新出炉的“美国NIST隐私框架”,到底在讲啥?
一、背景
秦始皇统一了文字、货币、度量衡,从而促进了不同地区商贸的往来,文化的交流。可见有一个统一的标准或度量能够使经济活动更加便捷,沟通交流更加顺畅。正是基于这种理念,1901年3月3日美国国会建立了国家标准与技术研究所(“NIST”),通过对各行各业标准的制定,消除了企业间交流的障碍,以此促进行业的不断创新,增强美国企业在国际舞台中的竞争力。
时光荏苒,人类文明即将步入智能时代。全球范围内对于数据的大规模收集和使用一方面促进了科技进步和经济发展,另一方面却严重侵犯公民隐私。因此,隐私保护是这个时代迫切需要解决的问题。但值得注意的是,“隐私”的概念是宽泛的,隐私保护的方式是多样的,侵犯个人隐私所造成的影响也是多层次的。因此NIST认为,“我们如今缺少一套通用的语言和工具,这套语言和工具要非常灵活,来应对各种各样的隐私保护需求”。在这样的背景下,美国NIST隐私框架V1.0(“隐私框架”)应运而生。
对于这套隐私框架的定位和作用,NIST的野心可不小:“隐私框架可帮助任何规模和任何身份的机构管理隐私风险,并且对于任何一种技术、任何一个行业、任何一部法律、任何一块法域都是中立和适用的。”这段话不仅体现了NIST构建全球隐私保护统一标准和语言的意图,同时也给读者这样一个心理预期:这套隐私框架必定是灵活,宽泛,抽象,可兼容的。
二. 隐私框架的基本内容
隐私框架的核心部分有5大功能板块构成:识别板块(ID-P)--识别机构内外部环境和现状;治理板块(GV-P)--建立公司内部治理体系;控制版块(CT-P)--精细化管理数据;交流版块(CM-P)--开展活动帮助机构和个人交流隐私风险相关问题;保护版块(PR-P)--实施保护措施以防止网络安全事件。5大版块又分成18个类别版块(例如ID.RA-P风险评估板块),而每个类别版块又再细分成若干个子类别版块(例如ID.RA-P5风险回应板块)。这些板块的具体内容都是机构可以去追求的隐私保护相关目标和活动,例如“确定隐私保护岗位的职责(GV.PO-P3)”或者“机构要了解自身的隐私风险并且理解该风险对机构造成的影响(ID.RA-P)”。NIST经过与数家知名企业和机构的多次讨论,最终从纷繁复杂的隐私保护活动中归纳总结出了一系列极具实践意义的目标和活动,构成了这些大大小小的板块。
(隐私框架中核心部分识别板块的部分截图)
这些板块的英文缩写中都拖有小尾巴“-P”其实是“Privacy”的缩写,是“隐私”的意思,目的是为了与NIST在2018年4月出版的网络安全框架中的识别板块和保护板块进行区分。
这里需要提醒大家,这些板块可不是合规清单,机构不需要符合每个子类别板块中的要求,而是要根据自身需求个性化地选择和搭配板块。正如本人在《公司内部个人隐私保护体系建设—初探》一文中说到,企业建立隐私保护的目的各有不同,可能是为了规避法律风险,也可能是为了建立品牌,企业应当根据自身的发展状况,战略目标,资金实力,人员配置等问题个性化地发展隐私保护体系。
本质上,可以将这些大大小小的版块比做是一块块形状各异的积木,NIST将这些积木提供给大家,由机构根据自身需求(例如合规,处理客户投诉等)以及手中资源自由选择积木的数量和种类,个性化地搭建企业内部隐私保护体系的“大厦”。正如NIST主管Walter Copan所述“对于隐私保护目标,隐私框架创建了模块来帮助机构实现这个目标,从而使机构履行客户,董事,法规所赋予的隐私保护义务。”
此外,除了核心部分的五大板块,隐私框架还提供了概况部分(Profiles)来帮助机构选择最优先的隐私保护目标和活动,以及实施部分(Implementation)来帮助机构根据自身的能力判定实现隐私保护相关目标的程度。二者本质上是帮助机构选择核心部分中的板块以及实现的程度,此处不再赘述。
三. 隐私框架与网络安全框架
相比隐私框架,NIST于较早公布的网络安全框架更为大众所熟知。前者注重于隐私保护,而后者更注重于网络安全。为了帮助大家更好的理解两个框架的异同,NIST精辟地对隐私事件和网络安全事件的边界线作出了界定。根据NIST所述,隐私事件指的是机构在数据处理活动中由于对个体隐私侵犯而产生了不良后果,例如尴尬难堪,遭受歧视等。而网络安全事件指的是由于遭到网络攻击和数据泄漏而致使数据曝光,损毁或者不可获取。二者的关系是,对于个体所遭受的不良后果可能是由网络安全事件导致的,例如黑客攻击服务器致使用户信息泄漏。这属于隐私框架和网络安全框架的交集,由本隐私框架和网络安全框架中的保护版块(PR-P)来管理该风险;同时,对于个体所遭受的不良影响也可能是由非网络安全事件导致的,例如智能电网对用户隐私的窥探,或金融机构对用户进行画像致使用户遭受歧视等。这属于本隐私框架单独处理的问题,由识别板块(ID-P)、治理板块(GV-P)、控制版块(CT-P)和交流版块(CM-P)来管理该风险。详见下图:
(隐私框架中对隐私保护和网络安全二者关系的截图)
四. 隐私框架的用途
对于本隐私框架的使用,应该是灵活的,机构应该以一种开放的态度来迎接对隐私框架使用的创新。NIST列举了包括但不限于六种使用方式,但是本人认为这六种使用方式最终的目的都是一致的,就是建立机构的隐私保护体系。这六种方式本质上是在回答,机构在建立隐私保护体过程中本隐私框架可以起到哪些作用?本人将隐私框架的用途总结为包括但不限于以下三种方式:
1. 沟通交流
如上所述,秦始皇统一了语言从而促进来自不同地域人民的交流,而本隐私框架就可以用作这样一个语料库,来帮助人们就隐私保护问题进行交流。这种交流可以存在于不同主体之间:可以是机构内部的管理层和实施层就隐私保护的制度和流程进行讨论、或者是供应链下游机构对上游机构的隐私保护能力提出要求、也可以是不同行业间进行交流等等。例如在委托处理合同的磋商中,数据控制者可以要求数据处理者满足CT.PO-P2的要求(即建立数据审核,转让,共享,披露,修改以及深处的流程,例如数据品质维护,数据存储管理等),并将其写进合同中。
2. 与其他文件的衔接
在起草本隐私框架时,可兼容性始终是NIST追求的重要目标。本隐私框架可以和隐私保护相关立法(例如GDPR,CCPA)衔接,帮助机构更好地开展合规工作;同时也可以和一些国际标准衔接(例如ISO,COBIT),来完善机构对标准的贯彻。如果机构之前使用的是NIST颁布的标准,那么在NIST的官网上已经提供了本隐私框架和这些标准的衔接方式。例如本隐私框架ID.DE-P3项要求机构与第三方订立合同以保证第三方采取合适的手段满足机构的隐私保护需求,这一项可以和NIST SP 800-53中的PM-31项(供应链风险管理计划)衔接,后者为前者提供了具体的指引和拓展,将二者融合可共同帮助机构建立与第三方交互时的相关制度。
(隐私框架和NIST其他文件衔接的截图)
3. 构建蓝图
本质上,核心部分的一个个子类别板块就是一个个小目标。机构可以根据自身的需求以及手头的资源来挑选想要实现小目标的组合,构成一幅蓝图,然后制作行动计划表去实现自己选择的目标。隐私框架是企业构建蓝图的工具,说通俗点就是“画大饼”的原料。NIST给你提供了各式各样的原料,最终画一个怎样的“大饼”是由机构根据自己的口味和需求自行决定的。例如如果机构要画一个合规大饼,那可以先用GV.PO-P5(法规理解)去关注法律法规对机构提出的要求,如果法规要求机构作隐私风险评估,那机构可以用ID.RA-P(风险评估)和GV.RM-P(风险管理)来进行合规,最后可以用GV.MT-P3(合规审查)来确保机构不时地对自身活动进行合规审查。由于机构自身需求不同,不同地区法律要求和执法环境不同,合规“大饼”的做法有很多,机构应该结合实际情况进行个性化地制作。
五、结语
美国NIST隐私框架“对于任何一种技术、任何一个行业、任何一部法律、任何一块法域都是中立和适用的”。这是优点,但同时也是限制。正是因为它强大的兼容性和灵活性,框架的语言往往抽象和宽泛,企业在建立隐私保护体系时往往需要将本隐私框架和其他参考文件配套使用,方能达成目标。而NIST目前也正在广泛收集本隐私框架与其他文件衔接的资料,因此相信不久的将来,就会出现NIST与GDPR的衔接文件,与ISO的衔接文件,甚至与我国相关法律法规的衔接,期待到时再与各位共同学习探讨。
参考文献:
[1] NSIT, The NIST Privacy Framework: A Tool for Improving Privacy through Enterprise Risk Management, https://www.nist.gov/privacy-framework/privacy-framework/.
[2] CSIS, A Conversation on the NIST Privacy Framework, https://www.csis.org/analysis/conversation-nist-privacy-framework/.
[3] NSIT, Framework for Improving Critical Infrastructure Cybersecutiry, https://www.nist.gov/cyberframework/framework/.
[4] NIST, SP800-53, https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/draft/.
[5] 倪圣翔|网络法实务圈,公司内部个人隐私保护体系建设—初探,https://mp.weixin.qq.com/s/tYrjw7NbJZI7LIu18UCfEg/.
作者简介:
倪圣翔,专注于信息安全合规,企业海外GDPR合规、数据刑事合规、企业隐私保护体系构建、知识产权、涉互联网诉讼。努力构建企业追求商业目的和隐私保护的平衡,为企业在数据争夺战中保驾护航。
主理人简介
王捷,浙江垦丁律师事务所,海外事业部负责人,数据合规/资深出海法律顾问(广州),曾任职阿里巴巴大文娱集团,深耕海内外多条业务线,八年多的科技型公司实务经验与中外律所从业背景,能更准确理解客户核心需求,快速响应并提供基础到战略的有效支持,并为各类出海互联网企业拓展印度、东南亚、中东、非洲、欧美等新兴及重要市场提供有效的合规解决方案与落地支持。
联系方式:13650790754
添加微信,请备注来意,如“业务合作”,“学术交流”等等,感谢!
更多出海互联网实务交流信息,欢迎扫码入群
【快说日本2017个人数据保护法案之二】:场景案例旺酱公司与木川の羁绊
【快说日本2017个人数据保护法案之一】:你需要知道的所有重点内容
【漫谈《印度2019个人数据保护法案》之三】:新旧法案对比知多D——主要新增变化概述
【漫谈《印度2019个人数据保护法案》之二】: 新法案的核心结构与部分关键内容概述
【漫谈《印度2019个人数据保护法案》之一】: 新法案的“小前传”
【Fintech很火爆,落地有风险】——印度现金贷与P2P业务合规经营分析
【你真的读懂社交电商吗?】——社交电商生态架构的合规设计(含海外社交电商专题)
转发,是对作者最大的鼓励
在看,是对作者最大的认可
创作不易,请点击一下“在看”↓