該檔案由美國國家標準與技術研究院（NIST）和美國商務部共同釋出，釋出時間為2019年9月6日。原文名稱：NIST PRIVACY FRAMEWORK: A TOOL FOR IMPROVING PRIVACY THROUGH ENTERPRISE RISK MANAGEMENT（Preliminary draft）。

以下為小蜜蜂翻譯組原創譯文連載之一：

1.0 《隱私框架》介紹

在過去的二十多年間，網際網路和相關資訊科技驅動了前所未有的創新，創造了經濟價值，讓社會服務更為便利。這些為人類帶來的益處大多源自個人資料，此類資料通過複雜的生態系統傳輸，這個系統是如此複雜以至於個人很難認識到與系統/產品/服務的互動可能會對自己的隱私造成什麼樣的後果。。即使是組織也未必能充分意識到這種後果。對隱私風險放任不管會對個人和社會直接造成不利影響，後續會持續影響組織的聲譽、收入和未來的增長預期。在利用資料的同時保護個人隱私，這個任務頗具挑戰，沒有一刀切的解決方案。

之所以說隱私保護具有挑戰性，是因為：

（1）隱私保護是個含義寬泛的概念，旨在幫助維護諸如人的自主權和尊嚴之類的重要價值觀；

（2）隱私保護實現方式各有不同，例如，可以通過隔離、限制檢視或個人控制其身份相關資訊（身體、資料、信譽等）來實現隱私。此外，人的自主權和尊嚴並非是一成不變、可量化的概念，而是經過文化多樣性和個體差異的過濾。隱私的這種寬泛、易變的性質讓組織內部、組織之間以及組織和個人之間很難明確傳達隱私風險，原因是缺少了通用語言和可滿足各種隱私需求的靈活的實用工具。

國家標準與技術研究院（NIST）的自願性《NIST隱私框架：通過企業風險管理促進隱私保護》（《隱私框架》）幫助組織從如下方面著手管理隱私風險：

· 在設計和部署影響到個人的系統/產品/服務時考慮隱私；

· 將隱私實踐融入到業務流程中，從而產生有效的解決方案，減輕負面影響；以及

· 宣講這些隱私實踐。

隱私框架適用於各種規模的組織，不侷限於特定的技術、行業、法律或司法管轄區域。

· 組織中的各類人員，包括高管、法務和資訊科技（IT）人員，所負責的結果和活動或有不同。

· 鼓勵跨組織協作，共同製作實施一覽表，達成結果。

· 任何組織或實體都可以使用隱私框架，無論其在資料處理生態系統（參與建立或部署系統/產品/服務的實體之間的複雜互聯的關係）中擔當什麼角色。

1.1 隱私框架概述

如圖1所示，隱私框架由三部分組成：核心、實施一覽表和實現層級。各元件將業務/任務驅動因素和隱私保護活動關聯起來，以此加強隱私風險管理。如第2章所述：

· 核心指一系列的隱私保護活動和結果，通過這個元件，可在整個組織範圍內（從管理層到執行/運營層）將劃分好優先順序的隱私保護活動和結果進行擴散。該元件有五大功能：識別-P、治理-P、控制-P、溝通-P和防護-P（注：“-P”表示來自隱私框架，以免與網路安全框架功能混淆。）。前四種功能可用於管理資料處理中的隱私風險，而防護-P可用於管理與隱私洩露相關的隱私風險。防護-P並非管理與隱私洩露相關的隱私風險的唯一方法。例如，組織可以將網路安全框架功能與隱私框架結合使用，同時解決隱私和網路安全風險。核心元件的每項功能細分為關鍵大類和子類，描述的是互無關聯的各種結果。

· 實施一覽表涵蓋組織當前的隱私保護活動或期望的結果。要製作實施一覽表，組織須審視所有的功能、大類和子類，基於業務/任務驅動因素、資料處理型別以及個人的隱私需求，確定其中最需要關注的事項。組織可根據需要建立或新增功能、大類和子類。通過將“當前” 實施一覽表（即現狀）與“目標” 實施一覽表（即未來狀況）進行比較，組織可識別機會，改善隱私狀況。實施一覽表適用於自查以及組織內部或組織之間就當前隱私風險管理方法進行溝通。

· 實現層級為組織評估隱私風險以及組織的流程和資源是否足以管理隱私風險提供參考依據。這些層級反映了由非正式的被動回應到慮及風險的敏捷方法的遞進轉變。在選擇層級時，組織應考慮目標實施一覽表及其與當前風險管理措施之間的關係、資料處理系統/產品/服務、法律法規要求、業務/任務目標、組織的隱私價值和個人的隱私需求以及組織的約束因素。

圖1：核心、實施一覽表和實現層級

1.2 隱私風險管理

儘管某些組織對隱私風險管理有透徹理解，但這一領域的許多方面尚未達成普遍共識。為促進更多組織達成共識，本節介紹了組織可用於開發、改進或溝通隱私風險管理的概念和注意事項。有關關鍵隱私風險管理實踐的更多資訊，參見附錄D。

1.2.1   網路安全與隱私風險管理

自2014年釋出以來，《網路安全框架》為多個組織溝通和管理網路安全風險提供了參考。儘管管理網路安全風險有助於管理隱私風險，但這還不夠，因為隱私風險或會超出網路安全風險範圍。網路安全和隱私風險之間的重疊與差異，見圖2。

圖2：網路安全與隱私風險之間的關係

NIST的隱私風險處理方法考慮的是從資料蒐集到處理的整個生命週期中，個人可能因系統/產品/服務運營而遭遇的潛在資料問題，無論是數字還是非數字形式的資料。隱私框架中，這些資料操作統稱為資料處理，若用單數表示，則指某一資料操作。個人在資料處理中遇到的問題有多種分類方法，NIST按影響將其劃分為幾類，輕則影響尊嚴（如令人難堪或敗壞名聲），重則造成更明顯的危害（如歧視、經濟損失或人身傷害）。組織為實現其任務/業務目標進行資料處理時可能會導致意外問題。例如，國家為提高能源效率進行全國性的技術改造，部署智慧電網，其中涉及智慧電錶，而某些人群對智慧電錶的安裝表示擔憂，因為這些電錶會蒐集、記錄和傳送精確的家庭用電資訊，讓他人窺探自己在家中的行為。電錶使用是計劃中的事，但人們感到被監視卻是資料處理所導致的意外後果。

資料操作

在系統/產品/服務的整個資料生命週期內進行的操作，包括但不限於蒐集、保留、記錄、生成、轉換、使用、公開、共享、傳輸和處置。

資料處理

系列資料操作的集合。

當然，這些問題還有可能源自於隱私洩露，原因是在資料處理的某個環節破壞了機密性、完整性或可用性，如外部攻擊者竊取資料或員工越權訪問或使用資料。如圖2所示，破壞機密性、完整性或可用性和為完成任務/業務目標進行資料處理所帶來的意外後果中均存在隱私洩露風險。

若能確定資料處理引起特定問題（《隱私框架》將其稱為可疑資料操作）的概率，組織就可以評估此類操作的影響。影響評估在隱私風險和組織風險管理中均會涉及。個人—無論是單獨一人還是身處集體（包括社會層級）之中—都會直觀感受到這些問題的影響。個人遇到問題時，組織可能會受到波及，承受諸如違規成本、產品/服務客戶流失或外部品牌聲譽/內部文化損害等方面的影響。對於組織的這些影響會促使人們就資源分配做出明智決策，改進隱私計劃，將隱私風險與所管理的企業級風險視為同等重要的大事。隱私風險和組織風險之間的這種關係如圖3所示。

圖3：隱私風險與組織風險之間的關係

1.2.2   隱私風險管理與風險管理之間的關係

隱私風險管理涉及一系列跨組織流程，讓組織瞭解其系統/產品/服務為個人帶來的問題以及如何開發有效的解決方案來管理此類風險。隱私風險評估是其中的一個子流程，用於識別、評估、響應特定的隱私風險併為其劃分優先順序。總體而言，隱私風險評估所產出的資訊應能幫助組織平衡資料處理帶來的好處與風險，並確定適當的應對措施（有關隱私風險評估操作方面的更多資訊，詳見附錄D）。組織可根據對個人的潛在影響以及對組織的附帶影響選擇不同的方法應對隱私風險。具體方法如下：

· 緩解風險（例如，組織可對系統/產品/服務採取技術和/或政策措施，將風險降低到可接受的程度）；

· 轉移或分擔風險（例如，可利用合同將風險分擔或轉移給其他組織，利用隱私宣告和同意機制將風險轉嫁給個人）；

· 規避風險（例如，組織在確定風險大於收益時可選擇放棄或終止資料處理）；或

· 接受風險（例如，組織認為問題對個人有微弱或沒有影響，因而確定收益大於風險，因此無需投入資源進行防護）。

隱私風險評估尤為重要。如上所述，隱私是維護多項價值的條件。維護方法會有所不同，彼此之間可能互相制約。例如，若組織試圖通過限制檢視來保護隱私，則可能會實施諸如分散式資料架構或增強隱私的加密技術之類的措施，這些措施甚至會對組織隱匿資料。若組織還想進行個人控制，則這些措施可能會發生衝突。例如，若某人請求訪問某組織的資料，而該資料的傳輸或加密方式限制該組織訪問，則無法輸出所請求的資料。隱私風險評估有助於組織瞭解特定背景下要保護的價值、採用的方法以及平衡各種措施的實施方式。

最後，藉助於隱私風險評估，組織可將隱私風險與合規風險區分開來。即使組織完全遵守了適用法律法規，在為系統/產品/服務設計或部署進行道德決策時，也要事先確定資料處理是否會給個人帶來問題。這有助於促進資料的有益使用，同時最大程度地降低對個人隱私和整個社會的不利影響，並避免因信任受損而破壞組織的聲譽、讓客戶推遲採用或放棄產品/服務。

（未完待續）