隐私保护与IT技术应该了解10件事

#6：公司担负举证的责任

你遭受过黑客攻击吗？它是成功的吗？哪些数据受到影响？影响了多少用户？哪些国家？即使不成功的攻击也必须公之于众，除非给组织能够证明没有个人信息被未授权方获得或访问。因此，一个组织的入侵检测与防范系统必须是有效的，并能够生成可靠的有效记录信息。

如果一个公司得出结论认为，某个安全事件没有导致未授权访问个人信息，但是客户却由于该攻击事件遭受身份窃取，该公司可能被发现是在撒谎。揭露和报告安全破坏事件肯定会使公司财政收入受到影响，仅通知一项每次事件就会花费每个客户大约100美元，因此如果10000名客户受到影响，该事件将至少花费10万美元。

#7:首席信息安全执行官负责处理隐私安全问题

首席信息安全执行官的主要职责是建立客户和员工的隐私保护策略及调查和查理相关事件。在一个大型组织中，首席信息安全执行官通常管理一个隐私保护委员会，负责提供管理事件指导，隐私保护策略、安全警告、以及其它相关问题。在一个可能影响随从的技术或业务决定的需要做出时，首席信息安全执行官责无旁贷。

现今，首席信息安全执行官的工作十分繁忙。法律领域的问题常常影响IT技术，IT技术负责对隐私保护问题寻求解决办法，诸如智能加密。

#8：隐私安全事件管理可以防止未来的风险

谁发出通知？什么时候？隐私安全事件管理不像其它事件的反应机制那样能够在事件发生时发出通知。通知要求可能在规章中清楚地说明，但是实际的通知可能仍是一个费劲的过程。首席信息安全执行官可能要求事件反应小组确定事件的发生原因和严重程度，并公布调查结果。调查事件查找发生根源的一个重要结果是修复系统，并能够在将来防止发生类似威胁。

#9:界限变得越来越模糊

谁应该负责？在组织之间进行业务往来的过程中什么时候可以数据共享？如果由你们组织内的一个外部采购人员致使数据安全破坏将会怎样？如果你们公司员工的401K数据信息保存在提供这部分数据的某员工的不安全膝上电脑中，结果膝上电脑被盗，谁应该负担责任？

IT外部采购是经常的，但是当你的一个员工或销售人员在付费时碰巧将优盘丢在柜台上，谁负责任来保护你的信息？如果这个优盘里面存有不安全的隐私信息，这个失误可能导致一场数据破坏。

在与第三方签订的所有IT技术协议包括隐私和安全条款是十分重要的。事件不可能总被预防，但是如果你签订了一份合适的协议的话，就可以获得一定补偿。协议中的数据安全条款正变得越来越普遍，如果必要的话，使用你的法律武器。

#10：白领犯罪威胁隐私安全

出售个人信息存在广阔空间，尤其是信用卡卡号。每个ID号的平均价格是50美元。网络犯罪体系的复杂性超出人们的想象，RSA安全公司的市场营销员，马克.戈凡，在他的文章“网络经济犯罪已不是秘密”中对这个问题进行了描述。网络犯罪是一个有组织的犯罪体系，他们有各种角色和明确的分工，还有通讯方式，加入条件，甚至有自己的“道德规范”。这是一个完整的有助于进行欺诈的利益链条，仅在最后将行动变成金钱时才真正表现出来他们的犯罪事实。

一个名叫 TalkCash.net的网站是一个骗子们的集会平台，要想成为其中一员，申请时需要提交一些信用卡号以显示他或她是一个真正的“骗子”。这个网站已被关闭。

由全国白领犯罪中心发起的2005年全国白领犯罪调查显示，在过去的12个月中，几乎半数美国家庭成为白领犯罪的受害者。美国联邦调查局做了不少工作。

想获得你所在州的2005年网络犯罪报告，请访问：

www.ic3.gov/media/annualreports.aspx

一些有关隐私保护的资源

• 电子私人信息中心
• 隐私权力交流所
• 国际隐私保护协会
• BBB— 让安全与保密变得更容易

责任编辑：德东

查看本文国际来源