A部分：治理

企业必须考虑、实施和支持适当的控制，在个人和相关敏感信息的整个生命周期中保护和管理个人隐私。为此，企业需要确定对企业隐私计划和实务的内外部要求。图 1.1 描述了关键要求。

企业应制定并实施获得执行层支持的隐私风险管理战略。该战略应：

●考虑到企业业务流程、应用和系统在设计阶段的隐私风险。

●针对个人和敏感信息的隐私与安全风险确定并实施缓解控制。

●清晰了解并记录数据处理环境的信息。

●了解接受企业直接或间接服务或受其影响的个人的隐私利益。

●对企业进行风险评估，以了解其业务环境，识别隐私风险并确定优先顺序。

在规划隐私风险战略时，美国国家标准与技术研究院（National Institute for Standards and Technology， NIST）隐私框架是一个有用的资源。

初步实施隐私计划后，企业需要确定在其整个开发和实施生命周期中采用的其他必要控制（如适用）。最后，应将隐私成本和资源需求纳入项目预算中，从而使这些成本与隐私控制相关联。

根据 NIST 隐私框架，企业应根据企业的风险管理优先级来建立和实施治理结构，以最大程度地降低隐私风险。具体而言，隐私治理（Govern-P）职能部门专注于企业级的活动，例如：

●制定企业隐私价值观和政策。

●确定法律/监管要求。

●立足企业风险容忍度焦点，结合风险管理战略和业务需求确定其工作的优先顺序。

隐私工程师和其他隐私从业人员在确保企业（包括支持业务流程的服务提供商）在所有流程中全面、充分和高效地实施这些行动方面发挥着重要作用。为追踪和确定企业的合规水平，隐私从业人员可制定、实施、监控隐私绩效指标和趋势并向关键利益相关方报告。隐私绩效指标支持对隐私治理活动和项目进行优先排序。企业必须保护所有个人的个人信息。有关保护企业内个人数据的所有规定、程序和流程统称为治理实务。要建立、实施和管理治理实务，企业必须：

●识别企业中在隐私准则适用范围内的所有个人信息。

●确定旨在保护企业数据用户的法律和监管要求。

●制定企业治理政策、程序和准则。

●实施政策、程序和准则。