该文件由美国国家标准与技术研究院（NIST）和美国商务部共同发布，发布时间为2020年1月16日。原文名称：NIST PRIVACY FRAMEWORK: A TOOL FOR IMPROVING PRIVACY THROUGH ENTERPRISE RISK MANAGEMENT（V1.0）。

以下为原创译文连载之一：

国家标准与技术研究院（NIST）与公私有利益相关者合作，采用基于共识的透明流程，开发了《隐私框架：通过企业风险管理促进隐私保护》（简称《隐私框架》）。这是一个自愿性隐私管理工具，用以优化隐私工程实践，支持“隐私设计”（Privacy by Design）概念，帮助组织保护个人隐私。

1.0《隐私框架》介绍

在过去的二十多年间，互联网和相关信息技术驱动了前所未有的创新，创造了经济价值，让社会服务更为便利。这些益处大多源自复杂生态系统中的个人数据，这个系统是如此复杂以至于个人很难认识到与系统/产品/服务交互时可能会对自己的隐私造成什么样的后果。即使是组织也未必能充分意识到这种后果。对隐私风险放任不管会对个人和社会造成直接的不利影响，后续会持续影响组织的品牌、收入和未来增长预期。数据处理一方面为组织带来益处，另一方面，带来了隐私风险，如何在此过程中保护个人隐私，这个任务颇具挑战，没有一刀切的解决方案。

之所以说隐私保护具有挑战性，是因为：（1）隐私保护是个含义宽泛的概念，旨在帮助维护诸如人尊严之类的重要价值观；（2）隐私保护实现方式各有不同[1]，例如，可以通过隔离、限制查看或个人控制其身份相关信息（身体、数据、声誉等[2]）来实现隐私。此外，人尊严并非是一成不变、可量化的概念，而是经过文化多样性和个体差异的过滤。隐私的这种宽泛、易变的性质让组织内部、组织之间以及组织和个人之间很难明确传达隐私风险，原因是缺少了通用语言和可满足各种隐私需求的灵活的实用工具。

该自愿性《NIST隐私框架：通过企业风险管理促进隐私保护》（《隐私框架》）适用于各种规模的组织，不局限于特定的技术、行业、法律或司法管辖区域。框架采用了通用方法（可适应数据处理生态系统中的各种组织角色），旨在帮助组织从如下方面着手管理隐私风险：

• 在设计和部署影响到个人的系统/产品/服务时考虑隐私；
• 宣讲隐私实践；
• 鼓励各类组织人员（例如高管、法务和IT人员）在开发Profile、选择实现层级、实现结果过程中紧密协作。

1.1 隐私框架概述

如图1所示，隐私框架由三部分组成：核心、Profile和实现层级。各组件将业务/任务驱动因素、组织角色及其职责和隐私保护活动关联起来，以此加强隐私风险管理。如第2章所述：

图1：核心、Profile和实现层级

• “核心”指一系列的隐私保护活动和结果，通过这个组件，可在整个组织范围内（从管理层到执行/运营层）将划分好优先级的隐私保护活动和结果进行扩散。核心组件的每项功能细分为关键大类和子类，描述的是互无关联的各种结果。
• “Profile”涵盖组织当前的隐私保护活动或期望的结果。要制作Profile，组织须检视核心组件所涵盖的所有结果和活动，基于业务/任务驱动因素、数据处理生态系统角色、数据处理类型以及个人的隐私需求，确定其中最需要关注的事项。组织可根据需要创建或添加功能、大类和子类。通过将“当前”Profile（即现状）与“目标”Profile（即未来状况）进行比较，组织可识别机会，改善隐私状况。Profile适用于自查以及组织内部或组织之间就当前隐私风险管理方法进行沟通。
• “实现层级”（层级）反映了组织对隐私风险的看法以及组织的现有流程和资源是否足以管理隐私风险。层级逐级递升，最低级表示组织对风险只是毫无计划的被动回应，最高级表示组织采用了虑及风险的敏捷方法。在选择层级时，组织应考虑目标Profile，还要考虑当前风险管理实践、隐私风险融入企业风险管理的程度、数据处理生态系统关系、人力组成以及培训项目是否支持或妨碍实现目标结果。

1.2 隐私风险管理

尽管某些组织对隐私风险管理有透彻理解，但这一领域的许多方面尚未达成普遍共识[3]。为促进更多组织达成共识，本节介绍了组织可用于开发、改进或沟通隐私风险管理的概念和注意事项。有关关键隐私风险管理实践的更多信息，参见附录D。

脚注5：

见《对NIST隐私框架信息征询结果的简要分析》，第7页。

1.2.1 网络安全与隐私风险管理

《网络安全框架》自2014年发布以来，成为了组织沟通和管理网络安全风险的得力助手[1]。管理网络安全风险有助于管理隐私风险，但这还不够，因为隐私风险或与网络安全事件无关，如图2所示。全面了解网络安全风险和隐私风险，明了各自来源，才能选择最有效的风险解决方案。

图2：网络安全风险与隐私风险之间的关系

《隐私框架》的隐私风险处理方法考虑的是从数据搜集到废弃的整个生命周期中，个人因系统/产品/服务运营中的数据（数字形式或非数字形式的数据）处理而遭遇隐私事件的可能性。

《隐私框架》同时提到数据操作和数据处理，两者本质上相同。个人在数据处理中遇到的问题有多种分类方法，NIST按影响将其划分为几类，轻则影响尊严（如令人难堪或败坏名声），重则造成更明显的危害（如歧视、经济损失或人身伤害）[4]。

数据操作

在数据生命周期内进行的操作，包括但不限于搜集、保留、记录、生成、转换、使用、公开、共享、传输和废弃。

数据处理

一系列数据操作的汇集。

个人之所以会遭遇隐私问题，原因不一。如图2所示，组织为完成任务/业务目标而进行数据处理时会产生副作用，例如，国家为提高能源效率进行全国性的技术改造，部署智能电网，安装智能电表[5]，而某些人群对此表示不安，因为这些电表会搜集、记录和传送精确的家庭用电信息，让他人窥探自己在家中的行为[6]。智能电表如期推行，却因涉及数据处理让人感到被监视。

在万物互联的今天，有些问题可能仅仅是由于个人与系统/产品/服务的交互所产生，即使所处理的数据与个人并无直接联系。例如，智慧城市技术可用于改变或影响人们的行为，比如在城市中的位置或出行方式[7]。如果在数据处理过程中破坏了保密性、完整性或可用性（外部攻击者窃取数据或员工未经授权访问或使用数据），也会出现问题。这类与网络安全相关的隐私事件是隐私风险和网络安全风险的重叠之处，如图2所示。

若能确定数据处理引起特定问题（《隐私框架》将其称为可疑数据操作）的概率，组织就可以评估此类操作的影响。影响评估在隐私风险和组织风险管理中均会涉及。个人—无论是单独一人还是身处集体（包括社会）之中—都会直观感受到这些问题的影响。个人遇到问题时，组织可能会受到波及，承受诸如违规成本、产品/服务客户流失造成的收入减少或外部品牌声誉/内部文化损害等方面的影响。组织通常将这类影响作为企业风险进行管理。通过将个人遭遇的问题与这些易于理解的组织影响联系起来，组织可以像管理风险管理项目中的其他风险一样去管理隐私风险，促进对资源分配进行更明智的决策，推动隐私计划实施。隐私风险和组织风险之间的关系如图3所示

图3：隐私风险与组织风险之间的关系

1.2.2      隐私风险评估

隐私风险管理涉及一系列跨组织流程。通过这些流程，组织可了解其系统/产品/服务为个人带来的问题以及如何开发有效的解决方案来管理此类风险。隐私风险评估是其中的一个子流程，用于识别、评估特定的隐私风险。一般来说，基于隐私风险评估产生的信息，组织可权衡数据处理的好处和风险，按照所谓的“相称性”原则[8]，确定合理的应对措施。组织可根据对个人的潜在影响以及对组织的附带影响确定风险优先级，选择不同的方法应对隐私风险。应对方法包括[9]：

• 缓解风险（例如，组织可对系统/产品/服务采取技术和/或政策措施，将风险降低到可接受的程度）；
• 转移或分担风险（例如，可利用合同将风险分担或转移给其他组织，利用隐私声明和同意机制将风险转嫁给个人）；
• 规避风险（例如，组织在确定风险大于收益时可选择放弃或终止数据处理）；或
• 接受风险（例如，组织认为问题对个人的影响极低或几近于零，因而确定收益大于风险，无需投入资源进行防护）。

如上所述，隐私是维护多项价值的条件，因而隐私风险评估极为重要。维护方法会有所不同，彼此之间可能互相制约。例如，若组织试图通过限制查看来保护隐私，则可能会实施诸如分布式数据架构或增强隐私的加密技术之类的措施，这些措施甚至会对组织隐匿数据。若组织同时想控制个人，则这些措施可能会发生冲突。假设用户请求访问数据，而该数据的分发、加密方式限制组织访问，则组织无法输出所请求的数据。隐私风险评估有助于组织了解特定背景下要保护的价值、采用的方法以及平衡各种措施的实施方式。

最后，隐私风险评估可帮助组织区分隐私风险与合规风险。即使组织完全遵守了适用的法律法规，确定数据处理是否会给个人带来问题也能为系统/产品/服务设计或部署中的道德决策提供支撑。道德决策没有客观标准；它建立在特定社会的规范、价值观和法律期望的基础上。这有助于促进数据的正面使用，同时最大程度地降低对个人隐私和整个社会的不利影响，并避免因信任受损而破坏组织的声誉或使得客户推迟采用或放弃产品/服务。

有关隐私风险评估的操作，参见附录D。

1.3 章节介绍

本文档其他部分包括：

• 第2章：介绍了隐私框架组件：核心、Profile和实现层级。
• 第3章：举例说明如何使用隐私框架。
• 参考文件：列举了本文所参考的文件。
• 附录A：用表格形式介绍隐私框架核心：功能、大类和子类。
• 附录B：术语表。
• 附录C：列举了本文出现的缩略语。
• 附录D：介绍可促进隐私风险管理的关键做法。

附录E：定义了实现层级。

原文获取地址：https://www.nist.gov/privacy-framework  

[1] 尊严的概念，见联合国《世界人权宣言》，https://www.un.org/en/universal-declaration-human-rights/。

[2] 有不少文献对隐私背景或概念的各个方面做过深入研究，例如，Solove D的《了解隐私》（Understanding Privacy），哈佛大学出版社，马萨诸塞州剑桥，2010年，https://ssrn.com/abstract=1127888；Selinger E和Hartzog W的《模糊与隐私》（Obscurity and Privacy），未来空间：技术哲学伴侣（Spaces for the Future: A Companion to Philosophy of Technology），编辑Pitt J和Shew A（泰勒-弗朗西斯出版集团，纽约州纽约市），2017年，第1版第12章，https://doi.org/10.4324/9780203735657。

[3] 见《对NIST隐私框架信息征询结果的简要分析》[2]，第7页。

[4] NIST编写了一个说明性问题集，用于隐私风险评估，见《NIST隐私风险评估方法》[3]。有些组织可能有其他分类方法，也有些组织会将这些问题称为不良后果或危害。

[5] 请参阅NIST跨部门或内部报告（IR）7628（修订版1）第1卷《智能电网网络安全指南：第1卷–智能电网网络安全战略、架构及概括要求》[4]，第26页。

[6] 请参见NIST IR 8062《联邦系统中的隐私工程和风险管理介绍》[5]，第2页。有关与数据处理不良后果相关的其他类型的隐私风险，请参阅NIST IR 8062的附录E。

[7] Newcombe T，智慧城市技术发展过程中的安全、隐私、治理问题，政务技术，2016，http://www.govtech.com/Security-Privacy-Governance-Concerns-About- Smart-City-Technologies-Grow.html。

[8] 欧洲数据保护主管，必要性与相称性，2019，https://edps.europa.eu/data-protection/our-work/subjects/necessity-proportionality_en。

[9] NIST SP 800-39，管理信息安全风险：组织、任务、信息系统视角[6]

译者声明

本文由 “安全加”社区小蜜蜂公益翻译组合作完成，免责声明及相关责任由“安全加”社区承担。

小蜜蜂翻译组公益译文项目，旨在分享国外先进网络安全理念、规划、框架、技术标准与实践，将网络安全战略性文档翻译为中文，为网络安全从业人员提供参考，促进国内安全组织在相关方面的思考和交流。