2025年4月,美国国家标准与技术研究院(NIST)更新了《NIST隐私框架》1.1版(征求意见稿)。在数据驱动的社会中,既要利用个人数据开发创新产品和服务,又要守护公众隐私权益,如何平衡创新与隐私保护是一项挑战。隐私框架经多方利益相关者共同完善,提供了一套实用的隐私保护策略体系。该框架不仅厘清了隐私风险管理概念,也明确了其与NIST网络安全框架(CSF 2.0)的关系。
NIST 隐私框架并非强制性法律或法规,而是一项自愿性工具,其核心价值在于:帮助各类组织建立隐私风险治理体系,有效履行《加州消费者隐私法案》(CCPA)、欧盟《通用数据保护条例》(GDPR)等合规义务。该框架协助组织明确隐私保护目标的优先级,规划切实可行的执行路径。
《NIST隐私框架》1.1版的核心调整涉及:1. 聚焦 “治理功能”(如风险管理策略与政策)和 “保护功能”(如隐私与网络安全保障措施);2. 基于过去五年自NIST隐私劳动力公共工作组(PWWG)等渠道收集到的利益相关者的意见进行改进;3. 新版隐私框架第1.2.2节概述了人工智能与隐私风险的关联,以及如何应用于管理人工智能隐私风险。
新版框架核心轮盘图采用“中心治理+四维支撑”的同心圆结构,即以治理(Govern)为核心层,外圈依次分布识别(Identify)、控制(Control)、沟通(Communicate)、保护(Protect)四大功能模块,构成协同高效的隐私治理网络。
如需了解NIST隐私框架的更多信息,请访问:https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.40.ipd.pdf
