美国政府问责局（GAO）：24个机构的隐私项目审查及关键发现

9月22日，美国政府问责局（GAO）发布了《隐私：专业领导者可以改善隐私保护项目、应对挑战》（Privacy：Dedicated Leadership Can Improve Programs and Address Challenges）。GAO建议收集个人身份信息(如出生地和社会安全号码)的联邦机构建立隐私保护项目。

摘译 | 林心雨/赛博研究院实习研究员

来源 | GAO

报告中审查的24个机构已按要求指定了一名高级机构官员负责隐私保护工作。然而，这些官员可能有许多其他职责，往往无法给予隐私必要的关注。他们通常将隐私项目的许多细节工作委托给级别较低的官员。

GAO建议国会考虑通过立法指定专门负责隐私保护的高级官员，还提出了60多项其他建议以加强机构的隐私保护。

GAO的发现

对《首席财务官（CFO）法案》所覆盖的24个机构的审查中，机构在实施隐私保护项目的主要做法各不相同：

机构一般为主要隐私保护工作制定政策和程序。这些措施包括制定记录通知制度，以查明所收集的个人资料及其用途，进行隐私影响评估并记录隐私计划。
为协调隐私保护项目和其他机构活动，各机构在信息安全、预算和采办、劳动力规划和事件反应等方面制定的政策和程序各不相同。
许多机构没有将隐私完全纳入其风险管理战略，没有为隐私官员提供包含个人身份信息(PII)的系统授权，也没有制定隐私持续监测战略。

建立隐私保护计划的主要做法

如果没有充分建立隐私保护计划的这些要素，机构就无法保证自己始终如一地实施隐私保护。

在实施隐私保护计划时，机构最常面临的挑战如下。更多的信息共享可以帮助机构应对某些挑战。

实施隐私保护计划中面临的挑战

机构和隐私专家发现了隐私影响评估的好处，包括提供公共信息和管理风险。然而，他们也发现了可能限制评估有效性的因素，如机构并不总能尽早启动隐私影响评估，从而影响项目决策；隐私保护计划不知晓所有带有PII的代理系统；隐私保护项目无法让机构工作人员负责开发隐私影响评估。

解决关隐私项目的主要实践、挑战和隐私影响评估有效性需要各机构领导作出重大的承诺。根据管理和预算办公室(OMB)的指导方针，24个机构都指定了一名高级官员负责隐私。然而，这些官员中的大多数并不把隐私保护工作作为他们的主要责任。他们有许多其他的职责，例如管理IT和信息安全。其他官员不太可能把大部分时间花在隐私问题上，但机构通常将隐私项目操作方面的任务委托给级别较低的官员，这使负责隐私的高级机构官员在与其他高级机构领导讨论时，不太可能将注意力集中在隐私问题上。

这些缺陷和挑战可以通过任命一名将隐私保护作为主要责任的高级官员从而很好地解决。这样的官员可以更好地确保高级领导层对隐私问题的持续关注，促进部门之间协调，并提高隐私的重要性。OMB的隐私工作人员表示，他们相信在立法中要求一名专门的高级隐私官员将加强机构对隐私的保护，并使他们能够更好地应对挑战。

GAO进行这项调查的原因

近年来，随着新技术的出现和个人信息的广泛利用，个人隐私的保护已成为一个十分重要的问题。联邦机构为各种政府项目收集和处理大量的PII，因此，他们必须确保他们收集、存储或处理的任何PII都不受未经授权的访问、篡改或丢失的保护。

联邦机构需要建立隐私计划，保护他们收集和处理的PII。相关举措包括任命一名负责隐私事务的高级官员，全面负责该机构的隐私项目。此外，各机构将进行隐私影响评估，分析个人信息是如何在联邦系统中收集、存储、共享和管理的。

GAO审查联邦机构的隐私项目，包含了以下内容：(1)机构为确保隐私保护而建立的项目的程度；(2)机构在实施其隐私保护计划时所遭遇的挑战；(3)机构使用隐私影响评估报告的好处和限制；(4)有多少机构拥有专门处理隐私问题的高级官员。

为此，GAO将《首席财务官（CFO）法案》所覆盖的24个机构的政策和程序、隐私保护的主要做法进行了比较。这些实践包括隐私合规评估，隐私与其他机构项目或职能之间的协调以及管理隐私风险的活动。

此外， GAO还采访了隐私专家、相关机构官员和OMB隐私部门的工作人员。

GAO的建议

数字伦理是指个人、组织和事物之间进行电子交互的价值体系和道德原则，涉及隐私和偏见问题，受到许多人的关注——人们越来越意识到他们的信息是有价值的，对个人信息收集和处理中缺乏透明度使用、滥用和违规的行为感到沮丧。各企业也正在采取行动降低管理个人数据的风险，而政府则通过实施更严格的立法对其进行保护。数字伦理大约需要2-5年的普及时间，但同样具有巨大的商业影响。

GAO建议国会考虑立法，为目前缺乏隐私官员的机构指定一名专门的高级隐私官员。GAO还向OMB提出了两项建议，以促进信息共享，帮助机构应对选定的挑战，并更好地实施隐私影响评估。

最后，GAO向审查的机构提出62项建议，助于全面实施其隐私保护项目的关键做法。相关建议包括全面建立隐私保护计划，与其他机构职能之间的协调政策和程序，并将隐私保护纳入风险管理活动。

包括OMB在内的20个机构同意这些建议，一些机构陈述了实施这些建议的计划。有一个机构没有明确表示它是否同意这些建议，但大体上同意这份报告。一个机构不同意这些建议，而另一个机构不同意一些建议，部分同意其他建议。两家机构表示，他们对该报告不予置评。GAO仍然认为其作出的所有建议都是有根据的。

推荐阅读

CYBER RESEARCH INSTITUTE