ISACA Vlog | 隐私从业人员应当了解的数字信任

◮

点击上方视频立即观看

ISACA内容开发总监Betsie Estes和隐私实践主管Safia Kazi就数字信任与隐私的关系进行了探讨。本文摘取了其中几个热门话题以飨读者。

Betsie：从隐私角度来看，数字信任意味着什么？

Safia: 我认为数字信任和隐私的话题很大程度上与数据有关。组织正在收集哪些数据？他们是如何使用这些数据的？他们为什么要用这些数据？他们用完以后或者我们之间关系结束以后，这些数据怎么办？我认为知道数据的重要性这一点本身就特别重要，因为关于我们的信息太多了，我们的喜好，我们的住房信息，我们的工作地点，对大多数人来说都很容易找到。因此，我们必须明白，在我们交出数据的时候，信任是非常重要的。

我还想强调的一点是，ISACA关于数字信任的定义中提到了对关系、交互和交易诚信的信心。我认为，当我们考虑隐私时，信心是非常重要的，特别是，我认为它与透明度的概念有关。因此，如果我向一个组织提供我的数据，我需要知道我为什么要交出这个数据，他们会怎么做，归根到底，组织在如何使用数据这个问题上需要积极主动地做到透明和诚实。如果组织能够清楚地解释为什么要收集数据以及如何处理数据，那么它们在保护隐私和获得数据主体的信任方面也大概率会做得很好。

Betsie：你能再深入谈谈为什么隐私是数字信任的重要组成部分吗？

Safia：隐私绝对是数字信任的重要组成部分。但我认为数字信任也是隐私的重要组成部分。二者缺一不可。如果我的隐私被侵犯，我的信任也会受到侵害。我认为很多时候，在很多组织中，人们倾向于认为，如果组织侵犯了隐私，组织会被罚款，或者还会损害组织的声誉，但这与我们无关。这只与受到侵犯的数据主体有关。我认为，一旦我们开始从这些角度思考并理解侵犯隐私可能带来的真正后果，隐私和信任是如何令人难以置信地交织在一起的就变得非常清楚了。我还认为隐私在信任中是隐含的。我将我的数据委托给你。这意味着我相信你会保密并以恰当的方式处理它。如果你试图获得数字信任，你就必须确保能够保护人们的隐私，了解这一点非常重要。隐私与信任，缺一不可。

Betsie：许多关注我们的朋友可能听说了，ISACA正在开发一个数字信任生态系统框架。这个框架适用于很多人群，它对隐私专业人士有什么用处呢？

Safia：我认为这个框架将成为隐私专业人士弥合与组织其他部门之间差距的绝佳资源。正如我之前提到的，你必须打破那些孤岛，必须跨部门合作，我认为这个框架会成为一个极好的起点。我先来谈谈如何弥合法律和合规专业人士与技术隐私专业人士之间的差距。法律和合规专业人士是律师或可能具有法律背景并理解法律和法规义务的人，而技术隐私专业人士了解如何实施控制措施，但不一定能够阅读和解读GDPR的具体要求。我认为数字信任生态系统框架是一个非常好的工具告诉我们，哪些是我们需要做的，以及如何做到。因此，我认为这将有助于弥合这一差距，但我认为它也可以用于许多其他领域。在我作这样的宣讲的时候，很多人会问，安全和隐私有什么区别？事实上，二者间有很多重叠。我认为，数字信任生态系统框架将非常有助于缩减你的工作量。您会看到安全团队正在做的一些事情可以为隐私团队所用，这就节省了很多时间。正如我之前提到的，对于人员不足或觉得资源不足的隐私团队来说，尽可能地复用是非常有帮助的。因此，我认为，任何努力打破孤岛、尝试与组织其他部门合作并以高效方式工作的人都应该充分利用数字信任生态系统框架。

Betsie：你认为现在人们应该在隐私中关注的最大趋势和优先事项是什么？

Safia：正如你所提到的，监管环境变化如此之快，特别是在美国，各州都在制定新的法律，有些来自联邦政府，有些不是。我们只能拭目以待。但就总体而言，全球法律和监管环境变化如此之快，我们很难跟上这种变化的步伐。具体而言，我认为最大的挑战之一是跨境数据传输。正如我之前提到的，我们置身于一个超越地域的生态系统中。此时此刻，有来自全球各地的观众正在收看这场直播，这说明了数据不会停留在一个很小的区域。因此，您必须了解如何以安全和合规的方式传输数据。这方面的部分挑战是，不同的政府在如何获取数据和如何使用数据方面有不同的方法。在数据和隐私以及人们的期望方面，也存在不同的文化规范。因此，这是一个重大挑战。也是许多组织正在努力解决的问题。

还有一件正在发生的非常有趣的事情，是数据使用和数据限制，这也是我们需要考虑的。您如何使用您的数据，以及您是否将其用于未披露的目的？比如我住在伊利诺伊州，我们有一个非常强大的生物识别隐私法，它使我从集体诉讼和解中获得了相当可观的收入。事实上，当有这些大规模的集体诉讼案发生时，即便不太了解隐私的普通人也会从中学到很多关于隐私的知识。我认为，普通人对他们托付数据的组织的期望只会增加。标准越来越高，这是好事。同时这也意味着我们可能会看到更多的集体诉讼、罚款、处罚，以及因为不保护隐私而带来的名誉损害。因此，我向那些希望领先的组织建议的是，查看您拥有的数据，了解您的数据生态系统是什么，了解您的组织从一个部门收集到另一个部门的所有数据，然后要限制这些数据。如果您有不需要的数据，请尽您所能将其删除。在处理数据和收集数据时，要非常清楚自己在做什么。有些诉讼的发生是因为人们根本不知道信息是如何收集和使用的。因此我认为，能够更好地掌握他们拥有的数据的组织将走在前面，构建他们组织的隐私文化，而且与客户建立数字信任。