3月6日发布的新版《信息安全技术 个人信息安全规范》(“《个人信息安全规范》”)让很多人注意到了“个人信息安全工程”这一概念。实际上, 2019年6月发布的征求意见稿已将之纳入其中。且在此之前,全国信息安全标准化技术委员会就曾于2019年5月28日发布了专门针对个人信息安全工程的《信息安全技术 个人信息安全工程指南(征求意见稿)》(“《工程指南(征)》”),并于同年10月28日发布了根据相关意见修改后的第二稿。
“个人信息安全工程”要求将个人信息保护关注点整合到系统和软件生命周期过程的工程实践中,其与《网络安全法》下“同步规划、同步建设和同步使用”的“三同步”原则相衔接,并与欧盟《通用数据保护条例》(General Data Protection Regulation, “GDPR”)下的“Privacy by Design(通过设计保护隐私)”原则具有异曲同工之处。《个人信息安全规范》与《工程指南(征)》虽不具有法律强制力,但其作为推荐性国家标准,体现了当前数据合规的最佳实践。随着全球隐私保护监管趋势的加强,未来企业将面临更加严峻的合规挑战,“亡羊补牢”为时或晚,将个人信息保护融入技术开发和业务创新,“谋定而后动”方能立于不败之地。
一、为什么要开展“个人信息安全工程”?
《网络安全法》规定网络运营者收集、使用个人信息时应当遵循合法、正当、必要的原则;并采取技术措施和其他必要措施,确保其收集的个人信息安全。同时,《网络安全法》还要求,建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。在此基础上,《个人信息安全规范》细化了合法、正当、必要原则的内涵和外延,并将“三同步”原则纳入“个人信息安全工程”,从而将其适用扩展到了一般的个人信息控制者。从企业的角度,“个人信息安全工程”虽不具有法律强制性,但其理念和要求却是对《网络安全法》下个人信息保护规定的具化和落实,对于企业遵守法律规定具有重要参考意义。
随着执法活动的常态化,先发展后合规的理念已不再适用。尤其是在一直处于快速发展和变化进程中的互联网行业,其产品、业务模式甚至以月为迭代周期,加之隐私保护相关法律法规的不断出台和更新,企业在数据合规过程中常常需要“摸着石头过河”。个人信息安全工程的引入,给企业提供了一套制度化的最佳实践,并且,通过实施个人信息安全工程的相关记录,企业能够向执法机构证明自己的产品或服务符合相关法律法规的要求。此外,个人信息安全工程作为一项隐私保护的方法论,其与“Privacy by Design”原则的契合,使之不仅可以运用到国内产品的设计和开发,还可适用于出海产品。
二、如何开展“个人信息安全工程”:分工与协作
实践中,数据合规的难点之一在于业务团队、技术团队和法律团队的分工与协作问题。由于专业领域以及关注重点的不同,团队之间可能产生矛盾冲突,阻碍项目推进。以SDK插件为例,业务团队更关注插件的功能和效果,法律团队更关注隐私风险的控制和管理,技术团队则更关注技术的实现和优化。面对冲突引发的各种不确定性和项目进度延期,企业往往需要一套完整且明确的行动方案和操作流程。对此,企业可参考《工程指南(征)》将项目阶段化、模块化,明确各团队分工:
二、个人信息安全影响评估:贯穿始终的重要风控环节
个人信息安全影响评估是指针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。个人信息安全影响评估之于个人信息安全工程不仅仅是一项工具,更是一个过程,贯穿于产品和服务的整个生命周期,识别安全风险,修正安全措施。结合2018年6月发布的《信息安全技术 个人信息安全影响评估指南》征求意见稿以及相关实践经验,在落实个人信息安全工程时,个人信息安全影响评估的关注重点如下:
(一) 需求分析阶段
(二) 产品设计阶段
(三) 测评审核阶段
(四)发布部署阶段
三、隐私政策撰写的“三段”论
隐私政策是企业收集、使用用户个人信息最主要的依据,因此如何在符合相关法律法规的基础上,最大程度地实现企业对于个人信息的需求尤为重要。一份好的隐私政策从来不是脱离产品完成的,其编写应当贯穿于产品开发设计的全部阶段,并服务于产品需求:
-
需求分析阶段:摸底统计基本业务功能和附加业务功能中需要填写的个人信息,以及每个业务功能下收集到的个人信息的处理(含委托处理)、共享、转让等情况,以搭建隐私政策基本框架。如涉及数据跨境传输和未成年人个人信息,应依据相关专门规定持谨慎态度处理;
-
产品设计阶段:结合产品设计方案,写入便于用户实现个人信息主体权利的方式,以及响应的时间和流程;
-
测试审核阶段:参照《App违法违规收集使用个人信息自评估指南》《App违法违规收集使用个人信息行为认定方法》等,并结合开发、测试完成的技术方案,检查隐私政策的内容和形式要求是否符合相关要求,例如获得用户同意的交互过程是否有效可行,是否易于阅读、访问等。
四、第三方产品隐私安全风险的审查
鉴于移动互联网市场的快速迭代,高科技产品不断推陈出新,企业在开发App等产品时为了提高效率、降低成本,往往会采用第三方SDK和插件或购买IaaS。但是,因其由第三方供应商提供,故可能存在不可控的隐私安全问题。对此,企业在拟采用第三方SDK、IaaS等产品或服务时,应注意进行充分审查,评估其在收集、处理个人信息时可能带来的隐私安全风险,包括但不限于:
-
安全性审查:审核第三方供应商是否具有相关资质,是否落实了网络安全等级保护备案;
-
必要性审查:对第三方SDK等产品或服务收集个人信息的必要性进行审查,避免过度收集、使用个人信息;
-
授权同意审查:如涉及第三方产品或服务单独向用户收集个人信息的场景,应审查其取得授权同意的方式是否符合相关规定。
五、结语
随着《民法典》的通过,中国个人信息和隐私保护达到了一个新的高度。从全球来看,自GDPR颁布以来,各司法管辖区相继出台隐私保护、网络安全法律法规,违规罚单不断刷新。可以预计的是,未来企业将面临更加严格的法律和监管要求。
个人信息安全工程通过将隐私保护工作紧密结合至产品和服务的开发设计中,从源头减少隐私风险的发生,对于平衡隐私保护与商业利益具有重要意义。目前,与个人信息安全工程异曲同工的“Privacy by Design”原则已为众多企业接受并体现在其产品和服务之中。
疫情推动了各行业数字化转型的发展,企业在着手转型时,应将个人信息安全工程纳入考虑,从根源上控制产品和服务在收集和处理个人信息方面可能存在的风险,将打好数字化转型的“地基”。
