隱私影響評估（PIA）的發(fā)展及ISO/IEC 29134:2017實施探討

謝宗曉 董坤祥 甄杰

1 從公平信息實踐到隱私保護

隱私一般被定義為個體控制其個人信息收集和使用的能力。隱私合規(guī)在不同的國家或地區(qū)都很重要，但是也略有不同。例如，在歐洲多以統(tǒng)一立法的形式出現(xiàn)，在美國則是不同的行業(yè)有不同的要求[1]?？v觀世界各國及地區(qū)的隱私立法，原則大同小異，大多可以追溯到“公平信息實踐（fair information practices，F(xiàn)IPs）”。

FIPs運動起源于19世紀60年代晚期的歐洲，在美國得到進一步的發(fā)展。FIPs運動的最初目的“與其說是保護隱私，不如說是從那些對其影響越來越大的組織的角度來回應隱私問題”[2]。但正是由于FIPs運動引起了人們對隱私的重視，由此確立的FIPs原則（即FIPP）也奠定了今天隱私保護的原則，例如，《OECD隱私指南》《APEC隱私框架》和ISO/IEC 29100： 2011《隱私框架》等重要文獻，都給出了類似的描述。FIPP確立的標志性事件為1973年美國衛(wèi)生、教育與福利部發(fā)布的《記錄、計算機與公民權利》（也稱為HEW報告），該報告直接促成了在1974年出臺的《美國隱私法案》。

普遍認為，F(xiàn)IPs是現(xiàn)代信息隱私法的基石，F(xiàn)IPP也已經(jīng)成為全球隱私保護的重要準則，而且從其演化和各個版本進行總結，可以發(fā)現(xiàn)是FIPs確立了以個人信息賦權與施加信息控制者責任的進路[3]。

2 隱私影響評估的發(fā)展

隱私影響評估（privacy impact assessment，PIA）的出現(xiàn)是一個自然而然的過程[2]，一般認為，PIA的詞匯來源可能有兩種。

第一種認為PIA來源于“技術評估（technology assessment）”。1972—1995年，美國國會設有技術評估辦公室（OTA），該類詞匯現(xiàn)在用的比較少， 2013年MAS1）發(fā)布的Technology Risk Management Guidelines（技術風險管理指引）還是用的類似詞匯，在這種情況大多用信息安全風險管理，或者信息系統(tǒng)安全風險管理等，一般不會冠以更通用的“技術”。

第二種認為PIA來源于“影響陳述（impact statement）”，該詞匯來源于19世紀60年代的“綠色運動”所產(chǎn)生的“環(huán)境影響陳述（environment impact statement，EIS）”，在環(huán)境安全管理情境中，還產(chǎn)生了“環(huán)境影響評估（environment impact assessment，EIA）”等詞匯。影響評估實際是一類詞匯，例如，ISO/IEC 27002：2013中含有“業(yè)務影響分析（business impact analysis）”等詞匯，又如，社會影響評估（social impact assessment，SIA）。

由于EIS等影響，先出現(xiàn)的詞匯是“隱私影響陳述（privacy impact statement）”，在這個階段中，評估方法論可能還不是強調的重點。在后續(xù)的應用中，該詞匯慢慢演化為PIA。最早使其制度化的是1995通過的Directive 95/46/EC2），條款20，要求信息系統(tǒng)需要通過“預先校驗（prior checking）”，已驗證與應用標準的符合性。雖然用的不同的詞匯，但已經(jīng)有了基本的雛形。

總之，隱私保護的概念出現(xiàn)于19世紀60年代中期，跟國內的發(fā)展路線一樣，開始關注的是組織的信息安全，之后關注的才是個體的隱私信息。至19世紀90年代中期，PIA才成為一個常規(guī)手段，雖然相關的概念早已經(jīng)出現(xiàn)，由于其方法論，或者說過程控制，使得PIA與符合性檢查（compliance check）和隱私審計（privacy audit）等存在明顯的不同。

3 關于PIA的國際標準ISO/IEC 29134

ISO/IEC 29134：2017發(fā)布于2017年6月，全稱為Information technology—Security techniques— Guidelines for privacy impact assessment（信息技術 安全技術 隱私影響評估指南），該標準是關于PIA最具代表性的標準之一，其中將PIA定義為：在組織更廣泛的風險管理框架內進行的識別、分析、評估、咨詢、溝通和計劃處置與個人身份信息處理相關的潛在隱私影響的整個過程。

ISO/IEC 29134：2017描述了PIA過程以及PIA報告的結構與內容，適用于各種類型和規(guī)模的組織，包括上市公司、私營公司、政府實體和非營利組織等。

除去前言和引言，ISO/IEC 29134：2017正文共有7章，4個資料性附錄。

前4章均為通用章節(jié)，分別為范圍、規(guī)范性引用文件、術語與定義和縮略語。標準的主要內容集中在第5～7章，第5章為PIA準備，第6章為PIA過程，第7章為PIA報告。

第5章，PIA的基礎準備，這與一次具體的PIA準備不同，具體的PIA準備工作流程在6.3中介紹。6.3.1描述了執(zhí)行PIA所帶來的好處，原則上，這不需要贅述。6.3.2為PIA報告的目標，其中按照不同的角色描述了他們的期望，具體為PII信息流主體、管理者、監(jiān)管者和顧客。在6.3.3和6.3.4中，分別介紹了執(zhí)行評估的可核查性以及PIA的范圍。

第6章按照“目標”“輸入”“期望輸出”“行動”以及“實施指南”的格式對每個步驟進行描述。主要過程見表1。

第7章對PIA報告的結構和內容給出了指導，7.2是報告的結構，其他章節(jié)為內容。報告的內容與章節(jié)的對應見表2。

ISO/IEC 29134：2017的附錄共有4個，都是資料性附錄。

附錄A給出了估算潛在隱私違反（privacy breach）的影響和可能性的標準和刻度，就是在風險評估前確定準則的過程。在其中分別給出了影響等級的定義，以及可能性等級的定義。兩者都是用的4級定義法，影響的等級是4級，可能性用的是“可忽略”“有限”“顯著”和“最大”。

附錄B主要是典型的威脅列表，在附錄中，加常見威脅列表，這是很多信息安全風險評估標準的慣例。

附錄C討論了幾個術語的用法，其中包括了：1）PIA的范圍（scope of PIA）;2）計劃（project）;3）過程（process）;4）顯著性（significance）;5）監(jiān)視與評審（monitoring and reviewing）。

附錄D是對PIA流程的支持工具進行舉例，其中包括了一個PII處理的工作流程圖（對應正文6.4.1）和一個隱私風險地圖（對應正文6.4.4.3）。

4 小結

需要說明的是，ISO/IEC 29134：2017的參考文獻比較多，不僅有標準，還有一些期刊和會議論文，其中作者David Wright的文章有3篇，這在標準中并不多見。

隱私影響評估（PIA）已經(jīng)成為隱私保護部署的常規(guī)的手段之一，在很多標準的實施過程中，PIA已經(jīng)成為必須選項。本文討論了PIA來源和發(fā)展過程，是為了更好地理解PIA在隱私保護實踐中的作用，同時，詳細介紹了ISO/IEC 29134：2017中的PIA過程以及PIA報告的要求，在后續(xù)的專欄中，會對PIA與ISO/IEC 27000標準族的關系進行專門的討論，因為在目前的實踐中，信息安全都已經(jīng)部署得相對成熟，對于隱私保護的推進，大都在這個基礎上進行。

（注：本文僅做學術探討，與作者所在單位觀點無關）

參考文獻

[1] KARYDA M ， GRITZALIS S ， PARK J H ， et al. Privacy

and fair information practices in ubiquitous environments：

Research challenges and future directions[J].Internet Research，2009， 19（2）：194-208.

[2] CLARKE ROGER. Privacy impact assessment： Its origins and development [J]. Computer Law & Security? Review， 2009， 25（2）：123-135.

[3] 丁曉東. 論個人信息法律保護的思想淵源與基本原理：基 于“公平信息實踐”的分析[J]. 現(xiàn)代法學， 2019，41（3）：96- 110.

[4] 趙戰(zhàn)生，謝宗曉.信息安全風險評估：第2版[M]. 北京：中 國標準出版社，2016.