从十条概念区分信息安全和隐私保护

■ 刘文

从十条概念区分信息安全和隐私保护

■ 刘文

由于对安全和隐私的概念缺乏统一认可的标准，这令许多企业客户和领导人不明白安全和隐私之间的区别是什么，相似之处又是什么？对于企业的领导人来说，理解安全和隐私的概念非常重要，这可以帮助他们在信息保护和隐私管理方面做出正确的决策。

那么，安全和隐私的区别究竟在哪里呢？下面的十条概念能够帮助大家更好的理解二者的不同：

1.安全是过程，隐私是结果。

2.安全是行动，隐私是成功行动后的结果。

3.安全是问题，隐私是对问题的预判。

4.安全是战略，隐私是成果。

5.隐私是存在的一种状态，安全是支撑这种存在的构成。

6.安全是战术策略，隐私是这种战术策略的目标。

大幅降低关税总水平，进一步放宽市场准入，稳步扩大金融业开放，持续推进服务业开放，举办世界上第一个以进口为主题的国家级展会，“一带一路”成为广受欢迎的全球公共产品……仅仅2018年这一年，世界就收获了一个又一个中国开放的“重大利好”。

7.安全是密函，隐私是密函中信息的成功递付。

8.安全能够保证信息的机密性，隐私则常常需要这种机密性。

9.隐私远不止是法律问题，安全远不止是技术问题。

10.信息安全是聚焦于信息资产的安全工具和安全行为，隐私保护则是利用这些资产对个人信息的使用和保护。

这十条概念基本上可以帮助我们理解一般意义上的安全与隐私的区别，但除了这些还需要注意以下三点：

一、“加密确保隐私”的说法，不全面

简而言之，加密只是一种保护信息的安全手段。它当然可以防止未授权的实体看到个人隐私或说个人信息，但隐私所包含的内容远不止这些可以轻易隐藏掉的信息。

如个人信息的使用、分享，访问，对信息如何被使用及分享的选择权、清除权等等。企业或机构需要一个综合的隐私保护框架来确保所有的隐私准则被囊括在内，依据并执行。下面是一些主流的，广泛得到认可的隐私框架：

AICPA/CICA公认隐私保护准则(GAPP)

美国公平信息实践准则(FIPs)

亚太经合组织(APEC)隐私保护框架

澳大利亚国家隐私保护准则

上述隐私政策实用有效，而且已经得到良好的实施，是非常不错的参考资料。尤其是OECD和GAPP，在隐私影响评估方面很有借鉴意义。

二、“隐私保护主要与法律相关，而安全则属于IT范畴”的说法，不正确

需要特别注意的是，过去的隐私保护法都是在大量的破坏个人隐私和招致负面影响的隐私事件发生后制定的，因此，在某个方面没有制定隐私法不代表该方面就没有隐私风险。

比如和隐私问题密切相关的大数据分析和物联网，目前的隐私法并没有覆盖到如此宽泛的隐私风险领域，但我们知道，在这些领域存在着许多个人信息的隐患。粗略的估计，隐私法顶多只涵盖了50%到60%的隐私风险。

技术相关(许多机构错误的认为，这是唯一与企业隐私保护相关的领域)。

管理相关(包括信息安全管理活动、政策、支持、培训、意识，以及所有与人类活动有关的行为)。

实体相关(对信息存储的各种形式和各种介质的保护)。

三、“安全与隐私有冲突”的说法，通常不正确

很多人都认为信息安全与安全保护是一回事，比如美国国家安全局大范围对电话监听，社交媒体Facebook跟踪所有的用户活动等等。当然，上述的这两种行为的确造成了安全与隐私的冲突，可是这些行为本身并不符合严格意义上的信息安全活动，即便在这些监控和跟踪活动中还可能使用了信息安全工具。

正如隐私保护需要信息安全工具一样，这些工具也可以被用来支持许多其他方面的工作。正是这些“其他”方面的工作与隐私保护产生了冲突，而不是信息安全本身。

信息安全和隐私保护有许多重叠的地方，但最终二者相关的行为和目标都有所不同。对于信息安全人员来说，要对所有形式、各种类型的信息资产进行安全控制，个人信息保护只是其中的一个子集。无论是中小企业还是大企业，都必须实施接入控制以减少存在于各自业务环境中的敏感数据泄露风险。