《大数据技术标准推进委员会:2023隐私工程白皮书(56页).pdf》由会员分享,可在线阅读,更多相关《大数据技术标准推进委员会:2023隐私工程白皮书(56页).pdf(56页珍藏版)》请在三个皮匠报告上搜索。
1、隐私工程白皮书隐私工程白皮书CCSACCSA T TC601C601 大数据大数据技术技术标准推进标准推进委员会委员会2022023 3年年9 9月月版版权权声声明明本报告版权属本报告版权属于于 CCSA TC601 大数据技术标准推进委大数据技术标准推进委员会,并受法律保护。转载、摘编或利用其它方式使用本员会,并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的,应注明报告文字或者观点的,应注明“来源:来源:CCSA TC601 大数据大数据技术标准推进委员会技术标准推进委员会”。违反上述声明者,编者将追究其相。违反上述声明者,编者将追究其相关法律责任。关法律责任。前前 言言202
2、2 年,我国发布了国家标准 GB/T 41817-2022信息安全技术 个人信息安全工程指南(“个人信息安全工程指南”)。作为支撑中华人民共和国个人信息保护法(“个人信息保护法”)落地的国家标准之一,该标准结合国外隐私工程的实践经验以及个人信息保护法的相关要求,在需求、设计、开发、测试、发布的传统开发流程中嵌入个人信息保护的工程化要求,旨在将个人信息保护措施与产品和服务同步规划、建设和使用,主动预防个人信息安全风险和侵害用户个人信息权益事件的发生,为帮助网络产品和服务提升个人信息保护能力提供工程化指引。“个人信 息安全工 程”的概念 取自“隐私工 程”即“privacyengineering”
3、,国际标准 ISO/IEC TR 27550:2019信息技术 安全技术 系统生命周期流程中的隐私工程将隐私工程定义为“将隐私问题纳入系统和软件工程生命周期过程的工程实践”。作为将隐私保护要求嵌入系统工程乃至企业管理全流程的一套方法论,欧盟、美国等国家对其进行持续讨论和研究,对于隐私工程与隐私保护立法的关系、如何指导企业进行隐私工程实践等形成了较为体系化的结论和成果。相比之下,我国对于隐私工程的研究和实践仍处于初期。一方面,随着我国个人信息保护立法的不断完善,如何在落实个人信息保护合规要求的同时尽量减少对业务的负担成为企业无法回避的课题,越来越多的企业开始从技术和管理等多角度求解,但尚未形成较
4、为系统和全面的方法论;另一方面,我国对数据要素市场的大力发展也促使企业主动探寻数据安全合规流通路径,尤其是个人信息的安全合规使用,以掌握参与数据要素市场建设的先机。为了加深企业对隐私工程的理解,帮助处在不同发展阶段的企业提升隐私保护能力,我们联合在隐私工程理论和实践方面有经验的企业共同撰写了隐私工程白皮书,对隐私工程的理论发展和我国企业的隐私工程实践经验进行介绍,希望能够为企业隐私保护能力建设提供参考,推动形成更适合我国企业的隐私工程体系。编制说明编制说明本报告由 CCSA TC601 牵头撰写,在撰写过程中得到了多家单位的大力支持,主要的参编单位及人员如下:参编单位:参编单位:蚂蚁科技集团股
5、份有限公司、阿里巴巴(中国)有限公司、Amber Group、OPPO 广东移动通信有限公司、湖北星纪魅族集团有限公司、奇安盘古(上海)信息技术有限公司、杭州用九智汇科技有限公司、联通数字科技有限公司、翼健(上海)信息科技有限公司、北京数牍科技有限公司、北京市金杜律师事务所、广联达科技股份有限公司、中兴通讯股份有限公司参编人员:参编人员:王丹阳、闫树、吕艾临、侯宁、王泽宇、张斯睿、白晓媛、郑昊旸、苏豫陇、冯坚坚、曾茜、彭晋、李世奇、黄吉鲲、胡恺健、杨晓丹、刘桃松、付艳艳、苏翔、朱玲凤、赵帅、刘隽乔、穆昭薇、崔玲龙、罗震、张霖涛、盛勤芬、金银玉、单进勇、宁宣凤、吴涵、徐梦悦、张婷、孙鹏、郭海生、
6、王德政、薛勇目目录录一、隐私工程的起源:从隐私设计到隐私工程.1(一)隐私设计的产生和发展.1(二)隐私设计与隐私工程.4二、隐私工程的内涵:以隐私嵌入系统工程为核心.6(一)隐私工程的定义.6(二)隐私工程的目标.8(三)隐私工程的内容.10三、隐私工程的价值:企业隐私保护的必经阶段.13(一)监管趋势:隐私保护监管趋于精细化常态化.13(二)用户需求:个人信息主体权利保护成为隐私保护重点.15(三)企业发展:隐私保护助力企业合规高效发展.16四、隐私工程的实践:我国隐私工程实践探索.18(一)隐私工程体系建设流程参考.18(二)隐私工程体系建设架构参考.32(三)隐私工程体系建设建议.43
7、五、结语.46参考文献.47图图 目目 录录图 1 隐私设计七大基本原则.2图 2 个人信息安全工程目标和个人信息保护法基本原则映射.9图 3 个人信息安全工程指南个人信息安全工程各阶段活动.10图 4 NIST 隐私工程构成.11图 5Amber Group 信息安全与隐私组织架构.19图 6 OPPO安全隐私保护组织架构.20图 7Amber Group 信息安全与隐私管理体系文件融合架构.21图 8 蚂蚁 i-ABC 隐私工程体系隐私水位洞察域架构.21图 9 OPPO数据安全技术防御体系.23图 10 隐私影响评估域架构.26图 11 隐私影响评估策略管控.26图 12 隐私风险监测域
8、架构.32图 13 技术驱动的 i-ABC 隐私工程体系.33图 14 阿里巴巴隐私工程框架.35图 15 数据流通隐私合规风险精细化管控系统.37图 16 OPPO隐私工程实践框架.39图 17Amber Group 数据安全与隐私保护框架.41表表 目目 录录表 1 国内外隐私工程目标对比.9表 2 ISO/IEC 27550:2019提出的覆盖系统生命周期的隐私工程流程.12表 3 隐私工程内容.12表 4 星纪魅族隐私工程流程.27隐私工程白皮书1一、隐私工程的起源:从隐私设计到隐私工程(一一)隐私设计的产生和发展隐私设计的产生和发展20世纪 90年代,加拿大学者、加拿大渥太华省信息与
9、隐私委员会前主席 Ann Cavoukian 提出“隐私设计”理念,即 Privacy by Design(“PbD”),该理念认为隐私不能仅靠遵守法规监管框架来保证,相反,保障隐私安全在理想情况下应当成为一种默认操作模式,对隐私的保护必须由产品设计师们以一种双赢的方式设计出来。双赢的设计策略应该使隐私保护目标与其他目标相互包容而非冲突、排斥,隐私设计应当贯穿始于采集、终于销毁的个人信息处理活动全生命周期。在此之前,隐私计算技术一度成为人们追捧的隐私保护解决方案,但随着隐私保护的法律原则和要求的发展,人们渐渐认识到隐私计算技术虽然能够通过数据最小化、数据可用不可见等方式帮助提升隐私保护安全,但
10、无法实现将法律要求落地到系统上。因此,隐私设计理念提出将隐私计算技术的应用扩展为一套完整的隐私设计框架,主动将隐私保护嵌入信息技术、网络基础设施和商业实践中,并通过实践七项基本原则(如图 1)来实现这种嵌入的隐私保护理念。隐私工程白皮书2来源:CCSA TC601图 1 隐私设计七大基本原则随着时间的推移,隐私设计理念及其原则逐渐被各国监管机构和国际组织所认可,并成为推动隐私保护发展的重要理论基础。2010 年 10月,国际数据保护和隐私委员会通过一致决议将隐私设计理论作为未来隐私保护至关重要的组成部分1。2018 年生效的欧盟通用数据保护条例(General Data Protection
11、Regulation,“GDPR”)将隐私设计理念纳入第二十五条“Data Protection by Design and byDefault”中;2020 年 10 月,欧洲数据保护委员会(European DataProtection Board,“EDPB”)发布了 Guidelines 4/2019 on Article 25Data Protection by Design and by Default Version 2.0。该指南在对基于设计的数据保护和基于默认的数据保护需要考虑的相关要素进行分析后,提出了透明度、合法性、公平性、目的限制、数据最小化、准确性、存储限制、完整性和
12、保密性、可问责性等原则,并针对每132nd International Conference of Data Protection and Privacy Commissioners.Privacy by design resolution,October 2010.27-29 October 2010,Jerusalem,Israel.隐私工程白皮书3个原则提供了具体的要素和示例解读供参考。英国信息专员办公室(Information Commissioners Office)发布的 Guide to Data Protection 自 2017 年以来持续更新,其中就“隐私保护设计”设专章,
13、鼓励企业将隐私保护设计纳入现有的项目管理和风险管理方法和政策中。美国联邦贸易委员会(Federal TradeCommission)在 2012 年发布的报告2中提出以“隐私融入设计”“简化的用户选择”“透明性”为三大原则的隐私框架。2022 年 6 月 3 日,美国参议院和众议院发布的第一个获得两党两院支持的美国联邦全面隐私保护提案美国数据隐私和保护法(American DataPrivacy and Protection Act)草案也将隐私融入设计原则放置在忠诚原则下进行了阐述。此 外,国 际 标 准 化 组 织(International Organization forStandar
14、dization,“ISO”)在 2023 年 1 月还发布了 ISO31700-1:2023消费者保护 产品及服务中的隐私设计 第一部分:高级要求和ISO/TR31700-2:2023消费者保护 产品及服务中的隐私设计 第二部分:实践案例,从基本原则和应用实践两个层面推动消费者在产品和服务的购买、使用等整个生命周期中的隐私安全保护。隐私设计的产生和发展标志着一种新的隐私保护范式的兴起,为更完善的隐私保护提供了新思路。同时,Ann Cavoukian 提出的隐私设计理念也面临着一些挑战,例如,企业管理层对于隐私保护的事后补救观念难以转变、设计和开发工程师需要有过硬的隐私保护2Protectin
15、g Consumer Privacy in an Era of Rapid Change:Recommendations For Businesses and Policymakers隐私工程白皮书4专业知识以选择合适的隐私保护架构和策略、业内尚未形成广泛共识的方法论等等。这些挑战也成了各国数据保护监管机构以及国际组织等持续讨论和研究的课题。(二二)隐私设计与隐私工程隐私设计与隐私工程隐私设计理念在提出后,获得了广泛认可。在随后的若干年里,也进行了一系列的演变和发展,诸多学者和权威机构提出了一系列经典理论和知识体系,如隐私风险建模、隐私影响评估、隐私工程设计策略、隐私设计模式等等,将隐私设计从
16、理论推向实践,而其中很重要的一项发展就是隐私工程的诞生。由于隐私设计的七项基本原则较为抽象,业界一直致力于将该等原则具体化,形成一套可以直接指导实际研发并解决特定领域不同隐私需求的方法论,即隐私工程(Privacy Engineering)。隐私工程对于隐私保护监管和企业实践都有较强的指导意义。一方面,法律的更迭速度与技术的发展速度差距越来越大,引发了数据保护监管机构的担忧。欧盟网络和信息安全局(European UnionAgency for Cybersecurity,“ENISA”)指出,“欧盟各国数据监管机构缺乏有效和系统的能力去监管数据处理活动或者处罚违规行为”3;另一方面,隐私保护
17、立法日趋严格但较为概括模糊,企业对如何证明其数据处理活动遵守隐私保护要求存在困惑,例如如何保证对法律概念和工程实践概念的理解保持一致,抽象的法律要求如何转化为精确的研发工程,不断更新迭代的系统如何保证持续合规等等。3Privacy and Data Protection by Design-from Policy to Engineering隐私工程白皮书5隐私工程通过梳理和总结隐私保护合规要求,将其转化为系统工程中的目标、策略、风险管理框架、组织管理和运营方法,为隐私保护要求提供了具象化的实践指引。隐私工程白皮书6二、隐私工程的内涵:以隐私嵌入系统工程为核心各国对隐私工程的探索各有侧重。欧盟
18、 GDPR 直接将隐私设计原则纳入立法中,因此欧盟对于隐私工程的探索主要围绕如何将GDPR 的原则性要求落地于实践展开讨论并提供指引。美国对于隐私工程的探索其核心目的与欧盟一致,都是针对如何将隐私保护的概括性原则和相关法律规定转化为系统工程的隐私要求并融入系统开发流程中。从形式上看,美国的隐私工程框架体系偏向于实用手册,更方便企业应用和实践。ISO 和国际电工委员会(InternationalElectro technical Commission,“IEC”)发布的国际标准则更多地对隐私工程的理论进行沉淀,没有将与隐私工程相关的实操措施和细节进行详细阐述,而是指向了其他框架、标准、书籍和论文
19、,具备了一个知识索引的功能。我国则充分融合了国内外隐私工程实践,在国内近几年个人信息保护立法以及行业实践基础上,通过国家标准提供了一种履行义务的实践路径,即通过工程化的过程来将个人信息安全原则和要求融入产品服务规划、建设的每个阶段。(一一)隐私工程的定义隐私工程的定义隐私工程的概念起源于国外,各国对于隐私工程的定义并不相同。ENISA 指出“隐私工程可以被认为是 Data Protection by Designand by Default 的一部分,目标在于支持选择、运用和配置恰当的技术和组织措施,以实现具体的数据保护原则4。美国国家标准技术研究院(National Institute of
20、 Standards and Technology,“NIST”)于4Privacy and Data Protection by Designfrom policy to engineering隐私工程白皮书72017 年在其内部报告5中将隐私工程定义为“一种系统工程的特殊方法,旨在让个人免于承受系统处理个人识别信息过程中所产生的不可接受的后果”。ISO/IEC TR 27550:2019信息技术 安全技术 系统生命周期流程中的隐私工程(“ISO/IEC 27550:2019”)认为隐私工程是“将隐私问题纳入系统和软件工程生命周期过程的工程实践”。我国于 2022 年正式发布了 GB/T 4
21、1817-2022信息安全技术 个人信息安全工程指南(“个人信息安全工程指南”)。该标准将个人信息安全工程(也称“隐私工程”6)定义为“将个人信息安全原则和要求融入产品服务规划、建设的每个阶段,使个人信息安全要求在产品服务中有效落实的工程化过程”。本白皮书认为,隐私工程并不局限于将隐私保护的需求整合到系统和软件开发生命周期,此外还需要一系列组织、技术和管理等多方面的支持。因此,本白皮书所指的隐私工程,是将隐私保护要求嵌入系统工程乃至企业管理全流程的一种工程实践。这也和上文中欧盟和美国的定义较为一致。通过对比能够看出,欧盟和美国对隐私工程的定义更加宽泛,并未将隐私工程限定在系统和软件开发流程中,
22、而是描述了通过隐私工程要达到“实现数据保护原则”和“保护个人隐私权利”目的。要实现这样的目的,除了将隐私嵌入系统和软件开发流程之外,还要在组织架构保障、技术措施选择、合规基线确定、风险评估流程以及隐私风险管理等方面注意隐私保护。ISO/IEC 对隐私工程的定义与我国个人信息安全工程指南5An Introduction to Privacy Engineering and Risk Management in Federal Systems6GB/T 41817-2022信息安全技术 个人信息安全工程指南第 3.1条对个人信息安全工程进行了定义,并在“注”中明确“也称隐私工程”。隐私工程白皮书8
23、的定义较为类似,但结合 ISO/IEC 27550:2019 对隐私工程阶段流程的描述(包括采购与供应、人力资源管理、知识管理、风险管理等流程),ISO/IEC 也并非认为隐私工程仅指将隐私要求融入系统和软件工程生命周期过程。因此,我们在理解隐私工程时,可以在个人信息安全工程指南的基础上进行扩大解释,即通过一种体系化、制度化、流程化、平台化的方式来提升企业的隐私保护能力的工程实践。将隐私要求嵌入系统和软件开发流程是隐私工程的核心,但同时还需要通过组织保障、制度要求、流程管理、平台工具等提供基础和支持。(二二)隐私工程的目标隐私工程的目标各国对于隐私工程目标的设定基本以其倡导的隐私保护原则或立法
24、要求为基础。个人信息安全工程指南提出了五项目标:合法正当、最小必要、公开透明、不可关联、可管理性。其中,“公开透明”“不可关联”“可管理性”基本与欧盟和美国提出的隐私工程目标相一致(如表 1),而“合法正当”和“最小必要”两项目标则主要是基于个人信息保护法的顶层架构进行了调整(如图 2),使其更好地承接个人信息保护法的要求并在研发工程侧进行落地。隐私工程白皮书9来源:CCSA TC601图 2 个人信息安全工程目标和个人信息保护法基本原则映射表 1 国内外隐私工程目标对比我国我国欧盟欧盟 ENISA7美国美国 NIST8合法正当合法正当/遵循个人信息安全相关法律法规要求,处理个人信息具有明确、
25、合理的目的,不通过误导、欺诈、胁迫等方式处理个人信息。/最小必要最小必要/处理个人信息与处理目的直接相关,采取对个人权益影响最小的方式,收集个人信息限于实现处理目的的最小范围。/公开透明公开透明透明性透明性(Transparency)可预测性可预测性(Predictability)公开个人信息处理规则,明示处理的目的、方式和范围,提高产品服务个人信息处理的透明性是指所有与隐私相关的数据处理,包括法律、技术和组织设置,都可以随时理解和重建。数据的实际处理、计划处理以及处理后的具体情况都应当保证透明性。是指使个人、所有者和操作人员能够对个人信息及其信息系统的处理有可靠的预期。7Privacy an
26、d Data Protection by Designfrom policy to engineering8An Introduction to Privacy Engineering and Risk Management in Federal Systems隐私工程白皮书10我国我国欧盟欧盟 ENISA7美国美国 NIST8不可关联不可关联不可关联性不可关联性(Unlinkability)不可关联性不可关联性(Disassociability)采用去标识化、匿名化等手段,减少个人信息关联到个人信息主体引起的安全风险。是指隐私相关数据与域外的任何其他隐私相关数据集不可关联。是指对个人信息或事
27、件的处理,不与超出系统运行需求的个人或设备相关联。可管理性可管理性可干预性可干预性(Intervenability)可管理性可管理性(Manageability)提供个人信息处理的管理机制,使用户和组织能够适当干预产品服务处理个人信息的过程。是指确保对所有正在进行或计划进行的隐私数据处理进行干预,并在必要时能够纠正和制衡。是指提供对个人信息细粒度的管理的能力,包括选择、删除和选择性披露。来源:CCSA TC601(三三)隐私工程的内容隐私工程的内容个人信息安全工程指南针对各软件开发阶段的活动、输入、输出已给出了较为具体的实施方案,包含了需求、设计、开发、测试和部署软件开发过程通用的个人信息安全
28、工程活动(如图 3)。此外,个人信息安全工程指南还在附录中给出了个人信息安全设计的要点和常见个人信息安全默认配置参考要点,对我国企业而言具有较强的实操性。来源:个人信息安全工程指南图 3 个人信息安全工程指南个人信息安全工程各阶段活动但如前所述,在完成个人信息安全工程指南提供的流程之外,企业还需要从运营和管理的角度提供一系列的隐私保护支撑,这些内容在 NIST 报告和 ISO/IEC 27550:2019 中均有所体现。NIST隐私工程白皮书11在报告9中认为隐私工程应当包含五个部分(如图 4):(1)法律、法规和 FIPPs10,用于推导隐私要求;(2)隐私影响评估,用于识别风险和描述系统评
29、估过程;(3)风险模型,用于进行风险评估;(4)隐私工程和安全目标,用于厘清并评估系统是否满足相关要求以及妥善处理风险的能力;以及(5)风险管理框架,用于提供选择和评估控制措施的流程以管理已识别的风险并满足相关要求。来源:An Introduction to Privacy Engineering and Risk Management in Federal Systems图 4 NIST 隐私工程构成ISO/IEC 27550:2019 提 出 的 隐 私 工 程 流 程 是 建 立 在ISO/IEC/IEEE 15288:2023系统和软件工程:系统软件生命周期之上的,从企业完整运营的角度
30、考虑,认为隐私工程涉及包括采购、销售、人力资源等相关部门,具备较强的兼容性。具体内容包括采购与管理流程、人力资源流程、知识管理流程、风险管理流程、相9An Introduction to Privacy Engineering and Risk Management in Federal Systems10FIPPs(Fair Information Practice Principles)即“公平信息实践法则”是由美国卫生、教育与福利部提出的保护个人隐私的基本原则,包括个人有权知道他人收集了哪些关于他的信息,以及这些信息是如何被使用的;个人有权拒绝某些信息使用并更正不准确的信息;信息收集组织
31、有义务保证信息的可靠性并保护信息安全。FIPPs随后成为美国 1974年隐私法案及其他联邦和各州隐私保护法律的基础,也被其他国家和国际组织所广泛承认和接受。尽管随着时间的推移 FIPPs的内容在表达上有所变化,但始终被视为与各组织的信息管理实践广泛相关的一致核心原则。隐私工程白皮书12关方需求与要求流程、系统需求定义流程、架构定义流程和设计定义流程(如表 2)。表 2 ISO/IEC 27550:2019提出的覆盖系统生命周期的隐私工程流程流程类型(ISO/IEC/IEEE 15288)覆盖系统生命周期的流程(ISO/IEC/IEEE 15288)隐私工程事项协议流程采购流程供应链涉及个人信息
32、供应流程组织项目赋能流程人力资源流程隐私工程人力资源管理知识管理流程隐私工程知识管理技术管理流程风险管理流程隐私风险管理技术流程相关方需求与要求流程相关方的隐私期待系统需求定义流程隐私原则执行架构定义流程隐私对架构的影响设计定义流程隐私对设计的影响来源:ISO/IEC 27550:2019基于欧盟、美国以及 ISO/IEC 对于隐私工程内容的描述,结合我国个人信息保护的相关要求,本白皮书认为隐私工程主要包含以下内容:表 3 隐私工程内容组织人员组织人员从组织架构、工作职责、意识技能等方面,进行人才资源管理、沟通机制建立、隐私工程技能提升,以此构建让隐私工程顺利推行的组织根基。技术工具技术工具以
33、技术工具的方式在产品/服务的数据处理活动中落地个人信息保护要求,或在内部管理中使用技术工具识别、管理个人信息保护风险。文档管理文档管理隐私工程落地实施的规划、执行方案、运行记录、改进跟踪均以文档方式进行记录并体系化管理。知识管理知识管理识别隐私工程知识库的组成元素、形成可用的隐私工程知识库并跟踪分析其使用情况。系统开发生命周期系统开发生命周期隐私管理隐私管理需求、设计、开发、测试和部署软件开发过程中嵌入个人信息保护要求,参考个人信息安全工程指南的内容。第三方合作管理第三方合作管理在第三方的准入筛选、合同签订、跟踪监测、风险评估和退出等方面考虑隐私保护问题并形成全流程的管理机制。个人权利保障个人
34、权利保障针对用户个人信息权利的授权、个性化、权利请求响应和处理等方面形成体系化的控制策略和流程。隐私安全事件管理隐私安全事件管理制定隐私安全应急预案并定期演练,建立事件的监测、处置、报告和通知流程。隐私风险管理隐私风险管理建立隐私风险管理体系,对隐私风险的识别、分析、评价、处置和监测形成标准化管理机制和运营系统。来源:CCSA TC601隐私工程白皮书13三、隐私工程的价值:企业隐私保护的必经阶段隐私保护其实早已成为我国企业关注的重点,企业或多或少都在从技术、管理等多角度满足隐私保护要求,只是通常未形成较为系统和全面的方法论。随着个人信息保护法的出台和生效,我国的个人信息保护框架基本稳固,监管
35、活动也逐渐趋于常态化,监管的关注点也越来越细致深入,大部分企业已具备基础的个人信息保护能力,开始追求隐私保护的制度化、流程化和体系化,更多从事前考虑并关注如何预防、评估和处置个人信息安全风险。由此可见,隐私工程或将成为下一阶段企业隐私保护的解决方案。(一一)监管趋势:隐私保护监管趋于精细化常态化监管趋势:隐私保护监管趋于精细化常态化APP 监管向着标准化、自动化、智能化发展。自 2019 年开始,移动互联网应用程序(APP)作为企业收集和处理个人信息的重要媒介,一直是我国隐私保护监管的重点。2020 年 7 月,全国 APP 技术检测平台的上线和使用,APP 检测效率大大提高,2022 年该平
36、台已具备每个月能够检测 18 万款 APP 的能力11;2023 年 7 月 27 日,APP 开发管理风险线索报送系统上线,旨在进一步加强对 APP 全生命周期管理,帮助及时发现、有效处置 APP 在代码设计、更新维护、程序管理中存在的风险漏洞。通过辅以技术检测,监管不仅仅停留在原则性的灰度检测和过度依赖司法裁判的事后释法,APP 被通报整改和下架已经成为常见的监管形态。11国新办举行 2021年工业和信息化发展情况新闻发布会图文实录http:/ 监管范围扩大,覆盖前端、后端及全流程。目前,APP 监管范围已经从 APP 深入至 APP 内嵌第三方软件开发工具包(Software Devel
37、opment Kit,“SDK”),扩展至类 APP功能的小程序,相关检测也从 APP 的基本功能是否合法合规扩展到个人信息相关权限调用、信息上传等。2023 年 2 月,工业和信息化部发布关于进一步提升移动互联网应用服务能力的通知,明确提出 APP 开发运营者主体要完善内部管理机制,将相关法规政策要求落实到产品研发、推广和运营各环节;采取访问控制、技术加密、去标识化等安全技术措施,加强前端和后端安全防护;主动监测发现个人信息泄露、窃取、篡改、毁损、丢失、非法使用等风险威胁,及时响应处置要求。除了 APP 监管,违反个人信息保护法的各类行为也陆续出现在行政处罚案例中,如未对个人信息采取加密、去
38、标识化等安全技术措施,在存储和传输敏感个人信息时未采取必要的安全技术措施,没有制定内部管理制度和操作规程等等;处罚对象也不局限于APP 运营者,物业公司、售楼处、停车场等各行业、多样化服务的运营主体也都“榜上有名”。一方面,常态化的监管意味着企业需要对监管要求保持高度敏感,并建立起一套与业务高度契合的隐私风险识别和处置机制,不仅能够在发现问题时及时溯源和处置,还能够通过定期的评估和监测提前发现隐私安全风险并积极预防。另一方面,精细化的监管要求企业将隐私保护深入到产品以及产品背后的系统、应用,进入真隐私工程白皮书15正的工程实现层面,把法律法规和标准内化形成一种顺其自然的默认隐私态势,降低隐私保
39、护措施贯彻落实对企业的业务影响,做到从容应对立法、执法和司法的动态变化。(二二)用户需求:个人用户需求:个人信息主体信息主体权利保护成为隐私保权利保护成为隐私保护重点护重点保护个人信息主体相关权利成为法定要求。个人信息保护法生效后,企业需要对个人信息权利提供更多的保障,包括知情权、决定权、拒绝权、查阅复制权、更正补充权、请求转移权、删除权、解释说明权等等。无法及时满足用户的权利行使请求会带来行政处罚和诉讼风险。广东省高级人民法院 2023 年 1 月发布的个人信息保护典型案例中,就包括平台拒绝用户对其个人信息的查阅复制请求而导致的诉讼案件。个人信息权利管理逐渐成为提升用户体验的重要模块。随着我
40、国个人信息保护立法逐渐完善,公众对于个人信息主体权利的保障意识不断提高。如果说企业重视保障个人信息主体的相关权利起初是为了回应监管要求,那么现阶段更多企业投入精力和成本提供便捷和人性化的个人信息管理功能,则是希望通过更好地维护用户的个人信息主体权利来提升产品用户体验,进而增强产品的竞争力。起初,用户行使相关权利通常需要通过意见反馈留言、发送邮件、拨打客服电话等实现,耗费时间长、反馈不及时;现在,越来越多的产品倾向于在产品的隐私设置中增加多样化的个人信息权利管理功能,让用户可以更加便利地行使相关权利,如查看和获取个人信隐私工程白皮书16息收集清单、授权和撤回授权、个性化管理等等。为此,企业不仅需
41、要设置相应的产品功能,还需要全方位动态梳理个人信息资产,掌握其收集和使用的个人信息类型、数量、使用目的、授权情况等,对个人信息在内部的流转进行全链路的追踪和监测,以便在个人用户提出权利行使要求时能够准确高效地定位到相关个人信息,并配合进行相应处理。在产品需求和设计阶段考虑个人信息主体的权利保障,正是隐私设计理念“尊重用户隐私,以用户为中心”的体现,也与隐私工程主张将隐私保护要求嵌入产品和系统开发流程中的基本要求不谋而合。具备良好隐私保护实践的产品和服务不仅能减少隐私数据泄漏对个人权益的影响,也更加符合用户的隐私期待。(三三)企业发展:隐私保护助力企业合规高效发展企业发展:隐私保护助力企业合规高
42、效发展隐私工程可以大大减少隐私保护对业务的影响。为了满足监管合规要求、保护个人信息权益,企业在建立个人信息保护制度的过程中,需要承担一些隐私合规的成本,如建设隐私合规能力和体系的培训、评估以及技术和维护成本等。隐私保护策略的实施通常也会影响个人信息价值的开发利用,企业很难实现隐私保护和业务价值的双赢。而隐私工程通过结合企业自身具体业务场景和合规要求,主动将隐私和数据保护需求嵌入到业务运营及系统服务的设计中,让隐私保护成为企业商业实践和系统运行的默认规则,成为业务和系统的核心组成部分,减少因为事后整改而导致前期产研投入的浪费。隐私工程白皮书17隐私工程有利于企业可持续发展。环境、社会和公司治理(
43、Environmental,Social,Governance,“ESG”)作为一种关注企业环境、社会、公司治理绩效而非传统财务绩效的企业评价标准,近年来越发获得投资者和企业的关注。在香港联交所的环境、社会及管治报告指引中,“描述消费者资料保障及私隐政策,以及相关执行及监察方法”属于强制披露内容。国际主流评级机构 MSCI 将隐私和数据安全议题列为评级关键指标之一,尤其是针对信息与通信技术行业的企业的评估,该类指标所占权重很高。隐私工程作为能够深度契合企业业务流程的隐私保护方法和体系,回应了 ESG 相关利益方的重大关切,能够为企业 ESG 中的隐私安全与数据保护提供强有力的支撑,帮助企业建立
44、良好的社会声誉,助力企业可持续发展。隐私工程白皮书18四、隐私工程的实践:我国隐私工程实践探索虽然隐私工程主要强调如何将隐私嵌入产品和系统的开发流程中,但要实现这种融合,还需要在组织建设、人员管理、技术选择、制度流程等方面进行配合,对内涉及企业多部门多方面参与,对外还要关注用户、合作方、监管部门等多个关联方的安全隐私需求。本章结合我国企业的隐私工程实践经验,提供了可参考的隐私工程体系建设流程、架构及建议,抛砖引玉,企业可结合自身需求选取和应用。(一一)隐私工程体系建设流程参考隐私工程体系建设流程参考隐私工程体系建设可分为计划阶段、构建阶段、集成阶段、验证阶段和运营阶段,各个阶段与网络安全主流的
45、 DevSecOps 的框架相适应,以便能够通过最小有效的方式将隐私保护嵌入已经较为完善的企业研发流程框架之中,减少隐私保护工作实施过程中的阻力。在实践中,企业可根据自身情况判断隐私保护现状及差距,从适当的流程入手逐步完善隐私工程体系的建设。1.隐私工程计划阶段计划阶段主要是通过组织架构、人员职责、制度流程、技术工具和知识管理等方面进行规划设计,是隐私工程的基础性工作。组织架构与人员职责。从企业层面设立专门的隐私保护组织,明确组织构成以及各方职责分工,统筹规划并推进个人信息保护整体工作。具体包括制定个人信息保护目标,建立运营机制和问责机制,通过持续完善运营机制和专项活动推动隐私保护目标达成,包
46、隐私工程白皮书19括不限于推动标准化流程的建立及完善、定期考核目标达成情况、通过组织培训活动提升员工隐私保护意识等。实践案例实践案例|Amber|Amber GroupGroup:职责清晰的安全隐私治理组织架构:职责清晰的安全隐私治理组织架构Amber Group 的信息安全与隐私组织架构(如图 5)借鉴和参考了 COBIT 5.0、ISO 27001 和 ISO 27701 等 IT 治理和安全隐私标准的组织架构设计指引,通过合理的层级设置和职责划分,建立决策、管理、执行和监督四个层级的运作机制,具备分工合理、职责明确、相互制衡、报告关系清晰的特点,充分体现了治理框架的全面性、合规性、先进性
47、、可操作性和审计独立性。信息安全与隐私组织架构建立了安全委员会、信息安全与隐私保护管理组、信息安全与隐私保护执行组(信息安全与隐私部门、数据所有者、数据消费者、信息安全与隐私接口人)、数据保护官、信息安全与隐私监管组等组织,建立了清晰的职责矩阵和 RACI 矩阵,能够对每个隐私工作领域所需要负责(Responsible)、批准(Accountable)、咨询(Consulted)、通知(Informed)的角色进行明确定义,确保隐私工作有效地落实责任。来源:Amber Group图 5Amber Group 信息安全与隐私组织架构实践案例实践案例|OPPO|OPPO:安全与隐私管理:安全与隐私
48、管理“三道防线三道防线”建立完善的安全与个人信息保护组织,各司其职,分工协作,是隐私工程体系运行的基础和驱动力。为此,OPPO 成立了安全与合规委员会,负责制定安全与合规总体战略规划,统筹推进个人信息保护整体工作。安全与合规委员会下设安全与隐私管理的三道防线(如图 6),协同推进安全隐私工作落地。第一道防线,由业务部门安全与隐私合规代表或安全系统工程师构成,主要向业务负责人及安全与合规委员会汇报,负责产品安全隐私策略的具体落地应用、自查自纠等。第二道防线,由专职的安全隐私部门构成,主要向安全与合规委员会汇报,负责安全隐私能力的建设与支持、推动产品安全隐私策略的落地。第三道防线,由审计部门担任,
49、主要向安全与合规委员会汇报,负责产品安全隐私策略落地的审计,发现风险,推动业务整改。隐私工程白皮书20OPPO 同时建立清晰的问责机制,督促各级部门履行自己的职责,在发生违规情形时,将由公司进行对应的问责处置。来源:OPPO图 6 OPPO安全隐私保护组织架构制度流程与合规基线。隐私工程体系应该具备稳定性、灵活性、体系兼容性和可扩展性,才能在面对快速出台的法律法规、政策和标准等做到“以不变应万变”。企业可以参照国际标准和最佳实践框架建立一套稳固的底座,并根据行业和企业具体情况进行量身定制。企业应在隐私保护与治理过程中,持续对新的隐私保护要求以及行业规定进行识别和集成,以保证在稳固底座之上建立具
50、备兼容性、可扩展性且符合企业实际情况的控制要求。实践案例实践案例|Amber Group:信息安全与隐私管理体系文件融合架构信息安全与隐私管理体系文件融合架构Amber Group 在隐私工程上的制度、流程和规范包括个人数据收集与处理程序、个人数据留存及销毁程序、数据主体同意管理规范、数据主体权利响应程序、数据处理记录规范、个人数据泄漏响应程序、数据跨境传输程序、数据安全与隐私保护技术规范、个人数据与隐私保护需求与架构评审 Checklist、个人数据与隐私合规评估准则、PIA&DPIA 报告及模板等主要内容(如图 7)。这些文件共同为隐私工程的构建阶段提供规范化文档指引,也是知识管理中需要持
51、续维护的内容。隐私工程白皮书21来源:Amber Group图 7Amber Group 信息安全与隐私管理体系文件融合架构实践案例实践案例|蚂蚁集团:数字化的隐私合规基线蚂蚁集团:数字化的隐私合规基线蚂蚁 i-ABC 隐私工程体系中隐私水位洞察域(Privacy Level Insight,PLI)(如图 8)的核心是隐私合规基线的数字化,通过对于内外部的数据和信息进行分析,制定相关业务或产品的隐私合规基线,在此基础上对实际管控水位和管控效果进行跟踪和分析。隐私合规基线的设置可综合考量风险维度、业务表现、用户感受、行业水位四个维度。设置合适的隐私合规基线应当做到对监管立法执法、行业动态进行及
52、时感知和分析,通过用户分析、投诉等信息构建用户隐私感模型,以及对企业内各业务风险域的隐私水位进行标准量化管理及数据化分析。来源:蚂蚁科技集团股份有限公司图 8 蚂蚁 i-ABC 隐私工程体系隐私水位洞察域架构隐私工程白皮书22技术工具。隐私工程在实践中需要同时采用管理措施和技术手段来控制个人隐私合规风险。企业基于法律法规制定的制度流程等管理措施为管控个人隐私风险提供了原则和规范,而访问控制、密码算法、隐私增强计算技术等技术工具可以对隐私合规要求进行具象化的产品或系统实现。但隐私和数据安全领域与传统信息安全领域有所不同,其风险项以原则性描述居多。同时,隐私保护及数据安全与实际业务耦合性较强,在控
53、制隐私风险时,对业务模式和逻辑的侵入性也更强,较难建立统一认可的通用威胁模型和防护手段。因此,企业应结合自己业务的实际情况,对业务场景进行梳理,建立通用场景的隐私合规威胁模型和风险库,并设计相应的隐私保护策略及解决方案,设置隐私合规基线,开展隐私影响自评估,在产品和服务上线前进行安全测试验证。技术工具是不断发展演进的,隐私保护专家在使用技术工具设计各种个人隐私保护方案的同时,攻击者也会利用技术设计新型的攻击和威胁模型,导致旧有保护方案的防护效果减弱。因此,隐私保护相关人员应对新技术的发展持续关注和学习,以确保在恰当的业务场景中使用合适的隐私计算技术进行防护,具体落实隐私保护增强技术的研发和实施
54、,设置关键的控制要求,使得各业务线实施符合隐私工程的设计方案,确保隐私保护融入产品和系统的开发设计、开发设计、测试、验证等各个环节。实践案例实践案例|蚂蚁蚂蚁 i-ABC 隐私隐私工程体系:专家经验策略化与大模型紧密结工程体系:专家经验策略化与大模型紧密结合合i-ABC 隐私工程体系是技术驱动的隐私工程,核心是解决隐私保护传统模式中依隐私工程白皮书23赖专家经验判断的效率问题和对个人信息识别的准确度问题。专家经验策略化是指将专家的知识和经验转化为一种可以被机器理解和执行的策略或者规则。这种策略或者规则可以帮助专家在判断个人信息处理活动合法性的时候,将传统隐私保护活动中的事前审核方式,从人工逐个
55、判断,转化为由机器批量处理,指数级提升事前管控审核的效率。与大模型紧密结合,是指在处理数据时,充分利用大数据和机器学习等技术。这些技术可以帮助更好地理解数据,发现数据中的模式和规律,以及提供使用者更自由、更高效的人机交互模式。例如,对个人信息活动中涉及的个人信息的进行提取,对个人信息类型进行判断,或通过智能助手的形式辅助隐私保护业务运营人员进行法规影响、业务风险、产品隐私体验等专家判断。实践案例实践案例|OPPO:可:可靠、可信、智能化的数据安全防御体系靠、可信、智能化的数据安全防御体系OPPO 以六层防御系统为基础,打造数据安全防御体系(如图 9)。运用 AI、大数据等新技术,实现智能化云安
56、全防护能力,并将安全与隐私活动贯穿产品全生命周期。同时,OPPO 在安全隐私检测技术上取得了一系列突破,通过安全与隐私合规检测推动合规要求的切实执行,为用户建立稳固的安全防线。除了专注于提高隐私合规检测能力,OPPO 也积极探索隐私保护技术的产品应用。例如,在产品的部分场景中使用了本地差分隐私技术,实现了数据的匿名化处理,为用户提供先进的隐私保护能力,回应用户的隐私保护期待。来源:OPPO图 9 OPPO数据安全技术防御体系知识管理和培训。隐私保护是一个跨学科、跨领域的专业,要求在业务、研发、产品、安全、隐私、法务、公关、人力资源等不同部门之间做到密切有效的配合,相关知识经验的传递和沉淀是必隐
57、私工程白皮书24不可少的。企业可参考 ISO/IEC 27550:2019 开展隐私保护的人力资源管理以及知识管理。人力资源管理流程可以理解为隐私工程能力发展项目,主要以识别隐私工程能力以及对应资源的投入,包括培训及教育、培训材料的创建和维护,以及监控该能力的变化。知识管理流程主要是将隐私工程实践中所积累的知识形成专业的知识库,运用于实践指导。企业可安排隐私保护组织制定年度培训目标与计划,并根据近期监管动向、合规趋势、处罚案例、行业热点等情况定制适合企业实际情况的培训主题。实践案例实践案例|星星纪纪魅族:魅族:产品定制的隐私工程知识库产品定制的隐私工程知识库星纪魅族集团在隐私工程落实中重视人力
58、资源管理和知识管理,由个人信息保护部门牵头,联合产品、设计、研发、测试多个不同部门制定了一套适用于本公司的个人信息保护知识库以及培训材料,并保证其在产品内统一、持续地推行。星纪魅族集团以产品实践为样本来锤炼知识库,强调实践出真知,在每个终端产品类型的合规落地中积累知识与经验。个人信息保护部门提出应当满足个人信息保护法律要求以及符合行业实践的个人信息保护功能需求,产品和设计部门会结合公司的终端产品特性、交互设计规范等形成标准的统一产品方案,研发部门以代码方式实现统一产品方案,继而形成个人信息保护功能实现的标准化工具,测试部门则基于个人信息保护部门提供的测试用例形成标准化的测试方案、自动化测试工具
59、。整套闭环的合规需求、产品设计方案、标准工具和测试方案经过一款产品落地的打磨后会进入到隐私工程知识库,成为未来开发新功能的重要输入。在隐私工程知识库形成后,星纪魅族集团启动了针对产品设计、研发及算法工程师的隐私工程培训,且完成隐私工程的培训与考核是试用期通过的前提条件之一,以使相关岗位人员具备隐私工程的必备技能,实现知识库内容的融会贯通,在开发新产品、新功能时自然导入个人信息保护要求。比如,产品及设计的隐私工程必修课包括PbD 理念、通用设计指南与设计用例(如告知同意的设计、基础模式的设计等)、常见的欺骗性隐私设计等等。以此确保隐私工程能力成为该岗位员工的必备技能。2.隐私工程构建阶段隐私工程
60、构建阶段包括产品需求定义和产品设计定义。需求定义要分析产品需求中哪些内容可能涉及个人信息处理,并根据相关要求进行隐私影响评估并记录,最终根据隐私影响评估结果判断是隐私工程白皮书25否可以正式进入产品隐私的设计阶段。如果经评估判断存在高风险,则需要进一步根据实际情况选择是否采取减缓措施或选择放弃该数据处理活动。设计定义主要是根据隐私影响评估建立的一系列分析过程文档,为具体的业务构建隐私设计。隐私设计分为初次构建和迭代更新。初次构建涉及的内容较多,包括隐私通知与交互界面分层设计、隐私政策更新通知、Cookies 与 SDK 识别与权限收集设计、Cookies 横幅设计、数据主体访问请求界面与对接、
61、数据展示脱敏、日志输出脱敏、数据库设计和隐私设置偏好中心设计等。迭代更新则主要关注本次产品需求更新的内容,重点对变更内容重复前述工作,包括根据新收集的个人信息进行识别、更新隐私政策、增加个人信息同意记录收集点等等。同时,以上隐私设计还需要通过记录保存相关证据,以满足合规证据留存的要求。实践案例实践案例|蚂蚁蚂蚁 i-ABC 隐隐私工程体系:隐私影响评估域私工程体系:隐私影响评估域隐私影响评估域将隐私保护的要求整合到 DevOps 工作流程中,与研发集成、数据安全等多个部门紧密合作,在追求隐私合规性和数据可用性的同时保障开发和运维的敏捷性。隐私影响评估域整体的架构可分为两层(如图 10):(1)
62、对客服务层。抽象并提炼可复用的隐私 PIA 技术组件,通过低代码接入的方式针对不同的业务场景快速搭建 PIA 评估流程,以高效支撑复杂业务的开展。明确全链路统一的产品/场景信息标准,各环节审核与业务需求评估打通,尽量做到一个产品或业务全链路只审一次;(2)平台能力层。抽象 PIA 的评估模型和策略模型,构建基于隐私各业务领域特征的检测、策略审核的平台能力。隐私工程白皮书26来源:蚂蚁科技集团股份有限公司图 10 隐私影响评估域架构架构实施层面可落实为四个步骤(如图 11):(1)定基线。依据法律法规的规定、监管指导意见、行业标准,结合企业具体的业务场景和产品特性,制定契合企业业务流程的隐私合规
63、基线,针对数据全流程中可能涉及到的收集、使用、存储、共享的场景提前设定好隐私管理的标准和要求。(2)建卡点。从个人信息全生命周期分析,结合企业实际的产品研发运营的活动,盘点所有要纳入 PIA 事前管控的关键链路,以建立与生产或研发流程相融合的正向个人信息影响评估体系。在关键链路基础上,针对领域对象进行建模和抽象,进一步产出可复用的隐私组件和模板,从而快速完成管控链路收口。(3)布策略。过程管控中通过策略布控和运行来保证隐私评审的结果能够在实际链路中生效。可构建隐私策略平台作为隐私管控策略集中布控和运营的中心,与业务相关生产应用系统进行链路打通。(4)评效果。通过前面三个步骤的实施,完成了事前评
64、估和链路管控,通过应用、链路中提前预设切面等采集方式,对链路中发生的数据实际处理情况进行收集和反馈,做到实时地监控,从而对业务实际效果进行反馈评价。来源:蚂蚁科技集团股份有限公司图 11 隐私影响评估策略管控隐私工程白皮书27实践案例实践案例|星纪魅族:基于硬件终端产品软件开发生命周期建立隐私工程星纪魅族:基于硬件终端产品软件开发生命周期建立隐私工程手机、眼镜和智能汽车均是硬件制造行业,一般会按照瀑布式开发流程来进行推进,以减少项目风险,保障交付。而基于硬件的软件产品,包括操作系统、操作系统上运行的应用,更多还是采取迭代式软件开发周期。基于特殊的开发流程,星际魅族设计的隐私工程流程是遵循整个硬
65、件的开发周期,但会限定于在软件开发的范围内增加隐私工程的流程,并结合软件开发周期的迭代特性,贯穿终端硬件的整个生命周期。根据信息安全技术 个人信息安全工程指南,结合星纪魅族集团的特殊软件生命周期,制定以下隐私工程流程(如表 4):表 4 星纪魅族隐私工程流程需求阶段输入业务部门提供终端硬件的基本需求,如销售国家或区域、车机系统是否配置车内摄像头、手机系统的操作系统版本等。活动个人信息保护部门根据终端硬件的基本需求、所适用的法律规定等规范性文件、标准、行业最佳实践、平台规则等制定个人信息保护合规要求清单,并据此制定个人信息保护通用设计指南,如是否需要提供“双清单”、座舱数据的处理原则、账号注销的
66、设计方案等。输出个人信息保护合规要求清单,个人信息保护通用设计指南和设计用例。设计阶段输入业务部门提供所涉产品软件功能需求,用户界面设计等,已经采取的安全措施,拟引入的第三方。活动个人信息保护部门将根据个人信息保护合规要求清单以及业务部门提供的输入进行个人信息保护影响评估。若评估后存在对用户造成潜在风险,则应当与业务部门进行沟通、调整产品功能需求和用户界面。输出个人信息保护影响评估报告(初步),确认后的个人信息保护功能需求以及用户界面。开发阶段输入经确认的个人信息保护功能需求以及用户界面,通用个人信息保护功能的标准工具库。活动研发部门基于个人信息保护部门提供的个人信息保护通用指南和设计用例,提
67、供标准工具库,供开发各功能时的研发人员快速集成使用。研发部门同时针对该功能所确认的个人信息保护功能需求以及用户界面进行代码实现。在每个版本合入代码时自动触发相关的安全测试,如权限、敏感函数调用等。个人信息保护部门将结合开发阶段产生的技术设计文档、代码、安全测试报告、数据库表设计等,进一步完成个人信息保护影响评估,并完成数据处理活动记录。输出技术设计文档及代码版本,每个版本合入的测试报告,个人信息保护影响评估报告,数据处理活动。测试阶段输入经确认的个人信息保护功能需求以及用户界面,技术设计文档及代码版本,个人信息保护影响评估报告,个人信息保护要求清单活动个人信息保护部门结合个人信息保护评估报告以
68、及个人信息保护要求清单,输出测试用例,明确前提、测试步骤、预期结果。测试部门根据个人信息保护测试用例,结合经确认的个人信息保护功能以及用户界面、技术设计文档及代码版本,进行个人信息保护测试,确保符合预期,并逐步实现自动化测试用例,纳入开发阶段的自测工具中。输出个人信息保护测试用例,个人信息保护测试报告。发布输入个人信息保护测试报告,个人信息保护影响评估隐私工程白皮书28阶段活动个人信息保护部门根据个人信息保护测试报告,确认是否已经按照个人信息保护影响评估完成了风险治理,是否有残余风险,若无则正式签发并归档个人信息保护影响评估报告。研发部门按照默认配置以及安全部署规则完成新产品或新功能的部署、上
69、线,并与个人信息保护部门制定安全应急预案。输出个人信息保护影响评估(归档版),个人信息安全应急预案,默认配置规则。来源:湖北星纪魅族集团有限公司3.隐私工程集成阶段隐私工程集成阶段是将隐私构建阶段的各项设计通过隐私通知与交互界面开发、产品、数据库开发与隐私管理平台配置和集成等进行落地实现,需要确保企业的隐私技术设计规范得以正确实施。为了达到这个目的,需要每个业务系统的产品经理和研发人员正确理解隐私技术规范。因此,除了典型的管理性培训外,使用更“技术语言”的方式来沟通,将会极大提高隐私集成的效率和准确性。例如,参考隐私设计模式,建立可复用的技术组件、沟通话术、隐私文本模板、通用 API/SDK
70、等方法等都是良好的隐私工程集成实践。实践案例实践案例|星纪魅族:隐私设计组件化星纪魅族:隐私设计组件化合规设计指南与用例合规设计指南与用例。根据个人信息保护法 信息安全 个人信息处理中的告知和同意的实施指南 信息安全技术 移动互联网应用程序(App)收集个人信息基本要求,对于应用首次运行时的告知同意的设计要点包括:a.应用首次运行时,通过弹窗形式主动展示个人信息保护政策、涉及的权限调用等核心内容;b.个人信息保护政策文本链接有效且文本可以正常展示;c.个人信息保护政策不会造成阅读困难;d.个人信息保护政策单独成文;e.在固定入口展示个人信息保护政策,且进入主界面不超过 4次的点击可查看;f.不
71、得默认勾选;g.由用户主动选择同意或不同意(包括设置退出、上一步、关闭、取消的按钮等方式)的选项;h.不得采取误导、欺诈、胁迫等方式影响用户同意;i.选择同意与不同意的途径和方式应该同样方便;j.个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,会重新取得用户同意;k.同意之前不得收集任何个人信息,也不得申请任何可收集个人信息的权限;l.应当提供便捷的撤回同意路径。产品设计方案产品设计方案。提供标准的产品交互设计指南,包括应用首次打开的弹窗样式与隐私设置。统一设计弹窗样式、文案内容(包括必要权限和可选权限)、选项名称和颜色、字号,作为标准的产品设计方案,提供给产品和设计部门参考使用。
72、隐私政策文本明确要求字号、行距、边距、加粗格式,保障用户可以清楚阅读和理解个人信息保隐私工程白皮书29护政策内容。在产品设计方案中规定隐私设置、隐私政策、个人信息收集清单、第三方信息共享清单的入口名称、访问路径等。研发标准化工具研发标准化工具。研发部门设计开发统一的工具包(包括 SDK 和 API 两种接入方式),可以提供标准弹窗样式、隐私设置的界面、读取隐私政策的最新内容、隐私政策更新时重新同意的弹窗。同时,为了统一管理隐私政策版本,公司内部使用了隐私政策编辑和发布平台,确保隐私政策与数据处理活动保持一致。实践案例实践案例|AmberAmber GroupGroup:隐私工程的集成与实施要点
73、:隐私工程的集成与实施要点隐私通知与交互界面开发隐私通知与交互界面开发。Amber Group 在隐私通知与交互界面分层设计层面会与产品经理进行深入的沟通,在业务便利性和隐私保护中间取得良好的平衡,以满足PbD 的“正和非零和”原则。一个隐私通知的有效传达,可以采取隐私通知组合来达到用户界面的最优解。具体包括从静态隐私通知文本、增强告知、即时提示、单独同意、隐私图标和符号,以及隐私政策更新的通知。产品、数据库开发与隐私管理平台配置产品、数据库开发与隐私管理平台配置。在产品与数据库开发过程中,主要是配合开发人员和 DBA 进行实际开发实施。隐私技术团队主要完成以下工作:(1)数据收集点实施。确定
74、 Web、App 和小程序的同意记录收集技术,可以选择嵌入隐私管理平台的 Javascript、SDK,或者利用隐私管理平台的 API 进行同意记录的推送,做到同意记录的有效留存。(2)移动应用合规管理 SDK 集成。隐私管理平台的移动应用合规管理 SDK 集成,需要在隐私管理平台上配置好 App 弹窗和隐私偏好中心的界面、文本、颜色、Logo,并配置好地理位置规则(PIPA、GDPR、CCPA等)。配置导出 SDK 后,交由开发人员集成到 App 中。(3)数据主体权利响应实施集成。数据主体权利响应需要在隐私管理平台上进行地理位置规则配置、数据主体身份认证配置、响应流程指引话术、企业内部响应
75、工作流等相关配置。最终呈现的数据主体权利响应页面交由开发人员集成到产品上海品茶的底部,并以超链接的方式嵌入隐私政策的“联系方式”章节。(4)数据表设计。通过建立用户中心数据表,作为用户数据的集中数据库,通过唯一标识符作为多个数据库表之间的外键,用于连接其他应用系统和模块,降低敏感个人数据分散存储在多个数据库表中的风险,也降低隐私数据管理难度。(5)个人数据时间戳标记。根据数据分类分级情况,金融交易类数据一般会采用UID+交易数据的方式存储,有较为独立的库表结构,可以方便数据归类进行处置。时间戳方面,应从该条交易数据产生时就打上时间戳标记,定期对数据库表的时间戳进行轮询,产生数据删除或匿名化的任务待
76、后续处理。(6)数据库字段加密。识别需要实施数据库字段加密的个人数据字段,并采用云供应商的应用加密 SDK 和 KMS 完成数据字段加密工作。(7)数据展示脱敏。根据企业脱敏标准完成产品前端的敏感个人数据展示脱敏,以及后端日志数据的脱敏。隐私工程白皮书304.隐私工程验证阶段隐私工程验证阶段,主要是对设计和开发的具体实现和符合性进行验证,检查隐私需求是否得到满足。主要工作包括 Web Cookies扫描、App 与 SDK 数据收集和权限扫描、隐私功能用户验收测试。隐私工程的验证通常由不同的团队执行。软件测试团队负责功能测试,对隐私界面、隐私功能是否与需求和设计文档保持一致进行验证。提出需求的
77、隐私团队则需要确保系统的隐私功能与后端的隐私管理平台或通用组件之间集成的正确性,包括后端平台是否能够正确收到用户同意记录、数据主体权利请求流程是否通畅、隐私政策文本正确性、隐私政策链接跳转是否有效、Web Cookies 是否与政策保持一致等等。此外还可以引入外部第三方隐私合规检测机构,通过模拟用户遍历产品功能、代码审查、动态监测、隐私政策内容提取分析等手段,从产品交互界面隐私设计,产品自身及第三方 SDK获取用户数据的时间节点、频次、具体种类,获取系统权限的时间节点、频次,隐私政策披露用户数据收集和使用的真实、准确、完整性等多个维度对产品用户数据处理和隐私设计状况进行全面扫描,并在此基础上验
78、证其是否符合合规基线。5.隐私工程运营阶段隐私工程的运营阶段,主要是持续进行规范跟踪、过程管理、风险管控,对隐私工程措施和流程实现维护和优化。规范跟踪。跟踪隐私相关的法律法规、行业标准和最佳实践,确保组织的隐私措施符合最新的合规要求。定期评估和更新隐私政隐私工程白皮书31策、用户协议和其他隐私相关的文件,以及企业已经制定的隐私保护要求和业务流程,以确保其与最新的法律要求和企业隐私策略一致。过程管理。各部门相关人员需要在企业隐私管理制度、业务流程以及隐私工程框架下的指导下完成各角色的工作任务,因此需要对与隐私相关的人员、工具、数据以及产品等进行全链路流程管理,确保规范中要求的动作得以恰当履行,台
79、账、审计以及检查等工作得以妥善完成,确保隐私工程与业务深度融合。风险管控。隐私风险管控是保护个人信息的重要措施,是隐私工程运营阶段的重要工作,它涉及对数据处理活动中可能出现的潜在风险进行识别、评估、监测和处置。在隐私管理和流程实施过程中,需要结合相关工具和技术对风险点予以监控和预测,对隐私安全事件设置预警机制、预案以及响应机制,并对于已经发生的事件完成评估及复盘工作,改进现有隐私管理措施。实践案例实践案例|蚂蚁蚂蚁 i-ABC 隐私工程体系隐私工程体系:隐私风险监测域隐私风险监测域隐私风险监测域(如图 12)对涉及个人信息处理的业务活动持续开展隐私风险识别、评估、处置等治理活动,通过隐私监测规
80、则的集中管理和布控,实现隐私风险的监测、识别和评估处置的全链路管控,支撑业务部门方便快捷地布控隐私监测规则,并对规则筛选出的对象进行集中治理。企业可基于业务隐私风险的垂直领域分析,抽象出企业重点关注的垂直风险领域,如端及 SDK、小程序开放生态、算法及个性化推荐、生物识别等等。每一个风险域,都对应特定的风险监测对象,基于风险监测对象和风险分类,从底层平台提供相应的隐私风险的监测能力。隐私工程白皮书32来源:蚂蚁科技集团股份有限公司图 12 隐私风险监测域架构(二二)隐私隐私工程体系建设架构参考工程体系建设架构参考目前,我国部分企业已结合隐私工程的理论方法和自身实践,探索出了各具特色、各有侧重的
81、隐私工程体系架构。本节分享了蚂蚁、阿里、OPPO、Amber Group 四家企业的隐私工程体系架构全景图,以便更加直观地展示隐私工程体系架构和运行原理。企业可充分结合隐私工程的理论体系和实践案例探索建立适合自己的隐私工程体系。1.蚂蚁:技术驱动的 i-ABC 隐私工程体系“i-ABC”是基于满足监管要求、提升用户隐私安全感、助力业务持续发展等诉求提出的隐私工程数字化的管理体系,将融合了法规影响、监管影响、用户影响的隐私专家经验直接投射于产品设计、代码研发、应用部署、数据链路调用、信息存储、算法推荐,在系统层面构建隐私影响评估、风险监测识别、风险快速处置、隐私管控策略动态调整的体系化能力,和结
82、合行业态势发展、新技术应用隐私工程白皮书33的快速洞察分析能力。来源:蚂蚁科技集团股份有限公司图 13 技术驱动的 i-ABC 隐私工程体系如图 13 所示为技术驱动的 i-ABC隐私工程体系,由 4 个域组成,以实现对个人信息全生命周期与企业运营全流程的整体管控。其中,“i”指隐私水位洞察(Privacy Level Insight)、“A”指隐私影响评估(Privacy Impact Assessment)、“B”指个人信息处理数字化记录(Personal Information Book)、“C”是指隐私风险监测(Privacy RiskControl)。隐私水位洞察的核心是隐私合规基线
83、的数字化,通过对于内外部的数据和信息进行分析,制定相关业务或产品的隐私合规基线,在此基础上对实际管控水位和管控效果进行跟踪和分析。隐私合规基线的设置可综合考量风险维度、业务表现、用户感受、行业水位四个维度。设置合适的隐私合规基线应当做到对监管立法执法、行业动态进行及时感知和分析,通过用户分析、投诉等信息构建用户隐私感模型,以及对企业内各业务风险域的隐私水位进行标准量化隐私工程白皮书34管理及数据化分析。隐私影响评估包括事前评估和实际链路管控,将传统意义上的专家隐私风险评估与生产系统的实际落地结合起来,保证评估的内容能够切实地落地和执行。其中,事前评估旨在针对某一种数据处理活动的需要,结合业务场
84、景、业务性质、获取范围和处理目的,就数据处理活动对自然人的权利和自由产生风险的可能性进行事前的准入评估。实际链路管控是指企业在依据隐私合规基线进行隐私影响评估后,形成系统链路可执行的策略,理清相关数据处理活动涉及的所有业务场景和生产链路,明确具体的管控卡点,即策略可以生效的系统节点。个人信息处理活动记录包括个人信息档案(业务事实)和个人信息保护措施档案(隐私管控记录)。个人信息档案将应用系统、数据链路中等各处涉及个人信息授权、使用、共享的相关的记录进行索引聚合,通过业务视图的转义,还原为业务事实档案。个人信息保护措施档案则记录了企业日常隐私管控的相关动作,如 PIA记录、风险发现处置记录等。个
85、人信息处理活动记录的核心职责是在个人信息去标识化的基础上,将个人信息在企业全业务流程中的流动、评估、管控记录完整还原,形成个人信息账本,做到个人信息使用“有依据、有记录、可追溯”,以满足监管检查和诉讼应对的自证、内外部审计和风险管理的需要。隐私风险监测是指对个人信息风险进行全面的预警和治理,做到“早发现、早治理”。其核心逻辑是通过对比业务事实行为与结构隐私工程白皮书35化后的合法依据发现隐私风险。隐私风险监测包括建立外部情报与隐私风险排查联动的响应和处置机制,根据业务和行业水位的变化快速部署隐私风险监测规则,主动进行风险巡检并对隐私工作提供后督能力支撑。2.阿里:隐私保护与业务效益正和的隐私工
86、程框架隐私和数据保护需求应该从用户数据被采集开始就嵌入到系统和业务设计中,并扩展至个人信息处理活动的全生命周期。为提供数据采集、生产、存储、传输、使用、共享、删除全程的个人隐私保护,阿里设计了隐私保护与业务效益正和的隐私工程框架。来源:阿里巴巴(中国)有限公司图 14 阿里巴巴隐私工程框架如图 14 所示,为保护个人隐私权益、符合监管要求,企业需要同时采用管理手段和技术手段。阿里基于法律法规、制度流程指导隐私设计,同时使用技术和工程能力将隐私合规保护原则和策略进隐私工程白皮书36行具象化的系统实现。在进行隐私合规管理时,首先要对法律法规和监管政策进行研究解读,并结合企业实际需要,制定符合业务的
87、企业制度规范和贴合业务场景的合规原则。其次,通过组织建设将相关隐私合规权责分配到特定团队和个人,并设计相应到的流程和场景合规方案,将制度规范原则具象化。在建立好相应制度、规范、流程、工具能力后,进行教育宣导和员工培训,建设企业隐私文化。在隐私合规具象化的过程中,需要通过技术和工程能力将合规流程和方案进行系统化。阿里通过研究开发数据分类分级识别、数据血缘追踪、流通规则引擎、可信数据空间等数据合规审控工具,以及差分隐私、联合分析、安全多方计算等隐私计算技术,实现了图 14 中个人信息处理活动各环节的合规管控策略,以支持个人隐私风险的识别、分析、预警、审计和治理。以上隐私合规工程框架的落地,在保障个
88、人信息权益、履行企业责任义务的同时,还实现了风险精细化管控,降低了隐私合规成本,如隐私合规专家进行隐私影响评估和场景合规评估的人力和时间成本、不合适的隐私合规策略或解决方案导致的数据可用性损耗等。以内部数据流通场景为例,阿里设计并实现了基于数据识别及分类分级、合规规则引擎、风险审计和平台合作协议的数据流通风险管控系统(如图 15),对企业内部流通个人信息时的隐私风险进行针对性的风险管控。隐私工程白皮书37来源:阿里巴巴(中国)有限公司图 15 数据流通隐私合规风险精细化管控系统数据识别系统可以自动化识别个人信息并对其进行分类分级,以便在内部数据流通过程中高效识别刻画个人信息,并基于其敏感等级进
89、行分层保护。基于维度属性设计的数据分类及分类对应的数据风险等级,不仅能对敏感个人信息进行单独分类和标记,还做到了贴合实际业务场景。此外,阿里还设计了数据升降级模型,解析数据处理逻辑及数据血缘,对个人信息的等级进行动态识别校准。数据分类分级识别的结果将作为数据内容的属性输入到合规规则引擎中。合规规则引擎对企业内部的数据流通行为或场景进行结构化的描述,而隐私合规专家可以基于结构化语言描述数据流通过程中的合规规则,定义数据合规流通策略及支持其流通的合规依据。当数据在企业内部流转时,阿里将调用合规规则引擎中预先定义的合规规则,对预置的有合规依据且隐私安全风险可控的个人信息内部流通行为自动放行,对无合规
90、依据、有隐私合规风险的个人信息隐私工程白皮书38共享行为进行自动阻断,从而减少需要隐私合规专家人工介入评估的工作量,以提高流通效率。当合规规则引擎反馈需要人工介入评估或管理风险时,隐私合规专家将介入进行隐私影响评估,并设计相应的合规解决方案,如签署相应的协议以作为本次数据流通或共享的合规依据,或设计相应的数据共享技术方案或隐私合规管控策略保障个人信息权益。此外,隐私合规专家还可以通过合规审计看板进行隐私合规风险排查和追溯,合规审计看板还将作为企业履行个人信息权益保障义务的自证工具。通过数据识别及合规规则的预定义,以上方案提供了系统化的隐私影响评估能力,减少了大量的人工评估工作量。同时,还可以让
91、隐私合规专家对高风险的个人隐私数据共享行为进行针对性识别和管控,以快速发现数据流通中的隐私合规风险,保障个人信息权益。3.OPPO:将隐私设计要求落实到产品全生命周期中OPPO 作为手机厂商及互联网应用平台方,结合自身业务特点逐步建立了一套隐私工程的实践(如图 16)。在体系建设过程中,OPPO 关注消费者、业务部门、三方合作方、监管部门等几个关联方的安全隐私需求。通过行业洞察与消费者调研掌握行业动态及消费者需求,通过培训与宣传提升人员的安全能力与意识,通过产品安全隐私特性打造来提升产品的安全隐私体验,提升产品的安全隐私竞争力。最后,OPPO 还建立了检测与评价机制,对安全体系进隐私工程白皮书
92、39行及时评测,发现问题及时纠正和改进,最终建立一套自证合规的体系。来源:OPPO图 16 OPPO隐私工程实践框架在组织建设方面,OPPO 建立安全隐私“三道防线”,协同推进安全隐私工作落地。第一道防线,由业务部门安全与隐私合规代表或安全系统工程师构成,主要向业务负责人及安全与合规委员会汇报,负责产品安全隐私策略的具体落地应用、自查自纠等。第二道防线,由专职的安全隐私部门构成,主要向安全与合规委员会汇报,负责安全隐私能力的建设与支持、推动产品安全隐私策略的落地。第三道防线,由审计部门担任,主要向安全与合规委员会汇报,负责产品安全隐私策略落地的审计,发现风险,推动业务整改。OPPO 同时建立清
93、晰的问责机制,督促各级部门履行自己的职责,在发生违规情形时,将由公司进行对应的问责处置。在流程制度方面,OPPO 坚持将隐私保护落实到产品需求、设计、开发、运营的整个生命周期中,实践 PbD 要求。在产品需求设隐私工程白皮书40计阶段,所有新增或变更个人信息处理活动都需要完成安全与隐私合规评审。只有通过安全与隐私合规评审的需求设计方案才能进入开发流程。在产品开发过程中,开发人员应遵循企业内部的开发编码规范和安全算法使用规范。在产品上线之前,涉及个人信息处理的产品需额外通过专项合规测试和复核,确保产品实现满足最新的个人信息保护合规要求。在整个过程中,安全隐私专业团队负责把控关键节点,并持续推动合
94、规标准更新和落实。为了确保公司从管理层到普通员工均熟知 OPPO 对用户数据保护的承诺及具体要求,OPPO 定期组织全公司范围的课程学习、测验,由安全隐私专业团队进行专业培训,并将测试通过情况纳入考核指标。在技术工具方面,OPPO 创建了可靠、可信、智能化的数据安全防御体系,运用 AI、大数据等新技术,实现智能化云安全防护能力,并将安全与隐私活动贯穿产品全生命周期。同时,OPPO 在安全隐私检测技术上取得了一系列突破,通过安全与隐私合规检测推动合规要求的切实执行,为用户建立稳固的安全防线。在用户体验方面,OPPO 主动打造产品安全隐私特性,提升用户信任。在安全隐私特性设计和优化过程中,OPPO
95、 将用户的参与感、掌控感、以及功能使用的便捷性、可靠性也纳入考量,给予用户更强的安全感。通过持续优化及打造产品安全隐私能力,给用户提供更好的安全隐私体验。隐私工程白皮书414.Amber Group:融合数据安全与隐私保护的综合治理框架Amber Group 数据安全与隐私保护框架(如图 17)是以 NIST隐私框架为基础,融合数据安全能力成熟度模型要求(DSMM)、SOC 2 和 ISO 信 息 安 全 与 隐 私 信 息 管 理 体 系(ISO27001/27701/29151),并结合 PbD 和先进云原生 DLP 技术能力,形成的具有 Web3 和数字资产领域隐私保护特色的综合性框架。
96、该框架通过将 Privacy by Design&Default 嵌入 DevSecOps 的产品研发流程当中,使产品研发过程尽早考虑隐私保护,达到“安全与隐私左移”的目标,以防范组织内部数据滥用、数据误用、数据泄漏等隐私合规风险。来源:Amber Group图 17Amber Group 数据安全与隐私保护框架数据安全与隐私保护框架共分为 5个模块,分别是识别、治理、保护、交互与内控。隐私工程白皮书42识别模块是整个框架运行的开端,通过对法律法规、业务状况、数据状况、商业环境、生态合作和安全风险进行持续识别,充分了解企业的各类底数台账,是数据安全与隐私保护框架运行的先导条件。治理模块是框架的
97、底座,也是任何体系的基础。一是完善组织建设,将组织数据隐私职责进行明确定义,通过高层给予隐私承诺,以数据与隐私接口人机制落实相关制度流程,保持组织内部流畅的沟通渠道。二是数据安全与隐私保护法规融合,搭建管理体系制度与流程文件体系,为合规管理留存执行记录证据。三是建立数据安全与隐私保护的风险管理计划,通过风险评估识别风险,定义组织风险承受能力和风险偏好,同时与组织的风险管理框架进行合理衔接。四是落实数据安全的运营管理职责,执行数据安全策略运营、监控预警、应急处置和账密管控。最后是建立高层级的监视审查机制,通过数据隐私监审程序为内控模块的各项措施执行提供上层政策依据,对异常数据接收、数据主体权利响
98、应和环境因素变化等主要环节进行持续监视。保护模块融合了传统网络安全和信息安全的身份管理和访问控制、通用安全控制。在数据安全方面,从企业的生产环境和职场办公环境分别搭建安全控制措施。在隐私保护方面,将基于默认和设计的隐私嵌入到企业的产品研发流程中。交互模块体现了隐私保护所特有的交互特性。在监管机构方面,应保持双向的顺畅沟通,做好跨境传输审批、数据泄露通知、定期隐私工程白皮书43向监管披露隐私情况报告等。在客户方面,应完善隐私的通知、告知、投诉与沟通渠道,做好客户同意管理和主体权利响应管理,提升客户体验。在供应商方面,则应该落实尽职调查、界定双方责任义务、做到定期审计稽核,保持数据事件应急响应联动
99、机制的有效性,做好 SDK 和 API 的相关资产管理,并保持良好的沟通。在员工方面,应明确职责,做好入离职管理、培训宣贯、奖惩管理、沟通管理、协议管理。最重要的是设置好 DPO 机制,为数据主体和监管机构搭建一个专业有效的沟通联络点。内控模块主要是对管理体系运行效果进行评估、检查、验证、审计,获取外部机构认可和专业资质认证,通过持续的预防措施和整改纠正行动来持续改进。内控模块应与网络安全或信息安全管理体系进行有效融合和衔接。(三三)隐私隐私工程体系建设建议工程体系建设建议隐私工程体系并非一朝一夕可建成,不仅需要调动多部门协调沟通,还需要持续动态优化调整。结合已有经验,企业在建设隐私工程前应当
100、注意以下几点。第一,合理选择建设路径。不同企业对于隐私合规的认知不同,对于隐私工程建设的迫切程度不同,能够为隐私工程建设所付出的时间成本和提供的人力资源也各不相同。这就需要企业在进行隐私工程体系建设之前充分了解企业现状,包括企业隐私合规现状、领导层和相关部门对隐私合规的认知现状、可调配的资源现状等等。若未能达到各方对隐私合规认知较为深入、可调配资源充分的理想隐私工程白皮书44情况,则可以采用以点带面的路径,设置阶段性目标,使用有限的资源在短时间内优先解决最为迫切的隐私合规问题,逐步搭建隐私工程的各板块,步步为营,最终完成隐私工程体系的完整拼图。第二,统筹协调跨部门合作。隐私工程的重要基础是将隐
101、私保护要求转化为软件开发、企业运营管理等要求,这就需要隐私、安全、业务、研发、法律、客服等多部门的相互配合。此外,在隐私工程建设初期,相关流程卡点、技术工具等尚不成熟,也会给业务开发带来一定影响。这就更需要各业务部门之间互相沟通、协同以寻求最适合本发展阶段的解决办法。一方面,企业可以开展跨部门的培训和交流,让隐私、安全相关部门掌握一些开发流程、技术原理等相关知识,同时让技术、开发等部门了解基础的隐私安全和法律要求,在各部门之间搭建起理论知识和实践经验的学习、沟通桥梁;另一方面,在隐私工程体系建设过程中,可以提供可复用的技术工具、模块供开发部门灵活选用,快速总结评估和管控经验,完善相关策略规则,
102、尽量减少对业务的打扰,提升隐私风险评估和管控等流程的效率。第三,加强宣传隐私工程价值。尽管隐私工程可以点带面建设实施,但企业决策层和各部门对于隐私保护的深入了解将大大降低隐私工程建设工作的阻力。一方面,可以在日常的员工培训、宣讲等活动中加入隐私保护知识的普及,循序渐进地加强企业的隐私保护意识,让企业自上而下充分认识到隐私保护能够为企业带来的价值;另一方面,在开展隐私工程体系建设工作之前,还应当充分和隐私工程白皮书45各部门沟通和传递隐私工程相关工作目的、价值以及相关隐私合规风险,统一认知,共同推进隐私工程体系的建设和持续完善。隐私工程白皮书46五、结语我国在隐私保护方面的发展还属于初始阶段,虽
103、然已经出台相关法律法规和标准,但企业从知晓、理解、吸收、内化再到贯彻落实是需要一个长久的过程,企业需要充分认识到隐私保护对于企业的价值,才能真正明白隐私保护其实不是企业发展的拦路障,而是助推剂。通过隐私工程来完成隐私保护与企业其他工程化实践的相互融合,可以在充分保障业务正常运转的前提下高效地完成隐私保护要求。企业隐私保护的良好实践可以得到更多的客户青睐,甚至能够成为企业品牌的一个核心价值,获得品牌效应,进一步实现营收增长。当越来越多的企业通过内化隐私保护而普遍提供高质量的产品和服务,隐私合规纠纷会减少,企业社会信用度将提升。隐私工程作为将隐私保护的需求整合到软件开发生命周期以及组织和技术管理流
104、程的工程实践,在未来或将有机会发挥更大的价值,帮助更多的企业提升隐私保护能力,促进企业合规可持续发展。隐私工程白皮书47参考文献1Ann Cavoukian:Privacy by Design.The 7 Foundational Principles2AEPD:AGuide to Privacy by Design3 C Dwork,N Kohli,D Mulligan:Differential Privacy in Practice:Expose your Epsilons!4 ENISA:Privacy and Data Protection by Design-from policy
105、toengineering5 ENISA:Data Protection Engineering-From Theory to Practice6 EDPB:Guidelines 4/2019 on Data Protection by Design and byDefault7 ISO/IEC:ISO/IEC TR 27550:2019 Information technology-Security techniques-Privacy engineering for system life cycle processes8 ISO 31700-1:2023Consumer protecti
106、on-Privacy by design forconsumer goods and services Part 1:High-level requirements9 Kobbi Nissim:Privacy:From Database Reconstruction to LegalTheorems10 NIST:An Introduction to Privacy Engineering and RiskManagement in Federal Systems11 OECD:Emerging Privacy Enhancing Technologies:CurrentRegulatory
107、and PolicyApproaches12 PRIPARE:Integrating Privacy Best Practices into a PrivacyEngineering Methodology隐私工程白皮书4813 国家市场监督管理总局、国家标准化管理委员会:GB/T 41817-2022信息安全技术 个人信息安全工程指南14 胡恺健Privacy By Design理论架构与技术实战15 OPPO、德勤:移动应用(APP)个人信息保护白皮书16 数据安全推进计划:隐私工程:从法律到研发工程17 朱玲凤,汪明:从概念到实践:数据保护设计和默认数据保护的延展和适用18 朱玲凤:隐私工程的中国式路径隐私工程白皮书1大数据技术标准推进委员会大数据技术标准推进委员会地址:地址:北京市海淀区花园北路北京市海淀区花园北路 5 52 2 号号邮编:邮编:1 邮箱:邮箱:TC601CCSATC601CCSA网址:网址:om