謝宗曉 董坤祥 甄杰

1 概述

ISO/IEC 29100：2011《信息技術(shù) 安全技術(shù) 隱私框架》1）（Information technology — Security techniques — Privacy framework）發(fā)布于2011年12月，該標(biāo)準(zhǔn)在2017年評(píng)審之后，仍然有效。但在2018年6月發(fā)布了ISO/IEC 29100：2011/Amd 1：2018 《信息技術(shù) 安全技術(shù) 隱私框架 修改1：說(shuō)明》（Information technology—Security techniques—Privacy framework—Amendment 1： Clarifications），該說(shuō)明只有4頁(yè)。

正式重新發(fā)布的版本則標(biāo)識(shí)為ISO/IEC 29100：

2011+A1：2018。由于該版本較新，而且其中還用符號(hào)細(xì)致標(biāo)識(shí)了與2011版的區(qū)別，因此在本文介紹中，直接討論該版本。

ISO/IEC 29100：2011+A1：2018主要給出了一個(gè)隱私保護(hù)的框架，它在本質(zhì)上是通用的，并將組織、技術(shù)和規(guī)程方面放在整體隱私框架中。隱私保護(hù)框架旨在通過(guò)定義常用的隱私術(shù)語(yǔ)、界定處理PII的行動(dòng)者及其角色以及參考已知的隱私原則，幫助組織在ICT環(huán)境中確立他們的隱私防護(hù)要求2）。

2 標(biāo)準(zhǔn)架構(gòu)

除了前言和引言，ISO/IEC 29100：2011+A1：2018的正文共有5章，以及一個(gè)資料性附錄。

第1章為“范圍”，該標(biāo)準(zhǔn)與ISO/IEC 27701：2019等不同，不僅適用于“所有類(lèi)型和規(guī)模的組織”，還適用于自然人。第2章為“術(shù)語(yǔ)和定義”，其中定義了27個(gè)術(shù)語(yǔ)，這些術(shù)語(yǔ)在ISO/IEC 27701：2019中都被引用，其中個(gè)人可識(shí)別信息（personally identifiable information，PII）、PII違反、PII主體、PII控制者和PII處理者等詞匯并不容易理解，也不常用。第3章為“符號(hào)和縮略語(yǔ)”。

第4章和第5章包含了該標(biāo)準(zhǔn)的主要內(nèi)容，其中第4章介紹了隱私框架的基本要素，但其中并不是一個(gè)流程性框架，而是一個(gè)要素集合;第5章給出了隱私處理應(yīng)該普遍遵循的11條原則。

該標(biāo)準(zhǔn)的附錄A為資料性附錄，對(duì)于隱私的詞匯和ISO/IEC 27000標(biāo)準(zhǔn)族的詞匯進(jìn)行了映射，這種對(duì)照表在ISO/IEC 27701：2019的附錄F中更為詳細(xì)，其中還給出了細(xì)化的示例，更具備參考價(jià)值。

3 隱私框架的基本要素

第4章為“隱私框架的基本要素”。第1節(jié)中開(kāi)門(mén)見(jiàn)山地給出了隱私框架的組件，表1是隱私框架的基本要素與標(biāo)準(zhǔn)章節(jié)的對(duì)應(yīng)情況。

表1 隱私框架基本要素

參與者及其角色（4.2）是對(duì)術(shù)語(yǔ)中的PII主體、PII控制者、PII處理者以及第三方進(jìn)行的解釋說(shuō)明，交互（4.3）則描述了可能的8種場(chǎng)景，這4種參與者之間可能出現(xiàn)的PII流，即作為PII提供者還是PII接收者出現(xiàn)。

認(rèn)識(shí)PII（4.4）是對(duì)個(gè)人可識(shí)別信息（PII）的詳細(xì)解釋?zhuān)⒔o出了詳細(xì)的示例表。除了討論了最基本的原則，例如，標(biāo)識(shí)符、其他可區(qū)別特征和可鏈接至PII主體的信息，該節(jié)中也介紹了假名數(shù)據(jù)、元數(shù)據(jù)、未經(jīng)請(qǐng)求的PII和敏感PII等不同的類(lèi)型。

隱私防護(hù)要求（4.5）將主要的影響因素分為4類(lèi)，分別為：1）法律法規(guī)因素;2）合同因素;3）業(yè)務(wù)因素;4）其他因素。具體如圖1所示。

注意，在圖1 中，用到了隱私風(fēng)險(xiǎn)管理的概念，只是根據(jù)ISO GUIDE 73對(duì)“風(fēng)險(xiǎn)管理”的定義，提出了相應(yīng)的要求，與ISO/IEC 27001：2013中對(duì)風(fēng)險(xiǎn)管理的要求，情況基本一致，例如，要求建立環(huán)境（context），要求有風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置的步驟，以及溝通和評(píng)審等環(huán)節(jié)。在ISO/IEC 29100：2011+A1：2018的參考文獻(xiàn)中，列出了ISO 310003）。

隱私策略（4.6）經(jīng)常被用來(lái)指內(nèi)部和外部隱私策略。內(nèi)部隱私策略記錄組織為滿(mǎn)足與PII處理相關(guān)的隱私保護(hù)要求而采取的目標(biāo)、規(guī)則、義務(wù)、限制和/或控制。外部隱私策略是向組織的外部人員提供組織隱私實(shí)踐的通知，以及其他相關(guān)信息，如PII控制者的身份和官方地址、PII主體可以從中獲得額外信息的聯(lián)絡(luò)點(diǎn)等。在ISO/IEC 29100的框架中，術(shù)語(yǔ)“隱私策略”用于指組織的內(nèi)部隱私策略，外部隱私策略稱(chēng)為通知。同時(shí)要注意的是，隱私策略的制定者也特別指明是最高管理者（the top management）。

隱私控制（4.7）的邏輯與ISO/IEC 27001：2013基本是一致的，即控制的選擇源于隱私防護(hù)要求，其中包括隱私風(fēng)險(xiǎn)評(píng)估（privacy risk assessment，PIA）的結(jié)果。在標(biāo)準(zhǔn)中也特別指出：風(fēng)險(xiǎn)管理是這一過(guò)程中的核心方法，隱私控制的識(shí)別也應(yīng)該是組織信息安全管理框架的一個(gè)組成部分。

4 隱私原則

第5章為“ISO/IEC 29100的隱私原則”。在

第1節(jié)中列出了11個(gè)原則，隱私原則的應(yīng)用可能會(huì)受到社會(huì)、文化、經(jīng)濟(jì)等因素的限制，尤其是不同的文化對(duì)于“什么是隱私”的理解存在較大的差異，以至使這個(gè)概念顯得比較主觀(guān)。但是，標(biāo)準(zhǔn)正文中認(rèn)為，即便如此，組織也應(yīng)該應(yīng)用其中的所有原則，并對(duì)原則的例外情況加以說(shuō)明。表2給出了這些原則與標(biāo)準(zhǔn)章節(jié)的對(duì)應(yīng)。

（1）“同意”與“選擇”原則指的是處理之前須獲得PII主體的同意，在取得同意之前，向PII主體提供由“公開(kāi)、透明與通知”原則（原則第7條）所示的信息，并讓其明白同意與不同意的區(qū)別，同時(shí)，PII主體的選擇應(yīng)該是自由的、具體的和有知識(shí)的。這導(dǎo)致PII主體的同意并不構(gòu)成處理PII的充分法律依據(jù)（例如，未經(jīng)父母或監(jiān)護(hù)人批準(zhǔn)而給予未成年人的同意）。

（2）“目的合法性與規(guī)范”意味著處理的目的應(yīng)該是符合法律法規(guī)要求的，當(dāng)出現(xiàn)新的目的時(shí)，則應(yīng)告知PII主體并啟動(dòng)“同意與選擇”原則（原則第1條）重新獲得同意。對(duì)于敏感PII（在標(biāo)準(zhǔn)4.4.7中定義）需要特別的法律依據(jù)或授權(quán)。如處理PII的目的不符合法律要求，則不能夠進(jìn)行。

（3）“收集限制”是非常重要的原則，在國(guó)內(nèi)存在很大的隱患。遵循這一原則應(yīng)該將PII的收集限制在適用法律范圍內(nèi)，并為特定目的而嚴(yán)格需要的范圍內(nèi)。PII控制人一般都期望收集額外的信息，目前可以參考《APP違法違規(guī)收集使用個(gè)人信息自評(píng)估指南》和《中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場(chǎng)監(jiān)管總局關(guān)于開(kāi)展APP違法違規(guī)收集使用個(gè)人信息專(zhuān)項(xiàng)治理的公告》5）等文件。

（4）“數(shù)據(jù)最小化”與“收集限制”密切相關(guān)，又有所延伸?！笆占拗啤笔侵杆占臄?shù)據(jù)與指定用途有關(guān)的限制，而“數(shù)據(jù)最小化”則嚴(yán)格地將PII的處理最小化，例如，采用“需要知道（need-to-know）”原則，盡可能使用或提供不涉及識(shí)別PII主體的交互和交易作為默認(rèn)選項(xiàng)，從而降低可鏈接性等。

（5）“使用、保留和披露限制”需要將PII的使用、保留和披露（包括轉(zhuǎn)讓?zhuān)┫拗圃跒閷?shí)現(xiàn)具體、明確和合法的目的所必需的范圍內(nèi)。如果在必須保留的情況下，則應(yīng)該考慮之后的安全銷(xiāo)毀和匿名化（anonymization）等手段。注意，匿名化和假名化（pseudonymization）不同，假名化實(shí)際依然保留了可鏈接性（linkable）。

（6）“準(zhǔn)確性與質(zhì)量”指確保處理的PII準(zhǔn)確、完整、最新、足夠及相關(guān)等，并應(yīng)該考慮在處理前的可靠性，建立規(guī)范的程序，確保準(zhǔn)確性和質(zhì)量，定期檢查收集和存儲(chǔ)PII的準(zhǔn)確性和質(zhì)量。對(duì)于準(zhǔn)確性和質(zhì)量的控制應(yīng)該形成一整套的體系。

（7）“公開(kāi)、透明與通知”，首先意味著向PII主體提供有關(guān)處理PII的策略、規(guī)程及實(shí)踐的清晰及容易查閱的各種信息，這可能包括正在處理PII的事實(shí)、處理PII的目的、可能向其披露PII的隱私利益相關(guān)者的類(lèi)型，以及PII控制者的身份，包括如何聯(lián)系PII控制者的信息，當(dāng)然也包括重大變動(dòng)。

（8）“個(gè)體參與和訪(fǎng)問(wèn)”主要指給予PII主體查閱PII的能力，同時(shí)在訪(fǎng)問(wèn)時(shí)，PII控制者應(yīng)用適當(dāng)?shù)目刂?，以確保PII主體嚴(yán)格訪(fǎng)問(wèn)其自己的PII，而不是其他PII主體的PII。該條原則意味著容許PII主體對(duì)PII的準(zhǔn)確性與完整性（原則第6條）提出質(zhì)疑，并在適當(dāng)情況下，將其修訂、更正或刪除。

（9）“可核查性”主要與PII處理的保護(hù)義務(wù)相關(guān)。與PII處理有關(guān)的策略、規(guī)程及實(shí)踐應(yīng)該指定特定的負(fù)責(zé)人，在內(nèi)部也應(yīng)該建立PII主體的投訴機(jī)制。還應(yīng)該注意，建立賠償程序是建立可核查性（問(wèn)責(zé)制）的重要組成部分。

（10）“信息安全”在該標(biāo)準(zhǔn)中是作為一個(gè)原則出現(xiàn)的，具體而言，在運(yùn)營(yíng)、功能及策略層面，以適當(dāng)?shù)目刂?，保障PII受其監(jiān)管，以確保PII的完整性、保密性及可用性，并在整個(gè)生命周期內(nèi)，保障PII免受未經(jīng)授權(quán)的查閱、損毀、使用、修改、披露或遺失等風(fēng)險(xiǎn)。該原則不需要贅述。

（11）“隱私符合性”這個(gè)原則與ISO/IEC 27001：2013也比較類(lèi)似，主要是指加強(qiáng)審計(jì)和內(nèi)部控制等，旨在建立這樣的一套機(jī)制，以保持持續(xù)的合規(guī)狀態(tài)。這點(diǎn)與識(shí)別隱私防護(hù)要求時(shí)考慮的法律、法規(guī)和合同等因素有所不同。

5 小結(jié)

總之，ISO/IEC 29100：2011雖然稱(chēng)為隱私的“框架”，但是整個(gè)標(biāo)準(zhǔn)與平時(shí)所理解的框架并不是很相符，例如，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）的風(fēng)險(xiǎn)管理框架（Risk Management Framework，RMF），而是主要定義了諸多的詞匯，并給出了一系列的原則。其中所定義的詞匯被其他標(biāo)準(zhǔn)直接引用，所確定的原則也為ISO/IEC 27701：2019等提供了基礎(chǔ)。同時(shí)，由于隱私保護(hù)和信息安全存在太多的交叉，因此在ISO/IEC 29100：2011中，關(guān)于隱私控制并沒(méi)有展開(kāi)。

（注：本文僅做學(xué)術(shù)探討，與作者所在單位觀(guān)點(diǎn)無(wú)關(guān)）