隐私工程白皮书

隐私工程白皮书 CCSATC601大数据技术标准推进委员会2023年9月 版权声明 本报告版权属于CCSATC601大数据技术标准推进委员会，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应注明“来源：CCSATC601大数据技术标准推进委员会”。违反上述声明者，编者将追究其相关法律责任。 前言 2022年，我国发布了国家标准GB/T41817-2022《信息安全技术个人信息安全工程指南》（“《个人信息安全工程指南》”）。作为支撑《中华人民共和国个人信息保护法》（“《个人信息保护法》”）落地的国家标准之一，该标准结合国外隐私工程的实践经验以及 《个人信息保护法》的相关要求，在需求、设计、开发、测试、发布的传统开发流程中嵌入个人信息保护的工程化要求，旨在将个人信息保护措施与产品和服务同步规划、建设和使用，主动预防个人信息安全风险和侵害用户个人信息权益事件的发生，为帮助网络产品和服务提升个人信息保护能力提供工程化指引。 “个人信息安全工程”的概念取自“隐私工程”即“privacyengineering”，国际标准ISO/IECTR27550:2019《信息技术安全技术系统生命周期流程中的隐私工程》将隐私工程定义为“将隐私问题纳入系统和软件工程生命周期过程的工程实践”。作为将隐私保护要求嵌入系统工程乃至企业管理全流程的一套方法论，欧盟、美国等国家对其进行持续讨论和研究，对于隐私工程与隐私保护立法的关系、如何指导企业进行隐私工程实践等形成了较为体系化的结论和成果。相比之下，我国对于隐私工程的研究和实践仍处于初期。一方面，随着我国个人信息保护立法的不断完善，如何在落实个人信息保护合规要求的同时尽量减少对业务的负担成为企业无法回避的课题，越来越多的企业开始从技术和管理等多角度求解，但尚未形成较为系统和全面的方法论；另一方面，我国对数据要素市场的 大力发展也促使企业主动探寻数据安全合规流通路径，尤其是个人信息的安全合规使用，以掌握参与数据要素市场建设的先机。 为了加深企业对隐私工程的理解，帮助处在不同发展阶段的企业提升隐私保护能力，我们联合在隐私工程理论和实践方面有经验的企业共同撰写了《隐私工程白皮书》，对隐私工程的理论发展和我国企业的隐私工程实践经验进行介绍，希望能够为企业隐私保护能力建设提供参考，推动形成更适合我国企业的隐私工程体系。 编制说明 本报告由CCSATC601牵头撰写，在撰写过程中得到了多家单位的大力支持，主要的参编单位及人员如下： 参编单位：蚂蚁科技集团股份有限公司、阿里巴巴（中国）有限公司、AmberGroup、OPPO广东移动通信有限公司、湖北星纪魅族集团有限公司、奇安盘古（上海）信息技术有限公司、杭州用九智汇科技有限公司、联通数字科技有限公司、翼健（上海）信息科技有限公司、北京数牍科技有限公司、北京市金杜律师事务所、广联达科技股份有限公司、中兴通讯股份有限公司 参编人员：王丹阳、闫树、吕艾临、侯宁、王泽宇、张斯睿、白晓媛、郑昊旸、苏豫陇、冯坚坚、曾茜、彭晋、李世奇、黄吉鲲、胡恺健、杨晓丹、刘桃松、付艳艳、苏翔、朱玲凤、赵帅、刘隽乔、穆昭薇、崔玲龙、罗震、张霖涛、盛勤芬、金银玉、单进勇、宁宣凤、吴涵、徐梦悦、张婷、孙鹏、郭海生、王德政、薛勇 目录 一、隐私工程的起源：从隐私设计到隐私工程1 (一)隐私设计的产生和发展1 (二)隐私设计与隐私工程4 二、隐私工程的内涵：以隐私嵌入系统工程为核心6 (一)隐私工程的定义6 (二)隐私工程的目标8 (三)隐私工程的内容10 三、隐私工程的价值：企业隐私保护的必经阶段13 (一)监管趋势：隐私保护监管趋于精细化常态化13 (二)用户需求：个人信息主体权利保护成为隐私保护重点15 (三)企业发展：隐私保护助力企业合规高效发展16 四、隐私工程的实践：我国隐私工程实践探索18 (一)隐私工程体系建设流程参考18 (二)隐私工程体系建设架构参考32 (三)隐私工程体系建设建议43 五、结语46 参考文献47 图目录 图1隐私设计七大基本原则2 图2个人信息安全工程目标和《个人信息保护法》基本原则映射9 图3《个人信息安全工程指南》个人信息安全工程各阶段活动10 图4NIST隐私工程构成11 图5AmberGroup信息安全与隐私组织架构19 图6OPPO安全隐私保护组织架构20 图7AmberGroup信息安全与隐私管理体系文件融合架构21 图8蚂蚁i-ABC隐私工程体系隐私水位洞察域架构21 图9OPPO数据安全技术防御体系23 图10隐私影响评估域架构26 图11隐私影响评估策略管控26 图12隐私风险监测域架构32 图13技术驱动的i-ABC隐私工程体系33 图14阿里巴巴隐私工程框架35 图15数据流通隐私合规风险精细化管控系统37 图16OPPO隐私工程实践框架39 图17AmberGroup数据安全与隐私保护框架41 表目录 表1国内外隐私工程目标对比9 表2ISO/IEC27550:2019提出的覆盖系统生命周期的隐私工程流程12 表3隐私工程内容12 表4星纪魅族隐私工程流程27 一、隐私工程的起源：从隐私设计到隐私工程 (一)隐私设计的产生和发展 20世纪90年代，加拿大学者、加拿大渥太华省信息与隐私委员会前主席AnnCavoukian提出“隐私设计”理念，即PrivacybyDesign （“PbD”），该理念认为隐私不能仅靠遵守法规监管框架来保证，相反，保障隐私安全在理想情况下应当成为一种默认操作模式，对隐私的保护必须由产品设计师们以一种双赢的方式设计出来。双赢的设计策略应该使隐私保护目标与其他目标相互包容而非冲突、排斥，隐私设计应当贯穿始于采集、终于销毁的个人信息处理活动全生命周期。在此之前，隐私计算技术一度成为人们追捧的隐私保护解决方案，但随着隐私保护的法律原则和要求的发展，人们渐渐认识到隐私计算技术虽然能够通过数据最小化、数据可用不可见等方式帮助提升隐私保护安全，但无法实现将法律要求落地到系统上。因此，隐私设计理念提出将隐私计算技术的应用扩展为一套完整的隐私设计框架，主动将隐私保护嵌入信息技术、网络基础设施和商业实践中，并通过实践七项基本原则（如图1）来实现这种嵌入的隐私保护理念。 图1隐私设计七大基本原则 来源：CCSATC601 随着时间的推移，隐私设计理念及其原则逐渐被各国监管机构和国际组织所认可，并成为推动隐私保护发展的重要理论基础。2010年10月，国际数据保护和隐私委员会通过一致决议将隐私设计理论作为未来隐私保护至关重要的组成部分1。2018年生效的欧盟 《通用数据保护条例》（GeneralDataProtectionRegulation，“GDPR”）将隐私设计理念纳入第二十五条“DataProtectionbyDesignandbyDefault”中；2020年10月，欧洲数据保护委员会（EuropeanDataProtectionBoard，“EDPB”）发布了Guidelines4/2019onArticle25DataProtectionbyDesignandbyDefaultVersion2.0。该指南在对基于设计的数据保护和基于默认的数据保护需要考虑的相关要素进行分析后，提出了透明度、合法性、公平性、目的限制、数据最小化、准确性、存储限制、完整性和保密性、可问责性等原则，并针对每 132ndInternationalConferenceofDataProtectionandPrivacyCommissioners.Privacybydesignresolution,October2010.27-29October2010,Jerusalem,Israel. 个原则提供了具体的要素和示例解读供参考。 英国信息专员办公室（InformationCommissioner’sOffice）发布的GuidetoDataProtection自2017年以来持续更新，其中就“隐私保护设计”设专章，鼓励企业将隐私保护设计纳入现有的项目管理和风险管理方法和政策中。美国联邦贸易委员会（FederalTradeCommission）在2012年发布的报告2中提出以“隐私融入设计”“简化 的用户选择”“透明性”为三大原则的隐私框架。2022年6月3日，美国参议院和众议院发布的第一个获得两党两院支持的美国联邦全面隐私保护提案——《美国数据隐私和保护法》（AmericanDataPrivacyandProtectionAct）草案也将隐私融入设计原则放置在忠诚原则下进行了阐述。 此外，国际标准化组织（InternationalOrganizationforStandardization，“ISO”）在2023年1月还发布了ISO31700-1:2023 《消费者保护产品及服务中的隐私设计第一部分：高级要求》和ISO/TR31700-2:2023《消费者保护产品及服务中的隐私设计第二部分：实践案例》，从基本原则和应用实践两个层面推动消费者在产品和服务的购买、使用等整个生命周期中的隐私安全保护。 隐私设计的产生和发展标志着一种新的隐私保护范式的兴起，为更完善的隐私保护提供了新思路。同时，AnnCavoukian提出的隐私设计理念也面临着一些挑战，例如，企业管理层对于隐私保护的事后补救观念难以转变、设计和开发工程师需要有过硬的隐私保护 2ProtectingConsumerPrivacyinanEraofRapidChange:RecommendationsForBusinessesandPolicymakers 专业知识以选择合适的隐私保护架构和策略、业内尚未形成广泛共识的方法论等等。这些挑战也成了各国数据保护监管机构以及国际组织等持续讨论和研究的课题。 (二)隐私设计与隐私工程 隐私设计理念在提出后，获得了广泛认可。在随后的若干年里，也进行了一系列的演变和发展，诸多学者和权威机构提出了一系列经典理论和知识体系，如隐私风险建模、隐私影响评估、隐私工程设计策略、隐私设计模式等等，将隐私设计从理论推向实践，而其中很重要的一项发展就是隐私工程的诞生。由于隐私设计的七项基本原则较为抽象，业界一直致力于将该等原则具体化，形成一套可以直接指导实际研发并解决特定领域不同隐私需求的方法论，即隐私工程（PrivacyEngineering）。 隐私工程对于隐私保护监管和企业实践都有较强的指导意义。一方面，法律的更迭速度与技术的发展速度差距越来越大，引发了数据保护监管机构的担忧。欧盟网络和信息安全局（EuropeanUnionAgencyforCybersecurity，“ENISA”）指出，“欧盟各国数据监管机构缺乏有效和系统的能力去监管数据处理活动或者处罚违规行为”3；另一方面，隐私保护立法日趋严格但较为概括模糊，企业对如何证明其数据处理活动遵守隐私保护要求存在困惑，例如如何保证对法律概念和工程实践概念的理解保持一致，抽象的法律要求如何转化为精确的研发工程，不断更新迭代的系统如何保证持续合规等等。 3PrivacyandDataProtectionbyDesign-fromPolicytoEngineering 隐私工程通过梳理和总结隐私保护合规要求，将其转化为系统工程中的目标、策略、风险管理框架、组织管理和运营方法，为隐私保护要求提供了具象化的实践指引。 二、隐私工程的内涵：以隐私嵌入系统工程为核心 各国对隐私工程的探索各有侧重。欧盟GDPR直接将隐私设计原则纳入立法中，因此欧盟对于隐私工程的探索主要围绕如何将GDPR的原则性要求落地于实践展开讨论并提供指引。美国对于隐私工程的探索其核心目的与欧盟一致，都是针对如何将隐私保护的概括性原则和相关法律规定转化为系统工程的隐私要求并融入系统开发流程中。从形式上看，美国的隐私工程框架体系偏向于实用手册，更方便企业应用和实践。ISO和国际电工委员会（InternationalElectrotechnicalCommission，“IEC”）发布的国