■ 劉文

從十條概念區(qū)分信息安全和隱私保護(hù)

■ 劉文

由于對(duì)安全和隱私的概念缺乏統(tǒng)一認(rèn)可的標(biāo)準(zhǔn)，這令許多企業(yè)客戶和領(lǐng)導(dǎo)人不明白安全和隱私之間的區(qū)別是什么，相似之處又是什么？對(duì)于企業(yè)的領(lǐng)導(dǎo)人來說，理解安全和隱私的概念非常重要，這可以幫助他們?cè)谛畔⒈Ｗo(hù)和隱私管理方面做出正確的決策。

那么，安全和隱私的區(qū)別究竟在哪里呢？下面的十條概念能夠幫助大家更好的理解二者的不同：

1.安全是過程，隱私是結(jié)果。

2.安全是行動(dòng)，隱私是成功行動(dòng)后的結(jié)果。

3.安全是問題，隱私是對(duì)問題的預(yù)判。

4.安全是戰(zhàn)略，隱私是成果。

5.隱私是存在的一種狀態(tài)，安全是支撐這種存在的構(gòu)成。

6.安全是戰(zhàn)術(shù)策略，隱私是這種戰(zhàn)術(shù)策略的目標(biāo)。

大幅降低關(guān)稅總水平，進(jìn)一步放寬市場(chǎng)準(zhǔn)入，穩(wěn)步擴(kuò)大金融業(yè)開放，持續(xù)推進(jìn)服務(wù)業(yè)開放，舉辦世界上第一個(gè)以進(jìn)口為主題的國家級(jí)展會(huì)，“一帶一路”成為廣受歡迎的全球公共產(chǎn)品……僅僅2018年這一年，世界就收獲了一個(gè)又一個(gè)中國開放的“重大利好”。

7.安全是密函，隱私是密函中信息的成功遞付。

8.安全能夠保證信息的機(jī)密性，隱私則常常需要這種機(jī)密性。

9.隱私遠(yuǎn)不止是法律問題，安全遠(yuǎn)不止是技術(shù)問題。

10.信息安全是聚焦于信息資產(chǎn)的安全工具和安全行為，隱私保護(hù)則是利用這些資產(chǎn)對(duì)個(gè)人信息的使用和保護(hù)。

這十條概念基本上可以幫助我們理解一般意義上的安全與隱私的區(qū)別，但除了這些還需要注意以下三點(diǎn)：

一、“加密確保隱私”的說法，不全面

簡而言之，加密只是一種保護(hù)信息的安全手段。它當(dāng)然可以防止未授權(quán)的實(shí)體看到個(gè)人隱私或說個(gè)人信息，但隱私所包含的內(nèi)容遠(yuǎn)不止這些可以輕易隱藏掉的信息。

如個(gè)人信息的使用、分享，訪問，對(duì)信息如何被使用及分享的選擇權(quán)、清除權(quán)等等。企業(yè)或機(jī)構(gòu)需要一個(gè)綜合的隱私保護(hù)框架來確保所有的隱私準(zhǔn)則被囊括在內(nèi)，依據(jù)并執(zhí)行。下面是一些主流的，廣泛得到認(rèn)可的隱私框架：

AICPA/CICA公認(rèn)隱私保護(hù)準(zhǔn)則(GAPP)

美國公平信息實(shí)踐準(zhǔn)則(FIPs)

亞太經(jīng)合組織(APEC)隱私保護(hù)框架

澳大利亞國家隱私保護(hù)準(zhǔn)則

上述隱私政策實(shí)用有效，而且已經(jīng)得到良好的實(shí)施，是非常不錯(cuò)的參考資料。尤其是OECD和GAPP，在隱私影響評(píng)估方面很有借鑒意義。

二、“隱私保護(hù)主要與法律相關(guān)，而安全則屬于IT范疇”的說法，不正確

需要特別注意的是，過去的隱私保護(hù)法都是在大量的破壞個(gè)人隱私和招致負(fù)面影響的隱私事件發(fā)生后制定的，因此，在某個(gè)方面沒有制定隱私法不代表該方面就沒有隱私風(fēng)險(xiǎn)。

比如和隱私問題密切相關(guān)的大數(shù)據(jù)分析和物聯(lián)網(wǎng)，目前的隱私法并沒有覆蓋到如此寬泛的隱私風(fēng)險(xiǎn)領(lǐng)域，但我們知道，在這些領(lǐng)域存在著許多個(gè)人信息的隱患。粗略的估計(jì)，隱私法頂多只涵蓋了50%到60%的隱私風(fēng)險(xiǎn)。

技術(shù)相關(guān)(許多機(jī)構(gòu)錯(cuò)誤的認(rèn)為，這是唯一與企業(yè)隱私保護(hù)相關(guān)的領(lǐng)域)。

管理相關(guān)(包括信息安全管理活動(dòng)、政策、支持、培訓(xùn)、意識(shí)，以及所有與人類活動(dòng)有關(guān)的行為)。

實(shí)體相關(guān)(對(duì)信息存儲(chǔ)的各種形式和各種介質(zhì)的保護(hù))。

三、“安全與隱私有沖突”的說法，通常不正確

很多人都認(rèn)為信息安全與安全保護(hù)是一回事，比如美國國家安全局大范圍對(duì)電話監(jiān)聽，社交媒體Facebook跟蹤所有的用戶活動(dòng)等等。當(dāng)然，上述的這兩種行為的確造成了安全與隱私的沖突，可是這些行為本身并不符合嚴(yán)格意義上的信息安全活動(dòng)，即便在這些監(jiān)控和跟蹤活動(dòng)中還可能使用了信息安全工具。

正如隱私保護(hù)需要信息安全工具一樣，這些工具也可以被用來支持許多其他方面的工作。正是這些“其他”方面的工作與隱私保護(hù)產(chǎn)生了沖突，而不是信息安全本身。

信息安全和隱私保護(hù)有許多重疊的地方，但最終二者相關(guān)的行為和目標(biāo)都有所不同。對(duì)于信息安全人員來說，要對(duì)所有形式、各種類型的信息資產(chǎn)進(jìn)行安全控制，個(gè)人信息保護(hù)只是其中的一個(gè)子集。無論是中小企業(yè)還是大企業(yè)，都必須實(shí)施接入控制以減少存在于各自業(yè)務(wù)環(huán)境中的敏感數(shù)據(jù)泄露風(fēng)險(xiǎn)。