《個人信息安全工程指南》新規解析及提示
一、新規介紹
根據2022年10月14日國家市場監督管理總局、國家標準化管理委員會發布的中華人民共和國國家標準公告(2022年第13號),全國信息安全標準化技術委員會歸口的14項國家標準正式發布,其中包括推薦性國標GB/T 41817-2022《信息安全技術 個人信息安全工程指南》(簡稱“工程指南”)的正式版本。《工程指南》作為一項「實施類指南」,以標準的形式從制度層面出發將組織內各團隊/部門間的工作配合方式作出協調和指導。同時,該標準在三年前信安標委發布的《工程指南(征求意見稿)》基礎上,進一步貫徹落實了“個人信息安全措施與產品和服務同步規劃、同步建設、同步使用”的理念。概言之,《工程指南》對于企業如何將現有法規和標準落實到具體的系統和軟件的設計開發程序中給出了強實踐意義的指引,企業在提升網絡產品和服務的個人信息保護能力時應將該標準作為重要參考。
二、標準范圍
(一)重要術語
● 個人信息安全工程:也稱“隱私工程”,即將個人信息安全原則和要求融入到產品服務規劃、建設的每個階段,使個人信息安全要求在產品服務中有效落實的工程化過程。
● 個人信息保護影響評估:也稱“個人信息安全影響評估”,即針對個人信息處理活動,檢驗個人信息處理目的、處理方式是否合法、正當、必要,判斷其對個人合法權益的影響及安全風險,以及評估所采取的個人信息保護措施有效性的過程。
● 第三方應用:由產品服務提供者之外的其他組織或個人,提供的軟件開發工具包、代碼、插件、程序等應用,包括商業應用和開源應用。既包括嵌入產品服務的SDK、代碼、插件等(稱為“第三方組件”),也包括接入產品服務的移動互聯網應用程序(簡稱“移動應用”)、小程序、應用系統等(稱為“第三方產品或服務”)。
(二)適用范圍
《工程指南》提出了個人信息安全工程的原則、目標、階段和準備,提供了網絡產品和服務在需求、設計、開發、測試、發布階段落實個人信息安全要求的工程化指南。
● 產品服務和信息系統:為其同步規劃、同步建設個人信息安全措施提供指引,實現“Privacy by Design”和“Privacy by Default”。
● 關鍵信息基礎設施:貫徹落實《關鍵信息基礎設施安全保護條例》,同步規劃、同步建設、同步使用個人信息安全保護措施。
● 個人信息處理者:在軟件安全開發周期內集成隱私工程,提前防范個人信息安全缺陷、個人信息違法違規處理風險,降低個人信息安全問題產生的開發和運營成本。
(三)規范性引用文件
● GB/T25069—2022《信息安全技術 術語》
● GB/T35273—2020《信息安全技術 個人信息安全規范》
● GB/T39335—2020《信息安全技術 個人信息安全影響評估指南》
● GB/T41391—2022《信息安全技術 移動互聯網應用程序(App)收集個人信息基本要求》
三、 主要內容
(一)《工程指南》亮點與合規建議
● 《工程指南》首次清晰明確的界定了業務團隊和個人信息保護團隊的角色職責,將法律、產品、信息安全等部門的工作緊密且有機的進行了結合,肯定了各方工作對個人信息保護的積極意義。企業依據本組織業務架構和部門職能,及時組建個人信息安全工程團隊,明確工程各階段相關的角色和職責,并對相關人員進行培訓。
● 《工程指南》從網絡產品和服務的規劃建設全生命周期對個人信息保護建議了具體的方法論,工程階段的設計貼合行業現行通用的開發流程,具有較強的操作性。企業應在網絡產品與服務規劃建設各階段中進行相對應的個人信息安全工程活動。除建立工作團隊外,企業還應做好以下準備:
- 圍繞產品服務建設生存周期,建立個人信息安全工程相關制度流程(尤其是個人信息保護影響評估制度),細化各階段的工作任務和實施指南;
- 根據組織實際情況,準備相關技術工具支撐個人信息安全工程實踐,例如需求跟蹤系統、隱私測評工具等;
- 將個人信息影響評估工作貫徹落實到產品設計開發全階段中。
● 《工程指南》貼近產品開發團隊的落地需求,在“常見個人信息安全設計參考要點”(附錄A)和“常見個人信息安全默認配置參考要點”(附錄B)中提出了具體的產品設計合規要點,可直接作為企業產品設計環節個人信息安全合規指引。
(二)個人信息安全工程原則和目標
● 原則:
a) 嵌入設計原則:也稱“隱私設計原則”,即將個人信息保護要求納入產品服務的設計中。
b) 默認保護原則:也稱“默認隱私原則”,即產品服務的默認設置要最大程度保護個人信息安全,如默認收集最小化等。
c) 用戶中心原則:充分考慮用戶個人信息安全需求,以用戶為中心設計產品服務的個人信息安全功能,最大程度保障用戶個人信息權益。
d) 工程對應原則:個人信息安全工程與軟件開發生存周期對應,階段劃分一致,便于軟件開發和工具集成。
e) 全程安全原則:在個人信息處理活動的全流程中實現個人信息安全。
● 目標:
與信息系統安全工程側重于保護ICT資產的保密性、完整性和可用性不同,個人信息安全工程聚焦于保障用戶個人信息權益,在使產品服務滿足《個人信息安全規范》中個人信息處理活動原則和安全要求的基礎上,重點實現以下目標。
a) 合法正當:遵循個人信息安全相關法律法規要求,處理個人信息具有明確、合理的目的,不通過誤導、欺詐、脅迫等方式處理個人信息。
b) 最小必要:處理個人信息與處理目的直接相關,采取對個人權益影響最小的方式,收集個人信息限于實現處理目的的最小范圍。
c) 公開透明:公開個人信息處理規則,明示處理的目的、方式和范圍,提高產品服務個人信息處理的透明性。
d) 不可關聯:采用去標識化、匿名化等手段,減少個人信息關聯到個人信息主體引起的安全風險。
e) 可管理性:提供個人信息處理的管理機制,使用戶和組織能夠適當干預產品服務處理個人信息的過程。
(三)工程階段
● 嵌入個人信息安全工程活動
《工程指南》在實際應用所需的基礎上,對網絡產品和服務的規劃建設作出明確的階段劃分,并明確個人信息安全工程應與與其規劃建設過程相對應。如果組織已開展安全工程實踐(如SDL),可在安全工程基礎上結合自身需要,增加個人信息安全工程活動。
● 全階段的個人信息保護影響評估工作
如果網絡產品和服務涉及《個人信息保護法》第五十五條所說明的“對個人權益有重大影響的個人信息處理活動”, 則在規劃建設時需按照GB/T 39335—2020《信息安全技術 個人信息安全影響評估指南》開展個人信息保護影響評估(PIA)。個人信息保護影響評估會貫穿于個人信息安全工程各階段(而不局限在某一階段),如:
a) 在需求階段,啟動個人信息保護影響評估,確定評估對象和范圍,對需求進行評估:
b) 在設計和開發階段,對個人信息安全設計進行評估,輸出設計的評估結果,并按照評估確定后的設計進行開發;
c) 在測試階段,對實際個人信息保護功能進行驗證和測試;
d) 在發布階段,對個人信息保護影響評估相關文檔進行評審、簽發及歸檔。
《工程指南》對PIA與產品服務規劃建設的同步開展的強調,體現其與對個人信息保護的深刻理解。顯然,《工程指南》將PIA手段更加細致具體地前置于網絡產品和服務的需求和設計階段,從根源上控制網絡服務和產品在收集和處理個人信息方面可能存在的風險。
● 組建個人信息安全工程團隊
《工程指南》強調組織在開展個人信息安全工程前,宜做好工作團隊、制度流程、技術工具等方面的準備工作。由于《工程指南》每一個階段的工作中均設置了其倡導設立的個人信息保護工程團隊的工作方法和目標,力圖將個人信息保護工作緊密焊接至網絡產品和服務的開發全流程中。因此,工程團隊的建立應為組織進行合規工作的重要前提,組織應明確其在工程各階段相關的角色和職責,并對相關人員進行培訓。通常來說,該團隊應由個人信息保護團隊和業務團隊組成:
- 個人信息保護團隊根據組織實際情況,可由安全、法務、合規、隱私等多個部門角色構成。
- 業務團隊可能涉及產品經理、研發、測試、運營及部署等多個與產品服務相關的崗位。
● 關鍵節點控制
在需求、設計、開發、測試、發布的每一個工程階段中,《工程指南》均采用關鍵節點控制的方式從流程上控制個人信息安全,此類要求意味著個人信息安全合規工作將全面嵌入產品開發生存全周期。《工程指南》設置的核心的關鍵節點包括:a)輸入控制;b)角色職責控制;c)主要活動控制;d)輸出物控制。各工程階段的主要關鍵節點如下表所示:
(四)個人信息安全設計
《工程指南》的整體邏輯顯示其最為重視的工程階段為產品服務的設計階段,信安標委通過流程圖形式清晰闡述了個人信息安全設計的主要步驟:
此外,《工程指南》還特意在附錄A部分羅列了產品設計階段的重點設計考慮點,該部分顯示了《工程指南》對《個人信息安全規范》和《App收集個人信息基本要求》所關注和合規項的落實,對產品的具體設計者(開發人員)而言更具有落地操作的參考價值。在網絡產品和服務的設計過程中,至少應考慮到以下要點:
(五)個人信息安全默認配置
《工程指南》強調將默認隱私原則(Privacy by Design, PbD)融入產品服務中,通過默認配置最大程度保護個人信息。PbD側重于個人信息保護,強調科技與法律的結合,主張在系統設計的最初階段將個人信息保護的需求“嵌入其中”,成為系統運行的默認規則,而不是事后簡單地“附加其上”。《工程指南》在附錄B中列舉了常見個人信息安全默認配置參考要點,企業在根據下列要點進行默認隱私保護設計的同時,也可以參考《關于GDPR第25條設計數據保護及默認設置數據保護的指南》,以此實現“通過設計保護隱私”的個人信息保護目的:
a) 默認采用對個人權益影響最小的實現方式收集個人信息,包括但不限于:
1) 如能通過不收集個人信息的方式實現功能,默認采用不收集個人信息的方式:
2) 如能通過不收集敏感個人信息的方式實現功能,默認采用不收集敏感個人信息的方式。
b) 當產品服務在靜默狀態或在后臺運行,且未向用戶提供服務時,默認不收集用戶個人信息。
c) 如能在本地實現個人信息處理目的,默認采用本地處理方式,不向服務端回傳個人信息。
d) 默認關閉產品服務的擴展業務功能,包括但不限于:
1) 默認關閉向用戶好友推送其瀏覽、播放、購物等記錄功能;
2) 默認關閉收集個人生物識別信息的功能;
3) 默認關閉個性化推薦功能,如分析用戶社交網絡信息并推薦好友的功能等。
e) 默認僅聲明和申請實現處理目的最小范圍的系統權限,申請授權后默認僅訪問所需要的最少個人信息。
f) 默認僅使用滿足處理目的需要的最少數量的第三方應用。
g) 默認以最小期限保存個人信息。
h) 展示敏感個人信息時默認將其去標識化,由用戶主動選擇明文展示。
i) 避免使用默認勾選的方式取得同意。
