趋势与观点 | 用PbA方法正确的对待隐私

当前的隐私讨论围绕着这样一个问题:“您的组织是否遵守隐私法规,如欧盟一般数据保护条例(GDPR)、美国加利福尼亚州消费者隐私法(CCPA)或美国健康保险便携性和问责法(HIPAA)?”然而,这样做仅仅是将隐私作为合规问题来处理,却忽视了其他同样重要的隐私话题(例如,隐私作为一项人权,一个伦理和社会关切的话题,一个政治问题)。

将隐私的讨论从合规的角度转而涵盖这些额外的隐私话题,从而超越了“维护隐私权利”,更多地转向了“正确的对待隐私”。这种更全面的隐私保护方法认识到,可行、有用或有利可图并不等于可持续,并强调责任高于合规。旨在反映“正确的对待隐私”的Privacy by Align (PbA)是一种解决多重隐私问题的新方法。图1总结了PbA的支柱。

图1-PbA的6大支柱

什么是PbA方法?

目前的很多隐私领域,如CCPA和GDPR,都提出了基于风险的方法,要求在风险需要时采取额外措施保护个人数据。然而,在这些基于风险的方法中,隐私的伦理、政治和社会层面往往是缺失的,因为数据隐私立法主要关注组织如何处理个人数据,而不是组织如何扩展或设计处理这些数据的条件。PbA的方法通过6个隐私支柱来弥补这一缺失:

1. 隐私立法和监管

2. 隐私事件管理

3. 企业伦理隐私

4. 企业社会隐私

5. 企业政治隐私

6. 隐私沟通

PbA方法敦促组织将法律/法规和事件管理支柱作为基线,其他支柱可在适用的情况下关注。PbA的6个支柱及其相关的隐私活动总结在图2中。

图2 - PbA的6个支柱及其相关的隐私活动

隐私立法和监管

这一支柱包括一个组织必须根据其自身的隐私立法环境(例如,其消费者、隐私和网络安全立法)进行的所有隐私活动。

隐私事件管理

当隐私事件发生时,受影响的组织必须首先确定是否需要向监管机构或利益相关者报告该事件。然后组织需要对事件进行补救(例如,通过引入新的硬件、软件、流程或培训来确保问题不再发生)。组织可能还必须管理诉讼、财务处罚或因事件而增加的监督或审计的过程。

隐私伦理

隐私伦理包括数据伦理、数字伦理和隐私权。隐私伦理关注技术如何影响政治、社会、环境和道德存在。隐私伦理解决了技术应该如何使用,新技术或更新的技术可能带来什么隐私风险,以及这些新的未来的到来对社会意味着什么等问题。Mantelero将人权、社会和道德影响评估(HRSEIA)和隐私影响评估(PIA)结合起来的工作可以成为一个有用的起点。随着隐私伦理的出现还会带来一些目前还不存在的伦理问题变量,以及无法预测的风险。英国数据伦理框架和奥米迪亚网络的伦理操作系统为解决这种隐私风险提供了有用的工具。

对社会负责的隐私

一个组织的竞争力和它周围社区的福祉是相互依赖的。在这个支柱中,组织接触多个利益相关者,包括员工、供应商、消费者和周边社区,以了解他们的隐私问题。尽管隐私通常是利益相关方的期望,但其重要性可能会有很大差异。例如,芬兰、挪威和瑞典等国的纳税人对财务隐私几乎没有期望,因为个人所得税记录可以在网上公开。接触利益相关者以确定什么对他们最重要的过程被称为重要性评估。

政治隐私

政治隐私与国家监控、言论自由、游说、投票和民主等政治概念有关。一些组织投资数百万美元游说政府积极制定隐私立法。例如,他们可能会进行游说,以降低隐私合规成本或将数据保留更长时间/进一步使用。VpnMentor最近分析了2005年至2018年5大科技公司提交给美国众议院的所有游说报告。调查发现,在游说意见书中,“隐私”是使用频率最高的词,在所有5家游说组织的游说利益中排名前5位(图3)6

图3 – 大型科技企业在2005年至2018年间的游说报告

来源: vpnMentor, “The Issues That Matter to the Big Tech Lobby.” 该图已得到授权

 

隐私沟通

PbA方法中的每个隐私支柱都以企业沟通形式报告,关键利益相关者均可访问。隐私的法律支柱反映在隐私政策、透明度报告和隐私声明中,隐私的社会支柱反映在企业社会责任(CSR)报告中,而隐私的政治支柱反映在各种游说数据库中。当这些沟通显示出不一致时(例如,当一个组织在其企业社会责任报告中报告“为隐私倡导团体做出贡献”,然后在其游说意见书中报告“为较弱的消费者隐私进行游说”),就会出现基本的利益相关者信任和声誉问题。当一个组织将这些隐私支柱统一起来,并证明这种统一,就可以增加消费者的信任、消费者的忠诚度和收入。

 

"组织需要用超越隐私权的更广阔的视角来看待隐私,认识到隐私的伦理、社会和政治属性。"

统一六大支柱

PbA方法强调了组织不仅需要解决这些额外的隐私支柱,而且还需要将它们对齐。第一个调整过程包括跨隐私支柱调整活动(即“言出必行”)。与隐私倡导团体(反映社会隐私支柱)合作的组织应确保其游说意见书(反映政治隐私支柱)是一致的。例如,思科在其企业社会责任报告中表示,它正在牵头制定欧盟云行为准则(反映社会隐私支柱),同时还在游说制定更全面的隐私法律,将隐私视为一项基本人权。因此,它的社会隐私和政治隐私支柱是一致的。这些支柱的不协调可能导致利益相关者的信任降低,对隐私的担忧增加,并对声誉造成负面影响。

第二个调整过程包括确保支柱中的隐私活动反映利益相关者对隐私的期望(在重要性评估中)。再次以思科最近的重要性评估为例,它表明“数据安全和隐私”对利益相关者和组织是非常重要的。它的隐私支柱与利益相关者的期望一致,并可能会导致安抚其对隐私的担忧。

结论

组织需要用超越隐私权的更广阔的视角来看待隐私,还要认识到隐私的伦理、社会和政治属性。组织还需要确定更广泛的利益相关者社区对隐私的期望。PbA框架使组织能够更全面地解决隐私问题,并倡导对支柱的调整,以增加消费者信任,减少对隐私的担忧,并提高声誉。

 

编者注:本文首次发表于2021年8月30日ISACA官网News and Trends/Industry News。尾注略。文章内容仅代表作者本人观点。
作者:Valerie Lyons, CDPSE, CISSP,是BH Consulting的首席运营官,这是一家总部位于爱尔兰都柏林的国际网络安全和隐私咨询机构。
翻译:尹杭宇,CISM,PMP, ISACA微信公众号特邀通讯员
校对:谭辰菲(William Tan),CISSP,CISA,CDPSE,CRISC, ISACA微信公众号特邀通讯员, 德国商业银行信息安全经理