2019年6月25日,北京的炎夏,空气质量差。密不透风的傍晚时分,全国信息安全标准化技术委员会公布了包括《信息安全技术 信息系统密码应用基本要求》、《信息安全技术 个人信息安全规范》在内8项国家标准的征求意见稿。
瞬间手机里的各种微信群都开始铺天盖地的轰炸,大家奔走相告,“《个人信息安全规范》又出新篇!”“各大律所又要进入不眠夜”。在逐个查看标准内容的过程中,我突然发现了这枚深水炸弹——《信息安全技术 个人信息安全工程指南》征求意见稿(下称“《工程指南》”)——他几乎将数据合规律师80%的具体工作方法进行了详细描述。在此之前,这个标准中的绝大多数内容都是我们向客户提供具体数据合规法律服务的服务方案,尤其是将数据合规的现有法规规定和风险控制工作贯穿至产品和服务的设计环节并由具备专业个人信息保护知识的专业律师、公司法务进行最终审核签发。这个工作流程饱含了本律师团队多年个人数据保护的实践经验,也吸纳了现有国际上可行的一些先进的工作方法,是团队引以为豪的智慧结晶。如今,被我们视为像眼睛一样去保护的珍贵的方法论,竟被《工程指南》无情公开。
尽管内心愤懑不甘,但从行业发展的角度来看,我们不得不承认《工程指南》带来的积极意义。从实践经验来看,数据合规项目中的一大难点在于法律团队、产品团队和信息安全团队的工作配合。由于各自专业领域和业务目标存在巨大差异,各团队具有天然的冲突。以用户注册为例,产品团队希望能够尽量简化流程,减少用户操作步骤,避免潜在用户的流失,而对于法律团队而言,在注册步骤中的提示、弹出页面非常重要,用户的主动勾选也是用户表达其真实意思表示的可靠方法,而在信息安全团队的视野中,则更为关注相关信息收集后的存储和权限,如果产品团队收集了过多的个人信息,则信息安全团队后台的工作任务和工作难度将会随之增加。从目前发布的《工程指南》征求意见稿的内容来看,《工程指南》作为一项「实施类指南」,试图以标准的形式,从制度层面出发将各团队之间的工作配合方式作出协调和指导,同时,《工程指南》对于如何将现有法规和标准落实到具体的系统和软件的设计开发程序中也提出了具有很强实践意义的意见。
《工程指南》的标准编制工作于2018年4月立项,7月正式启动,牵头单位为中国电子技术标准化研究院,参与编制的单位均为国内头部的高科技企业、律师事务所及信息安全公司。除上文所述的对国内业界工程实践中的业务、法律和信息安全工作的经验总结外,《工程指南》参考了国际和国外有关隐私工程、隐私技术框架的研究成果,如:
•ISO/IEC 27550《系统生命周期的隐私工程》 •ISO/IEC 29101《隐私架构框架》 •ISO/IEC 29151《个人可标识信息保护实用规则》 •ISO/IEC 27552《ISO/IEC 27001和27002的隐私管理补充 – 要求和指南》 •NISTIR 8062《联邦系统中的隐私工程和风险管理》
重要术语:
《工程指南》将个人信息安全工程进行了首次定义,即,“也称为隐私工程(privacy engineering),是将个人信息保护关注点整合到系统和软件生命周期过程的工程实践中。”
适用范围:
标准描述了个人信息安全工程目标,给出了在需求分析、产品设计、产品开发、测试审核、发布部署、运行维护等系统工程阶段的个人信息保护实施指南。
标准适用于涉及个人信息的网络产品和服务,为其在需求、设计、开发、测试等系统工程阶段开展个人信息保护实践提供指导。
目标:
•透明性(Transparency):确保信息系统中个人信息处理活动达到足够的透明度,其目标是使个人信息主体、控制者和处理者等相关方了解个人信息保护的风险。
•可管理性(Manageability):提供对个人信息的细粒度控制,确保个人信息主体、控制者、处理者等相关方能够适当干预信息系统的个人信息处理过程。
•不可关联性(Disassociability):采取措施对个人信息去标识或匿名化处理,减少个人信息链接到个人信息主体引起的安全风险。
工程阶段:
隐私团队植入:标准在实际应用所需的基础上,对网络服务和产品的开发活动作出明确的阶段划分。每一个阶段的工作中,标准均设置了其倡导设立的个人信息保护相关团队(“隐私保护相关团队”)的工作方法和目标,力图将隐私保护工作紧密焊接至网络产品和服务的开发流程中。
关键节点控制:在每一个工程阶段中,《工程指南》均采用关键节点控制的方式从流程上控制个人信息安全,此类要求意味着法律合规和信息安全合规工作将全面嵌入产品开发工作。《工程指南》设置的核心的关键节点包括:
•输入物控制 •角色职责控制 •活动步骤控制 •输出物控制
评估控制:《工程指南》倡导网络产品和服务根据实际情况需要同步开展个人信息安全影响评估工作,而不局限于具体的工程阶段。例如:在需求阶段,启动个人信息安全影响评估,完成相关要素的识别工作;在设计阶段,输出对产品个人信息保护设计方案的评估结果;在测试审核阶段,对产品实际个人信息保护情况进行验证和测试;在发布部署阶段,对个人信息安全影响评估相关文档进行评审签发。
此类评估控制的随机性体现了《工程指南》对个人信息保护的深刻理解。显然,《工程指南》将个人信息安全影响评估(PIA)、个人信息安全风险评估(PRA)手段更加细致具体地前置于网络产品和服务的需求和设计阶段,从根源上控制网络服务和产品在收集和处理个人信息方面可能存在的风险。
安全设计重点:
《工程指南》的整体逻辑显示其最为重视的工程阶段为产品设计阶段。《工程指南》为此特意在第7部分罗列了产品设计阶段的重点设计考虑点,重点设计考虑点显示了《工程指南》对《个人信息安全规范》所关注的重点的落实,对产品的具体设计者(开发人员)而言更具有落地操作的参考性。