2017年1月4日,美国国家标准技术研究院(“ NIST”)发布了NIST IR 8062的最终版本“联邦系统中的隐私工程和风险管理简介。”该报告介绍了将系统工程实践应用于隐私的概念,并提供了用于在系统上进行隐私风险评估的新模型。在里面 博客文章 NIST指出,该报告旨在解决该问题,因为该词汇旨在解决关于隐私权结果的词汇缺失问题,并旨在产生“可重复且可能导致可衡量结果的过程”。

为此,该报告介绍了三(3)个隐私工程目标,旨在帮助系统设计师,工程师和策略团队帮助“弥合高级隐私原则及其在系统中的实现之间的鸿沟”。这些目标的定义如下:

  • 可预测性。支持个人,所有者和运营商对PII及其信息系统处理的可靠假设。
  • 可管理性。提供对个人身份信息(“ PII”)进行精细管理的功能,包括更改,删除和选择性披露。
  • 分离性。启用PII或事件的处理,而无需与系统的操作要求无关的个人或设备。

这些隐私工程目标可以提供一种以结果为导向的有组织的方法,以将一组通用原则转化为系统需求,使系统设计人员,工程师和策略团队可以专注于证明隐私合规性所需的系统功能。这样做的目的是使组织能够更好地评估某些系统功能的隐私保护属性。

例如,NIST引用了其关于“增强隐私的身份经纪人,”其中包括在线中介机构(例如Google),这些中介机构使用户可以使用一组凭据登录多个网站或应用程序。为了实现“分离性”目标,身份代理可以实现一些功能,以证明其将用户信息传输到站点或应用程序而无需访问信息本身的能力。为了达到“可预测性”的目标,身份代理可以实现一些功能,使用户能够假设代理无法访问用户的身份属性。

此外,NIST IR 8062还引入了隐私风险框架。风险模型检查“问题数据操作”的可能性和影响,将其定义为“对个人造成不利影响或问题”的数据操作(例如信息的处理或共享)。 “有问题的数据操作”可能包括与第三方共享敏感的个人信息,这与用户的期望背道而驰。通过对组织中的隐私风险进行建模,代理可以更好地分配资源以实现隐私工程目标。

NIST指出,该报告是介绍性的,未来的综合指南的开发将通过协作和开放的过程进行。