2020 年,COVID-19 给生活和商业的各个方面都带 来了变化,但由于新冠大流行之外的其他原因, 2020 年对于隐私保护来说也是非常重要的一年。 2020 年,欧盟《澳门赌场官方下载》(GDPR) 全面 实施。美国《澳门赌场官方下载》 (CCPA) 生效并开始实施。有些人将加利福尼亚州的 《澳门赌场官方下载》(CPRA) 称为 CCPA 2.0,该法 案也已起草完成并通过。在全球范围内,79% 的组 织需要遵循两条或两条以上的隐私规则。1
通过遵循网络安全政策,隐私团队可以采用一个或 多个隐私框架来简化合规工作、制定统一的隐私战 略,以及建立或推进隐私计划。团队必须确定如何 为澳门赌场官方下载采用框架做好准备、如何甄选合适的框架, 以及如何将框架整合到澳门赌场官方下载中。
隐私框架入门
在深入研究甄选和采用隐私框架的细节之前,应先 了解如何定义框架以及有哪些隐私框架可用,这一点 非常重要。隐私框架涵盖保护个人信息和消除隐私 风险的全部流程。清晰的结构和普适的原则是隐私 框架的两项关键特征,因此其具有普适性且易于采 用。由于具备这些特性,框架可以帮助各种不同规 模、各个行业、各种成熟度级别的澳门赌场官方下载评估和监控 其隐私计划。
在美国,随着公平信息实践原则 (FIPP) 的出台,隐 私框架在 20 世纪 70 年代开始涌现。2 有些框架(例 如美国国家标准技术研究院 (NIST) 隐私框架)仅作 为建议使用,监管机构并未要求强制施行。但是 GDPR、FIPP、国际标准化组织 (ISO) ISO 29100 等规 则、原则和标准也可以用作框架。有些组织选择将 GDPR 用作指导框架,而不仅仅是一项监管要求,因 为其提出了可信的隐私原则和建立强大数据保护实 践的具体要求。在本文中,“框架”一词将被广泛 使用,其中还包括可以/正在用于构建、治理和维护 隐私计划的标准和规则。图 1 列出了一些最流行的 隐私框架和规则。
值得一提的是,由于以下网络安全框架的“推波 助澜”,有些隐私框架(包括 NIST 隐私框架、 ISO 27701、ISO 29100)受到广泛关注:NIST 网络 安全框架 (CSF)、NIST 特别出版物 (SP) 800-53 和 ISO 27001/27002。因为这些网络安全框架是长期存 在的行业工具,许多澳门赌场官方下载都被鼓励采用互补的隐私 框架。
为甄选框架做准备
甄选框架时需要从不同角度综合考量并做好充分准 备。澳门赌场官方下载不应该仅仅因为已经采用了 NIST CSF 而选 择 NIST 隐私框架。同样,澳门赌场官方下载也不应该因为自己在 欧盟有业务而基于 GDPR 建立整个隐私计划。相 反,在选择一个或多个框架之前,应该考虑几个关 键问题。
问题 1:哪些人应该参与其中?
虽然隐私框架主要由专注于隐私事务(例如隐私团
队、法务、合规、风险管理)的人员使用,但它会
影响到澳门赌场官方下载的许多其他部分。相反,公司其他团队
遵循的框架和规则可能会影响选择哪种隐私框架。
为了恰当地评估可用的框架,必须组建正确的甄选 团队。甄选团队可能因组织规模和结构、行业和监 管环境而异。然而,框架的选择可能会影响到以下 职能部门,因为他们会直接或间接地用到个人识别 信息 (PII)。
- 网络安全—网络安全和隐私职能部门应该紧密合 作。网络安全人员可能已经在使用涵盖隐私事务 的框架。此外,网络安全人员还可以帮助我们了 解哪些数据安全建议更适合澳门赌场官方下载。
- 信息技术—了解涉及个人信息的系统的领导者是 这个流程的关键部分。首席信息官 (CIO) 和首席 技术官 (CTO) 可以权衡框架会如何影响系统和 IT 控制措施。
- 信息安全—信息安全领导者致力于保护流入和流 出澳门赌场官方下载的数据,并能够提供关于澳门赌场官方下载如何处理和 存储个人信息的关键见解。
- 法务—法务和隐私团队通常紧密联系在一起,有 时甚至是同一个团队。法务团队可以说明不同的 法规义务(联邦、州、地区)将如何与选定的框 架交叠。
- 合规(即内部审计、风险管理—风险管理、内 部审计等合规职能部门非常熟悉澳门赌场官方下载内部已在遵 循的规则和框架。他们在测试和验证、文档编 制、数据保留、补救措施验证以及合规报告和演 示方面也有丰富的经验,评估和实施框架时可以 利用这些技能。(虽然内部审计人员可以在甄选 流程中提供重要见解,但这些人不应参与可能影 响其未来独立性的活动,这一点非常重要。)
- 关键业务流程所有者 —除了前面提到的各方之 外,数据隐私决策还会影响到许多其他业务职能 部门(通常是处理个人信息的部门)。这些职能 部门因澳门赌场官方下载而异,但市场营销和人力资源 (HR) 部 门往往会受到最直接的影响。从一开始就让他们 参与其中可确保采用过程更顺畅。
虽然在甄选过程中纳入一系列业务职能部门很重 要,但同时必须确保有权做出最终决策的权威人士 参与其中。根据组织结构和成熟度的不同,这个权 威人士有所不同,但他/她应该是重度参与隐私工作 的人员。在有些澳门赌场官方下载,这个人可能是首席隐私官 (CPO);而在其他澳门赌场官方下载,则可能是合规或风险管理领 导者。但是,与任何委员会或团队安排一样,必须 有一个人负责权衡意见和做出决定。
合适的框架可以简化消费者请求流程、降低隐 私风险,并为个人提供更多的个人信息控制权, 从而提高客户的信任。
问题 2:框架将如何使澳门赌场官方下载受益?
为指导甄选流程,甄选团队应确定澳门赌场官方下载当前面临的
隐私挑战以及框架可如何解决这些难题。清楚地了
解问题和解决方案可以帮助甄选和实施。每家澳门赌场官方下载
面临的问题不同,每个框架可能带来不同的优势。
一些潜在的好处包括简化合规工作、提供可衡量的
结果、降低成本以及改进风险缓解举措 (图 2) 。
问题 3:哪些业务运作会受到影响?
在甄选框架时,了解哪些业务运作(例如行业、已经
开展的合规工作、地域)将受其影响至关重要。数据
映射工作、发现会话和数据流图可以帮助确定会受到
影响的业务运作。了解框架可能如何支持、推进或破
坏当前业务运作会影响是否选择该框架。根据行业、
结构和业务模式的不同,受影响的流程会有所不同,
但甄选团队可能需要研究对 IT、安全、市场营销、
人力资源和所有隐私特定流程的影响。
问题 4:目前已经在使用哪些框架?
在甄选框架之前,甄选团队必须了解澳门赌场官方下载中已在使
用的框架。已用框架可能包括 ISO 29100、FIPP 或
公认的隐私原则 (GAPP)。这些框架之一可以作为采
用流程的基础。此外,从已经建立和采用的框架开
始将有助于确保流程效率。组织若是希望完善隐私
计划,则可以考虑将隐私框架与网络安全框架对
应。团队应特别注意网络安全框架(例如 NIST
CSF、NIST SP 800-53、ISO 27001)与对应的隐私
框架(例如 NIST 隐私框架、ISO 29100)。
问题 5:需要考虑哪些规则?
对于许多澳门赌场官方下载来说,隐私传统上由 GDPR、CCPA 和
美国健康保险流通与责任法案 (HIPAA) 等规则推动。
许多可用的框架都与这些规则中的要求和原则存在
重叠。通过了解组织的监管环境,甄选团队可以选
择符合这些要求的框架,从而简化合规工作。然
而,如果规则被忽视,框架将成为当前监管挑战之
外的又一个负担。
确定这五个问题的答案之后,甄选团队便应该准备 着手评估工作,以找到最适合澳门赌场官方下载的框架。
评估和甄选框架
评估框架时,需要考虑许多组织因素。最重要的考虑 因素是:这个框架是否支持澳门赌场官方下载目标?最重要的是, 所选的框架应该符合澳门赌场官方下载目标、组织战略和利益相关 方的需求。如果框架与这些要素中的任何一个不相 符,就会很难在整个澳门赌场官方下载内推行,进而导致不成功。
举例而言,澳门赌场官方下载可能希望在加强消费者关系方面进行 投资。合适的框架可以简化消费者请求流程、降低隐 私风险,并为个人提供更多的个人信息控制权,从而 提高客户的信任。
记住这些目标之后,甄选团队就可以开始评估流程了。
寻找最合适的框架
在评估阶段,甄选团队应根据澳门赌场官方下载所处的行业以及企
业的规模和运营成熟度来判断框架是否适合。成熟度
是一个重要的考量因素。澳门赌场官方下载应该询问:数据收集、
管理、存储和传输流程的稳健性如何?是否采取了隐
私和安全控制措施来保护这些数据?是否制定了政策
来管控这些流程?政策和程序是否符合相关规则?除
了运营方面的考量之外,澳门赌场官方下载还应询问:是否有合适
的技能组合来支持这些流程?是否有足够的人员来实
施当前框架并据其调整当前运营?此框架会增强隐
私团队的作用,还是抑制其发挥作用?
澳门赌场官方下载若是采取合规至上的隐私方法,则可以建立“要 么通过,要么失败”的原则。然而,隐私是一门不断 发展的学科,重要的是要专注于完善隐私计划,而不 仅仅是勾选正确的选项。澳门赌场官方下载应将选定的一个或多个 框架用作工具来持续监控隐私政策和实践,并找到机 会适当地改进计划各部分。
虽然每个澳门赌场官方下载都是独一无二的,但好消息是框架的 设计本质上通用,因此它们的概念和原则可应用于 各种各样的澳门赌场官方下载。
可能不止一个合适的框架
由于有许多框架可供选择,很多澳门赌场官方下载很难找到一个
完全合适的框架。这种情况并不罕见。然而,许多
澳门赌场官方下载并没有量身定制合适的框架,而是尽量根据框
架调整组织流程。这是一个误区。
最妥当的做法是找到一个与澳门赌场官方下载所处的行业、目标和 成熟度相当契合的框架。确保澳门赌场官方下载目标与框架目标保 持一致至关重要。然后,甄选小组应开始一系列评 估,以确定框架未涵盖的运营或风险因素。澳门赌场官方下载随后 可以采用其他框架的某些部分来应对这些方面,也可 以设计能够应对这些方面的附加控制措施。
这也可能是检查现有澳门赌场官方下载框架,以确定它们能否应 对上述任何方面的机会。这是选择可与其他框架有 效集成的隐私框架的主要优势。例如,NIST 隐私框 架就与 NIST CSF 和 NIST SP 800-53 紧密相关。这三 个都使用相同的结构,因此很容易调整。虽然隐私 框架可能不会详细描述数据安全措施,但网络安全 框架的对应部分会进行描述。若选择一个与网络安 全框架互补的隐私框架,可带来更大程度的灵活 性、可扩展性和一致性。
同样重要的是,不要对新出台的每项隐私规则做出反 应,因为这种做法可能会导致成本升高或业务环境出 现重大变化。所选的一个或多个框架应总体反映澳门赌场官方下载 内部的隐私状况、识别各种隐私规则之间的重叠,然 后根据组织环境(即数据处理位置)调整它们。
采用框架
与任何整合项目一样,不存在一种适用于所有情况的 方法来采用隐私框架。与流程的其他各个方面一样, 如何将框架整合到澳门赌场官方下载中也会因行业、成熟度和组织 文化而异。不过,整合团队可以通过四个步骤确保顺 利实施 (图 3)。
第 1 步:绘制框架和规则
如果澳门赌场官方下载选择了多个框架,或者有多项必须遵守的
规则,就可能出现重叠。通过绘制控制领域并按规
则和框架将其分组,可以降低复杂性。此外,还可
以识别框架中的差距,并确保与合规性要求一致。
专注于合规性的团队(例如内部审计、风险管理)
可以利用他们的经验和专业知识来指导框架绘制。
第 2 步:为澳门赌场官方下载量身定制框架
根据澳门赌场官方下载的具体隐私问题和法规要求量身定制框
架,可使采用过程更加顺畅。当框架适合澳门赌场官方下载时,
利益相关方便可以更轻松将其整合到业务运营中。
修改具有特定功能的控制措施,使之与澳门赌场官方下载、信息
系统和运营环境保持一致,将使框架更易于应用。
第 3 步:记录
某些情况下,框架中的特定控制区域可能不适用于
澳门赌场官方下载。此时,最好记录澳门赌场官方下载选择不使用该特定控制
区域的业务和技术原因。团队不应该只是忽略框架
的这一部分。适当记录每个异常背后的原因将有助
于审计和评估。此外,文档记录对于提高透明度以
及理解澳门赌场官方下载的运营和战略至关重要。
第 4 步:沟通和项目管理
与任何项目一样,沟通对于成功采用框架至关重要。
有关新框架的信息应尽早传达,以便核心职能部门能
够预知变化。频繁的沟通至关重要;定期发送更新和
提醒会使员工将框架的采用放在首位。透明度也很关
键。如果由于采用框架而必须进行变革,则实施团队
不应向利益相关方隐瞒这一点。由于预先了解变革,
团队可以获取适当的支持以确保采用过程顺利
结论
采用适当的隐私框架可以体现澳门赌场官方下载对数据保护工作 的投入和重视。然而,仅仅把框架的建议和相关控 制措施写在纸上是不够的。澳门赌场官方下载必须落实健全的流 程来实施、管理和增强这些控制措施,并确保其有 效性。无论澳门赌场官方下载选择哪种或哪些框架,都必须制定 全面的战略来执行框架的建议,从而保护个人信息 并确保数据安全。
尾注
1 International Association of Privacy
Professionals (IAPP), TrustArc, Measuring
Privacy Operations 2019; Cookies, Local vs.
Global Compliance, DSARs and More,美国, 2019 年, http://download.trustarc.com/dload.php/?f=SFYUMOCK-841
2 US Department of Health and Human Services,
Office of the Assistant Secretary for Planning
and Evaluation (ASPE), “Records, Computers,
and the Rights of Citizens,” 1973 年, http://aspe.hhs.gov/report/records-computers-and-rights-citizens
Minaz Khan, CISA, CIPT
Focal Point 网络安全和数据隐私实践领域的一名高级顾问。她的经验非常丰 富,包括开展隐私和网络安全评估、专注于欧盟一般数据保护条例 (GDPR) 和 美国健康保险流通与责任法案 (HIPAA) 等法规、专门实施由美国国家标准与技 术研究所 (NIST) 和国际标准化组织/国际电工委员会 (ISO/IEC) 创建的框架。 在此之前,她曾担任 Boeing Distribution Services 的信息技术审计师,负责风 险评估、信息系统审计和美国萨班斯-奥克斯利法案 (SOX) 符合性测试。