「公益译文」NIST隐私框架：通过企业风险管理促进隐私保护1.0版（二）

《隐私框架》提供通用语言，方便内外部利益相关者理解、管理、沟通隐私风险，可根据组织在数据处理生态系统中的角色进行修改。它用以确定哪些活动可降低隐私风险并为这些活动定义优先级，还可调整风险管理的政策、业务和技术方法。

如附录A所述，核心组件将各种活动和结果细化，为沟通隐私风险管理提供了通用语言。如图4所示，该组件由功能、大类和子类组成。

核心组件各元素协同工作：

这五大核心功能（定义如下），即识别-P、治理-P、控制-P、沟通-P、防护-P，可用于管理数据处理过程中的隐私风险。防护-P针对的是网络安全类隐私事件（如隐私泄露）的风险管理。《网络安全框架》覆盖了各种类型的网络安全事件，其中的检测、响应、恢复功能可用于进一步支持网络安全类隐私事件的风险管理。或者，组织可将《网络安全框架》的全部五个功能与识别-P、治理-P、控制-P、沟通-P结合使用，共同解决隐私和网络安全风险。图5使用了1.2.1节中的文氏图来演示如何将这两个框架中的功能组合使用，管理隐私和网络安全风险的各个方面。《隐私框架》的五大功能定义如下：

Profile提供了从核心组件中提取的、组织认为在管理隐私风险时须重点考虑的特定功能、大类和子类，用于描述特定隐私活动的当前状态或期望状态。当前Profile表示组织当前要实现的隐私结果，而目标Profile表示期望实现的隐私风险管理目标结果。通过两者之间的差异，组织能够识别差距，制定改进行动方案并评估实现隐私目标所需的资源（例如人员配置、资金等）。组织基于此制定计划，经济有效地降低隐私风险，并为这些风险确定优先级。Profile还可以让组织了解、比较隐私结果的当前和期望状态，在组织内部和组织之间进行风险交流。

考虑到实现上的灵活性，《隐私框架》没有提供Profile模板。根据《隐私框架》所提出的基于风险的方法，组织并不一定需要实现核心组件所囊括的所有结果或活动。

在开发Profile时，组织可根据其特定需求选择或定制功能、大类和子类，也可以根据组织所面临的独特风险，开发其他功能、大类和子类。组织要基于如下因素确定自己的需求：任务/业务目标、隐私价值和风险承受能力；在数据处理生态系统或行业部门中的角色；法律/法规要求和行业最佳实践；风险管理优先事项和资源；直接或间接使用组织的系统/产品/服务或受该系统/产品/服务影响的个人的隐私需求。

如图6所示，开发Profile时不用遵循特定的顺序。组织可以首先编写目标Profile，阐述其对隐私的期望结果，然后编写当前Profile，确定现状与目标之间的差距。组织也可以先确定当前活动，然后再考虑如何根据目标Profile调整这些活动。组织可以为不同的角色、系统/产品/服务或个人类别（例如员工、客户等）开发不同的Profile，以便根据具体的隐私风险情况为活动和结果确定更合理的优先级。特定行业部门的组织或在数据处理生态系统中具有类似角色的组织可以协调开发通用Profile。

根据组织的系统/产品/服务引起的隐私风险的性质以及组织为管理此类风险而使用的流程和资源的充足性，决定实现层级，为组织的隐私风险管理提供决策支撑。在选择层级时，组织应考虑目标Profile，还要考虑当前风险管理实践、隐私风险融入企业风险管理的程度、数据处理生态系统关系、人力组成以及培训项目是否支持或妨碍实现目标结果。

有四个不同的层级：局部（1级）、有风险意识（2级）、可复用（3级）和自适应（4级），具体定义见附录E。这些层级逐级递进，但并不强制要求全部实现。从1级发展到2级对组织来说是件好事，但并非所有组织都需要达到3级或4级，有时可能只需要关注这些层级中的某些方面。

当组织在其当前层级上的流程或资源不足以管理隐私风险时，应向更高层级发展。

在向更高层级发展时，组织可以在内部沟通中使用这些层级概念说明所需的资源。组织也可以用层级作为衡量其隐私风险管理能力发展的总体基准。此外，组织还可以使用层级来揭示数据处理生态系统中其他组织的资源规模和流程。同时，组织所在层级也能反映组织的隐私风险管理优先事项。当然，《隐私框架》是否成功实现取决于目标Profile中描述的结果是否达成，而非所定的级别。

下期预告：后续将介绍《NIST隐私框架：通过企业风险管理促进隐私保护1.0版》第三讲，敬请期待。