由于對安全和隱私的概念缺乏統(tǒng)一認(rèn)可的標(biāo)準(zhǔn)，這令許多企業(yè)客戶和領(lǐng)導(dǎo)人不明白安全和隱私之間的區(qū)別是什么，相似之處又是什么？對于企業(yè)的領(lǐng)導(dǎo)人來說，理解安全和隱私的概念非常重要，這可以幫助他們在信息保護和隱私管理方面做出正確的決策。

那么， 安全和隱私的區(qū)別究竟在哪里呢？下面的十條概念能夠幫助大家更好的理解二者的不同：

1. 安全是過程，隱私是結(jié)果。

2. 安全是行動，隱私是成功行動后的結(jié)果。

3. 安全是問題，隱私是對問題的預(yù)判。

4. 安全是戰(zhàn)略，隱私是成果。

5. 隱私是存在的一種狀態(tài)，安全是支撐這種存在的構(gòu)成。

6. 安全是戰(zhàn)術(shù)策略，隱私是這種戰(zhàn)術(shù)策略的目標(biāo)。

7. 安全是密函，隱私是密函中信息的成功遞付。

8. 安全能夠保證信息的機密性，隱私則常常需要這種機密性。

9. 隱私遠(yuǎn)不止是法律問題，安全遠(yuǎn)不止是技術(shù)問題。

10. 信息安全是聚焦于信息資產(chǎn)的安全工具和安全行為，隱私保護則是利用這些資產(chǎn)對個人信息的使用和保護。

這十條概念基本上可以幫助我們理解一般意義上的安全與隱私的區(qū)別，但除了這些還需要注意以下三點：

一、“加密確保隱私”的說法，不全面

簡而言之，授權(quán)的實體看到個人隱私或說個人信息，但隱私所包含的內(nèi)容遠(yuǎn)不止這些可以輕易隱藏掉的信息。

如個人信息的使用、分享，訪問，對信息如何被使用及分享的選擇權(quán)、清除權(quán)等等。企業(yè)或機構(gòu)需要一個綜合的隱私保護框架來確保所有的隱私準(zhǔn)則被囊括在內(nèi)，依據(jù)并執(zhí)行。下面是一些主流的，廣泛得到認(rèn)可的隱私框架：
• 經(jīng)合組織（OECD）隱私保護準(zhǔn)則（2013更新）
• AICPA/CICA公認(rèn)隱私保護準(zhǔn)則（GAPP）
• 美國公平信息實踐準(zhǔn)則（FIPs）
• 亞太經(jīng)合組織（APEC）隱私保護框架
• 澳大利亞國家隱私保護準(zhǔn)則
上述隱私政策實用有效，而且已經(jīng)得到良好的實施，是非常不錯的參考資料。尤其是OECD和GAPP，在隱私影響評估方面很有借鑒意義。

二、“隱私保護主要與法律相關(guān)，而安全則屬于IT范疇”的說法，不正確

需要特別注意的是，過去的隱私保護法都是在大量的破壞個人隱私和招致負(fù)面影響的隱私事件發(fā)生后制定的，因此，在某個方面沒有制定隱私法不代表該方面就沒有隱私風(fēng)險。

比如和隱私問題密切相關(guān)的大數(shù)據(jù)分析和物聯(lián)網(wǎng)，目前的隱私法并沒有覆蓋到如此寬泛的隱私風(fēng)險領(lǐng)域，但我們知道，在這些領(lǐng)域存在著許多個人信息的隱患。粗略的估計，隱私法頂多只涵蓋了50%到60%的隱私風(fēng)險。
而信息安全也不僅僅是保護IT資產(chǎn)，它還包括印刷品、音頻、視頻等各種存儲形式的信息。除了保護個人隱私，它還包括各種類型的信息資產(chǎn)，信息的生命周期等相關(guān)信息。以下是三種隱私信息保護的范圍：

• 技術(shù)相關(guān)（許多機構(gòu)錯誤的認(rèn)為，這是唯一與企業(yè)隱私保護相關(guān)的領(lǐng)域）。
• 管理相關(guān)（包括信息安全管理活動、政策、支持、培訓(xùn)、意識，以及所有與人類活動有關(guān)的行為）。
• 實體相關(guān)（對信息存儲的各種形式和各種介質(zhì)的保護）。

三、“安全與隱私有沖突”的說法，通常不正確

經(jīng)常有人說，安全與隱私不可兼得，這是非常錯誤的觀念，信息安全控制的目標(biāo)就是要完成對隱私的保護。

很多人都認(rèn)為信息安全與安全保護是一回事，比如美國國家安全局大范圍對電話監(jiān)聽，社交媒體Facebook跟蹤所有的用戶活動等等。當(dāng)然，上述的這兩種行為的確造成了安全與隱私的沖突，可是這些行為本身并不符合嚴(yán)格意義上的信息安全活動，即便在這些監(jiān)控和跟蹤活動中還可能使用了信息安全工具。

正如隱私保護需要信息安全工具一樣，這些工具也可以被用來支持許多其他方面的工作。正是這些“其他”方面的工作與隱私保護產(chǎn)生了沖突，而不是信息安全本身。

信息安全和隱私保護有許多重疊的地方，但最終二者相關(guān)的行為和目標(biāo)都有所不同。對于信息安全人員來說，要對所有形式、各種類型的信息資產(chǎn)進(jìn)行安全控制，個人信息保護只是其中的一個子集。無論是中小企業(yè)還是大企業(yè)，都必須實施數(shù)據(jù)泄露風(fēng)險。