个或多个Profile,在管理隐私风险时,不仅要考虑自己的重要事项,还要考虑所采取的措施对数据处理生态系统中其他实体隐私风险管理的影响。例如:
· 在就如何搜集、使用个人数据决策时,组织可以使用Profile向外部服务提供商(例如接收组织输出数据的云提供商)传达隐私要求;处理数据的外部服务提供商可以使用Profile来证明其履行了合同义务,对数据处理采取了隐私措施。
· 组织可通过当前Profile描述其网络安全状态,上报结果数据,与采集需求对齐。
· 行业部门可建立通用Profile,成员组织可基于此定制自己的Profile。
· 组织可基于目标Profile确定产品内置功能,让业务客户满足其最终用户的隐私要求。
· 开发人员可以基于目标Profile设计应用程序,考虑程序在其他组织的系统环境中使用时的隐私保护。
《隐私框架》为数据处理生态系统内的各实体沟通隐私要求提供了通用语言。当数据处理生态系统跨越国界(例如国际数据传输)时,这种沟通就显得尤其必要。在进行隐私方面的沟通时,要做到以下几点:
· 确定隐私要求;
· 将隐私要求形成正式协议(例如合同、多方框架等)条文;
· 明确如何验证和确认这些隐私要求;
· 通过各种评估方法来验证是否满足隐私要求;
· 管控上述活动。
3.6 支撑采购决策
当前Profile和目标Profile均可用于生成组织隐私要求列表(按优先级排序),还可用于支撑产品和服务采购决策。首先选择与隐私目标相关的结果,然后根据这些结果评估合作伙伴的系统/产品/服务。例如,在购买用于森林环境监测的设备时,可管理性很重要,有助于最大程度地减少有关森林使用者的数据处理,所以,要基于核心组件中的相应子类(例如,CT.DP-P4:系统或设备配置允许有选择地搜集或公开数据元素)对制造商进行评估。
若无法对某一供应商强加隐私要求,则应基于周密的隐私要求列表,在多个供应商中做出最优购买决策。通常,这意味着要进行某种程度的取舍,将与Profile尚有差距的多个产品、服务进行择优选取。若购买的系统/产品/服务无法完全满足Profile中的目标,组织可通过缓解措施或其他管理活动来解决残余风险。
《NIST隐私框架:通过企业风险管理促进隐私保护(V1.0)》全文章节回顾:
l 第1章:《隐私框架》介绍
l 第2章:介绍了隐私框架组件:核心、实施一览表和实现层级。
l 第3章:举例说明如何使用隐私框架。
l 附录A:用表格形式介绍隐私框架核心:功能、大类和子类。
l 附录B:术语表。
l 附录C:列举本文出现的缩略语。
l 附录D:介绍可促进隐私风险管理的关键做法。
l 附录E:定义了实现层级。
l 附录F:为配套路线图预留位置,介绍NIST的下一步规划,列举哪些关键领域的相关实践难以理解,从而影响组织达成隐私结果。
l 附录G:列举本文档参考资料。
小蜜蜂翻译组公益译文项目,旨在分享国外先进网络安全理念、规划、框架、技术标准与实践,将网络安全战略性文档翻译为中文,为网络安全从业人员提供参考,促进国内安全组织在相关方面的思考和交流。
: