■ 劉文

從十條概念區(qū)分信息安全和隱私保護

■ 劉文

由于對安全和隱私的概念缺乏統(tǒng)一認可的標(biāo)準，這令許多企業(yè)客戶和領(lǐng)導(dǎo)人不明白安全和隱私之間的區(qū)別是什么，相似之處又是什么？對于企業(yè)的領(lǐng)導(dǎo)人來說，理解安全和隱私的概念非常重要，這可以幫助他們在信息保護和隱私管理方面做出正確的決策。

那么，安全和隱私的區(qū)別究竟在哪里呢？下面的十條概念能夠幫助大家更好的理解二者的不同：

1.安全是過程，隱私是結(jié)果。

2.安全是行動，隱私是成功行動后的結(jié)果。

3.安全是問題，隱私是對問題的預(yù)判。

4.安全是戰(zhàn)略，隱私是成果。

5.隱私是存在的一種狀態(tài)，安全是支撐這種存在的構(gòu)成。

6.安全是戰(zhàn)術(shù)策略，隱私是這種戰(zhàn)術(shù)策略的目標(biāo)。

大幅降低關(guān)稅總水平，進一步放寬市場準入，穩(wěn)步擴大金融業(yè)開放，持續(xù)推進服務(wù)業(yè)開放，舉辦世界上第一個以進口為主題的國家級展會，“一帶一路”成為廣受歡迎的全球公共產(chǎn)品……僅僅2018年這一年，世界就收獲了一個又一個中國開放的“重大利好”。

7.安全是密函，隱私是密函中信息的成功遞付。

8.安全能夠保證信息的機密性，隱私則常常需要這種機密性。

9.隱私遠不止是法律問題，安全遠不止是技術(shù)問題。

10.信息安全是聚焦于信息資產(chǎn)的安全工具和安全行為，隱私保護則是利用這些資產(chǎn)對個人信息的使用和保護。

這十條概念基本上可以幫助我們理解一般意義上的安全與隱私的區(qū)別，但除了這些還需要注意以下三點：

一、“加密確保隱私”的說法，不全面

簡而言之，加密只是一種保護信息的安全手段。它當(dāng)然可以防止未授權(quán)的實體看到個人隱私或說個人信息，但隱私所包含的內(nèi)容遠不止這些可以輕易隱藏掉的信息。

如個人信息的使用、分享，訪問，對信息如何被使用及分享的選擇權(quán)、清除權(quán)等等。企業(yè)或機構(gòu)需要一個綜合的隱私保護框架來確保所有的隱私準則被囊括在內(nèi)，依據(jù)并執(zhí)行。下面是一些主流的，廣泛得到認可的隱私框架：

AICPA/CICA公認隱私保護準則(GAPP)

美國公平信息實踐準則(FIPs)

亞太經(jīng)合組織(APEC)隱私保護框架

澳大利亞國家隱私保護準則

上述隱私政策實用有效，而且已經(jīng)得到良好的實施，是非常不錯的參考資料。尤其是OECD和GAPP，在隱私影響評估方面很有借鑒意義。

二、“隱私保護主要與法律相關(guān)，而安全則屬于IT范疇”的說法，不正確

需要特別注意的是，過去的隱私保護法都是在大量的破壞個人隱私和招致負面影響的隱私事件發(fā)生后制定的，因此，在某個方面沒有制定隱私法不代表該方面就沒有隱私風(fēng)險。

比如和隱私問題密切相關(guān)的大數(shù)據(jù)分析和物聯(lián)網(wǎng)，目前的隱私法并沒有覆蓋到如此寬泛的隱私風(fēng)險領(lǐng)域，但我們知道，在這些領(lǐng)域存在著許多個人信息的隱患。粗略的估計，隱私法頂多只涵蓋了50%到60%的隱私風(fēng)險。

技術(shù)相關(guān)(許多機構(gòu)錯誤的認為，這是唯一與企業(yè)隱私保護相關(guān)的領(lǐng)域)。

管理相關(guān)(包括信息安全管理活動、政策、支持、培訓(xùn)、意識，以及所有與人類活動有關(guān)的行為)。

實體相關(guān)(對信息存儲的各種形式和各種介質(zhì)的保護)。

三、“安全與隱私有沖突”的說法，通常不正確

很多人都認為信息安全與安全保護是一回事，比如美國國家安全局大范圍對電話監(jiān)聽，社交媒體Facebook跟蹤所有的用戶活動等等。當(dāng)然，上述的這兩種行為的確造成了安全與隱私的沖突，可是這些行為本身并不符合嚴格意義上的信息安全活動，即便在這些監(jiān)控和跟蹤活動中還可能使用了信息安全工具。

正如隱私保護需要信息安全工具一樣，這些工具也可以被用來支持許多其他方面的工作。正是這些“其他”方面的工作與隱私保護產(chǎn)生了沖突，而不是信息安全本身。

信息安全和隱私保護有許多重疊的地方，但最終二者相關(guān)的行為和目標(biāo)都有所不同。對于信息安全人員來說，要對所有形式、各種類型的信息資產(chǎn)進行安全控制，個人信息保護只是其中的一個子集。無論是中小企業(yè)還是大企業(yè)，都必須實施接入控制以減少存在于各自業(yè)務(wù)環(huán)境中的敏感數(shù)據(jù)泄露風(fēng)險。