网络隐私问题仍未解决。国会触头在这,一些公司摸着它(虽然有一小部分人表现出色),以及公众要求它.但有一个政府机构正试图让所有人团结起来解决这个问题。
由于参议院正在审议他们自己的成员起草的不少于四项数据隐私法案(没有对任何法案进行投票的计划),世界上最大的社交媒体公司正准备预计会出现数十亿美元的隐私错误美国国家标准与技术研究所(NIST)公布了一份名为“隐私框架”的草案。
NIST隐私框架草案不具有约束力、不可强制执行性,完全自愿采用,主要作为一个路线图。任何和所有的公司、组织、初创公司和机构都可以向它寻求管理用户隐私风险的建议。
该框架草案提供了数十种公司可以采取的行动,以调查、减轻和向公司内部的用户和高管传达其隐私风险。几乎没有什么可操作的想法没有被放弃。
大型供应链中有一系列第三方供应商吗?NIST框架有一些关于如何保护它的想法。如果无数员工都有同样多的登录名和密码呢?框架也考虑到这一点。有没有想过“数据安全”对公司的巨大意义?NIST框架有几个入口点来保护静止和传输中的数据。
尽管采用的是政府用语,有时用的是难以理解的术语(建议的公司行为被称为“子类别”),这份37页的隐私框架,据其中一位作者说,有一个简单而同样优雅的目的:它最终可以让隐私讲述自己的故事。
“迄今为止,安全(专业人士)正在讲述一个戏剧性的故事。“我们受到了这些威胁。看看这些公司都发生了什么,’”NIST高级隐私政策顾问娜奥米·莱夫科维茨说。“但隐私(专业人士)在这里说,‘隐私是一项非常重要的价值’,这是事实,但当资源被分配时,它就不那么令人信服了。”
莱夫科维茨继续说道:“我们希望隐私能够讲述一个同样引人注目的故事。”
如果成功,NIST隐私框架将改善全美各组织的用户隐私。它可以更好地装备隐私官员,说服他们的公司加强内部控制。它可以为隐私创造一个商定的方向。
当然,障碍是存在的。自愿性框架的成功取决于它的吸引力——过于雄心勃勃的指导方针可能会把框架变成无用的东西,被处理最多用户数据的公司抛弃。
此外,该框架应与当前的数据保护法律协调工作,而不是试图覆盖这些法律的要求。例如,随着企业建立内部控制以遵守欧盟全面的数据保护法,《一般资料保障规例》在美国,一种保护隐私的新方法可能会被视为耗时、昂贵和不必要的。
尽管存在潜在的障碍,NIST以前也遇到过。六年前,政府机构的任务是建立一个独立的网络安全框架。
NIST网络安全框架
在2013年,通过行政命令13636美国总统奥巴马(Barack Obama)要求NIST制定一项战略,确保美国关键基础设施免受网络攻击。该战略或框架将包括“使政策、业务和技术方法一致的标准、方法、程序和流程,以应对网络风险。”这将是自愿的,灵活的,可重复的,和成本效益的组织采取。
2014年2月12日,NIST发布了其网络安全框架的第一版。该框架所谓的“核心”包括公司可以承担的五项管理网络安全风险的功能。这些函数是:
- 识别
- 保护
- 检测
- 回应
- 恢复
每个功能都包括“类别”和“子类别”,后者实际上是公司可以尝试实现的结果。这听起来可能令人困惑,但该框架只是根据其目的组织潜在的网络安全目标,无论这是否意味着识别网络安全风险、防范这些风险、在出现问题时检测问题,或在稍后作出反应并从中恢复。
几年来,多个研讨会,超过120条评论,以及后来的一次重大更新,该框架事实证明,它广受欢迎。
根据信息系统安全协会和企业战略集团对网络安全专业人员的年度调查,NIST网络安全框架已经确立。在2018年,在267名受访者中,有46%的人接受了调查在过去的两年里,他们已经“部分或全部采用了NIST的网络安全框架”。同样的回应也出现在了排名前五的网络安全指标中2017和2016.
2018年4月,当NIST发布网络安全框架1.1版本更新时,美国商会、商业圆桌会议和信息技术产业理事会所有人都赞成美国商会称该框架是“管理企业网络风险和威胁的支柱”。
对于NIST来说,挑战在于如何将这些成功转化为隐私保护。
莱夫科维茨说:“如果说有什么不同的话,那就是隐私比安全更符合情境,因此很难制定一刀切的规则,也很难指望得到有效的隐私解决方案。”“你当然可以得到一份解决方案清单,但这并不意味着你提供了任何隐私好处。”
NIST隐私框架
NIST隐私框架草案,在上个月发布48天开放评论期的模型与NIST的网络安全框架非常接近。隐私框架,就像网络安全框架一样,有一个核心,包括五个功能,每个都有自己的类别和子类别,后者,再次说明结果。隐私框架的五个核心功能是:
- 识别
- 保护
- 控制
- 通知
- 回应
此外,公司可以自愿使用该框架作为工具,选择他们需要支持的隐私风险管理领域。
例如,希望识别用户隐私风险的公司可以探索其库存和映射流程、供应链风险管理和治理,这些包括公司的政策、法规和法律要求。想要防范隐私风险的公司可以考虑实现多种选择,包括确保对数据和设备的远程访问和物理访问都得到管理。例如,公司也可以根据公司政策确保数据被销毁。
私隐框架受到广泛欢迎,但仍有改进之处。
数字权利和自由表达倡导组织Access Now的美国政策经理艾米•斯特帕诺维奇(Amie Stepanovich)表示:“我认为这份草案是一个很好的起点。”该组织向NIST提交了有关隐私框架的意见。“不过,这只是个草稿。”
斯捷潘诺维奇说,她喜欢隐私框架草案在未来会被重新审视,它不会试图提出一个“一刀切”的隐私解决方案。她还表示,她希望隐私框架能够与当前的数据保护法律相吻合,而不是取代急需的数据隐私立法。
Stepanovich补充说,隐私框架对用户的关注代表了许多公司隐私风险管理的潜在巨大转变。Stepanovich说,目前隐私风险有三个杠杆作用:法律责任风险、公共关系风险和未来的监管风险。基本上,公司计算他们的隐私风险是基于他们是否会面临诉讼,在报纸上看起来很糟糕,或者在国会面前看起来很糟糕,以至于制定了一项全新的法律来控制他们。
Stepanovich说,对用户的关注可以有意义地向公众传达,他们的数据正以一种全新的方式受到保护。
“人们对公司或数据处理器的信任不会来自法律的遵守,因为没有人会说‘相信我,为了不被起诉,我做了我必须做的事情,’”Stepanovich说。“如果(数据处理器)在服务那些可能因行为而处于危险境地的人的利益方面做得不够,人们就会开始注意到这一点。”
但对一些公司来说,要超越目前的法律合规范围实际上可能是一个障碍。
当NIST打开它的电子邮箱征求公众意见时,一个主要的游说团体建议包含一个“最小属性”列表.代表谷歌、Facebook、Uber、Airbnb、Amazon和Twitter等公共政策利益的互联网协会(Internet Association)要求该框架“与其他隐私保护方法兼容”。
对于该集团的许多代表公司来说,法律合规是NIST的隐私框架草案提出了一些结果,但这些结果并不完全符合美国当前的法律要求。
例如,隐私框架建议公司可以构建数据管理来“保护个人隐私并增加可管理性”。隐私框架建议,实现这一点的一些方法是让用户有权访问、修改和删除存储在他们身上的数据。
但遵循这些建议的公司可能会面临如何满足政府某些要求的问题,美国情报机构要求用户提供在线信息或活动,作为调查的一部分。
互联网协会提出的另一个“最小属性”草案也没有提到:“通用易懂的语言”。
同样的事情也让没有加入互联网协会的斯捷潘诺维奇痛不欲生。
“这不是一份人们容易理解的草案,”Stepanovich说。她将隐私框架草案与ABC热门剧集《迷失》(Lost)进行了比较,这多少有些令人惊讶。《迷失》是一部迂回曲折的六季电视剧,包括一个正在消失的岛屿,时间旅行,以及闪回、向前闪等讲故事的技巧,值得一提的是,还有一些只能被称为“平行闪”的瞬间,maybe-Heaven维度。
“这就是‘迷失’的问题,”Stepanovich说。“《迷失》每一季都会失去很多观众,因为你不可能在第三季开始看的时候就有任何线索——它需要把每一集都看一遍,而且剧情越来越复杂,没有切入点。”
撇开电视类比不谈,斯捷潘诺维奇更重要的观点是:由于没有非技术人员的切入点,受这个隐私框架影响最大的个人将失去塑造它的机会。
“不应该仅仅是网络安全,那些专注于技术的人,因为技术不一定是这里风险最大的社区。同性恋、双性恋和变性者(个人)、民权(捍卫者)、移民——这些人在隐私对话中有着更高的利害关系。”“如果这对我们来说太难理解,那么这些组织就不可能进入那里,也不可能有资源来致力于这个问题。他们需要在那里。”
超出了草案
NIST的隐私框架草案只是一个草案。代理处安排了网络研讨会5月28日公众研讨会7月8日和9日在爱达荷州的博伊西市。注册是免费的。初稿预计将于今年夏天发布,1.0版将于10月发布。
在此之前,每个人都被邀请与NIST分享他们的想法,他们希望从隐私框架中看到什么。我们Malw必威平台APParebytes知道你关心隐私——你以前告诉过我们。请随意讲述你关于隐私的故事。它可能有助于塑造这一主题的未来。
评论