【鵬越安全百科】「安全保護」系列(13)——個人信息保護標準綜述

由於近期的徐玉玉被騙被騙走學費而傷心過度昏厥去世的消息，令人惋惜，但同時也提醒大家要預防信息洩露和保護自己的隱私安全。讓我們來通過下面的文章來了解個人信息保護標準。

目前，我國還未有一部對個人信息保護的綜合性立法，而且多數含有個人信息保護內容的規範性文件往往缺乏可操作的具體規則。因此，制定個人信息保護方面的標準變得越來越重要。 

今年4月19日，習近平總書記在網絡安全和信息化工作座談會上發表重要講話，提出「以人民為中心」的理念，以及「網絡安全為人民、網絡安全靠人民」的基本原則。加強制定個人信息安全方面的國家標準，實際上就是貫徹習近平總書記重要指示的具體體現。

2.1國際上主要的個人信息保護標準

2.1.1 ISO/IECJTC1/SC27隱私保護系列標準

ISO/IECJTC1/SC27是國際標準化組織（ISO）和國際電工委員會（IEC）聯合技術委員會（JTC1）下屬專門負責信息安全領域標準化研究與制定工作的分技術委員會，SC27/WG5負責身份管理和隱私保護相關標準的研製和維護，目前最具代表性和體系性的屬ISO/IEC29100系列標準，包括：

ISO/IEC29100《隱私保護框架》、ISO/IEC29101《隱私體系架構》、ISO/IEC29190《隱私能力評估模型》、ISO/IEC29134《隱私影響評估》、ISO/IEC29151《個人可識別信息保護指南》等。

 

ISO/IEC29100的內容主要分為兩部分，第一部分是隱私框架的基本要素，該隱私框架由參與者和角色、交互、對個人可識別信息（PII）的認識、隱私防護要求、隱私策略和隱私控制構成；第二部分列舉出了隱私遵守的原則，該原則是從現有一些國家和國際組織所提出的原則中導出，用於指導隱私策略和隱私控制的設計、開發和實現。該標準提出的隱私框架和原則構成了標準體系的基礎，服務和指導在此基礎上進行的標準開發。

綜上所述，ISO/IEC29100系列標準從隱私保護原則、架構、要求、風險管理、能力評估等多個層次與數據主體、控制者、處理者多個角度對隱私保護過程全方位進行闡述，形成了較成熟的標準體系，具有重要的指導和參考意義。

 

2.1.2美國隱私保護標準

在美國國家標準與技術研究院（NIST）SP800的標準體系中，涉及到隱私保護相關的標準主要包括：NISTSP800-53v4《聯邦信息系統和組織的安全與隱私控制》、NISTSP800-122《保護個人可標識信息（PII）保密性指南》、NISTSP800-144《公共雲計算安全和隱私保護指南》、NISTIR8062《聯邦信息系統隱私風險管理》等。

  2.1.3歐盟隱私保護標準

 數據保護和隱私工作組（CEN/ISSSWS-DPP）旨在幫助組織在個人數據保護方面符合相應數據保護規範及國家法律要求，促進ICT技術的合規性，並協調和鼓勵評估和監控的一致性。2005年以來，該工作組發布了系列隱私相關標

準，其中被歐盟國家廣泛使用的標準主要有：CWA16113:2010《個人數據保護良好實踐》、CWA15263:2005《隱私保護技術、隱私增強技術（PET）、隱私實踐體系（PMS）和身份管理系統（IMS），及上述方面的驅動者和標準化需求分析》、CWA16112:2010《管理者的自評估框架》、CWA15292:2005《協助遵守數據保護指令95/46/EC的第17條所規定義務的標準格式合同》、CWA15262:2005《數據保護審計實踐清單》等。

 
   

CWA16113主要用來幫助中小企業來遵循數據保護指令（95/46/EC）中的一般原則，並在可能或適當的情況下，遵循國家法律，實現數據保護指令要求。該標準在很多歐盟國家得到了認可。標準內容主要包括：數據保護和信息處理合規性、數據跨境、同意權和訪問權（數據主體）、數據丟失預防策略及實踐、處理個人身份信息良好實踐：操作保護措施良好實踐。該標準重點描述了數據保護控制的具體措施，具有很強的實用性和參考價值。

 

CWA15263主要分析隱私保護的技術要求，並為監管機構推進隱私保護提供長遠、統籌的建議。CWA16112主要描述了組織管理者進行自我評價的步驟和方法，協助管理者了解組織是否遵循基本的隱私原則，明確管理者在個人數據保護過程中的職責和義務。CWA15292則是標準格式的合同模板供組織使用，以滿足個人數據保護要求。CWA15262給出了當前最佳的數據保護審計實踐材料，便於組織制定合理的數據保護審計計劃並開展審計活動。

 

2.2標準對個人信息保護的補充和促進作用

  

第一，標準能進一步明確界定數據保護領域中的定義。

例如美國國家標準與技術研究院（NIST）出版的SP800-122《保護個人可標識信息（PII）保密性指南》、ISO/IECJTC1/SC27的《ISO/IEC29100隱私保護框架》中都對個人信息給出了明確的定義。

 

第二，標準能充實、細化數據保護方面的法律、法規中規定的義務，並對如何履行法律義務給出指導。

例如《CWA15292:2005協助遵守數據保護指令95/46/EC的第17條所規定義務的標準格式合同》詳細列出了格式合同應當具備的基礎內容。

 

第三，標準能提供規範數據控制者與數據主體之間的溝通和交互。

例如《ISO/IEC29151個人可識別信息保護指南》就明確提出數據控制者對數據主體履行告知時，應當告知的內容、告知的方式、告知的時機等。

 

第四，標準能為開展數據保護方面的審計提供依據。

 

3.1歐盟《通用數據保護條例》(GDPR)

 

歐盟《通用數據保護條例》將於18年5月25日正式生效。與1995年的《數據保護指令》對比，下表列出了對比情況。

 

擴大了適用範圍

1.歐盟境內的數據控制方、數據處理方；

2.歐盟境外的數據控制方、數據處理方，只要其數據處理活動與向歐盟境內的數據主體提供商品、服務（無論免費與否）有關，或其數據處理活動涉及到監測歐盟境內數據主體的行為

增強了數據主體的權利

GDPR既包含了指令中數據主體已經擁有的權利，還賦予數據主體額外的權利，包括：

1.數據可攜帶權（從數據控制方獲得個人信息的副本）

2.被遺忘權

3.限制數據處理的權利

4.反對數字畫像和數據自動處理的權利：對於僅僅依據數據自動處理（包括畫像）作出的、具有法律效力或可能產生顯著影響的決定，數據主體有權要求免於受這樣的決定的制約。在很多情形下，個人有權選擇從數字畫像和數據自動處理中退出。

數據控制者面臨更強的透明度要求。

嚴格規定了個人同意的條件

個人同意仍然作為個人信息收集和使用的前提，但相對於1995年的指令，GDPR對何為有效的個人同意的前提，做出了更加嚴格的要求。核心的變化是，數據主體做出聲明，或者做出清晰的肯定性動作，同意被認為才有效。個人沉默、提前勾選的選項、靜止等狀態，不足以認定個人表達了同意。GDPR還明確了何種情況下，同意不是由數據主體自由地做出的。數據控制方還應當告知數據主體撤回同意的權利。

詳細規定了數據處理者責任

對數據處理方賦予新的合規要求，是GDPR最重要的變化之一。以下是要點：

1.數據控制方、數據處理方的定義沒有改變

2.GDPR直接對數據處理方課以義務，而且不履行這些義務時，將會直接問責。

3.數據處理方的主要義務

採用合適的技術和組織方面的措施，以保證一定的數據安全水平；

詳細記錄數據處理活動；

如果數據處理方位於歐盟境外，在某些情形中，數據處理方應在歐盟境內任命一位數據保護官和一位代表；

履行與數據控制方一樣的數據跨境流動合規要求；

就數據安全事件，強制通知數據控制方；

4.如不合規，數據處理方將直接受監督機構的管轄

5.GDPR適用於位於歐盟境內的數據處理方，或在歐盟境內發生的數據處理活動。還將適用於位於歐盟境外的數據處理方，不過僅限於向歐盟境內居住的個人提供商品或服務的有關數據處理行為，或者與記錄歐盟境內居住的個人的行為的有關數據處理行為。

6.數據控制方和數據處理方應當籤署詳細的數據處理協議。GDPR詳細地規定了協議的條款

7.數據處理方只有在獲得數據控制方的事先同意後，才能使用次一級數據處理方（sub-processors）。次一級數據處理方與上一級數據處理方應當籤署數據處理協議，協議中規定的義務，和上一級數據處理方與數據控制方籤署的協議的內容相同。

8.數據處理方在數據控制方允許的範圍外，開展的數據處理行為，將被GDPR認定為數據控制方，同時應履行數據控制方相同的責任。

數據處理記錄文檔化

數據控制方和數據處理方應保留關於數據處理活動的詳細記錄，並隨時應監督機構的要求提供。

通過設計實現隱私保護和通過默認設置實現隱私保護

考慮到最新發展、執行的成本、數據處理的性質、範圍、情境、目的，以及對自然人權利和自由的不同程度和大小的風險，數據控制者應在一開始決定數據處理方式時，及開始數據處理時，採用合適的技術和組織方面的措施，例如假名化；這些措施的目的在於有效地落實數據保護原則，例如數據最小化原則，及將必需的保護措施整合進數據處理流程中，以滿足《條例》提出的要求，並保護數據主體的權利。

 

數據控制者應採用合適的技術和組織方面的措施，以實現默認的情況下，僅僅處理為實現目的而最少必需的個人數據。此義務適用於收集到的個人數據，數據處理的範圍，數據存儲周期，以及數據被訪問的程度。特別是這些措施應保障在默認情況下，在個人沒有作出同意時，個人數據不會被不限定的自然人訪問。

數據保護影響評估

如果處理個人信息可能導致個人權益有較高的風險被侵害時（特別是採用新技術時），數據控制方應當進行數據保護影響評估。

在以下場景中，數據保護影響評估被特別要求：

自動數據處理包括數字畫像，評估對個人的影響

對特定類別的數據進行大規模處理時

對開源數據進行系統性監測時

問責原則

應當保證採取合適的技術和組織方面的措施，以保證合規，同時具備向外界客觀地展現合規的能力。

數據保護官

部分私營部門機構和大多數公共部門機構將被要求任命一名數據保護官，以監督數據處理活動。

公共部門處理數據的情形

數據控制方和處理方的核心活動如果包含對數據主體開展常態、系統、大規模的監測時

數據控制方和處理方的核心活動如果包含對特定類別的數據開展大規模處理時

成員國法律有所要求時

數據跨境流動機制的重構

GDPR保留的1995年指令關於數據跨境流動的機制，同時增加了新的制度安排，例如認證機制、行為守則、以及基於正當目的偶爾為之的數據傳輸時可一定程度上免除相關義務。

除一定例外之外，國別性質的許可被免除。

GDPR正式認可了有約束力的公司準則。

數據安全事故通知

在數據安全事故發生之後，數據控制方應當及時向監督機構報告，在可行時，應當在72小時內，除非數據安全事故不太可能導致數據主體權益受損。

如果未能在72小時內報告，應當提供合理的解釋。

如果安全事件對個人權益造成損害的可能性高，則數據控制方應當及時通知受影響的數據主體。

執法和處罰

GDPR將會統一各成員國監督機構的權力和任務，並大幅增加處罰標準。為重大違規事件，罰款可高達2000萬歐元或前一財年全球收入的4%。

 

3.2落實GDPR離不開標準支撐

雖然GDPR被普遍認為是最完善的個人信息保護立法，但是仍有不少內容亟待後續的標準作為支撐，舉例如下：

 

第一，GDPR第25條規定，應通過設計實現個人信息保護和通過默認設置實現個人信息保護。其規定的實質是要求數據控制者對系統、產品、服務的設計開始，一直到開發、運營等環節，均應將對個人信息保護的要求考慮在內。

 

第二，GDPR對數據控制者、處理者保護數據安全方面的要求，僅僅用一條原則性的表述概括，即「考慮到數據處理的性質、範圍、情境、目的，以及對自然人權利和自由的不同程度和大小的風險，應採取合適的技術和組織方面的措施，以保證數據處理符合《條例》的規定。這些措施應經常評估和更新。措施應與數據處理的風險合乎比例，應包括在內部建立合適的數據保護政策。」

 

第三，GDPR第20條賦予了數據主體攜帶其數據的權利，「數據主體有權從數據控制者獲得關於其個人數據（僅限其向數據控制者提供的）的副本；副本應以結構化、普遍使用、可機讀的形式；數據主體有權要求數據控制者將其個人數據向其他數據控制者提供」。

 

第四，GDPR第35條規定了特殊情形下應開展數據保護風險評估，「在考慮數據處理性質、範圍、情境、目的後，數據控制者如認為數據處理，特別是採用新技術的處理，可能導致個人權益有較高的風險被侵害的，應在處理前，進行數據保護影響評估。」

 

第五，GDPR第33和34條分別規定了在發生安全事件之後，應向主管部門報告，通知受影響的個人。

 

在上述五個方面中，GDPR僅僅提出了要求或基本原則，並沒有對如何履行上述義務給出具體的指導。在實踐中，數據控制者顯然需要配套標準作為具體的指引。

 

目前，我國個人信息保護方面的標準主要有《信息安全技術公共及商用服務信息系統個人信息保護指南》，以及《信息安全技術信息技術產品供應方行為安全準則》，但無論從體系化、成熟度、可操作性方面與國外相比都有明顯差距。

因此，在後續的標準編制工作中，我國要做到「兩步並一步」，既要豐富個人信息保護標準的體系、內容，又要提出面向未來、能科學有效地抵禦數據保護風險、符合信息化發展需要的個人信息保護標準。

（來源：《信息技術與標準化》2016年第6期）

 

點擊下方」閱讀原文「獲得更多資訊：