隱私影響評(píng)估（PIA）的發(fā)展及ISO/IEC 29134:2017實(shí)施探討

謝宗曉 董坤祥 甄杰

1 從公平信息實(shí)踐到隱私保護(hù)

隱私一般被定義為個(gè)體控制其個(gè)人信息收集和使用的能力。隱私合規(guī)在不同的國(guó)家或地區(qū)都很重要，但是也略有不同。例如，在歐洲多以統(tǒng)一立法的形式出現(xiàn)，在美國(guó)則是不同的行業(yè)有不同的要求[1]。縱觀世界各國(guó)及地區(qū)的隱私立法，原則大同小異，大多可以追溯到“公平信息實(shí)踐（fair information practices，F(xiàn)IPs）”。

FIPs運(yùn)動(dòng)起源于19世紀(jì)60年代晚期的歐洲，在美國(guó)得到進(jìn)一步的發(fā)展。FIPs運(yùn)動(dòng)的最初目的“與其說(shuō)是保護(hù)隱私，不如說(shuō)是從那些對(duì)其影響越來(lái)越大的組織的角度來(lái)回應(yīng)隱私問(wèn)題”[2]。但正是由于FIPs運(yùn)動(dòng)引起了人們對(duì)隱私的重視，由此確立的FIPs原則（即FIPP）也奠定了今天隱私保護(hù)的原則，例如，《OECD隱私指南》《APEC隱私框架》和ISO/IEC 29100： 2011《隱私框架》等重要文獻(xiàn)，都給出了類似的描述。FIPP確立的標(biāo)志性事件為1973年美國(guó)衛(wèi)生、教育與福利部發(fā)布的《記錄、計(jì)算機(jī)與公民權(quán)利》（也稱為HEW報(bào)告），該報(bào)告直接促成了在1974年出臺(tái)的《美國(guó)隱私法案》。

普遍認(rèn)為，F(xiàn)IPs是現(xiàn)代信息隱私法的基石，F(xiàn)IPP也已經(jīng)成為全球隱私保護(hù)的重要準(zhǔn)則，而且從其演化和各個(gè)版本進(jìn)行總結(jié)，可以發(fā)現(xiàn)是FIPs確立了以個(gè)人信息賦權(quán)與施加信息控制者責(zé)任的進(jìn)路[3]。

2 隱私影響評(píng)估的發(fā)展

隱私影響評(píng)估（privacy impact assessment，PIA）的出現(xiàn)是一個(gè)自然而然的過(guò)程[2]，一般認(rèn)為，PIA的詞匯來(lái)源可能有兩種。

第一種認(rèn)為PIA來(lái)源于“技術(shù)評(píng)估（technology assessment）”。1972—1995年，美國(guó)國(guó)會(huì)設(shè)有技術(shù)評(píng)估辦公室（OTA），該類詞匯現(xiàn)在用的比較少， 2013年MAS1）發(fā)布的Technology Risk Management Guidelines（技術(shù)風(fēng)險(xiǎn)管理指引）還是用的類似詞匯，在這種情況大多用信息安全風(fēng)險(xiǎn)管理，或者信息系統(tǒng)安全風(fēng)險(xiǎn)管理等，一般不會(huì)冠以更通用的“技術(shù)”。

第二種認(rèn)為PIA來(lái)源于“影響陳述（impact statement）”，該詞匯來(lái)源于19世紀(jì)60年代的“綠色運(yùn)動(dòng)”所產(chǎn)生的“環(huán)境影響陳述（environment impact statement，EIS）”，在環(huán)境安全管理情境中，還產(chǎn)生了“環(huán)境影響評(píng)估（environment impact assessment，EIA）”等詞匯。影響評(píng)估實(shí)際是一類詞匯，例如，ISO/IEC 27002：2013中含有“業(yè)務(wù)影響分析（business impact analysis）”等詞匯，又如，社會(huì)影響評(píng)估（social impact assessment，SIA）。

由于EIS等影響，先出現(xiàn)的詞匯是“隱私影響陳述（privacy impact statement）”，在這個(gè)階段中，評(píng)估方法論可能還不是強(qiáng)調(diào)的重點(diǎn)。在后續(xù)的應(yīng)用中，該詞匯慢慢演化為PIA。最早使其制度化的是1995通過(guò)的Directive 95/46/EC2），條款20，要求信息系統(tǒng)需要通過(guò)“預(yù)先校驗(yàn)（prior checking）”，已驗(yàn)證與應(yīng)用標(biāo)準(zhǔn)的符合性。雖然用的不同的詞匯，但已經(jīng)有了基本的雛形。

總之，隱私保護(hù)的概念出現(xiàn)于19世紀(jì)60年代中期，跟國(guó)內(nèi)的發(fā)展路線一樣，開始關(guān)注的是組織的信息安全，之后關(guān)注的才是個(gè)體的隱私信息。至19世紀(jì)90年代中期，PIA才成為一個(gè)常規(guī)手段，雖然相關(guān)的概念早已經(jīng)出現(xiàn)，由于其方法論，或者說(shuō)過(guò)程控制，使得PIA與符合性檢查（compliance check）和隱私審計(jì)（privacy audit）等存在明顯的不同。

3 關(guān)于PIA的國(guó)際標(biāo)準(zhǔn)ISO/IEC 29134

ISO/IEC 29134：2017發(fā)布于2017年6月，全稱為Information technology—Security techniques— Guidelines for privacy impact assessment（信息技術(shù) 安全技術(shù) 隱私影響評(píng)估指南），該標(biāo)準(zhǔn)是關(guān)于PIA最具代表性的標(biāo)準(zhǔn)之一，其中將PIA定義為：在組織更廣泛的風(fēng)險(xiǎn)管理框架內(nèi)進(jìn)行的識(shí)別、分析、評(píng)估、咨詢、溝通和計(jì)劃處置與個(gè)人身份信息處理相關(guān)的潛在隱私影響的整個(gè)過(guò)程。

ISO/IEC 29134：2017描述了PIA過(guò)程以及PIA報(bào)告的結(jié)構(gòu)與內(nèi)容，適用于各種類型和規(guī)模的組織，包括上市公司、私營(yíng)公司、政府實(shí)體和非營(yíng)利組織等。

除去前言和引言，ISO/IEC 29134：2017正文共有7章，4個(gè)資料性附錄。

前4章均為通用章節(jié)，分別為范圍、規(guī)范性引用文件、術(shù)語(yǔ)與定義和縮略語(yǔ)。標(biāo)準(zhǔn)的主要內(nèi)容集中在第5～7章，第5章為PIA準(zhǔn)備，第6章為PIA過(guò)程，第7章為PIA報(bào)告。

第5章，PIA的基礎(chǔ)準(zhǔn)備，這與一次具體的PIA準(zhǔn)備不同，具體的PIA準(zhǔn)備工作流程在6.3中介紹。6.3.1描述了執(zhí)行PIA所帶來(lái)的好處，原則上，這不需要贅述。6.3.2為PIA報(bào)告的目標(biāo)，其中按照不同的角色描述了他們的期望，具體為PII信息流主體、管理者、監(jiān)管者和顧客。在6.3.3和6.3.4中，分別介紹了執(zhí)行評(píng)估的可核查性以及PIA的范圍。

第6章按照“目標(biāo)”“輸入”“期望輸出”“行動(dòng)”以及“實(shí)施指南”的格式對(duì)每個(gè)步驟進(jìn)行描述。主要過(guò)程見(jiàn)表1。

第7章對(duì)PIA報(bào)告的結(jié)構(gòu)和內(nèi)容給出了指導(dǎo)，7.2是報(bào)告的結(jié)構(gòu)，其他章節(jié)為內(nèi)容。報(bào)告的內(nèi)容與章節(jié)的對(duì)應(yīng)見(jiàn)表2。

ISO/IEC 29134：2017的附錄共有4個(gè)，都是資料性附錄。

附錄A給出了估算潛在隱私違反（privacy breach）的影響和可能性的標(biāo)準(zhǔn)和刻度，就是在風(fēng)險(xiǎn)評(píng)估前確定準(zhǔn)則的過(guò)程。在其中分別給出了影響等級(jí)的定義，以及可能性等級(jí)的定義。兩者都是用的4級(jí)定義法，影響的等級(jí)是4級(jí)，可能性用的是“可忽略”“有限”“顯著”和“最大”。

附錄B主要是典型的威脅列表，在附錄中，加常見(jiàn)威脅列表，這是很多信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)的慣例。

附錄C討論了幾個(gè)術(shù)語(yǔ)的用法，其中包括了：1）PIA的范圍（scope of PIA）;2）計(jì)劃（project）;3）過(guò)程（process）;4）顯著性（significance）;5）監(jiān)視與評(píng)審（monitoring and reviewing）。

附錄D是對(duì)PIA流程的支持工具進(jìn)行舉例，其中包括了一個(gè)PII處理的工作流程圖（對(duì)應(yīng)正文6.4.1）和一個(gè)隱私風(fēng)險(xiǎn)地圖（對(duì)應(yīng)正文6.4.4.3）。

4 小結(jié)

需要說(shuō)明的是，ISO/IEC 29134：2017的參考文獻(xiàn)比較多，不僅有標(biāo)準(zhǔn)，還有一些期刊和會(huì)議論文，其中作者David Wright的文章有3篇，這在標(biāo)準(zhǔn)中并不多見(jiàn)。

隱私影響評(píng)估（PIA）已經(jīng)成為隱私保護(hù)部署的常規(guī)的手段之一，在很多標(biāo)準(zhǔn)的實(shí)施過(guò)程中，PIA已經(jīng)成為必須選項(xiàng)。本文討論了PIA來(lái)源和發(fā)展過(guò)程，是為了更好地理解PIA在隱私保護(hù)實(shí)踐中的作用，同時(shí)，詳細(xì)介紹了ISO/IEC 29134：2017中的PIA過(guò)程以及PIA報(bào)告的要求，在后續(xù)的專欄中，會(huì)對(duì)PIA與ISO/IEC 27000標(biāo)準(zhǔn)族的關(guān)系進(jìn)行專門的討論，因?yàn)樵谀壳暗膶?shí)踐中，信息安全都已經(jīng)部署得相對(duì)成熟，對(duì)于隱私保護(hù)的推進(jìn)，大都在這個(gè)基礎(chǔ)上進(jìn)行。

（注：本文僅做學(xué)術(shù)探討，與作者所在單位觀點(diǎn)無(wú)關(guān)）

參考文獻(xiàn)

[1] KARYDA M ， GRITZALIS S ， PARK J H ， et al. Privacy

and fair information practices in ubiquitous environments：

Research challenges and future directions[J].Internet Research，2009， 19（2）：194-208.

[2] CLARKE ROGER. Privacy impact assessment： Its origins and development [J]. Computer Law & Security? Review， 2009， 25（2）：123-135.

[3] 丁曉東. 論個(gè)人信息法律保護(hù)的思想淵源與基本原理：基 于“公平信息實(shí)踐”的分析[J]. 現(xiàn)代法學(xué)， 2019，41（3）：96- 110.

[4] 趙戰(zhàn)生，謝宗曉.信息安全風(fēng)險(xiǎn)評(píng)估：第2版[M]. 北京：中 國(guó)標(biāo)準(zhǔn)出版社，2016.