隐私工程的内涵:以隐私嵌入系统工程为核心
各国对隐私工程的探索各有侧重。欧盟GDPR直接将隐私设计原则纳入立法中,因此欧盟对于隐私工程的探索主要围绕如何将GDPR的原则性要求落地于实践展开讨论并提供指引。美国对于隐私工程的探索其核心目的与欧盟一致,都是针对如何将隐私保护的概括性原则和相关法律规定转化为系统工程的隐私要求并融入系统开发流程中。从形式上看,美国的隐私工程框架体系偏向于实用手册,更方便企业应用和实践。ISO和国际电工委员会(International Electro technical Commission,“IEC”)发布的国际标准则更多地对隐私工程的理论进行沉淀,没有将与隐私工程相关的实操措施和细节进行详细阐述,而是指向了其他框架、标准、书籍和论文,具备了一个知识索引的功能。我国则充分融合了国内外隐私工程实践,在国内近几年个人信息保护立法以及行业实践基础上,通过国家标准提供了一种履行义务的实践路径,即通过工程化的过程来将个人信息安全原则和要求融入产品服务规划、建设的每个阶段。
隐私工程的概念起源于国外,各国对于隐私工程的定义并不相同。ENISA指出“隐私工程可以被认为是Data Protection by Design and by Default的一部分,目标在于支持选择、运用和配置恰当的技术和组织措施,以实现具体的数据保护原则。美国国家标准技术研究院(National Institute of Standards and Technology,“NIST”)于2017年在其内部报告中将隐私工程定义为“一种系统工程的特殊方法,旨在让个人免于承受系统处理个人识别信息过程中所产生的不可接受的后果”。ISO/IEC TR 27550:2019《信息技术 安全技术 系统生命周期流程中的隐私工程》(“ISO/IEC 27550:2019”)认为隐私工程是“将隐私问题纳入系统和软件工程生命周期过程的工程实践”。
我国于2022年正式发布了GB/T 41817-2022《信息安全技术 个人信息安全工程指南》(“《个人信息安全工程指南》”)。该标准将个人信息安全工程(也称“隐私工程”)定义为“将个人信息安全原则和要求融入产品服务规划、建设的每个阶段,使个人信息安全要求在产品服务中有效落实的工程化过程”。
本白皮书认为,隐私工程并不局限于将隐私保护的需求整合到系统和软件开发生命周期,此外还需要一系列组织、技术和管理等多方面的支持。因此,本白皮书所指的隐私工程,是将隐私保护要求嵌入系统工程乃至企业管理全流程的一种工程实践。这也和上文中欧盟和美国的定义较为一致。通过对比能够看出,欧盟和美国对隐私工程的定义更加宽泛,并未将隐私工程限定在系统和软件开发流程中,而是描述了通过隐私工程要达到“实现数据保护原则”和“保护个人隐私权利”目的。要实现这样的目的,除了将隐私嵌入系统和软件开发流程之外,还要在组织架构保障、技术措施选择、合规基线确定、风险评估流程以及隐私风险管理等方面注意隐私保护。ISO/IEC对隐私工程的定义与我国《个人信息安全工程指南》的定义较为类似,但结合ISO/IEC 27550:2019对隐私工程阶段流程的描述(包括采购与供应、人力资源管理、知识管理、风险管理等流程),ISO/IEC也并非认为隐私工程仅指将隐私要求融入系统和软件工程生命周期过程。因此,我们在理解隐私工程时,可以在《个人信息安全工程指南》的基础上进行扩大解释,即通过一种体系化、制度化、流程化、平台化的方式来提升企业的隐私保护能力的工程实践。将隐私要求嵌入系统和软件开发流程是隐私工程的核心,但同时还需要通过组织保障、制度要求、流程管理、平台工具等提供基础和支持。
各国对于隐私工程目标的设定基本以其倡导的隐私保护原则或立法要求为基础。《个人信息安全工程指南》提出了五项目标:合法正当、最小必要、公开透明、不可关联、可管理性。其中,“公开透明”“不可关联”“可管理性”基本与欧盟和美国提出的隐私工程目标相一致(如表1),而“合法正当”和“最小必要”两项目标则主要是基于《个人信息保护法》的顶层架构进行了调整(如图1),使其更好地承接《个人信息保护法》的要求并在研发工程侧进行落地。
来源:CCSA TC601
图 1 个人信息安全工程目标和《个人信息保护法》基本原则映射
表 1 国内外隐私工程目标对比
来源:CCSA TC601
《个人信息安全工程指南》针对各软件开发阶段的活动、输入、输出已给出了较为具体的实施方案,包含了需求、设计、开发、测试和部署软件开发过程通用的个人信息安全工程活动(如图2)。此外,《个人信息安全工程指南》还在附录中给出了个人信息安全设计的要点和常见个人信息安全默认配置参考要点,对我国企业而言具有较强的实操性。
来源:《个人信息安全工程指南》
图 2 《个人信息安全工程指南》个人信息安全工程各阶段活动
但如前所述,在完成《个人信息安全工程指南》提供的流程之外,企业还需要从运营和管理的角度提供一系列的隐私保护支撑,这些内容在NIST报告和ISO/IEC 27550:2019中均有所体现。NIST在报告中认为隐私工程应当包含五个部分(如图3):(1)法律、法规和FIPPs,用于推导隐私要求;(2)隐私影响评估,用于识别风险和描述系统评估过程;(3)风险模型,用于进行风险评估;(4)隐私工程和安全目标,用于厘清并评估系统是否满足相关要求以及妥善处理风险的能力;以及(5)风险管理框架,用于提供选择和评估控制措施的流程以管理已识别的风险并满足相关要求。
来源:An Introduction to Privacy Engineering and Risk Management in Federal Systems
图 3 NIST隐私工程构成
ISO/IEC 27550:2019提出的隐私工程流程是建立在ISO/IEC/IEEE 15288:2023《系统和软件工程:系统软件生命周期》之上的,从企业完整运营的角度考虑,认为隐私工程涉及包括采购、销售、人力资源等相关部门,具备较强的兼容性。具体内容包括采购与管理流程、人力资源流程、知识管理流程、风险管理流程、相关方需求与要求流程、系统需求定义流程、架构定义流程和设计定义流程(如表2)。
表 2 ISO/IEC 27550:2019提出的覆盖系统生命周期的隐私工程流程
来源:ISO/IEC 27550:2019
基于欧盟、美国以及ISO/IEC对于隐私工程内容的描述,结合我国个人信息保护的相关要求,本白皮书认为隐私工程主要包含以下内容:
表 3 隐私工程内容
来源:CCSA TC601
(欢迎大家加入数据工匠知识星球获取更多资讯。)
扫描二维码关注我们
我们的使命:发展数据治理行业、普及数据治理知识、改变企业数据管理现状、提高企业数据质量、推动企业走进大数据时代。
我们的愿景:打造数据治理专家、数据治理平台、数据治理生态圈。
我们的价值观:凝聚行业力量、打造数据治理全链条平台、改变数据治理生态圈。
了解更多精彩内容
长按,识别二维码,关注我们吧!
数据工匠俱乐部
微信号:zgsjgjjlb
专注数据治理,推动大数据发展。