大数据时代的到来,为我们带来了空前的便利,随着大数据在各个领域的渗透逐渐加深,个人隐私泄露的风险也愈加严重。
-“先生您好,最近贷款需要吗?
-“您好,我们这里有一个新开的楼盘…”
-“请问您家小孩需要辅导班吗?”
-…
骚扰电话和推广短信已然成为智能手机的标配。我们的手机号码,又是被谁、怎样泄露出去的呢?
近几年互联网应用层出不穷,大数据、云计算快速发展,人们在网络上留下的个人印记越来越多。通过对人们留在互联网上的痕迹进行采集、挖掘、提炼与分析之后,每个人的精准画像都被毫无保留地完整暴露在了网络世界中。
一、 隐私保护的重要性被不断强调,ISO/IEC 27701标准也随之出台
威胁重重,数据滥用、数据窃取、隐私泄露以及“大数据杀熟”等数据安全问题呈现爆发趋势。
在此背景下,全球各个国家纷纷颁布相关法律法规,对数据安全与隐私保护相关问题进行严格的规范与引导。
如欧盟保护个人数据的《General Data Protection Regulation》 (GDPR);美国的 《California Consumer Privacy Act》(CCPA)等。
1. GDPR
欧盟于2018年5月25日正式实施了《通用数据保护条例》 (《General Data Protection Regulation》,简称《GDPR》),是一项保护欧盟公民个人隐私和数据的法律,其适用范围包括欧盟成员国境内企业的个人数据、也包括欧盟境外企业处理欧盟公民的个人数据。
2. CCPA
美国已有多个州先在数据安全与隐私保护进行了立法,其中最著名的要数2018年6月加州通过《加州消费者隐私法案》( 《California Consumer Privacy Act》, 简称《CCPA》)。该法案被称为美国“最严厉和最全面的个人隐私保护法案”,将于2020年1月1日生效。
3. 网络安全法
我国于2017年6月1日正式实施《中华人民共和国网络安全法》(通常简称《网安法》)。《网安法》是我国首部全面规范网络空间安全管理方面问题的基础性法律,包含的内容十分丰富,一共包括7章79条,包含网络运行安全、关键信息基础设施的运行安全、网络信息安全等内容。值得关注的是,《网安法》在数据(包括个人信息)安全与保护上也有诸多规定,例如第四十至四十五条。
同时,ISO标准委员会也以ISO 27001为基准,以ISO 27552为蓝本,建立了ISO 27701标准。
二、ISO/IEC 27701标准介绍
1. 关键术语解释:
PII:个人可识别身份信息,指 a) 任何可以识别PII主体的信息或 b) 直接或间接与PII主体相关的信息
PIMS:Privacy Information Management System,隐私信息管理体系
Customer:
PII控制者的customer:与PII控制者有合约关系的组织,可以是共同控制者
PII处理者的customer:与PII处理者有合约关系的PII控制者
与PII处理的分包商有合约关系的PII处理者
2. ISO 27701结构组成
ISO 27701是ISO 27001和ISO 27002在隐私方面的扩展,并为隐私保护提供了除ISO 27001和ISO 27002之外的额外的指导。全文共分为8个章节及6个附录,主要的要求和指导内容集中在第5-8章。
其中第5章介绍了ISO 27001中延伸出的关于PIMS的扩展要求以及本标准对PIMS的附加要求,第6章则介绍了ISO 27002中对PIMS的扩展及附加要求,这两章的内容对PII控制者和处理者均适用,行文结构和控制域与原标准一致,包含ISO 27002共14个控制域、114个控制项。
第7章为专门针对PII控制者的额外指导内容,共31个控制项,第8章则为针对PII处理者的额外指导内容,共18个控制项,这两章均从PII的收集和处理,对PII主体的义务,Privacy by design & Privacy by default,PII的共享、传输和披露四个方面作出相应规定。
总体而言,本标准通过第5章和第6章将ISO 27002与附加的PIMS控制项通过ISO 27001中PDCA的方式导入体系,形成完整的信息安全和隐私管理体系。此外,第7章和第8章从数据生命周期的角度新增分别针对PII控制者和处理者的控制要求。同时,附录中还将本标准与GDPR、ISO 29100、ISO 27018及ISO 29151进行了映射。
3. ISO 27701与各标准之间的关系
a) ISO 27701是ISO 27001和ISO 27002在隐私方面的扩展。
b) ISO 27002为ISO 27001提供风险处置具体的控制目标和控制措施。
c) ISO 29100、ISO 27018、ISO 29151均为隐私方面的标准,有不同的侧重点,与ISO 27701互为补充。
d) ISO 27001帮助企业建立ISMS,通过有效的风险管理来保护和管理组织的所有信息,从数据安全方面满足GDPR的部分要求。
e) ISO 27701加入了隐私保护的额外要求,更全面地覆盖了GDPR的要求。
4. ISO 27701 VS ISO 27001 & 27002
本标准基于ISO 27001和ISO 27002,在应用本标准时,应将原ISO 27001及ISO 27002中的“信息安全”替换为“信息安全和隐私”。本标准中仅列出替换后仍需说明的额外PIMS相关要求。
ISO 27002 中共14个控制域,每个控制项中包含控制措施、实施指南和其他信息。将所有“信息安全”替换为“信息安全和隐私”后,除了“业务连续性管理的信息安全方面”的控制域,ISO 27701对ISO 27002中控制域中的实施指南和其他信息均有额外的补充,但控制措施均延续ISO 27002的控制措施(仅将“信息安全”替换为“信息安全和隐私”)
5. ISO 27701 VS GDPR
ISO 27701的认证能在极大程度上表明组织符合GDPR的要求。根据附录D ISO 27701与GDPR适用条款(Article 4-42, 44-49)之间的映射关系,通过对比GDPR的原条款,发现ISO 27701覆盖了绝大部分GDPR的要求,仅个别GDPR的条款未被ISO 27701覆盖,条款涉及的主要内容如下:
Article 14 个人数据还未从数据主体处获得时(数据控制者)应提供的信息 (5)(a):数据控制者应当向数据主体提供所规定提供给数据主体的信息,除非数据主体已获知相关信息
Article 23 限制:欧盟或成员国法律可以通过立法手段限制本法第12条至第22条和第34条规定的权利义务范围
Article 35 数据保护影响评估 (6):此段针对监管机构,规定了在给出数据保护影响评估相关清单时需应用一致性机制的场景
Article 36 事先咨询 (4):数据保护影响评估表明在数据控制者缺乏减轻风险的措施会导致高风险时,数据控制者应当在处理前向监管机构咨询
尽管根据ISO 27701和GDPR的映射来看,GDPR的内容基本均在ISO 27701中有所体现,但仍不能认为ISO 27701可以作为表明完全符合GDPR的全球性认证。主要是由于通用性的国际标准无法完全符合某个国家或地区具体的法律法规。由于ISO 27701为国际通用地标准,某些要求仅通用性地指出应遵守某些适用地法律法规,未包含具体地规定,而GDPR则明确指出具体地要求
例1:对于儿童个人数据收集方面的规定
GDPR:明确指出对于不满16周岁的儿童,处理行为只有或至少在获得了该儿童的监护人的同意或授权时才是合法的,年龄界限可依据特定目的调整,但不得低于13周岁。
ISO 27701:对某些类型的数据收集(例如用于科学研究)和某些类型的PII主体(例如儿童)可能有额外的要求。组织应考虑此类要求并记录同意的机制如何满足这些要求。
例2:向监管机构报告个人数据泄露
GDPR:数据控制者应当自发现之时起72小时内,按照第55条的规定将个人数据泄露的情况报告监管机构。
ISO 27701:一些司法管辖区对违规响应实施了具体规定,包括通知。在这些司法管辖区运营的组织应确保他们能够证明遵守这些法规。
此外,个别术语的定义和具体要求的颗粒度也有所不同。
6. ISO 27701 VS ISO 29151
ISO 27701分别对个人可识别信息控制者和个人可识别信息处理者进行规范和指导并基于ISO 27001和ISO 27002的各个领域,从管理体系的角度并遵循PDCA的理念,而ISO 29151则是个人身份信息保护的实践指南,它主要是基于ISO 27002的各个域中加入了PII的事实指南,并引入了ISO 29100十一大隐私保护原则,可以说ISO 27701和ISO 29151都是ISO 29100的细化体现,ISO 27701满足了ISO 29151的要求,并且从体系角度给予了充分的展示与要求。
三、ISO/IEC 27701标准重点解读
ISO 27701嵌套在ISO 27000系列中,并要求符合ISO 27001标准。ISO 27701扩展了ISO 27001的要求,在原有管理、实施、操作、监控、审查和不断改进ISMS的流程基础上,着重考虑了对于企业所持有PII的隐私保护。同时ISO 27701对ISO 27002实施指南中的隐私性进行了解释和扩展,除业务连续性以外的所有控制域均增加了关于PII隐私的实施指南。ISO 27701分别从PII控制者和PII处理者的角度,补充说明了收集和处理PII的条件、对PII主体的隐私保护义务、Privacy by design and privacy by default以及PII共享、转移和披露的相关要求。
ISO 27701在对ISO 27001/27002的扩展要求中,除将“信息安全”替换为“信息安全和隐私”外,同时扩展了相关控制域中的控制项。
ISO 27701 5.4规划中指出,组织应在PIMS范围内应用信息安全风险评估流程来识别有可能会造成机密性、完整性和可用性丧失的相关风险;组织应在PIMS范围内应用隐私风险评估流程来识别与PII处理相关的风险;组织应在整个风险评估过程中确保信息安全与PII保护之间的关系得到适当管理。组织可以根据自身PIMS情况,对信息安全和隐私保护进行统一流程的综合评估,也可以根据实际需要采用独立的流程进行分别评估。
ISO 27002 6.3信息安全组织中指出,组织应指定一个联系人处理客户的相关PII事务;当组织是PII控制者时,需为PII主体指定PII联系人负责相关流程;同时组织应指定一名或多名负责制定、实施、维护和监督组织范围内治理以及隐私计划的人员,以确保处理PII相关事务时的合规性。负责人应酌情考虑a) 独立并直接向组织的适当管理层报告,以确保有效管理隐私风险;b) 参与管理与处理PII有关的所有问题;c) 成为数据保护立法,监管和实践方面的专家;d) 充当监管机构的联络点;e) 告知顶级管理层和组织员工在处理PII方面的义务;f) 就组织进行的隐私影响评估提供建议。要求组织需要根据自身角色配置响应的PII管理专职人员。
ISO 27701中第7章和第8章分别对PII控制者和处理者的评估增加了额外指导,包括收集和处理PII的条件等控制域。增加该章节可以明确标准对于PII控制者和处理者收集和处理PII的条件的限定范围,目的是使组织可以根据适用的司法管辖区的法律依据,以明确定义的、合法目的,确定并记录PII处理是合法的,且具有法律依据。标准明确需要通过识别和记录PII处理目的、确定合法依据、确定何时以及如何获得许可、获取并记录许可、隐私影响评估、与PII处理者签署合同、明确联合PII控制者、维护与处理PII有关的记录8个方面对PII控制者进行管理和评估,通过客户协议、组织目的、营销和广告使用、侵权指令、客户义务、与处理PII有关的记录6个方面对PII处理者进行管理和评估。该额外指导内容要求组织在明确自身身份的基础上,开展对收集与处理PII的条件相关的管理建设。
ISO 27701的目标是通过对于隐私保护的控制实现对ISMS进行补充,使企业建立PIMS,实现有效的隐私管理,从而使企业获益。
1. 通过明确对PII控制者和处理者的隐私保护要求,可以使企业明确隐私保护管理合规目标,减轻企业合规负担的同时降低企业合规风险,ISO 27701标准附件D中明确表示,单个隐私控制点可以满足GDPR中的多项要求。
2. 实现持续的个人隐私安全合规对于任何企业都是一个安全治理的课题,ISO 27701通过建立PIMS,可以确保组织高级管理层、企业所有者以及关键相关方的利益满足隐私保护要求,从而使组织实现长期、持久的个人隐私安全合规。
3. PIMS认证可以向企业客户或合作伙伴传达隐私合规价值。PII控制者通常会要求PII处理者提供相关证据,从而证明PII处理者的隐私管理体系符合适用的隐私管理要求。通过得到授权的第三方机构对PII处理者进行审计验证,基于国际标准的统一证据框架可以极大地降低合规沟通成本,这种合规透明度的提高对于企业战略和业务决策至关重要,同时PIMS认证也有助于向公众传达企业的可信度。
四、ISO/IEC 27701的实践指导意义
伴随着数字时代的到来,数字化信息处理日趋普遍。对于PII处理而言,人们在享受数字化所带来的诸多便利同时,也面临着由PII数字化所带来的风险。信息数字化在企业发展过程中对节约企业成本和达到有效管理起到了积极的作用,另一方面,伴随着全球信息化和网络进程的发展,与此相关的个人隐私保护和信息安全问题也日趋严重。
《ISO/IEC 27701,安全技术-扩展的ISO/IEC 27001和ISO/IEC 27002-隐私信息管理要求和指南》的发布,填补了目前隐私信息管理体系的空白,将隐私保护的原则、理念和方法,融入到信息安全保护体系中,并且对PII控制者和PII处理者进行了较为详细且落地性强的规定,细化了隐私信息管理的要求,给企业在隐私保护和信息安全方面给出了指导建议。作为一个国际通用的隐私信息管理工具,能够有效的协助企业对对隐私风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平,并建立隐私保护体系,从管理与技术等多方面出发,从而使企业满足国内外的监管合规要求。同时,隐私信息管理体系的建设,一定程度上也是企业隐私保护能力的一种体现,能够增强企业与消费者、合作伙伴甚至是监管部门的相互信任。
声明:本文来自ATLAS Academy,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
