朱玲凤:DSI数安智库专家,隐私保护及数据合规领域实践专家,《数据合规:入门、实战和进阶》的合著作者之一,“互联网信息新技术新业务安全评估中心评估专家”,国际隐私专家协会隐私专家认证(CIPP/E)以及认证讲师,华东政法大学“公司法务人才高级研习班”授课导师。曾任知名互联网公司隐私数据专家、小米集团安全与隐私委员会隐私副主席,深入了解超过80个国家的隐私数据合规法律,熟悉移动应用、操作系统、智能硬件、物联网、网联汽车、XR等多领域,擅长将隐私合规要求落地于不同行业场景和技术架构,典型的法律和技术的跨界人才。

上一篇笔者的《隐私工程:从法律到研发工程》是初步对海外关于隐私工程的理解与探索。隐私工程是Privacy by Design的一部分,可用于支持选择、运用和配置合适的技术和组织措施,以实现隐私和个人信息保护的原则,弥合了法律要求落实于各种不同且不断迭代的系统开发的差距。欧盟数据保护监管机构通过界定隐私工程的个人信息保护目标,完成了隐私工程与个人信息保护原则的一一映射,更是进一步将隐私工程嵌入到软件研发生命周期中。国际标准《ISO/IEC TR 27550信息技术 安全技术 系统软件生命周期流程中的隐私工程》(以下简称为“《ISO/IEC 27550隐私工程》”),在ISO/IEC/IEEE 15288《系统和软件工程:系统软件生命周期》之上,从流程管理方面提供了更为细致的隐私工程嵌入到开发流程中的阐释。

回到国内,也是很早就开始探索隐私工程,全国信息安全标准化技术委员会在2019年6月发布了《信息安全技术 个人信息安全工程指南(征求意见稿)》(以下简称《个人信息安全工程指南(征求建议稿)》),充分融合了全球隐私工程实践,结合国内数据合规要求,制定了相应的标准内容。2022年正式获批的《信息安全技术 个人信息安全工程指南》(以下简称《个人信息安全工程指南(发布版)》)更是在国内这几年在个人信息保护立法以及行业实践基础上,给出了隐私工程的中国式路径。本文将基于全球实践的视野以及征求意见稿至发布版的历史沿革,来描绘隐私工程的中国式路径。

个人信息安全工程的定义

个人信息安全工程在《个人信息安全工程指南(发布版)》中是指将个人信息安全原则和要求融入到产品服务规划、建设的每个阶段,使个人信息安全要求在产品服务中有效落实的工程化过程,也称“隐私工程”。相比《个人信息安全工程指南(征求意见稿)》中“个人信息安全工程”的定义从“个人信息关注点”修改为“个人信息安全原则和要求”,与欧盟对于“Data Protection by Design and Data Protection by Default”的核心在于选择合理的技术和组织措施实现个人信息保护原则和个人信息主体权利是不谋而合的。因为个人信息安全工程并未给个人信息处理者增加了更多的义务,而是提供了一种履行义务的实践路径,即通过工程化的过程来将个人信息安全原则和要求融入到产品服务规划、建设的每个阶段。

个人信息安全工程原则

个人信息安全工程原则是在《个人信息安全工程指南(发布版)》中引入的,强调在产品规划建设时落实个人信息安全工程时,基于尊重用户和主动防范的理念,为个人信息安全工程的实施注入了原则性的方向指引。加拿大学者Ann Cavoukian创设了Privacy by Design(以下简称“PbD”)的概念后于2009年提出的七大原则,为PbD提供了完整的理论支撑,并于2010年被隐私和数据保护委员会国际会议所采纳。个人信息安全工程原则与PbD的原则对比如下:

表1 原则的对比

对比下来可知,《个人信息安全工程指南(发布版)》是紧扣个人信息安全工程的核心是将个人信息保护原则和要求落实于工程实践,所以更注重于流程嵌入、一一对应。

个人信息安全工程目标

隐私工程目标是隐私工程的核心要义,即应当实现的目标方向,可以说是概括了隐私工程最关切的几个评估风险和落实控制的关键词。同时,也是隐私工程与个人信息保护原则之间的桥梁,以实现将法律要求转化为工程实现。隐私工程的目标在《个人信息安全工程指南(征求意见稿)》、《个人信息安全工程指南(发布版)》与海外实践中存在差异性,具体参见如下对比表:

表2 个人信息工程目标对比表

如上对比可知,《个人信息安全工程指南(征求意见稿)》是与《ISO/IEC 27550隐私工程》相同的。根据西班牙数据保护局在《A Guide to Privacy by Design》所分析的隐私工程目标与GDPR第5条规定的个人信息保护原则之间的关系如下:

  • 透明性力图实现在数据处理前、处理中以及处理后对所有相关方,包括个人信息处理者、受托处理者以及其个人信息被处理的个人信息主体,都保持目的以及相应技术和组织措施的透明性,从而减少对透明性原则的损害;

  • 不可关联性可减少未经授权的使用以及减少不同的数据集之间的数据交互,可以保证目的限制原则,数据最小化原则和存储限制原则;

  • 可管理性目标既直接关联个人信息主体实现权利、投诉以及撤回同意,也包括个人信息处理者关于准确性和可归责性等原则。

而《个人信息安全工程指南(发布版)》则是基于《个人信息保护法》的顶层架构进行了调整,增加了《个人信息保护法》中的合法正当必要的基本原则,使个人信息安全工程指南真正能承接落地《个人信息保护法》的要求于研发工程侧,具体映射关系如下:

表3 个人信息安全工程目标与个人信息保护法基本原则的映射

关于个人信息安全工程与个人信息保护影响评估

《个人信息安全工程指南(征求意见版)》和《个人信息安全工程指南(发布版)》在整个阶段均要求个人信息保护影响评估。唯一的差别是《个人信息安全工程指南(征求意见稿)》发布时《个人信息保护法》尚未正式发布,因此个人信息影响评估是基于《信息安全技术 个人信息安全影响评估指南》,所以个人信息保护影响评估的适用范围和评估内容是不同于《个人信息保护法》的,需要特殊注意。《个人信息安全工程指南(发布版)》依然将流程要求引用《个人信息保护影响评估》,但是个人信息保护影响评估的适用范围按照《个人信息保护法》明确为:处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息、向境外提供个人信息及其他对个人权益有重大影响的个人信息处理活动等。

进一步来说,我们需要厘清个人信息安全工程与个人信息影响保护评估的关系。二者从字面意思上看比较相近的,均是在产品发布前进行风险评估、落实控制风险的组织措施和技术措施。ENISA在《Privacy and Data Protection by Design from policy to engineering》指出,个人信息影响保护评估流程可以很重也可以很轻,评估报告少则一页多则上百页,分析最近的关于个人信息保护影响评估研究结果,抽取出GDPR项下个人信息影响保护评估的核心步骤是:(1)识别利益相关方和咨询利益相关方的意见;(2)识别风险(将利益相关方意见纳入考虑);(3)识别解决方案和形成合规建议;(4)实施合规建议;(5)检查、审计和其他尽职措施。而Privacy by Design过程的输入应当是个人信息保护影响的第二步风险识别和解决方案、合规建议的输出,同时Privacy by Design过程的输出也将有助于个人信息保护影响评估的第四步。所以,业界有争论可以把Privacy by Design或个人信息安全工程纳入到个人信息保护影响保护评估中。但是从实践落地的角度来说,需要强调的是个人信息安全工程是一个持续的、不断迭代的流程,而个人信息影响保护评估可以在这个流程的各个阶段上执行。笔者认为,个人信息保护影响评估是在法律规定范围内必须要进行的一项风险评估流程,而个人信息安全工程是不受限于法律规定范围的,可针对任何产品需求,所以法定条件下的个人信息保护影响评估不一定必然与个人信息安全工程相关联。

但是需要认知到的一点是,符合法定条件下的个人信息保护影响评估和其他场景下的个人信息风险评估是个人信息安全工程的重要输入,因为我们需要准确的界定个人信息安全工程的场景和目标,则风险评估以及相应的整改方案是个人信息安全工程的核心内容。如下图所示,《个人信息安全工程指南(发布版)》各阶段中“风险评估”的核心地位:

表4 风险评估的核心地位

个人信息安全工程各阶段活动

个人信息安全工程各阶段活动角度分析来说,从整体结构来说,《ISO/IEC 27550隐私工程》和《个人信息安全工程指南(发布版)》有一定的差异,具体对比表如下:

表5 个人信息安全工程阶段对比表

根据上表所示,其实差异还是比较大的。笔者认为《ISO/IEC 27550隐私工程》是在ISO/IEC/IEEE 15288《系统和软件工程:系统软件生命周期》基础上增加隐私工程的活动、产出和指引,而ISO标准为了保证该系统软件生命周期为了具备更大的兼容性,一是扩大了公司相关部门,包括采购、销售、人力资源等,更是从一个公司的完整运营角度考虑,二是因软件开发过程也是有多种类型,比如瀑布型(开发阶段严格按照线性方式进行,每一个阶段具有相关的里程碑和交付产品并且书需要求人和验证,整个过程完全依赖规格说明文档),比如V字性(通过开发和测试同时进行的方式来缩短开发周期,提高开发效率),所以《ISO/IEC 27550隐私工程》会把实质开发流程定义的更为概括性,仅是提供了在各阶段的隐私合规相关模型,如LINDDUN模型、隐私服务功能等可用模型,更类似参考资料。

而相比之下,《个人信息安全工程指南(发布版)》会更类似于实施手册,首先明确了各软件开发阶段的活动、输入、输出,如同流程手册,给出了具体的实施方案,如上对比表所示的包含了需求、设计、开发、测试和部署软件开发过程通用的个人信息安全工程活动。其次在附录A和附录B中根据国内法律法规和标准的要求给出了个人信息安全设计的要点和常见个人信息安全默认配置参考要点,可以参考使用起来,比《ISO/IEC 27550隐私工程》更易于上手。而该开发流程是适用于国内大多数的软件开发逻辑,但是涉及某些传统制造业时可能不能完全适用,需要掌握核心思想,进行实施调整。

总结而言,笔者认为《个人信息安全工程指南(发布版)》是基于国内法律规定以及国内的软件开发行业给出一个中国式的路径,具备实施落地可能性的一项国家标准,也正如软件开发本身的特点,应当贯彻不断迭代的思路,通过实践来反馈迭代进一步提升《个人信息安全工程指南》对落地实施工作的适配性。正如笔者上一篇所述,期待个人信息安全工程能弥合法律和软件工程之间的缝隙,真正落实个人信息保护要求。

声明:本文仅代表作者个人观点,不代表本公众号及其运营单位意见或立场。

声明:本文来自数据安全推进计划,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。