原标题：NIST新版隐私框架，为内部审计量身定做的资源

在21世纪，数据就是黄金。它支撑起了世界上的巨无霸公司，包括亚马逊、Facebook和谷歌。对收集和利用数据的需求不仅演化成为主要的经济驱动力，而且也催生了网络犯罪的地下世界。这些需求推动了更快、更有效地收集和利用更多数据的技术的进步。

过去20年，很多组织已经找到了收集和利用客户数据的信息技术方法，但只有很少组织花时间来关注这些数据收集和利用是如何影响个人隐私的。过去数年，政府一直致力控制个人数据资料的收集和货币化。越来越多的、旨在规范个人数据的收集管理存储和保护等法律的出台，就反映了这种强烈的情绪。欧盟的《一般数据保护条例》(General data protection Regulation，简称GDPR)颇具代表性。

上月末，美国商务部国家标准与技术研究所(NIST)发布了一个新的隐私保护框架。它提供了一系列策略，以改进隐私保护实务，建立与客户的信任关系，遵守与日俱增的隐私保护法规。

这份以《一个工具：通过企业风险管理改善隐私保护》为副标题的隐私保护框架，与2014年NIST发布的《网络安全框架》相配套，为各类组织保护隐私实务提供指引。新版框架更注重对数据收集实务以及这些实务如何影响个人隐私等方面进行审查。它鼓励机构通过以下工作管理隐私风险：

l   在设计和部署系统、产品、服务时考虑隐私保护。

l   交流隐私保护中的做法。

l   鼓励组织层面的协作，例如在高管、总法律顾问和IT部门之间的协作。

新版隐私框架将隐私风险管理分为三个部分，分别是核心部分、配置部分和执行部分。

l   启动隐私管理：核心部分的工作是讨论隐私保护的行动及其结果。

l   明确组织目标：配置部分的工作为隐私保护的行动及其结果设置优先级，使其与组织的隐私价值和风险相匹配。

l   管理隐私风险。为了管理隐私风险，开展对流程和资源充分性进行检查的一系列执行层面工作。

新版隐私框架为内部审计人员提供了一个优秀而又急需的工具。该框架对风险管理、流程的充分性以及平衡组织需求和隐私风险的关注，都与内部审计的核心服务和优势非常契合。更重要的是，新版隐私框架提供了一组附录，是评估和实施合理的隐私策略的工具。内部审计人员会发现这些工具非常有价值。

l   附录中的核心内容，提供了功能、类别和子类别的综合表。这些功能、类别和子类别描述了系统、产品和服务在处理数据时管理隐私风险的具体活动和结果。它提供了一种基于风险的方法，可以识别角色、处理可扩展性问题，并描述隐私框架如何与NIST《网络安全框架》相匹配。

l   附录中关于隐私风险管理实践的内容，阐述了关于隐私风险管理的考虑，包括网络安全和隐私风险之间的关系以及隐私风险评估的作用。这些考虑包括组织准备资源、确定隐私功能、定义隐私需求和进行隐私风险评估。

l   附录最后的的内容提供了隐私执行部分四个层次的深入描述：部分、风险指引、可重复性和自适应性。

新版隐私框架为组织理解和管理隐私提供了期待已久的支持。它为组织提供了足够的灵活性来构建适合其个体需求、战略和风险偏好的隐私策略和流程。

我呼吁所有内部审计领导者都来研究这个框架，确定它如何能够帮助其组织，并让利益相关者意识到这个工具的价值。

一如既往地期待大家的真知灼见。

作者：理查德·钱伯斯（源自2020年2月3日IIA官网），原创翻译：陈国华（中国人民银行赣州市中心支行）