隐私風險管理淺析

1.  近年(nián)來，随著(zhe)網絡的發展，信息化的普及，竊取他人隐私，**他人隐私的法規現象時有發生(shēng)，那什麽是隐私風險？隐私風險是指個(gè)人遇到(dào)的與其個(gè)人數據處理相(xiàng)關問題的可能(néng)性，以及這些問題一(yī)旦發生(shēng)所帶來的影響。隐私風險包括但不限于缺乏适當的技(jì)術(shù)性保障措施、社交媒體攻擊、移動惡意軟件(jiàn)、第三方非授權訪問、由于不當配置造成的疏忽、未按時更新的安全軟件(jiàn)等。本文借鑒了一(yī)些文章和參考了一(yī)些資料，筆者将分幾個(gè)層面對隐私風險管理進行闡述，本文先回顧下(xià)全球隐私保護立法趨勢，再讨論隐私風險管理的必要性，我們将淺析 ISO27701隐私風險管理标準。

2.  回顧下(xià)全球隐私保護立法趨勢

當今社會(huì)數據濫用、數據竊取、隐私洩露以及“大數據殺熟”等數據安全問題呈現爆發趨勢。在此背景下(xià)，全球各個(gè)國(guó)家紛紛頒布相(xiàng)關法律法規，對數據安全與隐私保護相(xiàng)關問題進行嚴格的規範與引導。比較重點的幾個(gè)隐私法律，如：

• 歐盟GDPR：歐盟于2018年(nián)5月(yuè)25日正式實施了《通(tōng)用數據保護條例》 (《General Data Protection Regulation》,簡稱《GDPR》)，是一(yī)項保護歐盟公民(mín)個(gè)人隐私和數據的法律，其适用範圍包括歐盟成員(yuán)國(guó)境内企業(yè)的個(gè)人數據、也包括歐盟境外企業(yè)處理歐盟公民(mín)的個(gè)人數據。
• 美國(guó)CCPA：美國(guó)已有多(duō)個(gè)州先在數據安全與隐私保護進行了立法，其中***的要數2018年(nián)6月(yuè)加州通(tōng)過《加州消費(fèi)者隐私法案》（ 《California Consumer Privacy Act》, 簡稱《CCPA》）。該法案被稱為(wèi)美國(guó)“*嚴厲和***的個(gè)人隐私保護法案”，将于2020年(nián)1月(yuè)1日生(shēng)效。
• 中國(guó)CSL：我國(guó)于2017年(nián)6月(yuè)1日正式實施《中華人民(mín)共和國(guó)網絡安全法》（通(tōng)常簡稱《網安法》）。《網安法》是我國(guó)首部**規範網絡空間安全管理方面問題的基礎性法律，包含的内容十分豐富，一(yī)共包括7章79條，包含網絡運行安全、關鍵信息基礎設施的運行安全、網絡信息安全等内容。值得關注的是，《網安法》在數據（包括個(gè)人信息）安全與保護上(shàng)也有諸多(duō)規定，例如第四十至四十五條。

3、  隐私風險管理的必要性

一(yī)般情況下(xià)，導緻隐私保護不合規的原因主要表現在幾方面：

隐私保護不合規造成的後果：

所以這就(jiù)體現了隐私風險管理的價值：

4.    隐私風險管理标準參考-淺析ISO27701

   聊到(dào)隐私就(jiù)不得不提及一(yī)個(gè)很重要的标準：ISO27701，那什麽是ISO27701？

ISO 27701 源自(zì) ISO/IEC 27552，為(wèi)建立、實現、維護和持續改進隐私信息管理系統 (PIMS) 提供具體要求和指南(nán)，令 PIMS 作為(wèi) ISO 27001 中定義的靈活信息安全管理系統 (ISMS) 的擴展，在信息安全的基礎上(shàng)将處理 PII 所需的隐私保護納入考慮。與 ISO 27001 标準類似， ISO 27701 不期望組織機(jī)構在所有情況下(xià)采納每一(yī)條控制。相(xiàng)反，該标準要求組織機(jī)構理解自(zì)身 PII 處理的具體上(shàng)下(xià)文，以适合其處理活動的方式調整特定控制集和與之相(xiàng)關的實現。

PII：個(gè)人可識别身份信息，指 任何可以識别PII主體的信息或直接或間接與PII主體相(xiàng)關的信息
PIMS：隐私信息管理體系
PII控制者的customer：與PII控制者有合約關系的組織，可以是共同控制者
PII處理者的customer：與PII處理者有合約關系的PII處理者

控制者和處理者。這兩個(gè)術(shù)語在很多(duō)隐私法律和規定中都能(néng)見(jiàn)到(dào)，包括 GDPR。通(tōng)常，“控制者” 是指示為(wèi)什麽要收集和處理 PII 的實體，“處理者” 是**該控制者負責處理此數據的另一(yī)個(gè)法律實體（非員(yuán)工(gōng)）。

新發布的标準适用于 PII 控制者（及聯合控制者）和處理者（包括下(xià)級處理者），無論其運營的行業(yè)和司法轄區，也包括到(dào) GDPR 和 SO/IEC 29100、ISO/IEC 27018 及 ISO/IEC 29151 安全框架的映射。預計 ISO 27701 要求還(hái)将映射到(dào)其他隐私法律，如《2018 加州消費(fèi)者隐私法案》(CCPA)、《金融服務現代化法案》(GLBA) 和《健康保險流通(tōng)與責任法案》(HIPAA) 等，通(tōng)過提供通(tōng)用的合規标準幫助組織機(jī)構更好地符合這些監管要求。

下(xià)面我們就(jiù)就(jiù)來看(kàn)看(kàn)适用于控制者和處理者的關鍵 ISO 27701 要求。

适用于控制者和處理者的要求

保密性：經授權訪問 PII 的個(gè)人必須履行保密協議。
分析風險：必須進行隐私風險評估以識别 PII 處理風險。
監管：組織機(jī)構必須指定負責開(kāi)發、實現、維護和監視其治理及隐私項目的個(gè)人。
培訓：可以訪問 PII 的人員(yuán)需經過隐私意識培訓。
内部過程：組織機(jī)構必須為(wèi)應對 PII 洩露事(shì)件(jiàn)而采納各種策略和規程，比如事(shì)件(jiàn)響應計劃。
記錄保存：ISO 27701 要求組織機(jī)構保留所有 PII 處理活動的記錄，包括 PII 在司法轄區間轉移和向第三方披露等。

特定于控制者的要求

隐私通(tōng)告：組織機(jī)構必須提供包含 PII 收集、使用和處理相(xiàng)關具體信息的隐私政策。
處理者合同要求：組織機(jī)構必須與其處理者簽訂書面合同，約定具體事(shì)項，比如保護 PII、限制處理操作*可在 PII 特定用途範圍内，以及提供 PII 洩露通(tōng)報(bào)。
個(gè)**益：ISO 27701 要求組織機(jī)構實現各種機(jī)制，賦予個(gè)人訪問、修改和删除其 PII，以及反對或限制 PII 處理等權益。
設計隐私與默認隐私：組織機(jī)構必須采取措施實現設計隐私和默認隐私原則。

特定于處理者的要求

處理限制：組織機(jī)構必須*按控制者或處理者（取決于客戶的角色）的說明處理 PII。
輔助個(gè)**益：ISO 27701 要求處理者實現幫助客戶遵從(cóng)個(gè)**益的種種措施。
轉移與披露：處理者必須于 PII 在司法轄區間轉移或任何預期變化發生(shēng)前通(tōng)告客戶。
分包商：ISO 27701 要求處理者*可雇傭一(yī)家分包商按照(zhào)客戶合同的條款處理 PII。

ISO 27701的目标是通(tōng)過對于隐私保護的控制實現對ISMS進行補充，使企業(yè)建立PIMS，實現有效的隐私管理，從(cóng)而使企業(yè)獲益。

ISO 27701與各标準之間的關系

a) ISO 27701是ISO 27001和ISO 27002在隐私方面的擴展。

b) ISO 27002為(wèi)ISO 27001提供風險處置具體的控制目标和控制措施。

c) ISO 29100、ISO 27018、ISO 29151均為(wèi)隐私方面的标準，有不同的側重點，與ISO 27701互為(wèi)補充。

d) ISO 27001幫助企業(yè)建立ISMS，通(tōng)過有效的風險管理來保護和管理組織的所有信息，從(cóng)數據安全方面滿足GDPR的部分要求。

e) ISO 27701加入了隐私保護的額外要求，更**地覆蓋了GDPR的要求。

無論組織機(jī)構的規模大小(xiǎo)，不管身為(wèi) PII 控制者還(hái)是處理者，公司企業(yè)都應考慮獲取 ISO 27701 認證，要麽是自(zì)身，要麽要求供應商獲得。對處理敏感或大量 PII 的處理者、下(xià)級處理者和聯合控制者而言尤其如此。

無論組織機(jī)構的規模大小(xiǎo)，不管身為(wèi) PII 控制者還(hái)是處理者，公司企業(yè)都應考慮獲取 ISO 27701 認證，要麽是自(zì)身，要麽要求供應商獲得。對處理敏感或大量 PII 的處理者、下(xià)級處理者和聯合控制者而言尤其如此。