近年,國際標準化組織(ISO)制訂了多項與個人身份/隱私信息保護相關的國際標準,以指導幫助需要對用戶個人信息進行搜集、處理、傳輸、使用和存儲的企業,在開展業務時,既滿足合規性要求又能規避信息安全風險和相關的法律風險。本文基于對隱私信息安全有關國際標準的研究以及標準在企業具體運用的實踐經驗,探討分析各相關標準關于個人身份/隱私信息的有關要求,以為不同的企業組織在選擇標準時提供指導。
一、信息安全管理的基礎性標準
人們在注冊使用各種APP或在銀行、電信公司、醫院辦理各項業務時,經常需要填寫一些個人信息,包括姓名、身份證號、護照號、手機號、住址等,在某些情況下,還可能涉及健康狀況、婚姻狀況、學歷、收入、家庭背景等隱私信息。《民法典》第一百一十一條規定,自然人的個人信息受法律保護。任何組織或者個人需要獲取他人個人信息的,應當依法取得并確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。2021年8月頒布的《個人信息保護法》,使得個人身份信息進一步受到法律保護,而對于那些需要對用戶個人信息進行搜集、處理、傳輸、使用和存儲的企業,則更是明確對個人身份/隱私信息保護的法律責任以及合規性要求。
目前已有不少企業基于ISO/IEC 27001:2013《信息安全 信息技術 信息安全管理體系要求》建立了信息安全管理體系,該標準以PDCA的過程方法和基于風險的思維模式,引導企業通過風險評估去識別、分析和評價在開展業務過程中各項信息資產所面臨的風險,從而制訂風險處置措施將風險控制在企業可接受的范圍內。而ISO/IEC 27002:2013則是根據業內良好實踐,針對信息資產在其生命周期中可能會面臨的各種風險,分類、歸納、總結了共14個控制域、35項控制目標和114項控制措施,為企業建立和運行信息安全管理體系以實現其控制目標提供了不可或缺的指導。但是,以上兩個標準僅僅是信息安全管理領域的通用和基礎標準,個人身份/隱私信息作為數據資產中一項特殊資產,還有其特殊的保護要求。
二、關于個人身份/隱私信息的特殊保護要求
首先,在信息安全管理體系中實現對個人身份信息的保護,需滿足ISO/IEC 29100:2011 《信息技術 安全技術 隱私框架》中所列舉的11項隱私原則,即:同意和選擇、合法性和規范的目的、收集限制、數據最小化、使用、保留和披露限制、準確性和質量、公開、透明和通知、個人參與和訪問、可核查性、信息安全以及隱私合規性。對比《個人信息保護法》,可以非常容易地發現,這些原則與個人信息保護法中的要求非常一致。
此外,針對個人隱私保護,國際標準化組織先后發布了多項標準,ISO/IEC 27701:2019《隱私信息管理體系 要求和指南》、ISO/IEC 27018:2019《個人身份信息(PII)處理者在公有云中保護PII的實踐指南》、ISO/IEC 29151:2017《信息技術 安全技術 個人身份信息保護實踐指南》,為企業在業務過程中對用戶的個人身份/隱私信息的保護提供了附加要求和指導,下面分別加以具體說明:
(一)ISO/IEC 27701
ISO/IEC 27701:2019標準包含了ISO/IEC 27001正文的所有條款以及ISO/IEC 27002中所列舉的所有控制措施,同時重點考慮了PII的隱私保護,針對PII控制者和PII處理者提供額外的控制要求,并在其控制域增加了關于PII隱私的實施指南,具體體現在以下幾個方面:
首先,將ISO/IEC 27001和ISO/IEC 27002標準中信息安全相關的術語全部替換為隱私信息管理。
其次,在ISO/IEC 27002所列舉的114項控制中對其中的35項補充增加了PII的特殊控制指南,例如:在職責權限方面要指定專人就PII的處理進行聯絡;針對可移動介質的管理,強調當介質承載了PII信息時,要對介質進行加密處理。
第三,增加了與ISO/IEC 29100中11項隱私原則相對應的控制項,體現在收集和處理的條件、對PII主體的義務、設計的隱私和默認的隱私、PII共享、傳輸和披露這4個方面,針對PII控制者的控制要求和指南有31項,針對PII處理者的控制要求和指南有18項。
(二)ISO/IEC 29151
該標準同樣是基于ISO/IEC 27002在個人身份信息保護方面的拓展。與ISO/IEC 27701不同的是,ISO/IEC 29151標準的制訂有國際電信聯盟電信標準分局ITU-T的參與和合作,因此ISO/IEC 29151同時也作為ITU-T X.1058建議書進行發布。
從標準的適用范圍看,該標準僅適用于PII控制者,而不像ISO/IEC 27701那樣對PII的控制者和處理者分別提出了要求和指南。
在控制措施方面,ISO/IEC 29151對ISO/IEC 27002中的37項控制進行了拓展;同時,在附錄A中增加了與ISO/IEC 29100中11項隱私原則相對應的25項控制,與ISO/IEC 27701的附加控制有許多相似的地方。此外,該標準的結構中未包含ISO/IEC 27001正文部分,因此企業必須結合ISO/IEC 27001標準一起使用。反觀ISO/IEC 27701標準,其內容包含了ISO/IEC 27001標準正文全部內容,其標準已經自成完整的隱私信息管理體系。
(三)ISO/IEC 27018
該標準是個人身份信息(PII)處理者在公有云中保護個人身份信息的實用規則,該標準適用于為客戶提供PII處理的云服務提供商。該標準在ISO/IEC 27002:2013的114項控制基礎之上,針對其中的信息安全策略、信息安全角色、職責和權限、信息安全意識、教育和培訓、訪問控制、密碼技術、運行安全、通信安全、合規性等25項控制提出了特殊的控制要求。一方面是針對PII提出了特殊防護,另一方面是針對云計算模型的信息處理提出了特別的備份、事態日志訪問控制等特殊控制指南。在此114項控制措施之外,ISO/IEC 27018附錄A還針對ISO/IEC 29100的11項隱私原則增加了22項特定的控制措施,以確保公有云服務商在PII處理過程中PII信息得到妥善管理和維護。
與ISO/IEC 29151類似,該標準的正文結構也僅僅包含了ISO/IEC 27002的控制,而沒有包含ISO/IEC 27001正文的體系建立的過程方法,因此企業必須結合ISO/IEC 27001標準一起使用。
三、相關領域審核實踐案例
筆者審核了多家企業與個人身份/隱私信息保護相關的信息安全管理體系,看到企業越來越重視在業務活動中的個人身份/隱私信息的保護,但同時也發現,由于對標準的理解不到位,體系建立和實施過程中仍然存在這樣那樣的誤解和疏漏。
案例一:一家企業在申請時提出的業務范圍是系統集成,這是企業的主營業務。但在審核中了解,系統集成的過程中并不會涉及客戶的隱私信息,并且所集成的系統也大部分不會用于存儲和處理隱私信息。經過審核員與企業溝通后了解到,企業還有一項非主營業務,為某一個企業客戶提供服務臺服務。該服務過程中,服務臺人員會接觸到大量甲方用戶的個人信息。因此,客戶要求企業獲得隱私信息管理的資質證書,以證明其承接業務的能力。企業希望證書的應用面更加廣泛,就選擇公司的主營業務作為認證范圍。在審核員的建議下,企業變更了認證申請范圍,使其更加貼合企業業務的實際需要。
案例二:一家企業強調其業務是To B而非To C的模式,因此在根據ISO 27701建立體系時,刪掉了針對PII控制者的所有條款,而僅僅保留了PII處理者的條款。一階段審核過程中筆者登錄其業務網站以一名普通客戶的身份進行了注冊和登錄,發現在注冊時需要輸入姓名、手機號、郵箱等個人信息,身份證信息為選填項。筆者與企業進一步溝通了解,雖然企業是對公業務,但注冊時仍然會收集客戶企業聯系人的個人信息,同時也允許個人愛好者注冊網站試用其軟件,現階段收集到的個人信息數據已有幾萬條。在這種情況下,企業作為PII控制者的責任不能被刪減排除。經與企業溝通,其認識到了體系建立的偏差,對SoA進行了修訂。
案例三:一家企業在其發布的隱私政策中只講明了搜集用戶個人信息的用途,但卻沒有明示如果服務終止,客戶如何要求進行個人信息的刪除或返還。審核中開具不符合,企業對隱私策略進行了修訂和整改。
綜上所述,可見建立和實施個人身份/隱私信息相關的信息安全管理體系,在助力企業提升業務活動與信息安全的融合方面起到非常重要的作用。企業在建立個人身份/隱私信息相關的信息安全管理體系時,應結合自身的業務過程和需求來進行策劃和選擇,如果企業是PII的控制者,例如銀行、電信、網商等企業,ISO/IEC 27701和ISO/IEC 29151均可參考;如果企業是作為PII的處理者,例如為銀行、電信、網商等提供信息平臺建設和維護的企業,則選取ISO/IEC 27701.如果企業是充當PII處理者的公有云提供商,則ISO/IEC 27018是不錯的選擇。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
