1 / 3⼩蜜蜂 翻译组「 公 益译 ⽂ 」 NIST隐 私 框 架 ： 通 过 企 业风险 管 理 促 进隐 私 保 护 初 步 草 案 （ ⼀ ） blog.nsfocus.net /translation-nist-privacy-framework-01-0522 该⽂件由美 国国家 标 准 与 技 术 研 究院（ NIST ）和美 国 商 务 部共同 发 布， 发 布 时间为 2019 年 9 ⽉ 6 ⽇。原⽂名 称： NIST PRIV ACY FRAMEWORK: A T OOL FOR IMPROVING PRIV ACY THROUGH ENTERPRISE RISK MANAGEMENT （ Preliminary draft ）。 以下为⼩蜜蜂 翻译组 原 创译 ⽂ 连载 之⼀： 1.0 《隐 私 框 架 》 介 绍 在过去的⼆⼗多年 间， 互 联网 和相 关 信息技 术驱动 了前所未有的 创 新， 创 造了 经济 价 值，让 社 会 服 务 更 为 便 利。这些为⼈类带 来 的益 处 ⼤多源⾃ 个⼈ 数据，此类 数据通过复杂 的⽣ 态 系 统传输，这 个 系 统 是如此 复杂 以⾄ 于 个⼈很难认识到 与 系 统 / 产 品 / 服 务 的交互可能 会 对 ⾃⼰的 隐 私造成什 么样 的后果。。 即 使是 组织 也未必能充分 意识到这种后果。 对隐私风险放任不管 会对 个⼈和社 会 直接造成不利影 响， 后 续 会 持 续 影 响组织 的 声誉、 收⼊ 和未 来的增长预期。在利⽤ 数 据的同 时 保 护 个 ⼈ 隐 私， 这 个 任 务颇 具挑 战， 没 有⼀⼑切的解 决 ⽅案。 之所以说隐私保护 具有挑 战 性，是因 为： （1）隐私保护是 个 含 义宽 泛的 概 念，旨在 帮 助 维护诸 如⼈的⾃主 权 和尊 严 之 类 的重要价 值观 ； （2）隐私保护实现 ⽅式各有不同，例如，可以通 过 隔 离、 限制 查 看或 个 ⼈控制其⾝ 份 相 关 信息（⾝ 体、数 据、 信 誉等） 来实现隐 私。此外，⼈的⾃主 权 和尊 严 并 ⾮是⼀成不 变、 可量化的 概 念，⽽是 经过 ⽂化多 样 性和 个体 差异的过滤。隐私的 这种宽 泛、易 变 的性 质让组织 内 部、 组织 之 间 以及 组织 和 个 ⼈之 间很难 明 确传达隐 私 风 险，原因是缺少了通⽤ 语 ⾔和可 满 ⾜各 种隐 私需求的 灵 活的 实 ⽤⼯具。 国家标准 与技术 研 究院（ NIST ）的⾃愿性《 NIST 隐 私 框 架：通 过 企 业风险 管理促 进隐 私保 护》（《隐 私 框 架》）帮助组织 从 如下⽅⾯着⼿管理 隐 私 风险： 在设计和部署影响 到 个 ⼈的系 统 / 产 品 / 服 务时 考 虑隐 私； 将隐私实 践融⼊到 业务 流程中， 从 ⽽ 产 ⽣有效的解 决 ⽅案， 减轻负 ⾯影 响 ；以及 宣讲这些隐私实 践。 隐私 框架适⽤于各 种规 模的 组织， 不局限于特定的技 术、 ⾏ 业、 法律或司法管 辖 区 域。 组织中的各类⼈员， 包括⾼管、法 务 和信息技 术（ IT ）⼈ 员， 所 负责 的 结 果和活 动 或有不同。 ⿎ 励跨组织协作，共同制作 实 施⼀ 览 表， 达 成 结 果。 任何组织或实 体都可以使⽤ 隐 私 框 架，⽆ 论 其在 数据处理⽣态系统 （参与创建或部署系 统 / 产 品 / 服 务 的 实 体之间的复杂互联 的 关 系）中 担当 什 么 ⾓⾊。 1.1 隐 私 框 架 概 述 如图 1所⽰，隐私 框 架由三部分 组 成：核⼼、 实 施⼀ 览 表和 实现层级。 各 组 件 将 业务 / 任 务驱动 因素和 隐 私保 护 活动关联起 来，以此加强隐私风险管理。如第 2章所述：2 / 3核⼼指⼀系列的隐私保 护 活 动 和 结 果，通 过这 个 组 件，可在整 个 组织 范 围 内（从 管理 层 到 执 ⾏ / 运营层） 将划分好优先级的 隐 私保 护 活 动 和 结 果 进 ⾏ 扩 散。 该组 件有五⼤功能： 识别 -P 、治理 -P 、控制 -P 、沟 通 -P 和防护 -P（注： “-P” 表⽰ 来 ⾃ 隐 私 框 架，以免 与 网络 安全 框 架功能混淆。）。前四 种 功能可⽤于管理 数据 处理中的隐私风险，⽽防 护 -P 可⽤于管理 与隐私泄露相关的隐私风险。 防 护 -P 并 ⾮管理 与 隐 私泄露相 关 的 隐私风险的唯⼀⽅法。例如， 组织 可以 将 网络 安全 框 架功能 与 隐 私 框 架 结 合使⽤，同 时 解 决 隐 私和 网络 安全风险。核⼼组 件的每 项 功能 细 分 为关键 ⼤ 类 和⼦ 类， 描述的是互⽆ 关联 的各 种结 果。 实施⼀览表涵盖组织 当前的隐 私保 护 活 动 或期望的 结 果。要制作 实 施⼀ 览 表， 组织须审视 所有的功能、⼤ 类和⼦类，基于业务 / 任 务驱动 因素、 数 据 处 理 类 型以及 个 ⼈的 隐 私需求， 确 定其中最需要 关 注的事 项。 组织可根据需要创 建或添加功能、⼤ 类 和⼦ 类。 通 过 将 “ 当 前 ” 实 施⼀ 览 表（ 即 现 状）与 “ ⽬ 标 ” 实 施⼀ 览 表（ 即未 来状况） 进 ⾏⽐ 较，组织 可 识别 机 会， 改善 隐 私 状况。 实 施⼀ 览 表适⽤于⾃ 查 以及 组织 内 部或 组织之间就 当前隐 私 风险 管理⽅法 进 ⾏ 沟 通。 实现层级为组织评 估隐私风险 以及 组织 的流程和 资 源是否⾜以管理 隐 私 风险 提供 参 考依据。 这 些 层级 反 映了由⾮正式的被动 回 应 到 虑 及 风险 的敏捷⽅法的 递进转变。 在 选择层级时，组织应 考 虑 ⽬ 标实 施⼀ 览 表及其 与当前风险 管理措施之 间 的 关 系、 数 据 处 理系 统 / 产 品 / 服 务、 法律法 规 要求、 业务 / 任 务 ⽬ 标、组 织的隐私价值和 个 ⼈的 隐 私需求以及 组织 的 约 束因素。 图 1：核⼼、实施⼀览表和实现层级 1.2 隐 私风险 管 理 尽管某些组织对隐 私 风险 管理有透 彻 理解，但 这 ⼀ 领 域的 许 多⽅⾯ 尚 未 达 成普遍共 识。为 促 进 更多 组织达 成共 识，本节介绍了组织 可⽤于 开发、 改 进 或 沟 通 隐 私 风险 管理的 概 念和注意事 项。 有 关关键隐 私 风险 管理 实 践 的 更多信息， 参见附 录 D 。 1.2.1 网络安全 与 隐 私 风险 管理 ⾃2014年发布以 来，《 网络 安全 框 架》 为 多 个 组织沟 通和管理 网络 安全 风险 提供了 参 考。 尽 管管理 网络 安全 风 险有助于管理隐私 风险， 但 这还 不 够， 因 为隐 私 风险 或 会 超出 网络 安全 风险 范 围。网络 安全和 隐 私 风险 之 间 的 重叠 与差异，见图 2 。 图 2：网络安全 与隐 私 风险 之 间 的 关 系 NIST的隐私风险处 理⽅法考 虑 的是 从数 据搜集到 处 理的整 个 ⽣命周期中， 个 ⼈可能因系 统 / 产 品 / 服 务运营 ⽽遭 遇的 潜在 数据问题， ⽆ 论 是 数 字 还 是⾮ 数 字形式的 数 据。 隐 私 框 架中， 这 些 数 据操作 统 称 为 数 据 处 理，若⽤ 单 数表⽰，则指某⼀ 数 据操作。 个 ⼈在 数 据 处 理中遇到的 问题 有多 种 分 类 ⽅法， NIST 按影 响 将 其 划 分 为 几 类，轻 则影响尊严（如令⼈ 难 堪或 败 坏 名 声）， 重 则 造成更明 显 的危害（如 歧视、经济损 失或⼈⾝ 伤 害）。 组织为实 现其任务 /业务⽬标进 ⾏ 数 据 处 理 时 可能 会 导 致意外 问题。 例如， 国 家 为 提⾼能源效率 进 ⾏全 国 性的技 术 改造， 部署智能电网，其中涉及智能 电 表，⽽某些⼈群 对 智能 电 表的安 装 表⽰ 担 忧， 因 为这 些 电 表 会 搜集、 记录 和 传 送精确的家庭⽤电 信息， 让 他⼈ 窥 探⾃⼰在家中的⾏ 为。电 表使⽤是 计划 中的事，但⼈ 们 感到被 监视 却是 数 据 处理所导致的意外后果。 数据操作 在系统 /产品 /服务 的整 个数 据⽣命周期 内 进 ⾏的操作，包括但不限于搜集、保留、 记录、 ⽣成、 转换、 使⽤、公 开、共享、传输和 处 置。3 / 3数据处理⼀系列 数据操作的集合。 当然，这些问题还 有可能源⾃于 隐 私泄露，原因是在 数 据 处 理的某 个 环节 破 坏 了机密性、完整性或可⽤性，如外 部攻击者 窃取 数据或 员 ⼯越 权访问 或使⽤ 数 据。如 图 2 所⽰，破 坏 机密性、完整性或可⽤性和 为 完成任 务 / 业务 ⽬ 标进⾏ 数据处理所 带 来 的意外后果中均存在 隐 私泄露 风险。 若能确定 数据处理引起特定 问题（《隐 私 框 架》 将 其 称 为 可疑 数 据操作）的 概 率， 组织 就可以 评 估 此 类 操作的影 响。影响评 估在隐 私 风险 和 组织风险 管理中均 会 涉及。 个 ⼈ — ⽆ 论 是 单 独 ⼀⼈ 还 是⾝ 处 集 体（ 包括社 会 层级） 之中—都 会直观感受到 这 些 问题 的影 响。 个 ⼈遇到 问题时，组织 可能 会 受到波及，承受 诸 如 违规 成本、 产 品 / 服 务客户流失或外部品牌 声誉 / 内 部⽂化 损 害等⽅⾯的影 响。对 于 组织 的 这 些影 响 会 促使⼈ 们 就 资 源分配做出明智 决策，改进隐私计划， 将 隐 私 风险 与 所管理的企