国家标准《个人信息安全影响评估》公开征求意见
国家标准《信息安全技术 个人信息安全影响评估指南》
(征求意见稿)编制说明
一、 任务来源
2017年3月,在信安标委会议周,云计算及大数据特别工作组讨论会议上,一致同意编制《个人信息安全影响评估指南》。本标准为自主制定标准,标准由颐信科技有限公司牵头,中国电子技术标准化研究院、深圳市腾讯计算机系统有限公司、华为技术有限公司、全知科技有限公司、北京信息安全测评中心、四川大学网络空间安全研究院、中国信息通信研究院、阿里巴巴(北京)软件服务有限公司、蚂蚁金服公司、陕西信息安全测评中心、国家金融IC卡检测中心等参与编制,归口单位为全国信息安全标准化技术委员会(简称信息安全标委会,TC260)。
二、 编制背景
随着社会的进步和科技的发展,用户个人信息安全问题日渐凸显。过度收集个人信息、对个人信息进行二次开发利用以及个人信息交易等严重侵犯用户隐私的现象时有发生,诉诸法律诉讼的案件和官司缠身的网络公司不胜枚举。如何保护用户信息,采用何种方式保护,已经成为维护用户个人信息安全需要首先考虑的问题。根据中国互联网协会发布的《2016中国网民权益保护调查报告》,84%的网民曾亲身感受到由于个人信息泄露带来的不良影响。从2015年下半年到今年上半年的一年间,我国网民因垃圾信息、诈骗信息、个人信息泄露等遭受的经济损失高达915亿元。近年来,警方查获曝光的大量案件显示,公民个人信息的泄露、收集、转卖,已经形成了完整的黑色产业链。
然而,数据、信息已经成为我国实现经济转型升级的基础性资源。“十三五”规划纲要明确提出要“牢牢把握信息技术变革趋势,实施网络强国战略,加快建设数字中国,推动信息技术与经济社会发展深度融合,加快推动信息经济发展壮大”。在实施国家大数据战略这一章中,“十三五”规划纲要指出要“把大数据作为基础性战略资源,全面实施促进大数据发展行动,加快推动数据资源共享开放和开发应用,助力产业转型升级和社会治理创新。”习近平主席指出,“网络安全和信息化是一体之两翼、驱动之双轮”。数据安全是信息化持续推进的基本前提。对此,“十三五”规划纲要提出要“建立大数据安全管理制度,实行数据资源分类分级管理,保障安全高效可信应用。实施大数据安全保障工程,加强数据资源在采集、存储、应用和开放等环节的安全保护,加强各类公共数据资源在公开共享等环节的安全评估与保护,建立互联网企业数据资源资产化和利用授信机制。加强个人信息保护,严厉打击非法泄露和出卖个人数据行为。”因此面向未来,具备科学性、有效性、可操作性的个人信息保护框架和模式成为落实“十三五”规划纲要要求的重要保障。
《网络安全法》的发布,对个人信息保护也做出专门规定:网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;网络运营者不得泄露、篡改、毁损其收集的个人信息;任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息,并规定了相应法律责任。
在落实国家政策和法律要求,切实有效地降低个人信息处理过程中的安全风险,推动数字经济长促发展的大背景下,制定和完善个人信息安全标准体系是有力的抓手,其中规范有效地实施个人信息安全风险评估更是个人信息安全要求落地的关键。
(2)项目必要性分析
个人信息安全及开展个人信息安全风险评估的重要性在前面有充分的阐述,在此节不予重复介绍,针对项目本身的必要性进行分析如下:
本标准是《个人信息安全规范》标准落地的有力抓手,是完善我国个人信息安全保护标准体系的关键环节。
在2016年制定的重点标准《个人信息安全规范》(征求意见稿)中,“5.2节开展安全风险评估”中对个人信息安全风险评估有具体的要求,包括建立个人信息安全风险管理制度,评估个人信息处理活动对个人信息主体的影响,评估的主体内容,定期(至少每年一次)开展个人信息安全风险评估,出具个人信息安全风险评估报告等要求。《个人信息安全规范》通篇有20多处提及开展个人信息安全风险评估工作,其重要程度可见一斑。《个人信息安全规范》为了加快促进标准落地应用,于附件D中提供了个人信息安全风险评估的简单框架,但评估框架在指导实施个人信息安全风险评估中的作用有限,迫切需要对该方面以标准形式给予更科学、更专业、一致性的指导,促进个人信息安全风险评估取得实效,便于监管机构用于检查和监督《个人信息安全规范》的落地,从而支撑我国《网络安全法》的实施工作。
此外,《个人信息安全规范》可以看作我国个人信息安全领域的基础标准,与ISO/IEC 29100隐私保护系列标准相比,我国对于该领域的标准研究和制定仅仅算是刚刚开始,从急需急用的原则分析,个人信息安全风险评估工作最易成为有效抓手,因此,加快制定《个人信息安全风险评估指南》工作,既照顾了实际需求,又为我国个人信息安全标准体系的完善向前推进了一大步。
个人信息安全风险评估与传统信息安全风险评估方法不同,需要深入研究和准确把握,以提升评估价值。从风险评估的形式来看,信息安全风险评估的理念和方法已经非常成熟,获得了很高的认可度和广泛的应用。从表面上来看,个人信息本身也具备保密性(C)、完整性(I)、可用性(A)三大特征,所以可适用传统信息安全风险评估的方法,使用资产、威胁、脆弱性分析的方式进行评估。
但是,除个人信息自身安全因素外,个人信息处理行为也会同样带来风险,且处理行为正是《个人信息安全规范》标准所强调的重点要求,因此其风险评估最终关注的是个人信息处理行为对用户权益产生的影响,比如个人信息的不当处理可能危害个人人身和财产安全、损害个人名誉和身心健康、导致歧视性待遇等。这些影响层面和传统信息安全风险评估对资产、组织利益的关注完全不同,因此其实施方法和思路有所不同。
正因为个人信息既具备传统信息安全特性,又具备其特有的性质,实施个人信息安全风险评估的过程会比以往更复杂。虽然隐私影响评估(Privacy Impact Assessment)相关的方法在国际标准和其他国家标准中有大量体现、各国实践中也得到大量应用,但往往在这两者之间的边界、操作方式等方面有所含糊,也导致了评估方法不统一,评估效果受到影响。以 ISO/IEC 29134《隐私影响评估》为例,其既套用了传统风险评估中威胁、脆弱性等概念,又提及合规性评估等方法兼顾个人信息处理行为,最终的举例中更倾向于评估个人信息因传统安全问题带来的风险,如保密性、完整性、可用性受到破坏,对个人权益的影响考虑偏少;也有组织评估是直接采用合规差距分析的方法,只分析与法律法规、标准等的差距,不分析对个人权益造成的影响,容易出现评估目的错位的情况。
个人信息安全风险评估的方法论是一个难点问题,这与个人信息安全管理本身的复杂性密切相关,本标准将充分参考已有优秀标准,研究实践案例,梳理个人信息安全风险评估过程中的关键要素,积极创新,争取形成概念清晰、逻辑明朗、指导意义强的标准,一方面更好地指导国内组织落实评估工作,另一方面争取在全球隐私安全评估领域迎头赶上,树立行业标杆。
个人信息安全风险评估是平衡个人信息应用领域发展和安全的重要举措。个人信息保护工作的复杂性,往往体现在个人信息边界的模糊性,动态性,个人信息处理活动的广泛性,个体认识的差异性等方面,如果对其简单进行理想化、原则性的完全保护,会大大制约基于数据的信息化产业发展,这正是个人信息安全工作最大的矛盾和争议,而风险管理的思路为解决这个问题提供了可能。只要处理个人信息就不可能没有风险,实施有效的个人信息安全风险评估,及时整改高风险、中风险问题,适当接受低风险问题,一方面个人权益得到了最大程度的保护,另一方面也大大减轻了组织负担,在个人信息的处理过程中保留了适当的灵活度,降低了对业务的影响。毕竟,不管法律法规、政策、标准其制定的核心目的是为了保护个人权益不受侵害,而不是机械式地落实其要求而不谈保护效果,否则可能适得其反,既没有保护好个人信息,又制约了组织的发展,因此开展个人信息安全风险评估将是组织平衡发展和安全策略的重要工具,非常有必要从标准角度对此工作做详细规范性的指导。
在2016年4月19日召开的网络安全和信息化工作座谈会上,习近平总书记提出了“以人民为中心”的网信发展思想,并做出了“网络安全为人民、网络安全靠人民”的重要指示。2016年,《信息安全技术 个人信息安全规范》标准制定项目在全国信息安全标准化技术委员会立项,被列为重点标准项目,《个人信息安全规范》标准强调展开个人信息安全影响影响评估工作,旨在发现、处置和持续监控个人信息处理过程中的安全风险。个人信息安全影响评估与传统信息安全风险评估不同,其评估的风险是指对个人权益造成的损害,评估对象、评估方法均有所不同,国际上针对个人信息安全风险评估有大量专门的标准和指南,而我国尚无对个人信息主体权益影响进行评估的指导文件,制定该指南标准,将是推动个人信息保护工作深入落地,提升保护水平的有效途径。
三、编制原则
《个人信息安全影响评估指南》通过借鉴国外立法和标准的研究,结合国内应用实践和标准编制组的科研成果,提出与国际标准接轨、适合我国国情,并具有一定创新性的“PIA”标准。为组织、监管部门、第三方测评机构等开展评估工作提供的指导和依据。
本标准的编制遵循以下原则:
(1) 先进性:标准反映当今个人信息保护的先进技术水平;
(2)开放性:标准的编制、评审与使用具有开放性;
(3)适应性:标准结合我国国情;
(4)简明性:标准易于理解、实现和应用;
(5)中立性:公正、中立,不与任何利益攸关方发生关联;
(6)一致性:术语与国内外标准所用术语最大程度保持一致。
四、工作过程简要说明
1、2017年3月,在云计算及大数据特别工作组讨论会议上,一致同意编制《个人信息安全影响评估指南》,对个人信息安全影响评估方法、应用、政策和标准进行调研分析,确定标准化需求。
2、2017年5月初,成立正式的个人信息安全影响评估指南标准编制组,标准由颐信科技有限公司牵头,中国电子技术标准化研究院、深圳市腾讯计算机系统有限公司、华为技术有限公司、全知科技有限公司、北京信息安全测评中心、四川大学网络空间安全研究院、中国信息通信研究院、阿里巴巴(北京)软件服务有限公司、蚂蚁金服公司、陕西信息安全测评中心等组成标准编制组。
3、2017年7月,在中国电子技术标准化研究院召开第一次标准编制组工作会议,对标准编制背景、标准化内容等进行了深入讨论,确定了标准编制工作机制,确定了标准编制提纲。
4、2017年9月,标准编制组按照参与单位提供的资料汇总形成了国家标准《信息安全技术 个人信息安全影响评估指南》初步草案。
5. 2017年10月16日,标准编制组在全国信息安全标准化技术委员会2017年第二次工作组厦门会议周进行工作汇报,工作组成员单位对标准草案提出了建议和意见。会议决定维持标准草案状态,继续完善。
6.2017年12月20日,在中国电子技术标准化研究院召开第二次标准编制组工作会议,对标准存在的问题和意见进行了修改,并对草案需增加的内容进行了安排。
7. 2018年3月26日,在中国电子技术标准化研究院召开第三次标准编制组工作会议,再次完善了标准草案内容。
8. 2018年4月14日,标准编制组在全国信息安全标准化技术委员会2018年第一次工作组武汉会议周进行工作汇报,将标准推进到征求意见稿状态。
五、标准结构和内容说明
本标准主要内容分为6个章节,分别针对个人信息安全影响评估的原理和框架、评估流程、评估的具体实施方式进行了详细的说明,资料性附录中给出了评估过程使用的判定准则和工具表。
个人信息安全影响评估是个人信息控制者实施风险管理的重要组成部分,旨在发现、处置和持续监控个人信息处理过程中的安全风险。一般情况下,个人信息控制者必须在收集和处理个人信息前开展个人信息安全影响评估,明确个人信息保护边界,根据评估结果实施适当的安全控制措施,降低收集和处理个人信息的过程对个人信息主体权益造成的影响;另外,个人信息控制者还需按照要求定期开展个人信息安全影响评估,根据业务现状、威胁环境、法律法规、标准要求等情况持续修正个人信息保护边界,调整安全控制措施,使个人信息处理过程处于风险可控的状态。
《个人信息安全影响评估指南》的核心思路是针对个人信息处理活动,评估可能对个人权益造成的影响以及风险,影响主要包括四个方面:
一是,影响个人自主决定权,比如被强迫执行不愿执行的操作、无法更正错误上传的个人信息、无法选择推送广告的种类、被蓄意推送影响个人价值观判断的资讯;
二是,引发差别性待遇,比如隐私信息(疾病、婚史、种族等)泄露造成的歧视、故意设置个人福利、资格、权利的差别等;
三是,个人名誉受损或遭受精神压力,比如公开不愿为人知的事实(生活习惯、以往经历等),被频繁骚扰、监视追踪等;
四是,个人财产受损或遭受人身伤害,比如账户被盗、遭受诈骗、被勒索恐吓、限制自由等。
本标准主要结构如下:
评估的原理和框架
评估流程
评估实施
附录A个人信息安全影响评估参考方法
附录B个人信息安全影响评估常用工具表
参考文献
六、与相关法律法规及国家有关规定、国内相关标准的关系
2012年4月工信部直属中国软件测评中心联合30多家单位起草的《信息安全技术、公共及商用服务信息系统个人信息保护指南》已通过评审并报国家标准化管理委员会批准。这是目前我国唯一的个人信息保护国家标准。2016年,《个人信息安全规范》标准制定项目在全国信息安全标准化技术委员会立项,被列为重点标准项目,从更专业、更全面的角度对个人信息安全管理工作提出要求,为加强我国个人信息安全工作解了燃眉之急。《个人信息安全规范》已经正式发布,标准号为GB/T 35273-2017。
本标准是《个人信息安全规范》的配套标准,研究过程中将借鉴美、欧等国家和地区在个人信息安全风险评估(国际上习惯称为隐私影响评估(PIA))方面最新的法律规定、制度设计、实践做法,以国内现有立法、行政法规、标准要求为出发点,提出科学有效符合、信息化发展需要、具有明确实施指导意义的个人信息安全风险评估指南。
七、 重大分歧意见的处理经过和依据
详见标准意见汇总处理表。
八、 国家标准作为强制性国家标准或推荐性国家标准的建议
建议本标准作为推荐性国家标准发布实施。
九、 贯彻国家标准的要求和措施建议(包括组织措施、技术措施、过渡办法等内容)
本标准规定了个人信息安全影响评估的基本概念、框架、方法和流程,并提出了特定场景下进行评估的具体方法。
本标准适用于各类组织自行开展个人信息安全影响评估工作。同时为国家主管部门、第三方测评机构等开展个人信息安全监管、检查、评估等工作提供的指导和依据。
十、 其他事项说明
本标准不涉及专利。
《个人信息安全影响评估指南》
国家标准编制组
接下来为标准文本。点击“阅读原文”跳转至全国信安标委相关页面。