隐私風險管理(lǐ)淺析

1.  近年來(lái)，随著(zhe)網絡的(de)發展，信息化(huà)的(de)普及，竊取他(tā)人(rén)隐私，**他(tā)人(rén)隐私的(de)法規現象時(shí)有發生，那什(shén)麽是隐私風險？隐私風險是指個(gè)人(rén)遇到的(de)與其個(gè)人(rén)數據處理(lǐ)相關問題的(de)可(kě)能性，以及這(zhè)些問題一旦發生所帶來(lái)的(de)影(yǐng)響。隐私風險包括但不限于缺乏适當的(de)技術性保障措施、社交媒體攻擊、移動惡意軟件、第三方非授權訪問、由于不當配置造成的(de)疏忽、未按時(shí)更新的(de)安全軟件等。本文借鑒了(le)一些文章(zhāng)和(hé)參考了(le)一些資料，筆者将分(fēn)幾個(gè)層面對(duì)隐私風險管理(lǐ)進行闡述，本文先回顧下(xià)全球隐私保護立法趨勢，再討(tǎo)論隐私風險管理(lǐ)的(de)必要性，我們将淺析 ISO27701隐私風險管理(lǐ)标準。

2.  回顧下(xià)全球隐私保護立法趨勢

當今社會數據濫用(yòng)、數據竊取、隐私洩露以及“大(dà)數據殺熟”等數據安全問題呈現爆發趨勢。在此背景下(xià)，全球各個(gè)國家紛紛頒布相關法律法規，對(duì)數據安全與隐私保護相關問題進行嚴格的(de)規範與引導。比較重點的(de)幾個(gè)隐私法律，如：

• 歐盟GDPR：歐盟于2018年5月(yuè)25日正式實施了(le)《通(tōng)用(yòng)數據保護條例》 (《General Data Protection Regulation》,簡稱《GDPR》)，是一項保護歐盟公民個(gè)人(rén)隐私和(hé)數據的(de)法律，其适用(yòng)範圍包括歐盟成員(yuán)國境内企業的(de)個(gè)人(rén)數據、也(yě)包括歐盟境外企業處理(lǐ)歐盟公民的(de)個(gè)人(rén)數據。
• 美(měi)國CCPA：美(měi)國已有多(duō)個(gè)州先在數據安全與隐私保護進行了(le)立法，其中***的(de)要數2018年6月(yuè)加州通(tōng)過《加州消費者隐私法案》（ 《California Consumer Privacy Act》, 簡稱《CCPA》）。該法案被稱爲美(měi)國“*嚴厲和(hé)***的(de)個(gè)人(rén)隐私保護法案”，将于2020年1月(yuè)1日生效。
• 中國CSL：我國于2017年6月(yuè)1日正式實施《中華人(rén)民共和(hé)國網絡安全法》（通(tōng)常簡稱《網安法》）。《網安法》是我國首部**規範網絡空間安全管理(lǐ)方面問題的(de)基礎性法律，包含的(de)内容十分(fēn)豐富，一共包括7章(zhāng)79條，包含網絡運行安全、關鍵信息基礎設施的(de)運行安全、網絡信息安全等内容。值得(de)關注的(de)是，《網安法》在數據（包括個(gè)人(rén)信息）安全與保護上也(yě)有諸多(duō)規定，例如第四十至四十五條。

3、  隐私風險管理(lǐ)的(de)必要性

一般情況下(xià)，導緻隐私保護不合規的(de)原因主要表現在幾方面：

隐私保護不合規造成的(de)後果：

所以這(zhè)就體現了(le)隐私風險管理(lǐ)的(de)價值：

4.    隐私風險管理(lǐ)标準參考-淺析ISO27701

   聊到隐私就不得(de)不提及一個(gè)很重要的(de)标準：ISO27701，那什(shén)麽是ISO27701？

ISO 27701 源自 ISO/IEC 27552，爲建立、實現、維護和(hé)持續改進隐私信息管理(lǐ)系統 (PIMS) 提供具體要求和(hé)指南(nán)，令 PIMS 作爲 ISO 27001 中定義的(de)靈活信息安全管理(lǐ)系統 (ISMS) 的(de)擴展，在信息安全的(de)基礎上将處理(lǐ) PII 所需的(de)隐私保護納入考慮。與 ISO 27001 标準類似， ISO 27701 不期望組織機構在所有情況下(xià)采納每一條控制。相反，該标準要求組織機構理(lǐ)解自身 PII 處理(lǐ)的(de)具體上下(xià)文，以适合其處理(lǐ)活動的(de)方式調整特定控制集和(hé)與之相關的(de)實現。

PII：個(gè)人(rén)可(kě)識别身份信息，指 任何可(kě)以識别PII主體的(de)信息或直接或間接與PII主體相關的(de)信息
PIMS：隐私信息管理(lǐ)體系
PII控制者的(de)customer：與PII控制者有合約關系的(de)組織，可(kě)以是共同控制者
PII處理(lǐ)者的(de)customer：與PII處理(lǐ)者有合約關系的(de)PII處理(lǐ)者

控制者和(hé)處理(lǐ)者。這(zhè)兩個(gè)術語在很多(duō)隐私法律和(hé)規定中都能見到，包括 GDPR。通(tōng)常，“控制者” 是指示爲什(shén)麽要收集和(hé)處理(lǐ) PII 的(de)實體，“處理(lǐ)者” 是**該控制者負責處理(lǐ)此數據的(de)另一個(gè)法律實體（非員(yuán)工）。

新發布的(de)标準适用(yòng)于 PII 控制者（及聯合控制者）和(hé)處理(lǐ)者（包括下(xià)級處理(lǐ)者），無論其運營的(de)行業和(hé)司法轄區(qū)，也(yě)包括到 GDPR 和(hé) SO/IEC 29100、ISO/IEC 27018 及 ISO/IEC 29151 安全框架的(de)映射。預計 ISO 27701 要求還(hái)将映射到其他(tā)隐私法律，如《2018 加州消費者隐私法案》(CCPA)、《金融服務現代化(huà)法案》(GLBA) 和(hé)《健康保險流通(tōng)與責任法案》(HIPAA) 等，通(tōng)過提供通(tōng)用(yòng)的(de)合規标準幫助組織機構更好地符合這(zhè)些監管要求。

下(xià)面我們就就來(lái)看看适用(yòng)于控制者和(hé)處理(lǐ)者的(de)關鍵 ISO 27701 要求。

适用(yòng)于控制者和(hé)處理(lǐ)者的(de)要求

保密性：經授權訪問 PII 的(de)個(gè)人(rén)必須履行保密協議(yì)。
分(fēn)析風險：必須進行隐私風險評估以識别 PII 處理(lǐ)風險。
監管：組織機構必須指定負責開發、實現、維護和(hé)監視其治理(lǐ)及隐私項目的(de)個(gè)人(rén)。
培訓：可(kě)以訪問 PII 的(de)人(rén)員(yuán)需經過隐私意識培訓。
内部過程：組織機構必須爲應對(duì) PII 洩露事件而采納各種策略和(hé)規程，比如事件響應計劃。
記錄保存：ISO 27701 要求組織機構保留所有 PII 處理(lǐ)活動的(de)記錄，包括 PII 在司法轄區(qū)間轉移和(hé)向第三方披露等。

特定于控制者的(de)要求

隐私通(tōng)告：組織機構必須提供包含 PII 收集、使用(yòng)和(hé)處理(lǐ)相關具體信息的(de)隐私政策。
處理(lǐ)者合同要求：組織機構必須與其處理(lǐ)者簽訂書(shū)面合同，約定具體事項，比如保護 PII、限制處理(lǐ)操作*可(kě)在 PII 特定用(yòng)途範圍内，以及提供 PII 洩露通(tōng)報。
個(gè)**益：ISO 27701 要求組織機構實現各種機制，賦予個(gè)人(rén)訪問、修改和(hé)删除其 PII，以及反對(duì)或限制 PII 處理(lǐ)等權益。
設計隐私與默認隐私：組織機構必須采取措施實現設計隐私和(hé)默認隐私原則。

特定于處理(lǐ)者的(de)要求

處理(lǐ)限制：組織機構必須*按控制者或處理(lǐ)者（取決于客戶的(de)角色）的(de)說明(míng)處理(lǐ) PII。
輔助個(gè)**益：ISO 27701 要求處理(lǐ)者實現幫助客戶遵從個(gè)**益的(de)種種措施。
轉移與披露：處理(lǐ)者必須于 PII 在司法轄區(qū)間轉移或任何預期變化(huà)發生前通(tōng)告客戶。
分(fēn)包商：ISO 27701 要求處理(lǐ)者*可(kě)雇傭一家分(fēn)包商按照(zhào)客戶合同的(de)條款處理(lǐ) PII。

ISO 27701的(de)目标是通(tōng)過對(duì)于隐私保護的(de)控制實現對(duì)ISMS進行補充，使企業建立PIMS，實現有效的(de)隐私管理(lǐ)，從而使企業獲益。

ISO 27701與各标準之間的(de)關系

a) ISO 27701是ISO 27001和(hé)ISO 27002在隐私方面的(de)擴展。

b) ISO 27002爲ISO 27001提供風險處置具體的(de)控制目标和(hé)控制措施。

c) ISO 29100、ISO 27018、ISO 29151均爲隐私方面的(de)标準，有不同的(de)側重點，與ISO 27701互爲補充。

d) ISO 27001幫助企業建立ISMS，通(tōng)過有效的(de)風險管理(lǐ)來(lái)保護和(hé)管理(lǐ)組織的(de)所有信息，從數據安全方面滿足GDPR的(de)部分(fēn)要求。

e) ISO 27701加入了(le)隐私保護的(de)額外要求，更**地覆蓋了(le)GDPR的(de)要求。

無論組織機構的(de)規模大(dà)小，不管身爲 PII 控制者還(hái)是處理(lǐ)者，公司企業都應考慮獲取 ISO 27701 認證，要麽是自身，要麽要求供應商獲得(de)。對(duì)處理(lǐ)敏感或大(dà)量 PII 的(de)處理(lǐ)者、下(xià)級處理(lǐ)者和(hé)聯合控制者而言尤其如此。

無論組織機構的(de)規模大(dà)小，不管身爲 PII 控制者還(hái)是處理(lǐ)者，公司企業都應考慮獲取 ISO 27701 認證，要麽是自身，要麽要求供應商獲得(de)。對(duì)處理(lǐ)敏感或大(dà)量 PII 的(de)處理(lǐ)者、下(xià)級處理(lǐ)者和(hé)聯合控制者而言尤其如此。