隱私保護國際標準進展與簡析

謝宗曉 李松濤

1 隱私的定義與范圍

在GB/T 35273—2017《信息安全技術 個人信息安全規(guī)范》中沒有專門定義“隱私”，但是在其附錄B（個人敏感信息判定）中提出：“通常情況下，14周歲以下（含）兒童的個人信息和自然人隱私信息屬于個人敏感信息?！笨梢?，隱私信息作為個人敏感信息的子集處理。GB/T 35273—2017中將個人敏感信息定義為：

“一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。

注1：個人敏感信息包括身份證號碼、個人生物識別信息、銀行賬號、通信記錄和內容、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14周歲以下（含）兒童的個人信息等。”

在ISO/IEC 29100：2011《信息技術 安全技術 隱私框架》等國際標準中，實際也沒有給出“隱私”的準確定義，主要定義的是個人識別信息（Personally Identifiable Information，PII）。但其中有相關定義，例如，隱私違反、隱私控制和隱私策略等。

此外，在ISO/TS 14441：2013《健康信息學 用于一致性評估的EHR系統(tǒng)安全與隱私要求》和ISO/TR 18638：2017《健康信息學 衛(wèi)生保健組織健康信息隱私教育指南》等標準中定義了“信息隱私（information privacy）”，在ISO/TS 19299：2015《電子收費 安全框架》和ISO/TS 21719-2：2018《電子收費 車載設備個性化 第2部分：利用專用短程通訊》等標準中，將同樣的概念定義為“數(shù)據(jù)隱私（data privacy）”，但這些定義都是在各自的應用情境（context）中，不是非常通用。

遵循上述慣例，在本文的討論中，也不再嚴格區(qū)別個人敏感信息、個人識別信息和隱私等幾個較為接近的概念。

2 ISO/IEC JTC 1/SC 27 發(fā)布的相關標準

ISO/IEC JTC 1/SC 27（IT安全技術分技術委員會）主要負責安全技術標準的開發(fā)，截至2018年10月，發(fā)布的隱私保護相關標準如表1所示。

ISO/IEC 29100：2011給出了一個隱私保護的框架，主要的步驟包括：識別PII、隱私防護的要求，隱私策略和隱私控制的確定。該標準的附錄A對于隱私的詞匯和ISO/IEC 27000標準族的詞匯進行了對應。由于隱私保護和信息安全存在太多的交叉，因此在ISO/IEC 29100：2011中，關于隱私控制并沒有展開，但是在標準的第5章（ISO/IEC 29100的隱私原則）中討論得比較細致，也比較有指導意義。ISO/IEC 29100在2017年經(jīng)過評審后依然有效。

ISO/IEC 29101：2013為信息系統(tǒng)中的PII處理提供了技術索引，該標準的框架沿用了ISO/IEC/IEEE 42010《系統(tǒng)與軟件工程 架構描述》。該標準的第6章描述了一個PII處理的生命周期，包括：收集、傳輸、應用、存儲和銷毀。第8章中，將架構視角（architectural views）又分為三個視角：組件視角（component view）、角色視角（actor view）和交互視角（interaction view）。其中組件視角的分層及其中的控制比較有價值。

ISO / IEC 29134：2017描述了一個隱私影響評估（Privacy Impact Assessment，PIA）過程，以及如何準備PIA報告。該標準中的PIA過程與ISO/IEC 27005中的信息安全風險評估過程存在諸多類似，其中詞匯也大多直接引用自ISO / IEC 27000標準族。

ISO/IEC 29190：2015為組織如何評估隱私相關過程的管理能力提供了指導，該標準與過程評估標準比較相關，例如，ISO/IEC 33001：2015《信息技術 過程評估 概念和術語》和ISO / IEC 33020：2015《信息技術 過程評估 評估過程能力的過程測量框架》。

ISO/IEC 27018：2014沿用了ISO / IEC 29100的框架和原則，為公有云計算環(huán)境中的PII保護提供了通用的控制目標、控制和實施指南。顯然，該標準基于ISO/IEC 270021） ，可以列入ISO/IEC 27000標準族。

3 其他相關的國際標準

隱私信息與普通的信息比較，具有一定的特殊性，例如，對所有的隱私信息都應該進行嚴格的保護，而沒有必要考慮分級，這使得其他可能涉及到隱私信息的行業(yè)或其相關的信息系統(tǒng)都需要考慮該問題。表2中列出了一些比較典型的考慮隱私方面的其他領域，例如，金融、醫(yī)療和教育等，對于隱私保護方面的特殊要求。表2中所列標準僅為示例，更多的標準需要根據(jù)行業(yè)或應用領域查閱。

ISO 22307：2008是由ISO/TC 68/SC 9 （金融服務信息交換分技術委員會）發(fā)布。在經(jīng)過2012年評審之后依然有效。ISO 22307：2008描述了通用的PIA活動，但是并沒有給出完整的評估流程，在評估章節(jié)（5.3.2）中，只是提出了PIA評估的要求。附錄中的問卷與金融機構結合比較緊密，但正文中的描述，更多的是針對通用的PIA要求。

ISO/IEC 29187-1：2013是由ISO/IEC JTC 1/SC 36（IT學習、教育和培訓分技術委員會）發(fā)布。該標準的描述非常細致，對于person和individual等諸如此類的詞匯都進行了辨析，而且規(guī)范性引用文件和參考文獻的標識也非常詳細，對于了解隱私保護而言，ISO/IEC 29187-1：2013非常有用。

ISO/TS 14441：2013和ISO/TR 18638：2017均由ISO/TC 215（健康信息學標準化技術委員會）發(fā)布。由于個人健康信息屬于重要的隱私，因此ISO/TC 215發(fā)布的關于隱私保護的標準特別多，也更細致。例如，ISO/TS 17975：20152）《健康信息學 收集、使用或公開個人健康信息的同意原則和數(shù)據(jù)要求》專門針對個人健康信息的收集、使用和公開的環(huán)節(jié)。ISO/TS 14441：2013在第5章中提出了82項安全與隱私要求，在第6章中則給出了建立與維護符合性評估程序的最佳實踐與指南。ISO/TS 14441：2013與ISO/IEC 15408《信息技術 安全技術 IT安全評估準則》都保持了一致性。該標準在2017年經(jīng)過評審，版本依然有效。ISO/TR 18638：2017主要適用于為醫(yī)療機構進行信息隱私保護教育的單位，該標準中討論了相關定義、醫(yī)療機構的信息與保護實踐所面臨的挑戰(zhàn)以及信息隱私保護教育規(guī)劃的要點。

4 小結

本文中介紹了ISO/IEC JTC 1/SC 27 發(fā)布的隱私保護相關標準，同時也對其他領域中關于隱私保護的標準選擇性地進行了介紹。從中可以看出，信息安全與隱私保護存在諸多共同點，例如，ISO/TS 14441：2013在其中統(tǒng)稱為“安全與隱私要求”，而且關于隱私保護的標準大多都參考了ISO/IEC 27002，通用的信息安全強調信息的機密性、完整性和可用性，在不同的子領域強調不同的重點，例如，隱私保護更注重“機密性”，關鍵信息基礎設施保護（Critical Information Infrastructures Protection，CIIP）則更關注“可用性”。