文│ 北京市环球律师事务所合伙人 孟洁;微软资深标准专家 王劲松;微软认证政策总监 李思宏
隐私保护和合规已成为未来企业发展的必然要求。聚焦全球首个隐私管理体系标准(PIMS)——隐私信息管理体系,兼顾考虑国际标准ISO/IEC 27701 与中国标准 GB/T35273 的兼容性,可为企业隐私合规与全球化布局提供思路。
一、国际个人信息与隐私立法概况
当前,全球数字化进程持续推进,数据基数呈指数式增长,人类生活和生产活动越来越依赖于各类数据。在此背景下,基于对数据的合法利用,以及对网络空间个人信息和相关权益的保护需求,各国正纷纷建立健全数据战略、法律法规和各项标准指南,拟对数据安全和个人信息保护进行统一的立法、规范和引导,例如欧盟的《通用数据保护条例》(GDPR)、美国的《加州消费者隐私保护法案》(CCPA)、中国的《网络安全法》《个人信息保护法(草案)》《数据安全法(草案)》等。
然而,全球化以及数据的高价值利用和自由流动需求,使个人信息与隐私合规处在动态、跨辖区的运营环境中。企业和组织,特别是跨国企业和组织,在这样复杂的法律和监管背景下,履行各国个人信息和隐私保护的合规义务愈发重要。然而,不同法域之间个人信息和隐私保护规则纷繁复杂,这又给企业合规带来一定的困难。例如,欧盟的 GDPR和中国的《个人信息保护法(草案)》等法律,不但在本国法域内有管辖权,同时还具备了域外效力,为众多企业走向全球发展的同时,实现跨区域有效保护个人信息及其相关权益,增设了难题。因此,亟待有一个能够起到全球统一协调作用的个人隐私保护体系或法律规则,为企业在不同法域的数据合规工作进行方向性的指导。
二、国内外个人信息与隐私标准进程
除法律法规以外,在国际层面和中国国内层面,对个人信息保护的标准制定也均在逐步推进。以国际和国内两项代表性标准 ISO/IEC 27701 与 GB/T 35273为例,对比分析其具体控制措施、梳理两部标准在合规措施与内部架构方面的区别与联系,整理可实践的一体化操作方案,为相关企业、组织与个人使用好两把指南标尺进行企业内部合规建设,提供方向性建议。
2019 年 8 月,国际标准化组织(ISO)与国际电工委员会(IEC)正式发布《ISO/IEC 27701安全技术——对用于隐私信息管理的 ISO/IEC27001 和 ISO/IEC 27002 的扩展—— 要求和指南》(SecurityTechniques–Extension to ISO/IEC 27001 andISO/IEC 27002 for Privacy Information Management–Requirements and Guidelines),首次提出 PIMS 的理念。相较于此前的国际标准,ISO/IEC 27701 在 ISO/IEC27001 信息安全管理体系基础上,一方面,将内容进一步扩展至整个隐私安全管理体系;另一方面,ISO/IEC 27701 在 ISO/IEC 27002 的基础上,区分个人可识别信息(PII)的控制者和处理者两个不同适用对象,并进一步细化了各角度的控制措施,为建立、实现、维护和持续改进 PIMS 提供了具体的建议和方案。此外,ISO/IEC 27701 还与 GDPR、ISO/IEC 29100、ISO/IEC 27018 及 ISO/ IEC 29151 的条文进行了比对,建立了相互映射关系,以期实现一部国际标准辐射并协同多国隐私合规法律/标准的效果。
中国规范个人信息和隐私保护标准的探索也在不断稳步推进。2017 年 12 月,全国信息安全标准化技术委员会在中国首次发布《信息安全技术个人信息安全规范》(GB/T 35273-2017),于 2018 年 5 月1 日生效。在 2017 版本实施未满一年之际,全国信息安全标准化技术委员会于 2019 年 1 月 30 日公布了修订的《信息安全技术 个人信息安全规范(草案)》,向社会公开征求意见。此次修订增加了定向推送、第三方接入等互联网新形态下的企业合规义务,细化了安全事件处理、用户行权等方面的合规要求。2019 年 6 月 25 日,全国信息安全标准化技术委员会进一步结合 App 违法违规收集使用个人信息专项治理工作的实践要求,对标准内容进一步优化,发布了新版《信息安全技术 个人信息安全规范》(征求意见稿)。2020 年 3 月 6 日,国家市场监督管理总局、国家标准化管理委员会联合发布《信息安全技术 个人信息安全规范》(GB/T35273-2020),于 2020 年10 月 1 日起生效实施。
现行国家标准 GB/T 35273 历经了几轮修改,吸收了国内外监管执法中的实践经验,紧跟商业模式更新,以解决创新、科学技术发展带来的新兴热点问题因此,在国内企业搭建个人信息保护体系与落实合规要求时,GB/T 35273 被广为参考,原因在于其不仅提出了一些基本定义,如个人信息、个人信息处理原则、控制者等,还为个人信息保护工作在国内的落地实施打下坚实的理论基础;并且,GB/T 35273对企业的合规义务制定了较为详细的规定。
三、国内外个人信息与隐私标准的兼容性
如前所述,ISO/IEC 27701 是国际层面的隐私合规标准,GB/T 35273 是中国指引个人信息合规的国家标准。从不同维度对两部标准进行逐项对比分析,并从个人信息全生命周期的合规逻辑出发,梳理出两部标准的横向关系以及其内在对控制措施的建议要求,有利于促进企业内部确立隐私和信息合规体系架构建设。
(一)个人信息全生命周期控制措施
就适用范围而言,GB/T 35273 和 ISO/IEC27701 均针对个人信息的处理活动。两部标准关于个人信息、个人可识别信息以及隐私(信息)等表述的用词,依场景不同而有所不同。对个人信息和个人可识别信息定义的表述,虽有差异,但均以“识别”和“关联”作为要件,在本质上并无差异。GB/T 35273 主要规范了数据控制者在开展收集、存储、使用、共享、转让、公开披露等个人信息处理活动的各个环节中,应遵循的保护原则和安全要求,对委托处理行为也有相关段落的规定。虽然没有明确个人信息处理者的概念,但从条款的上下文解释中,可以推断“受托方”即等同于个人信息处理者的角色。而 ISO/IEC 27701 则以管理系统基本框架和处理个人信息时组织所担任的角色为切入点,明确且详细地描述了 PII 控制者和处理者的义务,从而对不同角色控制或处理活动的个人信息提供了全方位的保护。ISO/IEC 27701 通过在管理系统品质迭代过程中建立的个人信息安全保护框架为基础,综合考虑全球各主要国家或地区关于隐私保护的实践,兼容各区域的差异性要求,提出了个人信息安全实践指导,以帮助组织提高个人信息保护能力。因此,除支撑适用的中国个人信息保护相关法规外,当组织在采用国际标准 ISO/IEC 27701 时,GB/T 35273也能起到给予本地化要求的作用。
就个人信息处理的整个生命周期控制措施而言,GB/T 35273 和 ISO/IEC 27701 均针对个人信息的收集、存储、使用、委托处理、共享转让、公开披露、跨境传输做出了规定,针对个人信息主体的权利实现、个人信息安全事件的处置措施,虽然两部标准的整体思路基本一致,但在颗粒度和侧重点上却并不完全相同。
在个人信息收集方面,两部标准在合法性、最小必要性、授权同意和例外,以及在充分、透明的告知要求上,有相似水平的规定。但是,GB/T 35273对融合大型多功能服务和应用场景、不强迫个人信息主体接受多项捆绑业务功能等要求上,则更为详尽。此外,两部标准均提及了组织应当提供个人信息保护政策,并在个人信息保护政策的制定、内容要求和实施细则方面,均做出了明确且详细的指引。但是,ISO/IEC 27701 在信息安全政策的内容规定方面更为全面,兼顾了对外告知个人信息保护与组织内部管理体系的构建。
在个人信息存储方面,两部标准均对个人信息的存储时间、去标识化处理做出了规定,但要求的程度略有不同:ISO/IEC 27701 对存储时间的合规建议更为细致,GB/T 35273 则对去标识化处理要求更高。此外,ISO/IEC 27701 对存储介质还提出了额外的指引性要求。
在个人信息的使用方面,两部标准的规定在内容差异性上比较显著。虽然 GB/T 35273 和 ISO/IEC27701 对个人信息的访问控制、展示限制、使用目的限制、用户画像的使用限制、自动化决策和个人信息主体享有的权利等方面均有涉及,但 GB/T 35273 还根据国内市场出现的突出问题,如对个性化展示的使用、不同业务所收集个人信息的汇聚融合等,提出了更为详细的规范建议。
在个人信息其他处理活动方面,两部标准均对个人信息的委托处理、共享、转让、公开披露和跨境传输进行了规定。ISO/IEC 27701 对个人信息委托处理和跨境传输规定的要求更为细致,而 GB/T35273 对个人信息的共享、转让和公开披露提出了较多要求。
在信息主体行权方面,两部标准均规定了个人信息主体享有查询权、更正权、删除权、注销权和获取信息副本权,相关企业应及时响应信息主体的请求。ISO/IEC 27701 对查询权、更正权、注销权、获取信息副本权、及时响应信息主体请求的建议程度更为细致,而 GB/T 35273 对删除权提出了更高的要求。
在信息安全事件方面,个人信息控制者需按预定程序和所评估安全事件的严重程度处置安全事件。同时,两部标准均规定了依据事件严重程度的双重报告 / 告知义务,一是依法报告监管机构;二是通知个人信息主体。
总体而言,GB/T 35273 与 ISO/IEC 27701 在 依托数据生命周期构建个人信息保护体系上无明显差异,但 GB/T 35273 作为中国的一部推荐性国家标准,除提出了通用的个人信息安全要求以外,考虑更多的是中国所面临的与个人信息安全相关的特定问题,以及控制措施如何实操,以此指引中国企业逐步重视并践行个人信息保护的要求。因此,许多条款的颗粒度更细,更具有直接操作性。而 ISO/IEC 27701 作为一部国际性标准,考虑更多的是与国际社会有影响力的数据保护法,如 GDPR 和 CCPA之间的兼容性和联动性问题,因此,整体规范侧重于在框架构建的基础上,给各国自行建构完善的隐私保护体系提供思路和空间,对各适用国可“因地制宜”设计的部分,仅做概括性或较少的规定,留给各国具体细化处理。
(二)架构企业内部隐私和信息合规体系
针对组织内部管理体系而言,GB/T 35273 主要聚焦在第 11 条“组织的个人信息安全管理要求”,分别从明确责任部门与人员、开展个人信息安全工程、留存个人信息处理活动的记录、开展个人信息安全影响评估、建立适当的数据安全能力、对相关人员进行管理与培训,以及开展安全审计这七个大方面进行规范。相比之下,ISO/IEC 27701 将组织管理划分得更加细致,针对不同业务实施层面,向组织提出了建议与措施,它在涵盖上述七大方面的同时,建立了一套更完备、具体的 PIMS 体系。
具体来说,ISO/IEC 27701 建立了完整的事前、事中、事后合规闭环机制,即 PIMS 要求组织进行前期规划,明确信息安全管理体系的目的、理解相关方的需求与期待,以及确定信息安全管理体系的范围。在确定规划后,PIMS 对如何运行、控制、管理个人信息、应对安全风险,提供了一套战略性建议。执行过后,PIMS 还总结了如何监控、度量隐私信息管理体系的有效性、合规性等方法,并提出了相应的纠正和改进措施。
从上层管理角度而言,ISO/IEC 27701 要求建立一套适时、适地的信息安全管理方针,并在实施层面将其拆分为更具体的主题方针,用以支持信息安全的措施。此外,还要求组织对承担信息安全保护义务的角色以及相应的责任进行合理的定义和分配,形成权责统一、相互支持的信息安全组织管理框架。
除针对员工、承包商、供应商,组织有监督和培训的要求外,ISO/IEC 27701 还对 PIMS 中的资产管理、访问控制、密码技术、物理和环境安全、操作安全、通信安全、信息系统获取、开发和维护、安全事件处置、合规性等,提供了思路和措施指引。
总体而言,ISO/IEC 27701 针对组织内部的个人信息以及隐私合规体系构建从时间和空间两个维度,既提出了框架性的要求,也基于行业实践提供了详细、落地性强的指导。特别是针对员工、承包商、供应商的规范要求以及企业内部实施访问控制措施等方面,均进行了细化。ISO/IEC 27701 有利于企业理解个人信息以及隐私合规体系在企业内部如何搭建架构,以及如何设计具体对应的内部流程,从而将制度落到实处,极具实际借鉴意义。
(三)开源映射工具助力达成协作共识
2020 年 2 月,在面向开源及私有软件项目的托管平台网站 GitHub 上公开推出的开源数据保护映射项目,旨在促进和构建全球隐私社区协作和共识,以便详细分析 ISO/IEC 27701 与各种隐私监管要求之间的联系。通过 ISO/IEC 27701 与不同国家或地区隐私法规、标准之间的相互映射,达成共识,由此帮助 ISO/IEC 27701 实施者更高效地实施合规。项目工具中已纳入的一些法规,如 GDPR 和 CCPA,分别阐明了隐私要求与 ISO/IEC 27701 的映射关系,由独立的数据负责人分析创建。与任何开源项目一样,全球隐私界人士可以通过该网站提出更正和更新,以不断提高映射的准确性。
开源数据保护映射项目也添加了 ISO/IEC 27701与 GB/T35273 的映射关系。与其他国家与地区隐私保护法律或者标准的映射关系类似,该映射工具旨在帮助隐私专业人员对不同国家或地区间隐私保护要求的理解达成共识,并接受相关国际组织和群体的进一步审查和更新。尤其是来自中国隐私社区的审查和修订,进一步完善通过 ISO/IEC 27701 链接并比对各国隐私保护框架的准确性,可以帮助企业,尤其是跨国企业,提高企业合规的效率并降低合规成本。
四、企业数据合规实践应兼顾国内外标准
通过以上对 ISO/IEC 27701 与 GB/T 35273 条文内容进行对比分析可知,虽然在具体规定的细腻度、覆盖面上两部标准有一定区别,但其中心思想和内核是一致的,均强调参与个人信息活动的组织在其内部管理时须遵守相应的法律规范并要求组织落实相关措施并承担相应的责任。ISO/IEC 27701 作为国际标准,从管理体系的视角定义了个人信息安全的保护框架,并基于行业实践提供了落地指南,不仅给各国建构本国完善的隐私保护体系提供思路和空间,同时,对需要由本国自行进行“因地制宜”规范的部分,留给各国进行具体细化处理。ISO/IEC 27701还对企业组织管理的要求进行了细致划分,针对不同业务实施层面,向组织提出了建议与措施,从而构建一套更完备、具体和细致的隐私信息管理体系。
企业在中国进行个人信息与隐私合规实践操作时,除关注国内个人信息保护法律法规及国家标准的立法和监管动态外,还可选择使用 ISO/IEC 27701 作为搭建整体合规框架和控制措施的实践指南,把握普适性的国际标准大方向,了解组织安全管理的底线与需求,指导企业安排对个人信息安全落地的软着陆。这样不仅有利于企业完成在中国的个人信息与隐私合规工作,也将为未来产品、服务出海适用其他法域相关规定打下良好的基础,更有助于进一步切实落地各国的具体要求,构建更加完备的一体化隐私与信息安全保护体系。
(本文刊登于《中国信息安全》杂志2021年第3期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。