近年,guojibiaozhun化组织(ISO)制订了多项与个人身份/隐私信息保护相关的guojibiaozhun,以指导帮助需要对用户个人信息进行搜集、处理、传输、使用和存储的企业,在开展业务时,既满足合规性要求又能规避信息安全风险和相关的法律风险。本文基于对隐私信息安全有关guojibiaozhun的研究以及标准在企业具体运用的实践经验,探讨分析各相关标准关于个人身份/隐私信息的有关要求,以为不同的企业组织在选择标准时提供指导。
一、信息安全管理的基础性标准
人们在注册使用各种APP或在银行、电信公司、医院办理各项业务时,经常需要填写一些个人信息,包括姓名、身份证号、护照号、手机号、住址等,在某些情况下,还可能涉及健康状况、婚姻状况、学历、收入、家庭背景等隐私信息。《民法典》第一百一十一条规定,自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。2021年8月颁布的《个人信息保护法》,使得个人身份信息受到法律保护,而对于那些需要对用户个人信息进行搜集、处理、传输、使用和存储的企业,则更是明确对个人身份/隐私信息保护的法律责任以及合规性要求。
目前已有不少企业基于ISO/IEC27001:2013《信息安全 信息技术 信息安全管理体系要求》建立了信息安全管理体系,该标准以PDCA的过程方法和基于风险的思维模式,引导企业通过风险评估去识别、分析和评价在开展业务过程中各项信息资产所面临的风险,从而制订风险处置措施将风险控制在企业可接受的范围内。而ISO/IEC27002:2013则是根据业内良好实践,针对信息资产在其生命周期中可能会面临的各种风险,分类、归纳、了共14个控制域、35项控制目标和114项控制措施,为企业建立和运行信息安全管理体系以实现其控制目标提供了不可或缺的指导。以上两个标准仅仅是信息安全管理领域的通用和基础标准,个人身份/隐私信息作为数据资产中一项特殊资产,还有其特殊的保护要求。
二、关于个人身份/隐私信息的特殊保护要求
在信息安全管理体系中实现对个人身份信息的保护,需满足ISO/IEC 29100:2011《信息技术 安全技术 隐私框架》中所列举的11项隐私原则,即:同意和选择、合法性和规范的目的、收集限制、数据Zui小化、使用、保留和披露限制、准确性和质量、公开、透明和通知、个人参与和访问、可核查性、信息安全以及隐私合规性。对比《个人信息保护法》,可以非常容易地发现,这些原则与个人信息保护法中的要求非常一致。
针对个人隐私保护,guojibiaozhun化组织先后发布了多项标准,ISO/IEC27701:2019《隐私信息管理体系 要求和指南》、ISO/IEC27018:2019《个人身份信息(PII)处理者在公有云中保护PII的实践指南》、ISO/IEC29151:2017《信息技术 安全技术 个人身份信息保护实践指南》,为企业在业务过程中对用户的个人身份/隐私信息的保护提供了附加要求和指导,下面分别加以具体说明:
(一)ISO/IEC 27701
ISO/IEC 27701:2019标准包含了ISO/IEC 27001正文的所有条款以及ISO/IEC27002中所列举的所有控制措施,重点考虑了PII的隐私保护,针对PII控制者和PII处理者提供额外的控制要求,并在其控制域增加了关于PII隐私的实施指南,具体体现在以下几个方面:
将ISO/IEC 27001和ISO/IEC 27002标准中信息安全相关的术语全部替换为隐私信息管理。
在ISO/IEC27002所列举的114项控制中对其中的35项补充增加了PII的特殊控制指南,例如:在职责权限方面要指定专人就PII的处理进行联络;针对可移动介质的管理,强调当介质承载了PII信息时,要对介质进行加密处理。
第三,增加了与ISO/IEC29100中11项隐私原则相对应的控制项,体现在收集和处理的条件、对PII主体的义务、设计的隐私和默认的隐私、PII共享、传输和披露这4个方面,针对PII控制者的控制要求和指南有31项,针对PII处理者的控制要求和指南有18项。
(二)ISO/IEC 29151
该标准同样是基于ISO/IEC 27002在个人身份信息保护方面的拓展。与ISO/IEC 27701不同的是,ISO/IEC29151标准的制订有国际电信联盟电信标准分局ITU-T的参与和合作,ISO/IEC 29151也作为ITU-TX.1058建议书进行发布。
从标准的适用范围看,该标准仅适用于PII控制者,而不像ISO/IEC27701那样对PII的控制者和处理者分别提出了要求和指南。
在控制措施方面,ISO/IEC 29151对ISO/IEC 27002中的37项控制进行了拓展;在附录A中增加了与ISO/IEC29100中11项隐私原则相对应的25项控制,与ISO/IEC27701的附加控制有许多相似的地方。该标准的结构中未包含ISO/IEC 27001正文部分,企业必须结合ISO/IEC27001标准一起使用。反观ISO/IEC 27701标准,其内容包含了ISO/IEC27001标准正文全部内容,其标准已经自成完整的隐私信息管理体系。
(三)ISO/IEC 27018
该标准是个人身份信息(PII)处理者在公有云中保护个人身份信息的实用规则,该标准适用于为客户提供PII处理的云服务提供商。该标准在ISO/IEC27002:2013的114项控制基础之上,针对其中的信息安全策略、信息安全角色、职责和权限、信息安全意识、教育和培训、访问控制、密码技术、运行安全、通信安全、合规性等25项控制提出了特殊的控制要求。一方面是针对PII提出了特殊防护,另一方面是针对云计算模型的信息处理提出了特别的备份、事态日志访问控制等特殊控制指南。在此114项控制措施之外,ISO/IEC27018附录A还针对ISO/IEC29100的11项隐私原则增加了22项特定的控制措施,以确保公有云服务商在PII处理过程中PII信息得到妥善管理和维护。
与ISO/IEC 29151类似,该标准的正文结构也仅仅包含了ISO/IEC 27002的控制,而没有包含ISO/IEC27001正文的体系建立的过程方法,企业必须结合ISO/IEC 27001标准一起使用。
三、相关领域审核实践案例
笔者审核了多家企业与个人身份/隐私信息保护相关的信息安全管理体系,看到企业越来越重视在业务活动中的个人身份/隐私信息的保护,但也发现,由于对标准的理解不到位,体系建立和实施过程中仍然存在这样那样的误解和疏漏。
案例一:一家企业在申请时提出的业务范围是系统集成,这是企业的主营业务。但在审核中了解,系统集成的过程中并不会涉及客户的隐私信息,并且所集成的系统也大部分不会用于存储和处理隐私信息。经过审核员与企业沟通后了解到,企业还有一项非主营业务,为某一个企业客户提供服务台服务。该服务过程中,服务台人员会接触到大量甲方用户的个人信息。客户要求企业获得隐私信息管理的资质证书,以证明其承接业务的能力。企业希望证书的应用面更加广泛,就选择公司的主营业务作为认证范围。在审核员的建议下,企业变更了认证申请范围,使其更加贴合企业业务的实际需要。
案例二:一家企业强调其业务是To B而非To C的模式,在根据ISO27701建立体系时,删掉了针对PII控制者的所有条款,而仅仅保留了PII处理者的条款。一阶段审核过程中笔者登录其业务网站以一名普通客户的身份进行了注册和登录,发现在注册时需要输入姓名、手机号、邮箱等个人信息,身份证信息为选填项。笔者与企业沟通了解,企业是对公业务,但注册时仍然会收集客户企业联系人的个人信息,也允许个人爱好者注册网站试用其软件,现阶段收集到的个人信息数据已有几万条。在这种情况下,企业作为PII控制者的责任不能被删减排除。经与企业沟通,其认识到了体系建立的偏差,对SoA进行了修订。
案例三:一家企业在其发布的隐私政策中只讲明了搜集用户个人信息的用途,但却没有明示如果服务终止,客户如何要求进行个人信息的删除或返还。审核中开具不符合,企业对隐私策略进行了修订和整改。
