隱私框架標準ISO/IEC 29100 介紹

謝宗曉 董坤祥 甄杰

1 概述

ISO/IEC 29100：2011《信息技術 安全技術 隱私框架》1）（Information technology — Security techniques — Privacy framework）發布于2011年12月，該標準在2017年評審之后，仍然有效。但在2018年6月發布了ISO/IEC 29100：2011/Amd 1：2018 《信息技術 安全技術 隱私框架 修改1：說明》（Information technology—Security techniques—Privacy framework—Amendment 1： Clarifications），該說明只有4頁。

正式重新發布的版本則標識為ISO/IEC 29100：

2011+A1：2018。由于該版本較新，而且其中還用符號細致標識了與2011版的區別，因此在本文介紹中，直接討論該版本。

ISO/IEC 29100：2011+A1：2018主要給出了一個隱私保護的框架，它在本質上是通用的，并將組織、技術和規程方面放在整體隱私框架中。隱私保護框架旨在通過定義常用的隱私術語、界定處理PII的行動者及其角色以及參考已知的隱私原則，幫助組織在ICT環境中確立他們的隱私防護要求2）。

2 標準架構

除了前言和引言，ISO/IEC 29100：2011+A1：2018的正文共有5章，以及一個資料性附錄。

第1章為“范圍”，該標準與ISO/IEC 27701：2019等不同，不僅適用于“所有類型和規模的組織”，還適用于自然人。第2章為“術語和定義”，其中定義了27個術語，這些術語在ISO/IEC 27701：2019中都被引用，其中個人可識別信息（personally identifiable information，PII）、PII違反、PII主體、PII控制者和PII處理者等詞匯并不容易理解，也不常用。第3章為“符號和縮略語”。

第4章和第5章包含了該標準的主要內容，其中第4章介紹了隱私框架的基本要素，但其中并不是一個流程性框架，而是一個要素集合;第5章給出了隱私處理應該普遍遵循的11條原則。

該標準的附錄A為資料性附錄，對于隱私的詞匯和ISO/IEC 27000標準族的詞匯進行了映射，這種對照表在ISO/IEC 27701：2019的附錄F中更為詳細，其中還給出了細化的示例，更具備參考價值。

3 隱私框架的基本要素

第4章為“隱私框架的基本要素”。第1節中開門見山地給出了隱私框架的組件，表1是隱私框架的基本要素與標準章節的對應情況。

表1 隱私框架基本要素

參與者及其角色（4.2）是對術語中的PII主體、PII控制者、PII處理者以及第三方進行的解釋說明，交互（4.3）則描述了可能的8種場景，這4種參與者之間可能出現的PII流，即作為PII提供者還是PII接收者出現。

認識PII（4.4）是對個人可識別信息（PII）的詳細解釋，并給出了詳細的示例表。除了討論了最基本的原則，例如，標識符、其他可區別特征和可鏈接至PII主體的信息，該節中也介紹了假名數據、元數據、未經請求的PII和敏感PII等不同的類型。

隱私防護要求（4.5）將主要的影響因素分為4類，分別為：1）法律法規因素;2）合同因素;3）業務因素;4）其他因素。具體如圖1所示。

注意，在圖1 中，用到了隱私風險管理的概念，只是根據ISO GUIDE 73對“風險管理”的定義，提出了相應的要求，與ISO/IEC 27001：2013中對風險管理的要求，情況基本一致，例如，要求建立環境（context），要求有風險評估和風險處置的步驟，以及溝通和評審等環節。在ISO/IEC 29100：2011+A1：2018的參考文獻中，列出了ISO 310003）。

隱私策略（4.6）經常被用來指內部和外部隱私策略。內部隱私策略記錄組織為滿足與PII處理相關的隱私保護要求而采取的目標、規則、義務、限制和/或控制。外部隱私策略是向組織的外部人員提供組織隱私實踐的通知，以及其他相關信息，如PII控制者的身份和官方地址、PII主體可以從中獲得額外信息的聯絡點等。在ISO/IEC 29100的框架中，術語“隱私策略”用于指組織的內部隱私策略，外部隱私策略稱為通知。同時要注意的是，隱私策略的制定者也特別指明是最高管理者（the top management）。

隱私控制（4.7）的邏輯與ISO/IEC 27001：2013基本是一致的，即控制的選擇源于隱私防護要求，其中包括隱私風險評估（privacy risk assessment，PIA）的結果。在標準中也特別指出：風險管理是這一過程中的核心方法，隱私控制的識別也應該是組織信息安全管理框架的一個組成部分。

4 隱私原則

第5章為“ISO/IEC 29100的隱私原則”。在

第1節中列出了11個原則，隱私原則的應用可能會受到社會、文化、經濟等因素的限制，尤其是不同的文化對于“什么是隱私”的理解存在較大的差異，以至使這個概念顯得比較主觀。但是，標準正文中認為，即便如此，組織也應該應用其中的所有原則，并對原則的例外情況加以說明。表2給出了這些原則與標準章節的對應。

（1）“同意”與“選擇”原則指的是處理之前須獲得PII主體的同意，在取得同意之前，向PII主體提供由“公開、透明與通知”原則（原則第7條）所示的信息，并讓其明白同意與不同意的區別，同時，PII主體的選擇應該是自由的、具體的和有知識的。這導致PII主體的同意并不構成處理PII的充分法律依據（例如，未經父母或監護人批準而給予未成年人的同意）。

（2）“目的合法性與規范”意味著處理的目的應該是符合法律法規要求的，當出現新的目的時，則應告知PII主體并啟動“同意與選擇”原則（原則第1條）重新獲得同意。對于敏感PII（在標準4.4.7中定義）需要特別的法律依據或授權。如處理PII的目的不符合法律要求，則不能夠進行。

（3）“收集限制”是非常重要的原則，在國內存在很大的隱患。遵循這一原則應該將PII的收集限制在適用法律范圍內，并為特定目的而嚴格需要的范圍內。PII控制人一般都期望收集額外的信息，目前可以參考《APP違法違規收集使用個人信息自評估指南》和《中央網信辦、工業和信息化部、公安部、市場監管總局關于開展APP違法違規收集使用個人信息專項治理的公告》5）等文件。

（4）“數據最小化”與“收集限制”密切相關，又有所延伸。“收集限制”是指所收集的數據與指定用途有關的限制，而“數據最小化”則嚴格地將PII的處理最小化，例如，采用“需要知道（need-to-know）”原則，盡可能使用或提供不涉及識別PII主體的交互和交易作為默認選項，從而降低可鏈接性等。

（5）“使用、保留和披露限制”需要將PII的使用、保留和披露（包括轉讓）限制在為實現具體、明確和合法的目的所必需的范圍內。如果在必須保留的情況下，則應該考慮之后的安全銷毀和匿名化（anonymization）等手段。注意，匿名化和假名化（pseudonymization）不同，假名化實際依然保留了可鏈接性（linkable）。

（6）“準確性與質量”指確保處理的PII準確、完整、最新、足夠及相關等，并應該考慮在處理前的可靠性，建立規范的程序，確保準確性和質量，定期檢查收集和存儲PII的準確性和質量。對于準確性和質量的控制應該形成一整套的體系。

（7）“公開、透明與通知”，首先意味著向PII主體提供有關處理PII的策略、規程及實踐的清晰及容易查閱的各種信息，這可能包括正在處理PII的事實、處理PII的目的、可能向其披露PII的隱私利益相關者的類型，以及PII控制者的身份，包括如何聯系PII控制者的信息，當然也包括重大變動。

（8）“個體參與和訪問”主要指給予PII主體查閱PII的能力，同時在訪問時，PII控制者應用適當的控制，以確保PII主體嚴格訪問其自己的PII，而不是其他PII主體的PII。該條原則意味著容許PII主體對PII的準確性與完整性（原則第6條）提出質疑，并在適當情況下，將其修訂、更正或刪除。

（9）“可核查性”主要與PII處理的保護義務相關。與PII處理有關的策略、規程及實踐應該指定特定的負責人，在內部也應該建立PII主體的投訴機制。還應該注意，建立賠償程序是建立可核查性（問責制）的重要組成部分。

（10）“信息安全”在該標準中是作為一個原則出現的，具體而言，在運營、功能及策略層面，以適當的控制，保障PII受其監管，以確保PII的完整性、保密性及可用性，并在整個生命周期內，保障PII免受未經授權的查閱、損毀、使用、修改、披露或遺失等風險。該原則不需要贅述。

（11）“隱私符合性”這個原則與ISO/IEC 27001：2013也比較類似，主要是指加強審計和內部控制等，旨在建立這樣的一套機制，以保持持續的合規狀態。這點與識別隱私防護要求時考慮的法律、法規和合同等因素有所不同。

5 小結

總之，ISO/IEC 29100：2011雖然稱為隱私的“框架”，但是整個標準與平時所理解的框架并不是很相符，例如，美國國家標準與技術研究院（NIST）的風險管理框架（Risk Management Framework，RMF），而是主要定義了諸多的詞匯，并給出了一系列的原則。其中所定義的詞匯被其他標準直接引用，所確定的原則也為ISO/IEC 27701：2019等提供了基礎。同時，由于隱私保護和信息安全存在太多的交叉，因此在ISO/IEC 29100：2011中，關于隱私控制并沒有展開。

（注：本文僅做學術探討，與作者所在單位觀點無關）