大數(shù)據(jù)環(huán)境下的隱私風(fēng)險(xiǎn)和控制

李婭

[摘 要]大數(shù)據(jù)信息環(huán)境下導(dǎo)致隱私問(wèn)題的出現(xiàn)。通過(guò)分析隱私風(fēng)險(xiǎn)，探討對(duì)隱私風(fēng)險(xiǎn)的控制措施，并指出審計(jì)在隱私風(fēng)險(xiǎn)管理中的作用。

[關(guān)鍵詞]信息；隱私風(fēng)險(xiǎn)；審計(jì)

doi：10.3969/j.issn.1673 - 0194.2016.24.114

[中圖分類(lèi)號(hào)]TP309 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1673-0194（2016）24-0-01

1 隱私的含義

大數(shù)據(jù)環(huán)境下，數(shù)據(jù)的產(chǎn)生和收集成為各行各業(yè)的常態(tài)。在收集、使用、保持、和公布個(gè)人信息時(shí)，會(huì)涉及隱私風(fēng)險(xiǎn)的問(wèn)題。隱私有幾種不同的方面，如個(gè)人隱私（生理和心理方面的隱私）；空間隱私（自由不被監(jiān)視）；溝通隱私（能夠自由交流而不被監(jiān)控和攔截竊聽(tīng)）；信息隱私（被特任收集、使用、披露個(gè)人信息方面的控制權(quán)）等。隱私一直被許多國(guó)家認(rèn)為是一項(xiàng)基本的人權(quán)。它可以被描述性或說(shuō)明性地看作一種道德規(guī)范或是一項(xiàng)合法權(quán)利；可以意味著不想被他人注意的自由或觀察和監(jiān)督的自由；可以是遠(yuǎn)離打擾或處于隔離狀態(tài)的自由。從最基本的含義來(lái)看，隱私權(quán)可以表示為“讓一個(gè)人獨(dú)處的權(quán)利”。

隱私的含義隨著國(guó)家、文化、政治環(huán)境和法律框架的不同而有很大的不同。在不少?lài)?guó)家，隱私與信息保護(hù)緊密相關(guān)。對(duì)各種組織來(lái)說(shuō)，尤其重要的是隱私在不同環(huán)境中的定義是不同的。

信息隱私將交流和信息保密聯(lián)系在一起，一般來(lái)說(shuō)可以被描述為個(gè)人和組織在收集、使用、保留、和公布某項(xiàng)具體個(gè)人信息時(shí)的權(quán)利和義務(wù)，無(wú)論該信息是客觀的還是主觀的，書(shū)面的還是口頭的，總之一切形式。換句話說(shuō)，信息隱私可以通過(guò)充分的重視和保護(hù)個(gè)人信息而得以維護(hù)。

組織管理其顧客和員工個(gè)人信息的收集、使用、發(fā)布、儲(chǔ)存和保護(hù)的方式是組織隱私問(wèn)題的核心。近年來(lái)發(fā)生的身份竊取、信息管理不善和違反隱私原則等事件使管制機(jī)構(gòu)和消費(fèi)者對(duì)組織建立關(guān)于隱私、信息管理和信息安全的要求逐漸加強(qiáng)。那些未能有效解決隱私問(wèn)題的組織可能面臨著品牌和信譽(yù)的長(zhǎng)期受損、失去顧客和員工的信任、強(qiáng)制訴訟和罰款及因違反有關(guān)法律而被起訴的風(fēng)險(xiǎn)。

充分的控制可以盡量最小化風(fēng)險(xiǎn)或者避免由于其他原因而卷入風(fēng)險(xiǎn)。內(nèi)部審計(jì)能在識(shí)別風(fēng)險(xiǎn)、評(píng)估控制風(fēng)險(xiǎn)及改進(jìn)組織在有關(guān)員工、顧客和市民隱私的實(shí)際做法方面發(fā)揮重要的作用。

2 大數(shù)據(jù)環(huán)境下隱私風(fēng)險(xiǎn)的控制

2.1 隱私風(fēng)險(xiǎn)

隱私屬于公司業(yè)務(wù)和非盈利組織的風(fēng)險(xiǎn)管理問(wèn)題。研究表明顧客關(guān)心組織如何使用其個(gè)人信息。未能妥善進(jìn)行個(gè)人信息保護(hù)的組織面臨很多風(fēng)險(xiǎn)，包括：①損害組織的公共形象和品牌；②潛在的財(cái)務(wù)和資產(chǎn)損失；③法律責(zé)任或行業(yè)管制機(jī)構(gòu)制裁；④面臨指控行為；⑤顧客、市民或員工的不信任；⑥顧客減少或收入損失；⑦損害業(yè)務(wù)關(guān)系等。

2.2 隱私風(fēng)險(xiǎn)的控制

由主管和管理層提供充分的治理和監(jiān)督（例如，提供高層基調(diào)）是解決組織面臨隱私風(fēng)險(xiǎn)的一種必要的控制。首席審計(jì)執(zhí)行官應(yīng)當(dāng)鼓勵(lì)管理層向?qū)徲?jì)委員會(huì)報(bào)告組織如何管理、控制和保護(hù)他從顧客和員工那里收集的個(gè)人信息。另外，組織應(yīng)當(dāng)評(píng)估隱私合規(guī)性、信息處理實(shí)踐的弱點(diǎn)，并將其作為內(nèi)部政策、法律法規(guī)及最佳實(shí)踐的基準(zhǔn)。具體來(lái)說(shuō)，組織實(shí)施的控制隱私風(fēng)險(xiǎn)的措施內(nèi)容應(yīng)該包括：①隱私治理和問(wèn)責(zé)；②保密聲明；③書(shū)面政策和程序；④控制和流程；⑤角色和職責(zé)；⑥員工培訓(xùn)和教育；⑦監(jiān)督和審計(jì)；⑧信息安全實(shí)務(wù)；⑨緊急應(yīng)對(duì)計(jì)劃；⑩隱私法律和法規(guī)；回應(yīng)所發(fā)現(xiàn)的問(wèn)題和矯正行為的計(jì)劃等內(nèi)容。

2.3 審計(jì)在隱私風(fēng)險(xiǎn)管理中的作用

《國(guó)際內(nèi)部審計(jì)專(zhuān)業(yè)實(shí)務(wù)框架》指出了內(nèi)部審計(jì)在評(píng)估組織隱私風(fēng)險(xiǎn)中的作用，并建議內(nèi)部審計(jì)師通過(guò)扮演幫助組織實(shí)現(xiàn)其隱私目標(biāo)的角色為組織的良好治理和保密責(zé)任做出貢獻(xiàn)。

內(nèi)部審計(jì)師可以發(fā)揮的具體作用包括：①和法律顧問(wèn)一起決定組織應(yīng)該采取什么樣的隱私法規(guī)和政策；②與信息技術(shù)管理者和組織過(guò)程控制者一起評(píng)估組織的信息安全和信息保護(hù)控制是否適當(dāng)，且被定期審查；③指導(dǎo)隱私風(fēng)險(xiǎn)評(píng)估的進(jìn)行，或?qū)彶榻M織隱私政策、實(shí)務(wù)及控制的有效性；④識(shí)別所收集的個(gè)人信息類(lèi)型、所使用的收集方法及組織對(duì)這些信息的使用與其意圖是否一致；⑤評(píng)價(jià)那些用來(lái)管理信息流和用于個(gè)人信息隱私保護(hù)的處理程序的政策、程序和指南，尤其注意識(shí)別可使公司的信息保護(hù)實(shí)務(wù)標(biāo)準(zhǔn)化的潛在的機(jī)會(huì)；⑥基于組織的利益對(duì)與服務(wù)提供者的相互影響進(jìn)行評(píng)估，包括對(duì)管理個(gè)人的可識(shí)別信息或敏感信息的服務(wù)提供者的程序和控制進(jìn)行審查；⑦評(píng)價(jià)目前的培訓(xùn)實(shí)踐和資料，并將可用的和所需的隱私知識(shí)和培訓(xùn)材料裝訂成冊(cè)；⑧根據(jù)相關(guān)的政策、法律、法規(guī)和最佳實(shí)踐，對(duì)信息流和處理程序進(jìn)行差距分析，評(píng)價(jià)其一致性和合規(guī)性，這包括對(duì)可用于識(shí)別個(gè)人的私人信息的自動(dòng)和手工處理流程都進(jìn)行評(píng)估等。

主要參考文獻(xiàn)

[1]時(shí)現(xiàn).全球信息技術(shù)審計(jì)指南[M].北京：時(shí)代經(jīng)濟(jì)出版社，2010.

[2][英]維克托·邁爾·舍恩伯格.大數(shù)據(jù)時(shí)代[M].盛楊燕，周濤，譯.杭州：浙江人民出版社，2013.

[3]趙長(zhǎng)明.我國(guó)二手房地產(chǎn)交易價(jià)格風(fēng)險(xiǎn)的核算[J].統(tǒng)計(jì)與決策，2014（1）.

[4]趙長(zhǎng)明.現(xiàn)代農(nóng)村金融制度變遷的制約因素研究[J].中外企業(yè)家，2013（24）.