一、新规介绍

根据2022年10月14日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2022年第13号),全国信息安全标准化技术委员会归口的14项国家标准正式发布,其中包括推荐性国标GB/T 41817-2022《信息安全技术 个人信息安全工程指南》(简称“工程指南”)的正式版本。《工程指南》作为一项「实施类指南」,以标准的形式从制度层面出发将组织内各团队/部门间的工作配合方式作出协调和指导。同时,该标准在三年前信安标委发布的《工程指南(征求意见稿)》基础上,进一步贯彻落实了“个人信息安全措施与产品和服务同步规划、同步建设、同步使用”的理念。概言之,《工程指南》对于企业如何将现有法规和标准落实到具体的系统和软件的设计开发程序中给出了强实践意义的指引,企业在提升网络产品和服务的个人信息保护能力时应将该标准作为重要参考。

二、标准范围

(一)重要术语

个人信息安全工程:也称“隐私工程”,即将个人信息安全原则和要求融入到产品服务规划、建设的每个阶段,使个人信息安全要求在产品服务中有效落实的工程化过程。

个人信息保护影响评估:也称“个人信息安全影响评估”,即针对个人信息处理活动,检验个人信息处理目的、处理方式是否合法、正当、必要,判断其对个人合法权益的影响及安全风险,以及评估所采取的个人信息保护措施有效性的过程。

第三方应用:由产品服务提供者之外的其他组织或个人,提供的软件开发工具包、代码、插件、程序等应用,包括商业应用和开源应用。既包括嵌入产品服务的SDK、代码、插件等(称为“第三方组件”),也包括接入产品服务的移动互联网应用程序(简称“移动应用”)、小程序、应用系统等(称为“第三方产品或服务”)。

(二)适用范围

《工程指南》提出了个人信息安全工程的原则、目标、阶段和准备,提供了网络产品和服务在需求、设计、开发、测试、发布阶段落实个人信息安全要求的工程化指南。

产品服务和信息系统:为其同步规划、同步建设个人信息安全措施提供指引,实现“Privacy by Design”和“Privacy by Default”。

关键信息基础设施:贯彻落实《关键信息基础设施安全保护条例》,同步规划、同步建设、同步使用个人信息安全保护措施。

个人信息处理者:在软件安全开发周期内集成隐私工程,提前防范个人信息安全缺陷、个人信息违法违规处理风险,降低个人信息安全问题产生的开发和运营成本。

(三)规范性引用文件

● GB/T25069—2022《信息安全技术 术语》

● GB/T35273—2020《信息安全技术 个人信息安全规范》

● GB/T39335—2020《信息安全技术 个人信息安全影响评估指南》

● GB/T41391—2022《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》

三、主要内容

(一)《工程指南》亮点与合规建议

● 《工程指南》首次清晰明确的界定了业务团队和个人信息保护团队的角色职责,将法律、产品、信息安全等部门的工作紧密且有机的进行了结合,肯定了各方工作对个人信息保护的积极意义。企业依据本组织业务架构和部门职能,及时组建个人信息安全工程团队,明确工程各阶段相关的角色和职责,并对相关人员进行培训。

● 《工程指南》从网络产品和服务的规划建设全生命周期对个人信息保护建议了具体的方法论,工程阶段的设计贴合行业现行通用的开发流程,具有较强的操作性。企业应在网络产品与服务规划建设各阶段中进行相对应的个人信息安全工程活动。除建立工作团队外,企业还应做好以下准备:

- 围绕产品服务建设生存周期,建立个人信息安全工程相关制度流程(尤其是个人信息保护影响评估制度),细化各阶段的工作任务和实施指南;

- 根据组织实际情况,准备相关技术工具支撑个人信息安全工程实践,例如需求跟踪系统、隐私测评工具等;

- 将个人信息影响评估工作贯彻落实到产品设计开发全阶段中。

● 《工程指南》贴近产品开发团队的落地需求,在“常见个人信息安全设计参考要点”(附录A)和“常见个人信息安全默认配置参考要点”(附录B)中提出了具体的产品设计合规要点,可直接作为企业产品设计环节个人信息安全合规指引。

(二)个人信息安全工程原则和目标

原则:

a)嵌入设计原则:也称“隐私设计原则”,即将个人信息保护要求纳入产品服务的设计中。

b)默认保护原则:也称“默认隐私原则”,即产品服务的默认设置要最大程度保护个人信息安全,如默认收集最小化等。

c)用户中心原则:充分考虑用户个人信息安全需求,以用户为中心设计产品服务的个人信息安全功能,最大程度保障用户个人信息权益。

d)工程对应原则:个人信息安全工程与软件开发生存周期对应,阶段划分一致,便于软件开发和工具集成。

e)全程安全原则:在个人信息处理活动的全流程中实现个人信息安全。

目标:

与信息系统安全工程侧重于保护ICT资产的保密性、完整性和可用性不同,个人信息安全工程聚焦于保障用户个人信息权益,在使产品服务满足《个人信息安全规范》中个人信息处理活动原则和安全要求的基础上,重点实现以下目标。

a)合法正当:遵循个人信息安全相关法律法规要求,处理个人信息具有明确、合理的目的,不通过误导、欺诈、胁迫等方式处理个人信息。

b)最小必要:处理个人信息与处理目的直接相关,采取对个人权益影响最小的方式,收集个人信息限于实现处理目的的最小范围。

c)公开透明:公开个人信息处理规则,明示处理的目的、方式和范围,提高产品服务个人信息处理的透明性。

d)不可关联:采用去标识化、匿名化等手段,减少个人信息关联到个人信息主体引起的安全风险。

e)可管理性:提供个人信息处理的管理机制,使用户和组织能够适当干预产品服务处理个人信息的过程。

(三)工程阶段

嵌入个人信息安全工程活动

《工程指南》在实际应用所需的基础上,对网络产品和服务的规划建设作出明确的阶段划分,并明确个人信息安全工程应与与其规划建设过程相对应。如果组织已开展安全工程实践(如SDL),可在安全工程基础上结合自身需要,增加个人信息安全工程活动。

全阶段的个人信息保护影响评估工作

如果网络产品和服务涉及《个人信息保护法》第五十五条所说明的“对个人权益有重大影响的个人信息处理活动”, 则在规划建设时需按照GB/T 39335—2020《信息安全技术 个人信息安全影响评估指南》开展个人信息保护影响评估(PIA)。个人信息保护影响评估会贯穿于个人信息安全工程各阶段(而不局限在某一阶段),如:

a) 在需求阶段,启动个人信息保护影响评估,确定评估对象和范围,对需求进行评估:

b) 在设计和开发阶段,对个人信息安全设计进行评估,输出设计的评估结果,并按照评估确定后的设计进行开发;

c) 在测试阶段,对实际个人信息保护功能进行验证和测试;

d) 在发布阶段,对个人信息保护影响评估相关文档进行评审、签发及归档。

《工程指南》对PIA与产品服务规划建设的同步开展的强调,体现其与对个人信息保护的深刻理解。显然,《工程指南》将PIA手段更加细致具体地前置于网络产品和服务的需求和设计阶段,从根源上控制网络服务和产品在收集和处理个人信息方面可能存在的风险。

组建个人信息安全工程团队

《工程指南》强调组织在开展个人信息安全工程前,宜做好工作团队、制度流程、技术工具等方面的准备工作。由于《工程指南》每一个阶段的工作中均设置了其倡导设立的个人信息保护工程团队的工作方法和目标,力图将个人信息保护工作紧密焊接至网络产品和服务的开发全流程中。因此,工程团队的建立应为组织进行合规工作的重要前提,组织应明确其在工程各阶段相关的角色和职责,并对相关人员进行培训。通常来说,该团队应由个人信息保护团队和业务团队组成:

-个人信息保护团队根据组织实际情况,可由安全、法务、合规、隐私等多个部门角色构成。

-业务团队可能涉及产品经理、研发、测试、运营及部署等多个与产品服务相关的岗位。

关键节点控制

在需求、设计、开发、测试、发布的每一个工程阶段中,《工程指南》均采用关键节点控制的方式从流程上控制个人信息安全,此类要求意味着个人信息安全合规工作将全面嵌入产品开发生存全周期。《工程指南》设置的核心的关键节点包括:a)输入控制;b)角色职责控制;c)主要活动控制;d)输出物控制。各工程阶段的主要关键节点如下表所示:

(四)个人信息安全设计

《工程指南》的整体逻辑显示其最为重视的工程阶段为产品服务的设计阶段,信安标委通过流程图形式清晰阐述了个人信息安全设计的主要步骤:

此外,《工程指南》还特意在附录A部分罗列了产品设计阶段的重点设计考虑点,该部分显示了《工程指南》对《个人信息安全规范》和《App收集个人信息基本要求》所关注和合规项的落实,对产品的具体设计者(开发人员)而言更具有落地操作的参考价值。在网络产品和服务的设计过程中,至少应考虑到以下要点:

(五)个人信息安全默认配置

《工程指南》强调将默认隐私原则(Privacy by Design, PbD)融入产品服务中,通过默认配置最大程度保护个人信息。PbD侧重于个人信息保护,强调科技与法律的结合,主张在系统设计的最初阶段将个人信息保护的需求“嵌入其中”,成为系统运行的默认规则,而不是事后简单地“附加其上”。《工程指南》在附录B中列举了常见个人信息安全默认配置参考要点,企业在根据下列要点进行默认隐私保护设计的同时,也可以参考《关于GDPR25条设计数据保护及默认设置数据保护的指南》,以此实现“通过设计保护隐私”的个人信息保护目的:

a) 默认采用对个人权益影响最小的实现方式收集个人信息,包括但不限于:

1) 如能通过不收集个人信息的方式实现功能,默认采用不收集个人信息的方式:

2) 如能通过不收集敏感个人信息的方式实现功能,默认采用不收集敏感个人信息的方式。

b) 当产品服务在静默状态或在后台运行,且未向用户提供服务时,默认不收集用户个人信息。

c) 如能在本地实现个人信息处理目的,默认采用本地处理方式,不向服务端回传个人信息。

d) 默认关闭产品服务的扩展业务功能,包括但不限于:

1) 默认关闭向用户好友推送其浏览、播放、购物等记录功能;

2) 默认关闭收集个人生物识别信息的功能;

3) 默认关闭个性化推荐功能,如分析用户社交网络信息并推荐好友的功能等。

e) 默认仅声明和申请实现处理目的最小范围的系统权限,申请授权后默认仅访问所需要的最少个人信息。

f) 默认仅使用满足处理目的需要的最少数量的第三方应用。

g) 默认以最小期限保存个人信息。

h) 展示敏感个人信息时默认将其去标识化,由用户主动选择明文展示。

i) 避免使用默认勾选的方式取得同意。(周杨 梁天翔)

声明:本文来自享法互联网JoyLegal,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。