《ISACA隱私報告》：當隱私遇上安全

在一個數據無處不在、連接日益緊密的世界，對于安全專業人員來說，保護個人和組織的隱私可以比作試圖把章魚放進網兜：變化永遠存在、挑戰迂回曲折。

侵犯隱私不僅會給個人和組織帶來風險，還會損害整個國家在全球的聲譽。也是因為這個原因，加之合規和隱私法律會不斷更新，所以隱私專業人員必須跟上變化。

從最簡單的形式來看，隱私有兩個關鍵要素：必須收集的數據和如何保護這些數據。換言之，隱私和安全是相互依存的，每個領域的專業人員必須共同努力，以達到最佳結果。

事實上，安全專業人員必須在開始實施安全和隱私治理流程前提出以下問題：

• “正在收集哪些數據？”
• “他們儲存在哪里？”
• “它們的用途是什么？”
• “它們是否用于預期目的？”
• “如何保護這些數據？”

這一過程必須與隱私專業人員一起開展，以便在兩個專業領域了解所收集數據的細節。

隱私是一項團隊運動

《2022年ISACA隱私實踐報告》中，接受調查的大多數隱私團隊由法律/合規從業者、風險專業人士、安全專業人士和IT技術人員組成。有趣的是，大多數組織表示，首席信息安全官（CISO）/首席安全官（CSO）（25%）或隱私官（21%）主要負責隱私工作。

報告中明確的隱私問責方法包括：制定隱私戰略、培訓和意識、隱私治理、匯報、風險評估、事件響應、控制和流程、建立安全保障、風險管理、監控合規性和分析隱私法律法規等。

從安全方面來看，除了隱私控制之外，法律層面還要求組織實施控制措施，隱私最佳實踐要求采取加密技術（76%）、身份和訪問管理（74%）和數據安全（71%）技術等。

確保遵守隱私法律法規和最佳實踐需要團隊合作，特別是安全和隱私專業人員的合作至關重要。盡管隱私專業人員了解正在收集的數據以及數據的用途，但是安全專業人員在指導如何收集數據以及最終確保數據得到保護方面發揮著關鍵作用。

員工如何確保數據隱私實踐

確保數據隱私并遵守隱私法律法規可能是隱私團隊的責任，但重要的是要認識到，所有訪問關鍵數據的員工都必須接受數據隱私保護的培訓，并對其使用現有工具和流程負責。

隱私和安全團隊可以通過合作制定有意識地保護個人隱私的數據獲取策略，為組織內的其他人員提供重要的指導。例如，組織的營銷團隊通常通過忠誠度計劃和數字化活動來收集數據，他們可能會被問到：“這些數據是必要的嗎？打算如何使用它們呢？”

讓小企業能夠獲得隱私解決方案也很重要。由于他們往往缺乏留住人才所需的人力資源和預算，因此更容易面臨風險。此外，應為消費者提供資源讓他們能夠了解自己的隱私權和責任。

毫無疑問，隨著數字經濟的增長，隱私挑戰將成倍增長。因此，隱私和安全專業人員確保企業遵守隱私法律法規并保護客戶、供應商和員工的個人數據顯得至關重要。