《ISACA隐私报告》：当隐私遇上安全

在一个数据无处不在、连接日益紧密的世界，对于安全专业人员来说，保护个人和组织的隐私可以比作试图把章鱼放进网兜：变化永远存在、挑战迂回曲折。

侵犯隐私不仅会给个人和组织带来风险，还会损害整个国家在全球的声誉。也是因为这个原因，加之合规和隐私法律会不断更新，所以隐私专业人员必须跟上变化。

从最简单的形式来看，隐私有两个关键要素：必须收集的数据和如何保护这些数据。换言之，隐私和安全是相互依存的，每个领域的专业人员必须共同努力，以达到最佳结果。

事实上，安全专业人员必须在开始实施安全和隐私治理流程前提出以下问题：

• “正在收集哪些数据？”
• “他们储存在哪里？”
• “它们的用途是什么？”
• “它们是否用于预期目的？”
• “如何保护这些数据？”

这一过程必须与隐私专业人员一起开展，以便在两个专业领域了解所收集数据的细节。

隐私是一项团队运动

《2022年ISACA隐私实践报告》中，接受调查的大多数隐私团队由法律/合规从业者、风险专业人士、安全专业人士和IT技术人员组成。有趣的是，大多数组织表示，首席信息安全官（CISO）/首席安全官（CSO）（25%）或隐私官（21%）主要负责隐私工作。

报告中明确的隐私问责方法包括：制定隐私战略、培训和意识、隐私治理、汇报、风险评估、事件响应、控制和流程、建立安全保障、风险管理、监控合规性和分析隐私法律法规等。

从安全方面来看，除了隐私控制之外，法律层面还要求组织实施控制措施，隐私最佳实践要求采取加密技术（76%）、身份和访问管理（74%）和数据安全（71%）技术等。

确保遵守隐私法律法规和最佳实践需要团队合作，特别是安全和隐私专业人员的合作至关重要。尽管隐私专业人员了解正在收集的数据以及数据的用途，但是安全专业人员在指导如何收集数据以及最终确保数据得到保护方面发挥着关键作用。

员工如何确保数据隐私实践

确保数据隐私并遵守隐私法律法规可能是隐私团队的责任，但重要的是要认识到，所有访问关键数据的员工都必须接受数据隐私保护的培训，并对其使用现有工具和流程负责。

隐私和安全团队可以通过合作制定有意识地保护个人隐私的数据获取策略，为组织内的其他人员提供重要的指导。例如，组织的营销团队通常通过忠诚度计划和数字化活动来收集数据，他们可能会被问到：“这些数据是必要的吗？打算如何使用它们呢？”

让小企业能够获得隐私解决方案也很重要。由于他们往往缺乏留住人才所需的人力资源和预算，因此更容易面临风险。此外，应为消费者提供资源让他们能够了解自己的隐私权和责任。

毫无疑问，随着数字经济的增长，隐私挑战将成倍增长。因此，隐私和安全专业人员确保企业遵守隐私法律法规并保护客户、供应商和员工的个人数据显得至关重要。