由于對安全和隱私的概念缺乏統一認可的標準，這令許多企業(yè)客戶(hù)和領(lǐng)導人不明白安全和隱私之間的區別是什么，相似之處又是什么？對于企業(yè)的領(lǐng)導人來(lái)說(shuō)，理解安全和隱私的概念非常重要，這可以幫助他們在信息保護和隱私管理方面做出正確的決策。

那么， 安全和隱私的區別究竟在哪里呢？下面的十條概念能夠幫助大家更好的理解二者的不同：

1. 安全是過(guò)程，隱私是結果。

2. 安全是行動(dòng)，隱私是成功行動(dòng)后的結果。

3. 安全是問(wèn)題，隱私是對問(wèn)題的預判。

4. 安全是戰略，隱私是成果。

5. 隱私是存在的一種狀態(tài)，安全是支撐這種存在的構成。

6. 安全是戰術(shù)策略，隱私是這種戰術(shù)策略的目標。

7. 安全是密函，隱私是密函中信息的成功遞付。

8. 安全能夠保證信息的機密性，隱私則常常需要這種機密性。

9. 隱私遠不止是法律問(wèn)題，安全遠不止是技術(shù)問(wèn)題。

10. 信息安全是聚焦于信息資產(chǎn)的安全工具和安全行為，隱私保護則是利用這些資產(chǎn)對個(gè)人信息的使用和保護。

這十條概念基本上可以幫助我們理解一般意義上的安全與隱私的區別，但除了這些還需要注意以下三點(diǎn)：

一、“加密確保隱私”的說(shuō)法，不全面

簡(jiǎn)而言之，授權的實(shí)體看到個(gè)人隱私或說(shuō)個(gè)人信息，但隱私所包含的內容遠不止這些可以輕易隱藏掉的信息。

如個(gè)人信息的使用、分享，訪(fǎng)問(wèn)，對信息如何被使用及分享的選擇權、清除權等等。企業(yè)或機構需要一個(gè)綜合的隱私保護框架來(lái)確保所有的隱私準則被囊括在內，依據并執行。下面是一些主流的，廣泛得到認可的隱私框架：
• 經(jīng)合組織（OECD）隱私保護準則（2013更新）
• AICPA/CICA公認隱私保護準則（GAPP）
• 美國公平信息實(shí)踐準則（FIPs）
• 亞太經(jīng)合組織（APEC）隱私保護框架
• 澳大利亞國家隱私保護準則
上述隱私政策實(shí)用有效，而且已經(jīng)得到良好的實(shí)施，是非常不錯的參考資料。尤其是OECD和GAPP，在隱私影響評估方面很有借鑒意義。

二、“隱私保護主要與法律相關(guān)，而安全則屬于IT范疇”的說(shuō)法，不正確

需要特別注意的是，過(guò)去的隱私保護法都是在大量的破壞個(gè)人隱私和招致負面影響的隱私事件發(fā)生后制定的，因此，在某個(gè)方面沒(méi)有制定隱私法不代表該方面就沒(méi)有隱私風(fēng)險。

比如和隱私問(wèn)題密切相關(guān)的大數據分析和物聯(lián)網(wǎng)，目前的隱私法并沒(méi)有覆蓋到如此寬泛的隱私風(fēng)險領(lǐng)域，但我們知道，在這些領(lǐng)域存在著(zhù)許多個(gè)人信息的隱患。粗略的估計，隱私法頂多只涵蓋了50%到60%的隱私風(fēng)險。
而信息安全也不僅僅是保護IT資產(chǎn)，它還包括印刷品、音頻、視頻等各種存儲形式的信息。除了保護個(gè)人隱私，它還包括各種類(lèi)型的信息資產(chǎn)，信息的生命周期等相關(guān)信息。以下是三種隱私信息保護的范圍：

• 技術(shù)相關(guān)（許多機構錯誤的認為，這是唯一與企業(yè)隱私保護相關(guān)的領(lǐng)域）。
• 管理相關(guān)（包括信息安全管理活動(dòng)、政策、支持、培訓、意識，以及所有與人類(lèi)活動(dòng)有關(guān)的行為）。
• 實(shí)體相關(guān)（對信息存儲的各種形式和各種介質(zhì)的保護）。

三、“安全與隱私有沖突”的說(shuō)法，通常不正確

經(jīng)常有人說(shuō)，安全與隱私不可兼得，這是非常錯誤的觀(guān)念，信息安全控制的目標就是要完成對隱私的保護。

很多人都認為信息安全與安全保護是一回事，比如美國國家安全局大范圍對電話(huà)監聽(tīng)，社交媒體Facebook跟蹤所有的用戶(hù)活動(dòng)等等。當然，上述的這兩種行為的確造成了安全與隱私的沖突，可是這些行為本身并不符合嚴格意義上的信息安全活動(dòng)，即便在這些監控和跟蹤活動(dòng)中還可能使用了信息安全工具。

正如隱私保護需要信息安全工具一樣，這些工具也可以被用來(lái)支持許多其他方面的工作。正是這些“其他”方面的工作與隱私保護產(chǎn)生了沖突，而不是信息安全本身。

信息安全和隱私保護有許多重疊的地方，但最終二者相關(guān)的行為和目標都有所不同。對于信息安全人員來(lái)說(shuō)，要對所有形式、各種類(lèi)型的信息資產(chǎn)進(jìn)行安全控制，個(gè)人信息保護只是其中的一個(gè)子集。無(wú)論是中小企業(yè)還是大企業(yè)，都必須實(shí)施數據泄露風(fēng)險。