該檔案由美國國家標準與技術研究院（NIST）和美國商務部共同釋出，釋出時間為2020年1月16日。原文名稱：NIST PRIVACY FRAMEWORK: A TOOL FOR IMPROVING PRIVACY THROUGH ENTERPRISE RISK MANAGEMENT（V1.0）。

以下為小蜜蜂翻譯組原創譯文連載之一：

國家標準與技術研究院（NIST）與公私有利益相關者合作，採用基於共識的透明流程，開發了《隱私框架：通過企業風險管理促進隱私保護》（簡稱《隱私框架》）。這是一個自願性隱私管理工具，用以優化隱私工程實踐，支援“隱私設計”（Privacy by Design）概念，幫助組織保護個人隱私。

1.0《隱私框架》介紹

在過去的二十多年間，網際網路和相關資訊科技驅動了前所未有的創新，創造了經濟價值，讓社會服務更為便利。這些益處大多源自複雜生態系統中的個人資料，這個系統是如此複雜以至於個人很難認識到與系統/產品/服務互動時可能會對自己的隱私造成什麼樣的後果。即使是組織也未必能充分意識到這種後果。對隱私風險放任不管會對個人和社會造成直接的不利影響，後續會持續影響組織的品牌、收入和未來增長預期。資料處理一方面為組織帶來益處，另一方面，帶來了隱私風險，如何在此過程中保護個人隱私，這個任務頗具挑戰，沒有一刀切的解決方案。

之所以說隱私保護具有挑戰性，是因為：（1）隱私保護是個含義寬泛的概念，旨在幫助維護諸如人的自主權和尊嚴之類的重要價值觀；（2）隱私保護實現方式各有不同[1]，例如，可以通過隔離、限制檢視或個人控制其身份相關資訊（身體、資料、聲譽等[2]）來實現隱私。此外，人的自主權和尊嚴並非是一成不變、可量化的概念，而是經過文化多樣性和個體差異的過濾。隱私的這種寬泛、易變的性質讓組織內部、組織之間以及組織和個人之間很難明確傳達隱私風險，原因是缺少了通用語言和可滿足各種隱私需求的靈活的實用工具。

該自願性《NIST隱私框架：通過企業風險管理促進隱私保護》（《隱私框架》）適用於各種規模的組織，不侷限於特定的技術、行業、法律或司法管轄區域。框架採用了通用方法（可適應資料處理生態系統中的各種組織角色），旨在幫助組織從如下方面著手管理隱私風險：

· 在設計和部署影響到個人的系統/產品/服務時考慮隱私；

· 宣講隱私實踐；

· 鼓勵各類組織人員（例如高管、法務和IT人員）在開發Profile、選擇實現層級、實現結果過程中緊密協作。

1.1 隱私框架概述

如圖1所示，隱私框架由三部分組成：核心、Profile和實現層級。各元件將業務/任務驅動因素、組織角色及其職責和隱私保護活動關聯起來，以此加強隱私風險管理。如第2章所述：

圖1：核心、Profile和實現層級

·  “核心”指一系列的隱私保護活動和結果，通過這個元件，可在整個組織範圍內（從管理層到執行/運營層）將劃分好優先順序的隱私保護活動和結果進行擴散。核心元件的每項功能細分為關鍵大類和子類，描述的是互無關聯的各種結果。

·  “Profile”涵蓋組織當前的隱私保護活動或期望的結果。要製作Profile，組織須檢視核心元件所涵蓋的所有結果和活動，基於業務/任務驅動因素、資料處理生態系統角色、資料處理型別以及個人的隱私需求，確定其中最需要關注的事項。組織可根據需要建立或新增功能、大類和子類。通過將“當前”Profile（即現狀）與“目標”Profile（即未來狀況）進行比較，組織可識別機會，改善隱私狀況。Profile適用於自查以及組織內部或組織之間就當前隱私風險管理方法進行溝通。

·  “實現層級”（層級）反映了組織對隱私風險的看法以及組織的現有流程和資源是否足以管理隱私風險。層級逐級遞升，最低階表示組織對風險只是毫無計劃的被動回應，最高階表示組織採用了慮及風險的敏捷方法。在選擇層級時，組織應考慮目標Profile，還要考慮當前風險管理實踐、隱私風險融入企業風險管理的程度、資料處理生態系統關係、人力組成以及培訓專案是否支援或妨礙實現目標結果。

1.2 隱私風險管理

儘管某些組織對隱私風險管理有透徹理解，但這一領域的許多方面尚未達成普遍共識[3]。為促進更多組織達成共識，本節介紹了組織可用於開發、改進或溝通隱私風險管理的概念和注意事項。有關關鍵隱私風險管理實踐的更多資訊，參見附錄D。

腳註5：

見《對NIST隱私框架資訊徵詢結果的簡要分析》，第7頁。

1.2.1 網路安全與隱私風險管理

《網路安全框架》自2014年釋出以來，成為了組織溝通和管理網路安全風險的得力助手[1]。管理網路安全風險有助於管理隱私風險，但這還不夠，因為隱私風險或與網路安全事件無關，如圖2所示。全面瞭解網路安全風險和隱私風險，明瞭各自來源，才能選擇最有效的風險解決方案。

圖2：網路安全風險與隱私風險之間的關係

《隱私框架》的隱私風險處理方法考慮的是從資料蒐集到廢棄的整個生命週期中，個人因系統/產品/服務運營中的資料（數字形式或非數字形式的資料）處理而遭遇隱私事件的可能性。

《隱私框架》同時提到資料操作和資料處理，兩者本質上相同。個人在資料處理中遇到的問題有多種分類方法，NIST按影響將其劃分為幾類，輕則影響尊嚴（如令人難堪或敗壞名聲），重則造成更明顯的危害（如歧視、經濟損失或人身傷害）[4]。

資料操作

在資料生命週期內進行的操作，包括但不限於蒐集、保留、記錄、生成、轉換、使用、公開、共享、傳輸和廢棄。

資料處理

一系列資料操作的集合。

個人之所以會遭遇隱私問題，原因不一。如圖2所示，組織為完成任務/業務目標而進行資料處理時會產生副作用，例如，國家為提高能源效率進行全國性的技術改造，部署智慧電網，安裝智慧電錶[5]，而某些人群對此表示不安，因為這些電錶會蒐集、記錄和傳送精確的家庭用電資訊，讓他人窺探自己在家中的行為[6]。智慧電錶如期推行，卻因涉及資料處理讓人感到被監視。

在萬物互聯的今天，有些問題可能僅僅是由於個人與系統/產品/服務的互動所產生，即使所處理的資料與個人並無直接聯絡。例如，智慧城市技術可用於改變或影響人們的行為，比如在城市中的位置或出行方式[7]。如果在資料處理過程中破壞了保密性、完整性或可用性（外部攻擊者竊取資料或員工未經授權訪問或使用資料），也會出現問題。這類與網路安全相關的隱私事件是隱私風險和網路安全風險的重疊之處，如圖2所示。

若能確定資料處理引起特定問題（《隱私框架》將其稱為可疑資料操作）的概率，組織就可以評估此類操作的影響。影響評估在隱私風險和組織風險管理中均會涉及。個人—無論是單獨一人還是身處集體（包括社會）之中—都會直觀感受到這些問題的影響。個人遇到問題時，組織可能會受到波及，承受諸如違規成本、產品/服務客戶流失造成的收入減少或外部品牌聲譽/內部文化損害等方面的影響。組織通常將這類影響作為企業風險進行管理。通過將個人遭遇的問題與這些易於理解的組織影響聯絡起來，組織可以像管理風險管理專案中的其他風險一樣去管理隱私風險，促進對資源分配進行更明智的決策，推動隱私計劃實施。隱私風險和組織風險之間的關係如圖3所示。

圖3：隱私風險與組織風險之間的關係

1.2.2      隱私風險評估

隱私風險管理涉及一系列跨組織流程。通過這些流程，組織可瞭解其系統/產品/服務為個人帶來的問題以及如何開發有效的解決方案來管理此類風險。隱私風險評估是其中的一個子流程，用於識別、評估特定的隱私風險。一般來說，基於隱私風險評估產生的資訊，組織可權衡資料處理的好處和風險，按照所謂的“相稱性”原則[8]，確定合理的應對措施。組織可根據對個人的潛在影響以及對組織的附帶影響確定風險優先順序，選擇不同的方法應對隱私風險。應對方法包括[9]：

· 緩解風險（例如，組織可對系統/產品/服務採取技術和/或政策措施，將風險降低到可接受的程度）；

· 轉移或分擔風險（例如，可利用合同將風險分擔或轉移給其他組織，利用隱私宣告和同意機制將風險轉嫁給個人）；

· 規避風險（例如，組織在確定風險大於收益時可選擇放棄或終止資料處理）；或

· 接受風險（例如，組織認為問題對個人的影響極低或幾近於零，因而確定收益大於風險，無需投入資源進行防護）。

如上所述，隱私是維護多項價值的條件，因而隱私風險評估極為重要。維護方法會有所不同，彼此之間可能互相制約。例如，若組織試圖通過限制檢視來保護隱私，則可能會實施諸如分散式資料架構或增強隱私的加密技術之類的措施，這些措施甚至會對組織隱匿資料。若組織同時想控制個人，則這些措施可能會發生衝突。假設使用者請求訪問資料，而該資料的分發、加密方式限制組織訪問，則組織無法輸出所請求的資料。隱私風險評估有助於組織瞭解特定背景下要保護的價值、採用的方法以及平衡各種措施的實施方式。

最後，隱私風險評估可幫助組織區分隱私風險與合規風險。即使組織完全遵守了適用的法律法規，確定資料處理是否會給個人帶來問題也能為系統/產品/服務設計或部署中的道德決策提供支撐。道德決策沒有客觀標準；它建立在特定社會的規範、價值觀和法律期望的基礎上。這有助於促進資料的正面使用，同時最大程度地降低對個人隱私和整個社會的不利影響，並避免因信任受損而破壞組織的聲譽或使得客戶推遲採用或放棄產品/服務。

有關隱私風險評估的操作，參見附錄D。

1.3 章節介紹

本文件其他部分包括：

· 第2章：介紹了隱私框架元件：核心、Profile和實現層級。

· 第3章：舉例說明如何使用隱私框架。

· 參考檔案：列舉了本文所參考的檔案。

· 附錄A：用表格形式介紹隱私框架核心：功能、大類和子類。

· 附錄B：術語表。

· 附錄C：列舉了本文出現的縮略語。

· 附錄D：介紹可促進隱私風險管理的關鍵做法。

附錄E：定義了實現層級。

原文獲取地址：https://www.nist.gov/privacy-framework  

[1] 自主權和尊嚴的概念，見聯合國《世界人權宣言》，https://www.un.org/en/universal-declaration-human-rights/。

[2] 有不少文獻對隱私背景或概念的各個方面做過深入研究，例如，Solove D的《瞭解隱私》（Understanding Privacy），哈佛大學出版社，馬薩諸塞州劍橋，2010年，https://ssrn.com/abstract=1127888；Selinger E和Hartzog W的《模糊與隱私》（Obscurity and Privacy），未來空間：技術哲學伴侶（Spaces for the Future: A Companion to Philosophy of Technology），編輯Pitt J和Shew A（泰勒-弗朗西斯出版集團，紐約州紐約市），2017年，第1版第12章，https://doi.org/10.4324/9780203735657。

[3] 見《對NIST隱私框架資訊徵詢結果的簡要分析》[2]，第7頁。

[4] NIST編寫了一個說明性問題集，用於隱私風險評估，見《NIST隱私風險評估方法》[3]。有些組織可能有其他分類方法，也有些組織會將這些問題稱為不良後果或危害。

[5] 請參閱NIST跨部門或內部報告（IR）7628（修訂版1）第1卷《智慧電網網路安全指南：第1卷–智慧電網網路安全戰略、架構及概括要求》[4]，第26頁。

[6] 請參見NIST IR 8062《聯邦系統中的隱私工程和風險管理介紹》[5]，第2頁。有關與資料處理不良後果相關的其他型別的隱私風險，請參閱NIST IR 8062的附錄E。

[7] Newcombe T，智慧城市技術發展過程中的安全、隱私、治理問題，政務技術，2016，http://www.govtech.com/Security-Privacy-Governance-Concerns-About- Smart-City-Technologies-Grow.html。

[8] 歐洲資料保護主管，必要性與相稱性，2019，https://edps.europa.eu/data-protection/our-work/subjects/necessity-proportionality_en。

[9] NIST SP 800-39，管理資訊保安風險：組織、任務、資訊系統視角[6]

譯者宣告

本文由 “安全加”社群小蜜蜂公益翻譯組合作完成，免責宣告及相關責任由“安全加”社群承擔。

小蜜蜂翻譯組公益譯文專案，旨在分享國外先進網路安全理念、規劃、框架、技術標準與實踐，將網路安全戰略性文件翻譯為中文，為網路安全從業人員提供參考，促進國內安全組織在相關方面的思考和交流。

小蜜蜂logo

官方微信連結：

https://mp.weixin.qq.com/s/iuI0sN69DQsnG3-caUfOuA