隐私框架 1.1 在 NIST 的最新草案更新中得到调整

快速阅读: 据《JD Supra》最新报道，2025年4月14日，NIST发布《NIST隐私框架 1.1》草案更新，强化数据治理与AI隐私风险管理，与CSF对齐以提升风险管理效率。草案意见征询至6月13日。

2025年4月14日，美国国家标准与技术研究院（NIST）发布了《NIST隐私框架 1.1》的草案更新。此次更新旨在强化组织的数据治理与风险管理能力，并将隐私融入人工智能（AI）治理之中。同时，更新还将《隐私框架》与广为使用的《NIST网络安全框架 2.0》（CSF）对齐，助力组织管理数据隐私实践，从而帮助企业防范网络安全风险。《NIST隐私框架》是一个供组织使用的自愿性工具，用于更好地理解和评估日常运营中产生的隐私风险。一些州的州级消费者隐私法要求企业定期进行隐私与数据保护评估，《隐私框架》正是隐私专业人士在完成此类评估时可利用的重要工具。

深度解读草案隐私框架中的显著更新

草案《隐私框架》包含了多项更新内容，旨在帮助企业建立人工智能与隐私风险之间的关联，并识别促进强大网络安全保障的隐私实践。具体而言，草案：

– 引入了独立的隐私角色治理类别，强调这些角色需获得充分资源支持，并确保领导层对隐私风险及结果承担相应责任与问责机制。治理是一个持续的过程，需要组织不断监控风险承受力及法律义务。

– 尝试将《隐私框架》与CSF对齐，以便在风险管理活动中更轻松地同时使用两个框架。框架的拟议整合有望提升组织在风险管理方面的效率，并生成更稳固的结果。这意味着两者现在能够“相互对话”，使评估协调流程更加便捷。

– 现在包含针对人工智能系统隐私风险的具体讨论，涵盖以下方面：
(i) 恶意使用人工智能系统可能通过数据重构、提示注入或成员推断等方式泄露个人信息的风险；
(ii) 若未能采用足够的隐私保障措施保护训练数据，则可能导致敏感信息泄露；
(iii) 计算或人为偏见问题。

关于人工智能与隐私风险管理的部分旨在协助组织应对人工智能带来的隐私风险，并确保组织的隐私价值观体现在人工智能系统的开发与应用过程中。

商业行动事项

《隐私框架》的意见征询期开放至2025年6月13日。NIST正公开征集公众反馈，以确认该框架是否：
(1) 满足当前隐私风险管理的需求，
(2) 与CSF充分对齐，
(3) 在实际操作中能够有效实施。

麦迪茂律师事务所（McDermott）常协助客户处理涉及隐私、安全及数据泄露通知的合规、审计和执法事务，所涉企业受美国各州数据隐私法、州级人工智能法律、《健康保险可携性与责任法案》（HIPAA）以及网络安全法约束。我们已开发一系列合规材料，包括模板政策与程序、通知、表格以及安全风险自评工具，助力企业落实必要的隐私、安全及数据泄露通知标准。此外，我们还定期根据客户的特定业务需求调整这些材料。

[来源链接]

(以上内容均由Ai生成)