数据律师的商业秘密，80%在这个标准里暴露了

原创周杨享法互联网JoyLegal

2024-08-25

前言

2019年6月25日，北京的炎夏，空气质量差。密不透风的傍晚时分，全国信息安全标准化技术委员会公布了包括《信息安全技术信息系统密码应用基本要求》、《信息安全技术个人信息安全规范》在内8项国家标准的征求意见稿【https://mp.weixin.qq.com/s/fvdYMGMOTDpcxs9T6qNeUA】。

瞬间手机里的各种微信群都开始铺天盖地的轰炸，大家奔走相告，“《个人信息安全规范》又出新篇！”“各大律所又要进入不眠夜”。在逐个查看标准内容的过程中，我突然发现了这枚深水炸弹——《信息安全技术个人信息安全工程指南》征求意见稿（下称“《工程指南》”）——他几乎将数据合规律师80%的具体工作方法进行了详细描述。在此之前，这个标准中的绝大多数内容都是我们向客户提供具体数据合规法律服务的服务方案，尤其是将数据合规的现有法规规定和风险控制工作贯穿至产品和服务的设计环节并由具备专业个人信息保护知识的专业律师、公司法务进行最终审核签发。这个工作流程饱含了本律师团队多年个人数据保护的实践经验，也吸纳了现有国际上可行的一些先进的工作方法，是团队引以为豪的智慧结晶。如今，被我们视为像眼睛一样去保护的珍贵的方法论，竟被《工程指南》无情公开。

尽管内心愤懑不甘，但从行业发展的角度来看，我们不得不承认《工程指南》带来的积极意义。从实践经验来看，数据合规项目中的一大难点在于法律团队、产品团队和信息安全团队的工作配合。由于各自专业领域和业务目标存在巨大差异，各团队具有天然的冲突。以用户注册为例，产品团队希望能够尽量简化流程，减少用户操作步骤，避免潜在用户的流失，而对于法律团队而言，在注册步骤中的提示、弹出页面非常重要，用户的主动勾选也是用户表达其真实意思表示的可靠方法，而在信息安全团队的视野中，则更为关注相关信息收集后的存储和权限，如果产品团队收集了过多的个人信息，则信息安全团队后台的工作任务和工作难度将会随之增加。从目前发布的《工程指南》征求意见稿的内容来看，《工程指南》作为一项「实施类指南」，试图以标准的形式，从制度层面出发将各团队之间的工作配合方式作出协调和指导，同时，《工程指南》对于如何将现有法规和标准落实到具体的系统和软件的设计开发程序中也提出了具有很强实践意义的意见。

《工程指南》编制背景

《工程指南》的标准编制工作于2018年4月立项，7月正式启动，牵头单位为中国电子技术标准化研究院，参与编制的单位均为国内头部的高科技企业、律师事务所及信息安全公司。除上文所述的对国内业界工程实践中的业务、法律和信息安全工作的经验总结外，《工程指南》参考了国际和国外有关隐私工程、隐私技术框架的研究成果，如：

ISO/IEC 27550《系统生命周期的隐私工程》
ISO/IEC 29101《隐私架构框架》
ISO/IEC 29151《个人可标识信息保护实用规则》
ISO/IEC 27552《ISO/IEC 27001和27002的隐私管理补充 – 要求和指南》
NISTIR 8062《联邦系统中的隐私工程和风险管理》

《工程指南》框架内容

重要术语

《工程指南》将个人信息安全工程进行了首次定义，即，“也称为隐私工程（privacy engineering），是将个人信息保护关注点整合到系统和软件生命周期过程的工程实践中。

适用范围

标准描述了个人信息安全工程目标，给出了在需求分析、产品设计、产品开发、测试审核、发布部署、运行维护等系统工程阶段的个人信息保护实施指南。

标准适用于涉及个人信息的网络产品和服务，为其在需求、设计、开发、测试等系统工程阶段开展个人信息保护实践提供指导。

目标

透明性（Transparency）：确保信息系统中个人信息处理活动达到足够的透明度，其目标是使个人信息主体、控制者和处理者等相关方了解个人信息保护的风险。

可管理性（Manageability）：提供对个人信息的细粒度控制，确保个人信息主体、控制者、处理者等相关方能够适当干预信息系统的个人信息处理过程。

不可关联性（Disassociability）：采取措施对个人信息去标识或匿名化处理，减少个人信息链接到个人信息主体引起的安全风险。

工程阶段

隐私团队植入

标准在实际应用所需的基础上，对网络服务和产品的开发活动作出明确的阶段划分。每一个阶段的工作中，标准均设置了其倡导设立的个人信息保护相关团队（“隐私保护相关团队”）的工作方法和目标，力图将隐私保护工作紧密焊接至网络产品和服务的开发流程中。

流程阶段	需求分析	产品设计	产品开发	测试审核	发布部署
活动	流程活动	需求触发	需求设计	隐私编码实现	测试用例	发布准备
需求分析及评估	设计检查及评估	安全编码	安全和隐私测试	发布评审
需求确定	第三方SDK/插件安全	安全整改	安全部署
隐私评审	隐私相关团队参与隐私评审

关键节点控制

在每一个工程阶段中，《工程指南》均采用关键节点控制的方式从流程上控制个人信息安全，此类要求意味着法律合规和信息安全合规工作将全面嵌入产品开发工作。《工程指南》设置的核心的关键节点包括：

输入物控制
角色职责
控制活动步骤
输出物控制

评估控制

《工程指南》倡导网络产品和服务根据实际情况需要同步开展个人信息安全影响评估工作，而不局限于具体的工程阶段。例如：在需求阶段，启动个人信息安全影响评估，完成相关要素的识别工作；在设计阶段，输出对产品个人信息保护设计方案的评估结果；在测试审核阶段，对产品实际个人信息保护情况进行验证和测试；在发布部署阶段，对个人信息安全影响评估相关文档进行评审签发。此类评估控制的随机性体现了《工程指南》对个人信息保护的深刻理解。显然，《工程指南》将个人信息安全影响评估（PIA）、个人信息安全风险评估（PRA）手段更加细致具体地前置于网络产品和服务的需求和设计阶段，从根源上控制网络服务和产品在收集和处理个人信息方面可能存在的风险。安全设计重点《工程指南》的整体逻辑显示其最为重视的工程阶段为产品设计阶段。《工程指南》为此特意在第7部分罗列了产品设计阶段的重点设计考虑点，重点设计考虑点显示了《工程指南》对《个人信息安全规范》所关注的重点的落实，对产品的具体设计者（开发人员）而言更具有落地操作的参考性。重点设计考虑点包括：

考虑隐私政策的合规性和透明度

告知同意的渠道、效果和交互方式

用户权益保障的设计中确保技术上能够实现用户行权

产品权限的颗粒度区分

第三方插件/SDK的合作原则

定向推送保障用户退出机制

身份鉴别和访问控制中的个人信息保护技术实现策略

个人信息加密在存储和传输时的技术保障措施

密钥管理设计

个人信息采集的风险评估机制

监测审计的具体对象及监测审计的范围和方式

个人信息去标识的范围、方式和目标

《工程指南》亮点

首创隐私保护相关团队，将法律、产品、信息安全部门的工作紧密且有机的进行了结合，肯定了各方工作对个人信息保护的积极意义

从网络服务和产品的生命周期对个人信息保护建议了具体的方法论，流程的设计贴合现行通用的网络服务和产品的开发流程，是一部操作性较强的实施类指南

重视产品设计阶段的个人信息保护风险控制，并从标准的高度出发，对各主要行业（金融、医疗健康、电子商务、社交网络）现有的个人信息保护工程安全考虑要点进行了总结（附录B），实操性进一步加强

贴近产品开发团队的落地需求，提供了《个人信息安全设计策略和参考架构》（附录C），提出了具体的技术保障手段，如建议了“k-匿名”、“差分隐私”等具体的去标识化手段，并提供了个人信息安全参考架构图

后记

《工程指南》是信安标委根据《网络安全法》的授权和倡议制定的一部实施指南。得益于这部指南，客户终于能够直观地体会到数据律师工作的艰辛。在个人信息保护项目的法律服务内容中，出具《隐私政策》以及起草保密协议只是浩瀚的律师工作中九牛一毫，前期大量的信息收集和分析工作，和产品团队对产品设计的反复沟通、要求乃至妥协，和信息安全团队对系统字段的探查、对于数据存储和加密的技术的学习、了解，才是考验数据合规律师的专业能力、知识储备、学习能力和沟通能力的部分。

《工程指南》公布的方法论，也仅限于网络产品和服务在开发设计流程中个人信息保护工作的原则性指导。如何进一步细化工作安排，平衡客户和用户之间的利益，是《工程指南》尚未谈及的空白。同时，面对已经发布的不可胜数的现有网络产品和服务，应当如何在产品运营过程中进行全面整改，如何为行驶中的跑车更换轮胎，亦是《工程指南》不能覆盖的部分。当然了，这也是我们尚可保密的「智力活动的规则和方法」。

访问文末左下角点击“阅读原文”获取更多相关内容

或点击以下二维码1秒解锁更多独家法律知识问答。

▼长按下方二维码，获取更多知识▼

关于享法

享法互联网法律团队主要创始人均来自国内著名互联网公司的法务部，依托于北京德和衡律师事务所，享法致力于为高科技创新型公司提供贴心实用的一站式法律管家服务。自成立至今，我们已为近百家公司提供了多样化服务。

享法围绕数据安全，电子商务，网络游戏，视频直播，互联网金融融资等互联网行业领域提供更具互联网思维的产品技术合规，融资并购以及新三板挂牌等法律服务，同时也针对企业的内部股权安排、劳动人事以及员工激励等开发了更实用优惠的专项打包法律服务。

请关注我们的微博：享法互联网法律

往期好文回顾

区块链与GDPR的冲突与协调

从比特大陆上市看加密货币产业的全球监管

以链治链：杨东评全球首部区块链技术监管法规-网信办区块链信息服务管理规定

“刷单炒信”的全方位法律解读