在过去十年中,公众对隐私泄露的反应越来越大,比如由剑桥分析公司丑闻中带来的#DeleteFacebook趋势,这些反应可能会造成财务、客户和声誉影响。正如美国亿万富翁、投资者和慈善家沃伦·巴菲特所说,“建立声誉需要20年,而毁掉它只需要5分钟。如果你考虑到这一点,你会改变的做事方式。”
随着企业寻求了解其数据隐私要求以及与数据安全计划的关系,人们对通过首席信息安全官(CISO)和首席隐私官(CPO)合作来整合这些活动提出了疑问。这两个角色有共同目标:保护组织的数据。但是他们的关注点不同,CISO负责保护所有信息资产,CPO负责保护组织数据主体(如客户、员工)的利益。但是他们可以进行合作,例如对涉及使用第三方应用程序的客户数据的信息泄露事件进行响应处置。在这种情况下,两个角色必须共同管理事件,与受影响的群体沟通,并参加事件后审查会议,以确定第三方供应商管理计划的改进。
数据安全和数据隐私这两个术语往往可以互换使用;然而,它们并不相同。它们在保护和控制信息资产方面都有其独特的应用并发挥着关键作用。企业必须了解数据隐私和数据安全之间的区别,为什么这种区别很重要,以及如何以综合方式管理这两个概念以达到(例如保护个人信息)的目的。
一般来说,数据隐私是指个人自行确定何时、如何以及在多大程度上与他人共享或交流其个人信息的能力,如一个人的姓名、位置、联系信息或在网络或现实世界的行为。正如有人可能希望将他人排除在私人对话之外一样,许多在线用户希望控制或阻止某些类型的个人数据收集。为了实施数据隐私,政策和程序必须遵守法规(如《欧盟通用数据保护条例》[GDPR]),确保根据数据主体的偏好控制和管理个人身份信息(PII)的收集、使用、共享、存储和删除。
另一方面,数据安全通过各种预防、检测和纠正控制措施,保护包括个人信息在内的所有信息资产免受各种威胁,如未经授权的访问、不当使用或网络攻击。总的来说,它试图确保满足保密性、完整性和可用性(CIA)三重要求。
隐私和安全具有相互关联的关系,如图1所示。隐私定义了如何使用和管理个人信息,而安全则是实施控制措施以保护这些信息免受潜在威胁。这种关系的一个简单例子是,一所房子的窗户是安全控制装置,而窗帘由房主自行决定是否保护隐私。
另一个例子是,当一个人在智能手机上下载新的应用程序(App)时,需要同意隐私政策 以使用,其中详细说明将采集哪些信息以及如何使用这些信息。App潜在用户必须决定是否同意这些条款。在安全方面,App旨在通过各种安全控制来保护用户的身份和数据,以防止未经授权的访问和潜在的信息泄露。
如前所述,数据安全和数据隐私是两个不同但相互关联的术语,这也适用于负责这些职能领域的领导职位。在比较CISO和CPO的角色时,在教育背景(例如,IT与法律/合规)、职责(例如,安全运营与隐私影响评估)和汇报结构(例如,首席信息官CIO与法律顾问)方面存在关键差异。然而,由于这两个角色都负责保护组织的数据,因此通过合作可以实现潜在的协同效应,例如:
支持组织的数据保护意识和培训工作,以建立安全意识文化
彼此共享有关在各自业务部门内收集哪些数据以及用于何种目的的信息
对隐私团队开展信息安全最佳实践的培训,以支持隐私影响评估工作
举办联合规划会议,制定满足隐私要求的信息安全路线图