簡析數據隱私保護與數據安全的區別
責編:gltian |2023-08-16 14:13:47在過去十年中,公眾對隱私泄露的反應越來越大,比如由劍橋分析公司丑聞中帶來的#DeleteFacebook趨勢,這些反應可能會造成財務、客戶和聲譽影響。正如美國億萬富翁、投資者和慈善家沃倫·巴菲特所說,“建立聲譽需要20年,而毀掉它只需要5分鐘。如果你考慮到這一點,你會改變的做事方式。”
隨著企業尋求了解其數據隱私要求以及與數據安全計劃的關系,人們對通過首席信息安全官(CISO)和首席隱私官(CPO)合作來整合這些活動提出了疑問。這兩個角色有共同目標:保護組織的數據。但是他們的關注點不同,CISO負責保護所有信息資產,CPO負責保護組織數據主體(如客戶、員工)的利益。但是他們可以進行合作,例如對涉及使用第三方應用程序的客戶數據的信息泄露事件進行響應處置。在這種情況下,兩個角色必須共同管理事件,與受影響的群體溝通,并參加事件后審查會議,以確定第三方供應商管理計劃的改進。
數據安全和數據隱私這兩個術語往往可以互換使用;然而,它們并不相同。它們在保護和控制信息資產方面都有其獨特的應用并發揮著關鍵作用。企業必須了解數據隱私和數據安全之間的區別,為什么這種區別很重要,以及如何以綜合方式管理這兩個概念以達到(例如保護個人信息)的目的。
定義數據隱私和數據安全
一般來說,數據隱私是指個人自行確定何時、如何以及在多大程度上與他人共享或交流其個人信息的能力,如一個人的姓名、位置、聯系信息或在網絡或現實世界的行為。正如有人可能希望將他人排除在私人對話之外一樣,許多在線用戶希望控制或阻止某些類型的個人數據收集。為了實施數據隱私,政策和程序必須遵守法規(如《歐盟通用數據保護條例》[GDPR]),確保根據數據主體的偏好控制和管理個人身份信息(PII)的收集、使用、共享、存儲和刪除。
另一方面,數據安全通過各種預防、檢測和糾正控制措施,保護包括個人信息在內的所有信息資產免受各種威脅,如未經授權的訪問、不當使用或網絡攻擊。總的來說,它試圖確保滿足保密性、完整性和可用性(CIA)三重要求。
隱私和安全具有相互關聯的關系,如圖1所示。隱私定義了如何使用和管理個人信息,而安全則是實施控制措施以保護這些信息免受潛在威脅。這種關系的一個簡單例子是,一所房子的窗戶是安全控制裝置,而窗簾由房主自行決定是否保護隱私。
另一個例子是,當一個人在智能手機上下載新的應用程序(App)時,需要同意隱私政策 以使用,其中詳細說明將采集哪些信息以及如何使用這些信息。App潛在用戶必須決定是否同意這些條款。在安全方面,App旨在通過各種安全控制來保護用戶的身份和數據,以防止未經授權的訪問和潛在的信息泄露。
數據隱私和數據安全協作的好處
如前所述,數據安全和數據隱私是兩個不同但相互關聯的術語,這也適用于負責這些職能領域的領導職位。在比較CISO和CPO的角色時,在教育背景(例如,IT與法律/合規)、職責(例如,安全運營與隱私影響評估)和匯報結構(例如,首席信息官CIO與法律顧問)方面存在關鍵差異。然而,由于這兩個角色都負責保護組織的數據,因此通過合作可以實現潛在的協同效應,例如:
- 支持組織的數據保護意識和培訓工作,以建立安全意識文化
- 彼此共享有關在各自業務部門內收集哪些數據以及用于何種目的的信息
- 對隱私團隊開展信息安全最佳實踐的培訓,以支持隱私影響評估工作
- 舉辦聯合規劃會議,制定滿足隱私要求的信息安全路線圖
一位隱私專家指出:
很明顯,隱私法的新常態將需要明確、有形和可操作的信息安全控制。雖然首席隱私官CPO和首席信息安全官CISO有明確的角色,但這兩個角色及其團隊必須密切合作,利用他們獨特的技能和知識庫,確保其組織遵守所需的法規,保護其重要、敏感的數據和信息。
正如ISACA《2022年數字信任狀況報告》指出,安全和隱私是數字信任的關鍵組成部分。該報告指出,“數字信任是隱私和安全的交叉點——關于如何收集、使用、存儲和保護個人和敏感數據的透明度,在建立這種信任和提高客戶忠誠度方面發揮著關鍵作用。”通過推行數字信任戰略,那些在數據隱私和安全綜合方法方面成熟的組織將被客戶視為值得信賴而具有競爭優勢,并將其轉化為積極的數字體驗、強大的聲譽和品牌吸引力。
結語
2023年的主要隱私趨勢之一是不斷變化的法律和監管環境,其中包括幾項即將生效的隱私法案,如美國加利福尼亞州隱私權法案(CPRA)和美國弗吉尼亞州消費者數據保護法案(CDPA)。缺少隱私管理計劃的企業將面臨風險,并面臨聲譽受損、政府執法、收入損失、違規罰款和客戶損失的潛在后果。為了遵守新的隱私法規,企業需要了解隱私和安全領域,并明確它們如何相互聯系的,以便有效地共同管理它們。傳統上,隱私和安全在企業中是分開看待的,但在一個數字互聯的世界中,CPO和CISO的合作會使得這兩個領域越來越相互融合。
來源:安全牛