往期回顧：

1、NIST隱私框架：透過企業風險管理促進隱私保護1.0版（二）：

https://mp.weixin.qq.com/s?__biz=MjM5ODYyMTM4MA==&mid=2650404140&idx=2&sn=9084e67a27387dfceb337ca936a8613c&chksm=becaac8789bd2591e96817c93a9aee527396da95b1786cd5d3177ea9272ce799938ec92a70b1&token=1176441221&lang=zh_CN#rd

2、NIST隱私框架：透過企業風險管理促進隱私保護1.0版（一）

https://mp.weixin.qq.com/s?__biz=MjM5ODYyMTM4MA==&mid=2650403966&idx=3&sn=b0a7b038dc27816683247ad5f3ccea09&chksm=becaadd589bd24c33e0ae318126b4b9bb01cc7156d64995a46009f5427a64ccb5c2061088573&token=1176441221&lang=zh_CN#rd

該檔案由美國國家標準與技術研究院（NIST）和美國商務部共同釋出，釋出時間為2020年1月16日。原文名稱：NIST PRIVACY FRAMEWORK: A TOOL FOR IMPROVING PRIVACY THROUGH ENTERPRISE RISK MANAGEMENT（V1.0）。

以下為小蜜蜂翻譯組原創譯文連載之三：

3.0 如何使用《隱私框架》

當《隱私框架》用作風險管理工具時，可以幫助組織最佳化資料的有益使用並開發創新的系統/產品/服務，同時最大程度地減少對個人的不利影響。組織可以利用《隱私框架》回答以下基本問題：“在開發系統/產品/服務時，如何考慮對個人的影響？”開發《隱私框架》的目的是完善現有的業務和系統開發運營，但考慮到各組織的獨特需求，框架可靈活使用，至於如何使用，由各組織自行決定。

例如，某組織已擁有健全的隱私風險管理流程，但可能會使用核心元件的五大功能來分析、闡明差距；打算建立隱私計劃的組織可以參考核心元件的大類和子類；有些組織可能會根據資料處理生態系統中的不同角色所要求的風險管理優先順序來確定合適的Profile或實現層級。組織使用《隱私框架》的方式多種多樣，因此，不應將“遵守《隱私框架》”作為統一的或外部參考概念。以下各節介紹了使用《隱私框架》的一些方法。

3.1 引用參考資料

參考資料對應子類，為框架實現提供支援，包括工具、技術指南、標準、法律、法規和最佳實踐方面的相關引用。對照表（Crosswalk）將標準、法律和法規的規定與子類對應，幫助組織確定重點活動或結果，以滿足合規要求。《隱私框架》遵循技術中立原則，但支援技術創新，任何組織或行業都可以隨著技術和相關業務需求的演進而更新對照表。依靠公認的標準、指南和實踐，使用可實現積極隱私結果的工具和方法能夠跨越國界，適應隱私風險的全球性質。使用現有和新興標準能夠實現規模經濟，推動系統/產品/服務滿足現有市場需求，同時顧及個人的隱私需求。

若發現參考資料有不足，還可確定應補充或修訂哪些標準、指南和實踐，以助力組織滿足新需求。組織在實現特定的子類或開發新子類時，針對相關活動或結果可能僅有少量的指導材料可用。為解決此問題，組織可與業界技術龍頭和/或標準機構合作，起草、開發並協調製定標準、指南或實踐。

https://www.nist.gov/privacy-framework網站上有大量的參考資料，可支援組織使用《隱私框架》最佳化隱私實踐。

3.2 加強問責

問責通常被視為關鍵的隱私原則，儘管從概念上講，問責並非隱私所特有[1]。問責在整個組織中無處不在，表達時可抽象為各種說法，例如文化價值、治理政策和程式、隱私要求與控制措施之間的可追溯關係等。隱私風險管理將高管（傳達組織的隱私價值和風險承受能力）與業務/流程管理人員（在開發和實施支援組織隱私價值的治理政策和程式方面進行協作）聯結起來，為組織各級別的問責提供支援。政策和程式傳達給執行/運營人員後，由這些人員合作定義隱私要求，最終在組織的系統/產品/服務中體現。執行/運營人員還要選擇、實施和評估滿足隱私要求的技術和政策控制措施，上報進度、差距和缺陷以及不斷變化的隱私風險，以便業務/流程管理人員和高管了解實情，進行相應響應。

圖1展示了這種雙向協作和溝通以及如何合入《隱私框架》元素以拉通流程。採用這種操作，組織便可用《隱私框架》支援問責。此外，組織還可將《隱私框架》與提供不同實踐的其他框架和指南結合使用，以實現組織內部和組織之間的問責[2]。

圖1：組織內部協作與溝通概念性流程

3.3 制定/改進隱私計劃

《隱私框架》大致劃分為“準備、啟動、實施”（Ready, Set, Go）三個階段，可基於此制定或改進隱私計劃。在這些階段，組織可參考相關資料確定優先順序、實現結果。有關參考資料的更多資訊，見“引用參考資料”小節。此外，可訪問https://www.nist.gov/privacy-framework獲取相關資料。

準備

要進行有效的隱私風險管理，組織須瞭解其業務/任務環境、法律環境、風險承受能力、系統/產品/服務帶來的隱私風險以及它在資料處理生態系統中的角色。組織的“準備”工作包括識別-P和治理-P，具體說，要評估大類和子類，然後撰寫當前Profile和目標Profile。[3]建立組織隱私價值和政策、確定並傳達組織的風險承受能力、進行隱私風險評估（參見附錄D）等活動和結果為“啟動”階段的Profile制定奠定了基礎。

制定/改進隱私計劃的簡化方法

準備：執行識別-P和治理-P功能，做好準備。

啟動：根據當前Profile和目標Profile之間的差距，制定行動方案。

實施：著手實施行動方案。

啟動

組織建立當前Profile，明示現階段要實現其他功能的哪些大類和子類。若某結果已部分達成，會為後續步驟提供基線資訊。組織根據實現“識別”和“治理”功能時所輸出的資訊（如組織隱私價值和政策、組織風險承受能力和隱私風險評估結果等）制定目標Profile，重點評估大類和子類，闡述組織預期達到的隱私結果。此外，組織還可以開發自己的功能、大類和子類，以應對本組織特有的風險。在制定目標Profile時，組織還要考慮外部利益相關者（例如商業客戶和合作夥伴）的影響和要求。不同的業務線或流程可能會有不同的業務需求和風險承受能力，因此可開發多個Profile進行對應支援。

組織將當前Profile和目標Profile進行比較，找出差距。接下來，制定優先行動方案，解決差距（闡明任務驅動因素、成本效益和風險），以實現目標Profile中列出的結果。組織可同時使用《網路安全框架》和《隱私框架》，制定綜合行動方案，然後，確定解決差距所需的資源（包括資金和人力），為之後確定適當的層級提供參考。這樣，透過Profile，組織可對隱私活動作出明智決策，進行風險管理，實現低成本、高效率的針對性改進。

實施

行動方案確定後，要考慮優先採取哪些行動來解決差距，然後調整現有隱私措施，實現目標Profile[4]。

根據需要，組織可按任意順序持續評估和改善其隱私狀況。例如，有些組織會發現，“準備”階段反覆進行可提升風險評估質量。此外，可透過迭代更新當前Profile或目標Profile來把控進度，應對不斷變化的風險，再將兩者進行比較。

3.4 貫穿系統開發生命週期

目標Profile可與系統開發生命週期（SDLC）中的各階段（規劃、設計、構建/採購、部署、執行、停用）對齊，支援重點隱私結果的實現[5]。從規劃階段開始，重點隱私結果可轉化為系統的隱私功能和對系統的隱私要求，在生命週期的後續階段，隱私要求可能會發生變化。設計階段的一個關鍵里程碑是驗證隱私功能和要求是否符合目標Profile所描述的組織需求和風險承受能力。在部署系統時，將該目標Profile作為內部列表進行評估，以驗證是否所有隱私功能和要求均得以實現。接下來，將《隱私框架》確定的隱私結果作為系統持續執行的基礎，包括不定期重新評估，核查當前Profile所列舉結果的實現情況，確保系統始終滿足隱私功能和要求。

隱私風險評估通常側重於資料生命週期，即資料經過的階段，包括建立/蒐集、處理、傳播、使用、儲存、處置和銷燬/刪除。欲將SDLC與資料生命週期對齊，需要識別和了解資料在SDLC各階段的處理方法。這樣，組織才能更好地管理隱私風險，從而對隱私控制措施進行明智選擇，有效實施，滿足隱私要求。

3.5 在資料處理生態系統中使用

隱私風險管理的一個關鍵因素是實體在資料處理生態系統中的角色，角色不僅決定了組織的法律義務，還決定了應該採取什麼樣的隱私風險管理措施。如圖8所示，資料處理生態系統包含一系列實體和角色，這些實體和角色彼此之間以及與個人之間具有複雜的多向關係。當實體由一系列子實體支援時，關係就會更為複雜。例如，服務提供商可能由多個其他服務提供商支援，製造商可能擁有多個元件供應商。圖2中，每類實體被賦予特定角色。實際上，一個實體可能具有多種角色，例如，向其他組織提供服務的同時向消費者提供零售產品。圖8中的角色只是概念上的分類。實際情況是，實體的角色或有法律定義（例如，有些法律將組織分類為資料控制者或資料處理者），或根據行業進行分類。

圖2：資料處理生態系統關係

實體基於《隱私框架》，根據其角色開發一個或多個Profile，在管理隱私風險時，不僅要考慮自己的重要事項，還要考慮所採取的措施對資料處理生態系統中其他實體隱私風險管理的影響。例如：

· 在就如何蒐集、使用個人資料決策時，組織可以使用Profile向外部服務提供商（例如接收組織輸出資料的雲提供商）傳達隱私要求；處理資料的外部服務提供商可以使用Profile來證明其履行了合同義務，對資料處理採取了隱私措施。

· 組織可透過當前Profile描述其網路安全狀態，上報結果資料，與採集需求對齊。

· 行業部門可建立通用Profile，成員組織可基於此定製自己的Profile。

· 組織可基於目標Profile確定產品內建功能，讓業務客戶滿足其終端使用者的隱私要求。

· 開發人員可以基於目標Profile設計應用程式，考慮程式在其他組織的系統環境中使用時的隱私保護。

《隱私框架》為資料處理生態系統內的各實體溝通隱私要求提供了通用語言。當資料處理生態系統跨越國界（例如國際資料傳輸）時，這種溝通就顯得尤其必要。在進行隱私方面的溝通時，要做到以下幾點：

· 確定隱私要求；

· 將隱私要求形成正式協議（例如合同、多方框架等）條文；

· 明確如何驗證和確認這些隱私要求；

· 透過各種評估方法來驗證是否滿足隱私要求；

· 管控上述活動。

3.6 支撐採購決策

當前Profile和目標Profile均可用於生成組織隱私要求列表（按優先順序排序），還可用於支撐產品和服務採購決策。首先選擇與隱私目標相關的結果，然後根據這些結果評估合作伙伴的系統/產品/服務。例如，在購買用於森林環境監測的裝置時，可管理性很重要，有助於最大程度地減少有關森林使用者的資料處理，所以，要基於核心元件中的相應子類（例如，CT.DP-P4：系統或裝置配置允許有選擇地蒐集或公開資料元素）對製造商進行評估。

若無法對某一供應商強加隱私要求，則應基於周密的隱私要求列表，在多個供應商中做出最優購買決策。通常，這意味著要進行某種程度的取捨，將與Profile尚有差距的多個產品、服務進行擇優選取。若購買的系統/產品/服務無法完全滿足Profile中的目標，組織可透過緩解措施或其他管理活動來解決殘餘風險。

《NIST隱私框架：透過企業風險管理促進隱私保護（V1.0）》全文章節回顧：

 第1章：《隱私框架》介紹

 第2章：介紹了隱私框架元件：核心、實施一覽表和實現層級。

 第3章：舉例說明如何使用隱私框架。

 附錄A：用表格形式介紹隱私框架核心：功能、大類和子類。

 附錄B：術語表。

 附錄C：列舉本文出現的縮略語。

 附錄D：介紹可促進隱私風險管理的關鍵做法。

 附錄E：定義了實現層級。

 附錄F：為配套路線圖預留位置，介紹NIST的下一步規劃，列舉哪些關鍵領域的相關實踐難以理解，從而影響組織達成隱私結果。

 附錄G：列舉本文件參考資料。

小蜜蜂翻譯組公益譯文專案，旨在分享國外先進網路安全理念、規劃、框架、技術標準與實踐，將網路安全戰略性文件翻譯為中文，為網路安全從業人員提供參考，促進國內安全組織在相關方面的思考和交流。

點選連結檢視《NIST隱私框架V1.0 中文完整版》：

http://blog.nsfocus.net/wp-content/uploads/2020/07/NIST-PRIVACY-FRAMEWORK.pdf

[1] 例如，經濟合作與發展組織（OECD）的《OECD保護隱私和個人資料的跨境流通指南》（2013），網址為https://www.oecd.org/internet/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersona ldata.htm；國際標準化組織（ISO）/國際電工委員會（IEC）的ISO/IEC 29100:2011《資訊科技–安全技術–隱私框架》（ISO，瑞士日內瓦），網址為https://standards.iso.org/ittf/PubliclyAvailableStandards/c045123_ISO_IEC_29100_2011.zip；汽車製造商聯盟（AAM）和全球汽車製造商協會（AGA）的《消費者隱私保護原則：車輛技術和服務的隱私原則》（2014），網址為https://autoalliance.org/wpcontent/uploads/2017/01/Consumer_Privacy_Principlesfor_VehicleTechnologies_Services-03-21 -19.pdf。

[2] 例如，NIST SP 800-37（修訂版2）《資訊系統和組織的風險管理框架：安全和隱私的系統生命週期方法》[7]；結構化資訊標準促進組織（OASIS）的《隱私管理參考模型和方法（PMRM）》1.0版，網址為https://docs.oasis-open.org/pmrm/PMRM/v1.0/PMRMv1.0.pdf。

[3] 更多資訊，參見NIST SP 800-37（修訂版2）3.1節的“準備”步驟[7]。

[4] NIST SP 800-37[7]就行動方案實施步驟提供了補充資訊，包括為彌補差距而進行的控制措施選擇、執行與評估。

[5] 在SDLC期間，組織可採用多種開發方法（如瀑布、螺旋、敏捷等）。

譯者宣告

本文由 “安全加”社群小蜜蜂公益翻譯組合作完成，免責宣告及相關責任由“安全加”社群承擔。

小蜜蜂翻譯組公益譯文專案，旨在分享國外先進網路安全理念、規劃、框架、技術標準與實踐，將網路安全戰略性文件翻譯為中文，為網路安全從業人員提供參考，促進國內安全組織在相關方面的思考和交流。

官微連結

https://mp.weixin.qq.com/s/AfwdRUIToqVVLH9HUjXg5A