个人信息保护国家标准工作情况与思考

2019-05-08 来源:

文│ 中国电子技术标准化研究院 胡影 上官晓丽 王佳敏

   个人信息保护国家标准对于个人信息保护工作具有基础性、规范性和引领性作用,是开展个人信息安全监管、指导网络运营者个人信息保护实践的技术基础和重要抓手。本文梳理分析了个人信息保护国家标准和国际标准的工作现状,对我国个人信息保护标准化工作提出了若干建议。

 

一、个人信息保护国家标准化现状

1 .TC260概述

2002年4月,国家标准化管理委员会(简称“国标委”)批复成立全国信息安全标准化技术委员会(SAC/TC260,简称“信安标委”),负责对网络安全国家标准进行统一技术归口。信安标委是国标委的直属标委会,业务上接受中央网信办指导,主要工作范围包括安全技术、安全机制、安全服务、安全管理、安全评估等信息安全领域的标准化技术工作。

目前,TC260下设6个工作组(WG)和1个大数据安全标准特别工作组(SWG-BDS),秘书处设立在中国电子技术标准化研究院。2016年4月,TC260成立大数据安全标准化工作组,负责大数据和云计算相关的安全标准化研制工作,具体职责包括调研急需标准化需求,研究提出标准研制路线图,明确年度标准研制方向,及时组织开展关键标准研制工作。

2 .主要的个人信息保护国家标准

为落实《网络安全法》相关个人信息保护要求,2016年TC260大数据安全标准化工作组开始研究制定个人信息保护国家标准,目前已开展5项标准项目,包括已发布1项个人信息安全国家标准,正在制定3项国家标准,在研1项标准研究项目等。主要个人信息保护标准如图1所示。

1632814608771061745.jpg

GB/T 35273-2017《信息安全技术 个人信息安全规范》,规范了开展收集、保存、使用、共享、转让、公开披露等个人信息处理活动应遵循的原则和安全要求。本标准适用于规范各类组织个人信息处理活动,也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。该标准作为细化支撑《网络安全法》相关个人信息保护要求的重要标准,在已有个人信息保护工作中发挥了重要作用,目前该标准针对个人信息保护出现的强迫收集、定向推送等新问题,正在进行修订研究。

《信息安全技术 个人信息去标识化指南》,描述了个人信息去标识化的目标和原则,提出了去标识化过程和管理措施,附录A和附录B分别给出了常用去标识化技术和去标识化模型,附录C比较了去标识化技术和模型的特性,并提供了常见标识符的去标识化参考示例。本标准已推进为报批稿,适用于组织开展个人信息去标识化工作,也适用于网络安全相关主管部门、第三方评估机构等组织开展个人信息安全监督管理、评估等工作。

《信息安全技术 个人信息安全工程指南》,给出了网络产品和服务在个人信息安全方面的工程实践指南,包括个人信息安全工程目标和系统工程主要阶段的个人信息安全指南。个人信息安全工程也称为隐私工程,是将个人信息保护和个人数据安全关注点整合到系统和软件生命周期过程的工程实践中进行考虑,用于解决在涉及个人信息的信息系统中处理隐私保护问题。本标准适用于设计、开发、采购、供应、运营涉及个人信息的网络产品和服务的组织,可用于指导网络产品和服务在设计开发、采购供应等阶段开展个人信息安全实践。

《信息安全技术 个人信息安全影响评估指南》,规定了个人信息安全影响评估的基本概念、框架、方法和流程。个人信息安全影响评估,也称为隐私影响评估(PIA)或数据保护影响评估(DPIA),是针对个人信息处理活动检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。本标准已推进到送审稿阶段,适用于各类组织自行开展个人信息安全影响评估工作,同时为国家主管部门、第三方测评组织等开展个人信息安全监管、检查、评估等工作提供的指导和依据。

研究项目《个人信息告知同意指南》,针对个人信息告知的内容、告知信息的展示形式、告知的时机和频率,同意的模式和实现形式等展开研究,旨在为网络运营者在网络环境中进行个人信息告知同意提供实施指南。

3. 技术文件“网络安全实践指南”

为进一步推广网络安全标准,应对网络安全事件,改善网络安全状况,提高网络安全意识,信安标委也开发了一系列技术文件“网络安全实践指南”,这些实践指南不属于国家标准,是支撑国家标准实施的技术指引。

2018年5月25日,TC260发布《网络安全实践指南-欧盟GDPR关注点》,建议相关组织重点关注适用GDPR的场景、适用的数据范围、数据处理的基本原则、数据处理的合法正当性事由、对儿童的特别保护规定、数据主体权力、对用户画像的规定、对数据处理者的规定等十四个关注点。

《移动互联网应用个人信息收集指引》,给出了地图导航、网络约车、即时通讯、社区社交、网络支付、新闻资讯、网上购物、短视频、快递配送、餐饮外卖、交通票务等多类移动互联网应用基本业务功能正常运行所需收集的必要个人信息。该指引将于近期发布,适用于移动应用提供者规范个人信息收集行为,也适用于主管监管部门、第三方评估机构等对个人信息收集行为进行监督、管理和评估,还可为移动应用开发者、移动应用商店经营者和移动智能终端厂商提供参考。

4. 标准推广应用

衡量一个标准的价值关键是看是否被广泛应用。近年来,TC260将网络安全标准的研究制定和实施推广工作并重开展,着力强化标准实施落地和应用推广工作。个人信息保护国家标准和实践指南文件,在国家个人信息保护工作中发挥了越来越重要的作用。

(1)隐私条款专项工作

为贯彻落实《网络安全法》,提高网络运营者个人信息保护水平,2017年8月中央网信办、工信部、公安部、国家标准委四部委指导信安标委秘书处组织开展了对京东商城、航旅纵横、滴滴出行、携程网、淘宝、高德地图、新浪微博、支付宝、腾讯微信、百度地图等10款网络产品和服务的隐私条款专项工作。该项工作依据《网络安全法》相关个人信息保护要求,参考国家标准《个人信息安全规范》,制定了隐私条款和实现机制的评审要点,督促参评产品自评改进。最后,10款产品和服务在隐私条款方面均有不同程度的提升,10家企业也自发签署个人信息保护倡议书,公开做出承诺,保障收集用户个人信息知情权、控制权并尊重用户授权等合法权益,履行个人信息保护责任和义务,保障产品和服务安全可信,抵制黑灰产,自觉接受监督,为行业做好个人信息保护和网络安全工作做出表率。

2018年9月,信安标委秘书处继续开展2018年隐私条款专项工作,对出行旅游、生活服务、影视娱乐、工具资讯和网络支付5类30款产品的隐私条款和实现机制进行评估,并对2017年10款产品进行复核。本次专项工作信安标委秘书处组织开发了与其配套的个人信息保护专项评审工具,利用工具实现企业、秘书处、专家等角色线上评估,丰富评估结果统计分析和评估报告展示,提高了评审工作效率和展示效果。

(2) App违法违规收集使用个人信息专项治理工作

为支撑2019年四部委开展的App违法违规收集使用个人信息专项治理工作,信安标委秘书处组织编制了“大众化应用基本业务功能及必要信息规范”(即《移动互联网应用个人信息收集指引》),用于规范大众化应用收集个人信息的必要性,并研发了App专项行动评估辅助工具、App个人信息保护检测系统等,为专项行动开展提供支撑。

 

二、国际个人信息安全标准化现状

ISO/IEC JTC 1/SC 27(编号为SC 27)是ISO/IEC JTC 1下属安全技术分委员会,于1990年成立,其工作范围主要是信息与通信技术保护的标准研制,包括安全与隐私保护方面的方法、技术和指南。目前SC 27下设五个工作组,其中WG5组负责身份管理和隐私保护方面的标准研制和维护。国际隐私保护标准化工作,目前已形成包含总体框架、管理要求、技术要求、应用领域、实施指南的标准体系。

通用框架类标准主要有ISO/IEC 29100:2011《隐私框架》,规范了隐私保护术语和原则,提供了隐私保护框架。

管理类的标准主要有ISO/IEC 29134:2017《隐私影响评估指南》、ISO/IEC 29151:2017《PII信息保护实用规则》、ISO/IEC 27018:2014《公有云中作为PII处理者的PII保护的行为守则》、ISO/IEC 27552《ISO/IEC 27001和ISO/IEC 27002的隐私管理扩展—要求和指南》、和新标准立项ISO/IEC 27555《在组织建立PII删除概念》。其中,29134为组织开展隐私影响评估(PIA)提供实施指南,国内标准《个人信息安全影响评估指南》在编制时参考了29134标准;29151为组织的个人身份信息(PII)提供了保护控制措施集;27018面对公有云服务提供商的信息安全风险环境,提出了保护个人可识别信息(PII)的要求;27552作为27001和27002的扩展,用于组织建立隐私信息管理体系(PIMS),已推进到第一版DIS国际标准草案阶段;27555提出了组织PII的删除流程,已推进为第一版(WD)工作草案。

实施指南类的标准主要有ISO/IEC 27550《系统生命周期的隐私工程》、ISO/IEC 29184《在线隐私告知和同意》以及ISO/IEC 29190:2015《隐私能力评估模型》。其中,27550将隐私保护应用到了ISO/IEC 15288的系统工程各个阶段,已推进为第三版TR技术报告,国内《个人信息安全工程指南》标准编制时参考了该标准;29184提供了线上隐私告知基本条款,已推进为第三版(CD)委员会草案,国内标准研究项目《个人信息告知同意指南》参考了该标准;29190提供了一套隐私能力评估流程和隐私能力评估的级别,并为如何将隐私评估能力融入组织运营、评估隐私能力的关键过程区域、隐私评估执行过程人员提供指导。 

技术要求类的标准有ISO/IEC 29101:2013《隐私架构框架》、ISO/IEC 20889《增强隐私的数据去标识化技术》、ISO/IEC 29191:2012《半匿名和部分不可链接的身份认证要求》。其中,29101提供了ICT系统的个人隐私保护技术框架;20889介绍了统计、加密、抑制、假名、泛化、随机、合成7大类的去标识化技术以及K匿名和差分隐私2大类去标识化模型,国内标准《个人信息去标识化指南》编制时参考了该标准;29191定义了身份认证相关的四个角色,明确了在具体的认证过程中每个角色对应的基本操作,同时针对半匿名、部分不相关的认证明确了具体要求。

 

三、下一步工作建议

随着各种新技术的深入应用,个人信息保护面临更多新场景、新问题,对个人信息保护国家标准提出了新的要求和挑战。

一是加快个人信息保护相关标准研制。针对《网络安全法》等法律法规的个人信息保护要求,结合国家个人信息保护工作的重点和难点问题,围绕个人信息保护主要威胁和风险点,制定关键急需的个人信息保护国家标准。参考国际隐私保护标准体系,广泛制定应用类、指南性标准和网络安全实践指南文件,逐步形成适应我国个人信息保护需求的标准体系框架。

二是积极开展标准应用推广工作。结合政府、企业、用户关注的主题,组织开展重点个人信息保护标准和指引的应用验证和试点示范工作。继续开展隐私条款等专项工作,推广个人信息保护优秀实践,引导网络运营者提升个人信息保护水平。同时研发自动化工具支撑标准有效实施,进一步加强标准的科学性、合理性和可操作性。

三是加强个人信息保护宣传力度。编制重点标准实施指南和宣贯材料,采取标准宣贯会、地方宣贯活动、专题研讨会等多种渠道和形式,加大对个人信息保护重点标准的宣传解读,增强社会各方面对个人信息保护的意识。 

(本文刊登于《中国信息安全》杂志2019年第4期)