1.5　数据主体的权利

关于数据主体权利（与个人信息关联的个人的权利）的争论一直没有间断过。在过去几十年中，法律法规确立了广泛的数据主体权利。隐私工程师和其他隐私从业人员需要识别、记录和理解适用于收集、获取、存储、传输、共享、访问或以其他方式处理的个人信息的数据主体权利。

美国国家标准与技术研究院隐私框架28是一个企业用以构建隐私管理计划自愿使用的工具，其中包括两项特定功能来支持数据主体对于其个人信息的访问、控制和沟通的权利。

●控制（Control-P）：开发并实施适当的活动，以使企业或个人能够以足够的粒度处理数据，从而管理隐私风险。Control-P 功能从企业和个人的角度考虑数据处理过程中的管理。

●沟通（Communicate-P）：开发并实施适当的活动，使企业和个人能够正确地认识并参与有关数据处理方法和相关隐私风险的对话。Communicate-P 功能确认企业和个人可能需要了解数据处理方式才能有效地管理隐私风险。

隐私工程师可以使用 Control-P 功能和 Communicate-P 功能的类别和子类别中描述的控制来指导允许个人访问其相关个人信息的服务和产品的工程设计。这些类别包括：

●Control-P 类别：

■数据处理的政策、流程和程序（CT.PO-P）：维护政策、流程和程序，并将其用于管理与企业保护个人隐私的风险策略一致的数据处理（例如，数据处理生态系统的目的、范围、角色和职责，以及管理层的承诺）。

■数据处理管理（CT.DM-P）：根据企业的风险战略管理数据，以保护个人隐私，提高可管理性，并践行隐私原则（例如，个人参与、数据质量、数据最小化）。

■取消关联处理（CT.DP-P）：数据处理解决方案根据企业风险战略增加了数据不可关联性，以保护个人隐私并践行隐私原则（例如，数据最小化）。

●Communicate-P 类别：

■沟通政策、流程和程序（CM.PO-P）：维护政策、流程和程序，并用于提高企业数据处理实务（例如，数据处理生态系统的目的、范围、角色和职责，以及管理层的承诺）和相关隐私风险的透明度。

■数据处理意识（CM.AW-P）：个人和企业对数据处理实务和相关的隐私风险具有可靠的认知，并使用和维护有效的机制来提高可预测性，从而与企业保护个人隐私风险战略保持一致。

在 NIST 隐私框架中可以找到以上所列出的每个类别的子类别及其相关详情。29子类别为隐私工程师提供了特定类型的指南、功能和控制项，以支持数据主体的权利。