為隱私而建立相關方案

成功的安全和風險管理領導者需要透過“隱私工程”來支持他們的業務目標，以獲得競爭優勢並在競爭的市場中區分產品。

概述

主要挑戰

• 許多組織努力將隱私和安全視為不同的目標。儘管它們具有共同的特徵，但這兩個項目卻截然不同。
• 缺乏隱私考慮的產品和服務顯然是處理個人訊息的組織的責任。
• 許多組織未能在其業務影響評估中考慮到個人隱私風險。

建議

負責隱私管理計劃的安全和風險管理負責人應：

• 透過在產品設計級別解決個人隱私權的要求和期望，明確區分為隱私而建立和為安全而建立。
• 需求“為隱私而建立”的產品，而不是針對趨勢市場需求重新包裝的功能。

戰略規劃假設

到2022年，70%的隱私洩露將直接歸因於缺乏隱私工程。

介紹

隨著隱私法規的成熟，它們在定義更嚴格的要求和違規所帶來的影響方面變得更加嚴格並變得更加詳細。這些違反信任的行為會帶來財務、聲譽和監管方面的影響。最近的“數據洩露成本研究”發現，每條包含機密訊息的遺失或被竊取的平均成本為141美元。最近，Facebook市值縮水略多於1000億美元（幾乎佔其總價值的 20%），原因是在劍橋分析事件（聲譽影響）之後違反了用戶的信任。由於監管制度，如通用數據保護條例 (GDPR)，徵收巨額罰款監管影響將被添加到最終法案中。

該總和將個人隱私的風險與組織的風險相結合，使得選擇不遵守隱私工程的產品和服務的影響是不可接受的。

分析

擁抱隱私工程

隱私工程是一種業務流程和技術架構的方法，它結合了設計、部署和治理中的各種方法。如果實施得當，它會產生以下結果：

• 易於訪問的功能可滿足經濟合作與發展組織 (OECD) 的八項隱私原則。
• 透過從以隱私為中心的有利位置重新構想縱深防禦，減輕個人數據洩露的影響。

該過程涉及對個人數據所有者的風險進行持續的重新計算和重新平衡，同時為個人數據處理使用案例保留最佳效用​​。

安全和風險管理 (SRM) 領導者應評估服務為個人訊息提供上下文保護的能力，並首先考慮個人面臨的風險。他們應該避免試圖重新利用現有功能並將其作為隱私傳遞的扭曲消息。

解析一組產品的最佳方法是測試解決方案回答這些功能性問題的能力：

• 其標準功能是否能夠解決組織的八項隱私原則？
• 它是否將個人訊息與任何其他類型的訊息區分開來，是否根據個人數據所有者面臨的風險以不同的方式處理這些訊息。

在查看已經到位的解決方案時，進行此評估、了解限制並確定如何進行最佳補救同樣重要。

隱私工程的實例

資料庫設計

大多數系統使用關係資料庫來儲存訊息。這些資料庫是任何攻擊者的主要目標，因為它們包含一個龐大的結構化儲存庫，可以輕鬆讀取和獲利。大多數大規模個人數據洩露事件都是攻擊者竊取用戶記錄資料庫的結果。在一個案例中，一個不安全的資料庫實例暴露了超過 5.6 億個登錄憑證。儘管資料庫加密已經存在了很長時間，但它很少使用，因為它會對性能和搜索索引產生不利影響。

安全和風險管理(SRM)領導者應該堅持並驗證應用程序團隊是否遵守隱私工程指南。安全和風險管理(SRM)領導者必須指導應用程序開發人員建立能夠隔離個人訊息並以不同方式處理的資料庫。在這種情況下，一個“核心”表將包含主要的可識別用戶數據，以及對其他表的獨立引用。應用程式架構師不需要加密整個資料庫——只需加密核心表——並處理它在記憶體中的索引。這將使數據對攻擊者毫無價值，因為他們將無法將記錄連接到其所有者，從而破壞並大大減少違規對個人數據所有者的影響。

數據保留

只有在收集數據的目的仍然有效或滿足法定要求（經合組織使用限制原則）時，持有個人數據的組織才應這樣做；一旦這些條件到期，訊息也應到期。簡而言之，組織應盡可能短地保留個人訊息，以尊重數據主體的意願，並透過限制洩漏來降低個人隱私的風險。

挑戰來自於解決方案的彈性和以最小數據丟失恢復的能力，而不是它們的遺忘能力。

遵循隱私工程的解決方案應維護數據有效性的記錄（例如，同意目的或到期日期），並以保留和剝奪的能力對其進行管理。此外，應注意評估記錄是否實際上已從您的系統中刪除。許多開發人員只是將記錄標記為已刪除並將其隱藏在用戶介面中以保持資料庫一致性。

個人數據所有者提供他們的個人數據是為了實現某個目的。除非監管或法律保留要求，一旦達到該目的，數據應根據結構化數據保留政策進行處置或匿名化。

最終目標是確保個人隱私面臨的風險盡可能小，並且遠低於符合數據敏感性的預定義閾值。

隱私挑戰很少有純安全解決方案

組織經常將安全功能（例如訪問控制或認證密碼）誤認為是隱私。安全性構成了解決隱私要求的各種功能工具箱的一個組成部分。最終目標是提供可訪問的功能性結果。這攸關響應主題權限請求 (SRR) 的能力，這是一系列主題權限，包括主題訪問請求 (SAR)、更新請求和刪除請求。它還包括在不再需要時刪除個人數據的能力，無需人工干預或複雜的流程。

對一個行業不利的是，安全性已經開始透過功能清單來衡量。應特別注意避免透過合規來解決隱私問題。合規性既不能保證安全，也不能保證隱私，而且往往會產生一種虛假的安全感。成功的安全和風險管理(SRM)領導者會引導一項旨在改變個人數據處理方式的隱私計劃。這要求系統了解個人訊息、其敏感性及其帶來的風險，衡量對個人數據所有者而非組織的影響。

為便於說明，請考慮訪問權（經合組織個人參與原則）。這使個人有權查看第三方持有的他或她的個人數據。為實現這一要求，組織將需要提供廣泛功能的解決方案，包括：

• 對個人數據進行分類和標記，以區別對待不同類型的數據
• 為跨結構化和非結構化儲存庫進行搜索而編制索引
• 動態遮蔽與響應中發現其他有關的個人數據。（向一個人提供訪問權限不應侵犯另一個人的隱私。）
• 處理活動的日誌，以顯示歷史記錄的保存以及數據的使用方式。
• 備份活動的記錄，以決定是否需要從檔案中提取數據。
• 提供支持功能並可能存儲其他數據的任何第三方服務的記錄。
• 連接器和 API 能夠從外部支持服務安全地提取訊息。

隱私工程指南

以下指南為需要遵守隱私工程的安全和風險管理(SRM)提供了成功運行隱私計劃所需的基礎。該清單絕不是詳盡無遺的，並將繼續制定。

監視器

• 開發允許將結構化數據分配給記錄的解決方案；這將支持：
• 將數據分類為個人訊息，不應干擾或取代現有的分類方案；這是為了使系統能夠有效地追蹤用戶記錄​​。
• 個人記錄的到期日期以支持數據最小化和保留政策。一旦數據過期，可以決定延長過期時間（出於有效目的）、匿名化或刪除訊息。
• 個人記錄的敏感性分數，以支持基於風險的決策。
• 開發和維護旨在概述應如何處理個人訊息的有效性矩陣。例如，同意表指示如何使用個人聯絡方式。
• 為處理個人訊息（例如，訪問、使用和修改）維護獨立的日誌。這將支持各種數據主體權利，並提供數據生命週期的歷史記錄，以證明正當程序和盡職調查。

執行

• 開發可以使用個人訊息數據的處理功能，以根據有效性矩陣審查處理活動。這確保了處理符合收集訊息的目的，並且訊息有足夠的控制，以符合個人數據所有者的風險。
• 確保將歷史數據轉換為新的有效性矩陣模型。
• 隨時根據需要維護一份個人數據主記錄並進行動態遮蔽。創建副本會擴大攻擊面，並使數據主體面臨進一步的隱私風險。
• 根據數據保留政策進行數據最小化掃描，評估有效性並採取糾正措施。

交流

• 保持透明、面向外部的隱私聲明；這是組織對數據主體的承諾。
• 透過內部隱私政策執行隱私聲明中的承諾，該政策為員工和合作夥伴處理個人訊息提供指導。
• 根據外部隱私聲明並得到內部隱私政策的支持，確保領導層認同。

賦權

提供一個安全的用戶介面，個人可以在其中訪問和行使他們的數據主體權利。這提供了一個接口，其中包括其功能，使個人數據所有者能夠： 

• 查看保存了哪些數據，並使他們能夠透過結構化流程進行更正
• 了解數據的儲存位置和使用方式
• 了解誰有權訪問這些數據
• 了解如何調用它們
• 提供查詢和升級的聯絡方式