一、新规介绍
根据2022年10月14日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2022年第13号),全国信息安全标准化技术委员会归口的14项国家标准即将发布,其中包括推荐性国标GB/T 41817-2022《信息安全技术 个人信息安全工程手册》(简称“工程手册”)的即将版本。《工程指南》作为一项「实施类手册」,以标准的方式从制度层面出发将组织内各团队/部门间的工作配合方法做出协调和指导。同时,该标准在三年前信安标委发布的《工程手册(征求意见稿)》基础上,进一步贯彻落实了“个人信息安全举措与产品和服务同步规划、同步建设、同步使用”的理念。概言之,《工程指南》对于企业怎样将现有法规和标准落实到具体的系统和软件的设计开发程序中给出了强实践意义的指引,企业在提高网路产品和服务的个人信息保护能力时应将该标准作为重要参考。
二、标准范围
(一)重要术语
(二)适用范围
《工程指南》提出了个人信息安全工程的原则、目标、阶段和打算,提供了网路产品和服务在需求、设计、开发、测试、发布阶段落实个人信息安全要求的工程化手册。
(三)规范性引用文件
三、 主要内容
(一)《工程指南》亮点与合规建议
(二)个人信息安全工程原则和目标
● 原则:
a) 嵌入设计原则:也称“隐私设计原则”,即将个人信息保护要求列入产品服务的设计中。
b) 默认保护原则:也称“默认隐私原则”,即产品服务的默认设置要最大程度保护个人信息安全,如默认搜集最小化等。
c) 用户中心原则:充分考虑用户个人信息安全需求,以用户为中心设计产品服务的个人信息安全功能,最大程度保障用户个人信息权益。
d) 工程对应原则:个人信息安全工程与软件开发生存周期对应,阶段界定一致,便于软件开发和工具集成。
e) 全程安全原则:在个人信息处理活动的全流程中实现个人信息安全。
与信息系统安全工程注重于保护ICT资产的保密性、完整性和可用性不同,个人信息安全工程聚焦于保障用户个人信息权益,在使产品服务满足《个人信息安全规范》中个人信息处理活动原则和安全要求的基础上,重点实现以下目标。
a) 合法正当:遵循个人信息安全相关法律法规要求,处理个人信息具有明晰、合理的目的,不通过欺骗、欺诈、胁迫等方法处理个人信息。
b) 最小必要:处理个人信息与处理目的直接相关,采取对个人权益影响最小的方法,收集个人信息限于实现处理目的的最小范围。
c) 公开透明:公开个人信息处理规则,明示处理的目的、方式和范围,提高产品服务个人信息处理的透明性。
d) 不可关联:采用去标识化、匿名化等手段,减少个人信息关联到个人信息主体造成的安全风险。
e) 可管理性:提供个人信息处理的管理机制,使用户和组织才能适当干预产品服务处理个人信息的过程。
(三)工程阶段
《工程指南》在实际应用所需的基础上,对网路产品和服务的规划建设做出明晰的阶段界定,并明晰个人信息安全工程应与与其规划建设过程相对应。如果组织已举办安全工程实践(如SDL),可在安全工程基础上结合自身须要,增加个人信息安全工程活动。
如果网路产品和服务涉及《个人信息保护法》第五十五条所说明的“对个人权益有重大影响的个人信息处理活动”, 则在规划建设时需依照GB/T 39335—2020《信息安全技术 个人信息安全影响评估手册》开展个人信息保护影响评估(PIA)。个人信息保护影响评估会贯串于个人信息安全工程各阶段(而不局限在某一阶段),如:
a) 在需求阶段,启动个人信息保护影响评估,确定评估对象和范围,对需求进行评估:
b) 在设计和开发阶段,对个人信息安全设计进行评估,输出设计的评估结果,并根据评估确定后的设计进行开发;
c) 在测试阶段,对实际个人信息保护功能进行验证和测试;
d) 在发布阶段,对个人信息保护影响评估相关文档进行评审、签发及归档。
《工程指南》对PIA与产品服务规划建设的同步举办的指出,体现其与对个人信息保护的深刻理解。显然,《工程指南》将PIA手段愈发细致具体地后置于网路产品和服务的需求和设计阶段,从症结上控制网路服务和产品在搜集和处理个人信息方面可能存在的风险。
《工程指南》强调组织在举办个人信息安全工程前,宜做好工作团队、制度流程、技术工具等方面的打算工作。由于《工程指南》每一个阶段的工作中均设置了其提倡筹建的个人信息保护工程团队的工作方式和目标,力图将个人信息保护工作紧密点焊至网路产品和服务的开发全流程中。因此,工程团队的构建应为组织进行合规工作的重要前提,组织应明晰其在工程各阶段相关的角色和职责,并对相关人员进行培训。通常来说,该团队应由个人信息保护团队和业务团队组成:
的岗位。
在需求、设计、开发、测试、发布的每一个工程阶段中,《工程指南》均采用关键节点控制的方法从流程上控制个人信息安全,此类要求意味着个人信息安全合规工作将全面嵌入产品开发生存全周期。《工程指南》设置的核心的关键节点包括:a)输入控制;b)角色职责控制;c)主要活动控制;d)输出物控制。各工程阶段的主要关键节点如下表所示:
(四)个人信息安全设计
《工程指南》的整体逻辑显示其最为注重的工程阶段为产品服务的设计阶段,信安标委通过流程图方式清晰阐释了个人信息安全设计的主要步骤:
此外,《工程指南》还特意在附表A部份列举了产品设计阶段的重点设计考虑点,该部份显示了《工程指南》对《个人信息安全规范》和《App搜集个人信息基本要求》所关注和合规项的落实,对产品的具体设计者(开发人员)而言更具有落地操作的参考价值。在网路产品和服务的设计过程中,至少应考虑到以下要点:
(五)个人信息安全默认配置
《工程指南》强调将默认隐私原则(Privacy by Design, PbD)融入产品服务中,通过默认配置最大程度保护个人信息。PbD注重于个人信息保护,强调科技与法律的结合,主张在系统设计的最初阶段将个人信息保护的需求“嵌入其中”,成为系统运行的默认规则,而不是事后简单地“附加其上”。《工程指南》在附表B中列出了常见个人信息安全默认配置参考要点,企业在按照下述要点进行默认隐私保护设计的同时,也可以参考《关于GDPR第25条设计数据保护及默认设置数据保护的手册》,以此实现“通过设计保护隐私”的个人信息保护目的:
a) 默认采用对个人权益影响最小的实现方法搜集个人信息,包括但不限于:
1) 如能通过不搜集个人信息的方法实现功能,默认采用不搜集个人信息的方法:
2) 如能通过不搜集敏感个人信息的方法实现功能,默认采用不搜集敏感个人信息的方法。
b) 当产品服务在沉静状态或在后台运行,且未向用户提供服务时,默认不搜集用户个人信息。
c) 如能在本地实现个人信息处理目的,默认采用本地处理方法,不向服务端回传个人信息。
d) 默认关掉产品服务的扩充业务功能,包括但不限于:
1) 默认关掉向用户好友推送其浏览、播放、购物等记录功能;
2) 默认关掉搜集个人生物辨识信息的功能;
3) 默认关掉个性化推荐功能,如剖析用户社交网路信息并推荐好友的功能等。
e) 默认仅申明和申请实现处理目的最小范围的系统权限,申请授权后默认仅访问所须要的最少个人信息。
f) 默认仅使用满足处理目的须要的最少数目的第三方应用。
g) 默认以最小时限保存个人信息。
h) 展示敏感个人信息时默认将其去标识化,由用户主动选择明文展示。
i) 避免使用默认勾选的方法取得同意。
