当前关于隐私的讨论围绕着这样一个问题:“你的组织是否符合隐私法规,比如欧盟通用数据保护条例(GDPR) ?”, 美国加州消费者隐私法案(CCPA)或美国健康保险流通与责任法案(HIPAA)?”. 然而, 将隐私作为一个合规性问题来处理,并没有考虑到同样重要的隐私的其他支柱(例如.g.、隐私权作为一项人权、一项道德和social关注(政治问题)。. Shifting from a compliance lens, 包括这些额外的隐私支柱使对话超越了“行使隐私权”, and more toward “doing privacy right.“这种更全面的隐私保护方法承认这是可行的, 有用或盈利不等于可持续,强调责任而不是合规. Designed to reflect “doing privacy right,“隐私 by Align (PbA)是一种解决隐私多重支柱问题的新方法. The pillars of PbA are summarized in 图1.
Figure 1—The 6 Pillars of PbA
What Is the PbA Approach?
Much of the current privacy landscape, such as CCPA and GDPR, 提出基于风险的方法,要求在风险需要时采取额外措施保护个人数据. 然而, 的道德, 在这些基于风险的方法中,隐私的政治和social层面往往是缺失的1 因为数据隐私立法主要关注组织如何处理个人数据,而不是组织如何扩展或塑造处理条件. PbA的方法通过6个隐私支柱来解决这一差距:
- Legislative and regulatory privacy
- 隐私 incident management
- 澳门赌场官方下载 ethical privacy
- 澳门赌场官方下载 social privacy
- 澳门赌场官方下载 political privacy
- 隐私 communications
PbA方法敦促组织将法律/法规和事件管理支柱作为基线, 然后解决可自由支配的支柱它们适用于组织. PbA的六大支柱及其相关的隐私活动概述如下 图2.
图2 -私隐条例的六大支柱及其相关的私隐活动
|
Pillars of PbA |
由 |
|
法例及规管私隐(强制性) |
地方、国家和国际立法格局 |
| Data processing agreements, third party | |
| Binding corporate rules | |
| Standard contractual clauses | |
| 隐私通过设计产品/服务生命周期参与 | |
| 数据保护影响评估(DPIAs),转移影响评估 | |
| Supervisor authority interactions | |
| Data subject access request (DSAR) | |
| Stakeholder training | |
| Senior management meetings | |
| 隐私 advisories and consulting | |
|
隐私 Incident Management (强制) |
Data breach management and notification |
| Supervisory authority channel | |
| Customer communications management | |
| Media management and press releases | |
| 整治管理和法律诉讼 | |
|
澳门赌场官方下载道德及私隐(酌情处理) |
Data ethics, digital ethics |
| 隐私 as a human right | |
| Ensuring no surprises policy | |
|
Corporate Social 隐私 (Discretionary) |
与隐私论坛和倡导团体的互动 |
| 参加和主持隐私会议 | |
| 隐私 sponsorships | |
| 扩大利益相关者,包括父母、员工、家庭、客户、供应商和social | |
| Implementing discretionary standards | |
|
Corporate Political 隐私 (Discretionary) |
Lobbying for and against privacy |
| 就隐私问题的立场写公开信 | |
| 说明首席执行官(CEO)对隐私的立场 | |
| 资助和加入游说团体和政治论坛 | |
|
Corporate 隐私 Communications (Both Mandatory and Discretionary) |
与市场和公司沟通合作 |
| 隐私 policies, notices and statements | |
| 澳门赌场官方下载social责任(CSR)报告中的隐私报告,澳门赌场官方下载报告 | |
| Lobbying documentation | |
| Corporate emails and correspondence |
Legislative and Regulatory 隐私
这一支柱包括组织必须根据其自身的隐私立法环境(例如.g.他们的消费者、隐私和网络安全立法).
Incident Management 隐私
When a privacy incident occurs, 受影响的组织必须首先确定是否需要向监管机构报告该事件, regulatory bodies or stakeholders. 然后组织需要对事件进行补救(例如.g.,通过引入新的硬件、软件、流程或培训来确保问题不再发生)。. 该组织可能还必须管理诉讼过程, 经济处罚或加强监督或审计导致的事件.
隐私 Ethics
隐私伦理包括数据伦理、数字伦理和作为人权的隐私. 隐私伦理涉及技术塑造政治的方式, social, environmental and moral existence. 隐私伦理解决了技术应该如何使用的问题, 新的或更新的技术可能带来什么样的隐私风险, 以及这些新未来的到来对social意味着什么. Mantelero的工作结合了人权, social及道德影响评估(HRSEIA)及私隐影响评估(PIA), can be a useful starting point.2 随着隐私伦理的出现,可能还不存在的伦理含义也增加了变数, and risk that cannot be predicted. The UK Data Ethics Framework3 and the Omidyar Network’s Ethical OS4 提供有用的工具来解决这种隐私风险.
Socially Responsible 隐私
The competitiveness of an organization, 以及周边澳门赌场官方下载的福祉, are mutually dependent. In this pillar, 组织接触到多个利益相关者, including employees, 供应商, consumers and surrounding communities, to understand their privacy concerns. 尽管隐私通常是利益相关者的期望,但其重要性可能会有很大差异. 例如, taxpayers in countries such as Finland, 挪威和瑞典对财务隐私没有什么期望,因为所得税记录在网上是公开的. 与利益相关者接触以确定对他们最重要的事情的过程称为重要性评估.5
Political 隐私
政治隐私与国家监视等政治概念有关, freedom of speech, 游说, voting and democracy. 组织投入数百万美元游说政府,以有利地制定隐私立法. 例如, 他们可能会游说,以降低隐私合规成本,或保留数据更长时间/进一步使用. VpnMentor最近分析了2005年至2018年间五大科技公司向美国众议院提交的所有游说报告. 调查发现,在提交的游说材料中,隐私是使用频率最高的一个词,在所有5个组织的游说利益中,隐私都排在前5位(图3).6
图3—Big Tech Lobbying Between 2005 and 2018
Source: vpnMentor。”对大型科技游说团体来说重要的问题.” Reprinted with permission.
隐私 Communications
PbA方法中的每个隐私支柱都以关键利益相关者可以访问的公司沟通形式进行报告. 隐私政策报告了隐私的法律支柱, 透明度报告和隐私声明, 隐私的social支柱在澳门赌场官方下载social责任(CSR)报告中报告,政治支柱在各种游说数据库中报告. 当这些沟通揭示不结盟时,利益相关者的基本信任和声誉问题就会出现.g., 当一个组织在其澳门赌场官方下载social责任报告中报告“为隐私倡导团体做出贡献”,然后在其游说意见书中报告“为削弱消费者隐私而游说”时). 当一个组织将这些隐私的支柱统一起来并展示这种统一时, 它可以增加消费者的信任, consumer loyalty and revenue.
组织需要用更广泛的视角来看待隐私,而不仅仅是隐私权,还要认识到道德, social and political pillars of privacy.
Aligning the Pillars
PbA方法强调了组织不仅需要解决这些额外的隐私支柱,还需要使它们保持一致. 第一个协调过程包括协调跨隐私支柱的活动.e., “to walk the talk”). 与隐私倡导团体(反映social隐私支柱)进行合作的组织应确保其游说提交(反映政治隐私支柱)是一致的. In its CSR reports, 思科, 例如, 声明,它正在领导欧盟云行为准则(反映social隐私支柱)的发展,同时也在游说制定更全面的隐私法律,将隐私视为一项基本人权.7 因此,它的social隐私和政治隐私支柱是一致的. 这些支柱的不一致可能导致利益相关者信任的降低, 对隐私和负面声誉影响的担忧增加.
第二个校准过程包括确保支柱中的隐私活动反映利益相关者对隐私的期望(在重要性评估中)。. 再一次。, 以思科最近的重要性评估为例, 这表明“数据安全和隐私”对利益相关者和组织都非常重要.8 以这种方式, 它的隐私支柱与利益相关者的期望是一致的,这可能会缓解它对隐私的担忧.
结论
组织需要用更广泛的视角来看待隐私,而不仅仅是隐私权,还要认识到道德, social and political pillars of privacy. 组织还需要确定更广泛的利益相关者澳门赌场官方下载的隐私期望. PbA框架使组织能够更全面地解决隐私问题,并倡导各支柱的一致性,以提高消费者的信任, 减少对隐私的担忧,提高声誉.
尾注
1 Mantelero,.; “AI and Big Data: A Blueprint for a Human Rights, Social and Ethical Impact Assessment,” 计算机法律 & Security Review,卷. 34岁的空间站. 4, 2018
2 同前.
3 UK Government Digital Service, Data Ethics Framework, United Kingdom, 13 June 2018
4 Omidyar Network, "How Not to Regret the Things You Build"
5 全球报告倡议组织(GRI),“重要性和主题边界”
6 vpnMentor。”对大型科技游说团体来说重要的问题”
7 仓库保管员,K.; 《澳门赌场官方下载》 思科, 7 February 2019
8 思科, “Materiality Assessment”
瓦莱丽·里昂, CDPSE, CISSP
是BH咨询公司的首席运营官吗, 总部位于都柏林的国际网络安全和隐私咨询机构, 爱尔兰. 她还是都柏林城市大学商学院(爱尔兰都柏林)的讲师。. 此前,她曾在爱尔兰KBC银行担任信息和风险管理主管15年. 里昂经常就隐私问题发表演讲, 她的主要动机是改变行业对待隐私的方式,让隐私成为底线,而不是目标,并带来对隐私的理解,超越立法层面.