在过去十年中,公众对隐私泄露的反应越来越大,比如由剑桥分析公司丑闻中带来的#DeleteFacebook趋势,这些反应可能会造成财务、客户和声誉影响。正如美国亿万富翁、投资者和慈善家沃伦·巴菲特所说,“建立声誉需要20年,而毁掉它只需要5分钟。如果你考虑到这一点,你会改变的做事方式。”
随着企业寻求了解其数据隐私要求以及与数据安全计划的关系,人们对通过首席信息安全官(CISO)和首席隐私官(CPO)合作来整合这些活动提出了疑问。这两个角色有共同目标:保护组织的数据。但是他们的关注点不同,CISO负责保护所有信息资产,CPO负责保护组织数据主体(如客户、员工)的利益。但是他们可以进行合作,例如对涉及使用第三方应用程序的客户数据的信息泄露事件进行响应处置。在这种情况下,两个角色必须共同管理事件,与受影响的群体沟通,并参加事件后审查会议,以确定第三方供应商管理计划的改进。
数据安全和数据隐私这两个术语往往可以互换使用;然而,它们并不相同。它们在保护和控制信息资产方面都有其独特的应用并发挥着关键作用。企业必须了解数据隐私和数据安全之间的区别,为什么这种区别很重要,以及如何以综合方式管理这两个概念以达到(例如保护个人信息)的目的。
定义数据隐私和数据安全
一般来说,数据隐私是指个人自行确定何时、如何以及在多大程度上与他人共享或交流其个人信息的能力,如一个人的姓名、位置、联系信息或在网络或现实世界的行为。正如有人可能希望将他人排除在私人对话之外一样,许多在线用户希望控制或阻止某些类型的个人数据收集。为了实施数据隐私,政策和程序必须遵守法规(如《欧盟通用数据保护条例》[GDPR]),确保根据数据主体的偏好控制和管理个人身份信息(PII)的收集、使用、共享、存储和删除。
另一方面,数据安全通过各种预防、检测和纠正控制措施,保护包括个人信息在内的所有信息资产免受各种威胁,如未经授权的访问、不当使用或网络攻击。总的来说,它试图确保满足保密性、完整性和可用性(CIA)三重要求。
隐私和安全具有相互关联的关系,如图1所示。隐私定义了如何使用和管理个人信息,而安全则是实施控制措施以保护这些信息免受潜在威胁。这种关系的一个简单例子是,一所房子的窗户是安全控制装置,而窗帘由房主自行决定是否保护隐私。
另一个例子是,当一个人在智能手机上下载新的应用程序(App)时,需要同意隐私政策以使用,其中详细说明将采集哪些信息以及如何使用这些信息。App潜在用户必须决定是否同意这些条款。在安全方面,App旨在通过各种安全控制来保护用户的身份和数据,以防止未经授权的访问和潜在的信息泄露。
如前所述,数据安全和数据隐私是两个不同但相互关联的术语,这也适用于负责这些职能领域的领导职位。在比较CISO和CPO的角色时,在教育背景(例如,IT与法律/合规)、职责(例如,安全运营与隐私影响评估)和汇报结构(例如,首席信息官CIO与法律顾问)方面存在关键差异。然而,由于这两个角色都负责保护组织的数据,因此通过合作可以实现潜在的协同效应,例如:
●支持组织的数据保护意识和培训工作,以建立安全意识文化
●彼此共享有关在各自业务部门内收集哪些数据以及用于何种目的的信息
●对隐私团队开展信息安全最佳实践的培训,以支持隐私影响评估工作
●举办联合规划会议,制定满足隐私要求的信息安全路线图
一位隐私专家指出:
很明显,隐私法的新常态将需要明确、有形和可操作的信息安全控制。虽然首席隐私官CPO和首席信息安全官CISO有明确的角色,但这两个角色及其团队必须密切合作,利用他们独特的技能和知识库,确保其组织遵守所需的法规,保护其重要、敏感的数据和信息。
数字信任联盟
正如ISACA®《2022年数字信任状况报告》指出,安全和隐私是数字信任的关键组成部分。该报告指出,“数字信任是隐私和安全的交叉点——关于如何收集、使用、存储和保护个人和敏感数据的透明度,在建立这种信任和提高客户忠诚度方面发挥着关键作用。”通过推行数字信任战略,那些在数据隐私和安全综合方法方面成熟的组织将被客户视为值得信赖而具有竞争优势,并将其转化为积极的数字体验、强大的声誉和品牌吸引力。
结论
2023年的主要隐私趋势之一是不断变化的法律和监管环境,其中包括几项即将生效的隐私法案,如美国加利福尼亚州隐私权法案(CPRA)和美国弗吉尼亚州消费者数据保护法案(CDPA)。缺少隐私管理计划的企业将面临风险,并面临声誉受损、政府执法、收入损失、违规罚款和客户损失的潜在后果。为了遵守新的隐私法规,企业需要了解隐私和安全领域,并明确它们如何相互联系的,以便有效地共同管理它们。传统上,隐私和安全在企业中是分开看待的,但在一个数字互联的世界中,CPO和CISO的合作会使得这两个领域越来越相互融合。
编者按:本文于2023年2月28日首次发表于ISACA官网News and Trends/Industry News。尾注略。文章内容仅代表作者本人观点。
作者:MARY CARMICHAEL,CRISC,CISA,CPA,是ISACA®国际风险咨询委员会的成员,也是ISACA温哥华(加拿大)分会的董事会董事。她起草了两份ISACA白皮书,《将风险容忍度用于企业战略》和《将风险管理纳入敏捷项目》。
翻译:唐雅琪(Andrea Tang),FIP,CIPP/E,CIPM,ISO 27001 LA,ISACA微信公众号特邀通讯员小组组长,任职于安永企业咨询有限公司。
校对:王越乔(Cathy Wang),CISA,CDPSE,ISACA微信公众号特邀通讯员,关注数据安全和隐私保护。