个人信息合规管理体系(基于ISO27701的分析)

来源:合规小叨客

作者:Sh.MH,X.M,S.WQ,M.AT,L.ShF

(中兴通讯)全球法律政策研究院

目录

一、 概述

(一) 研究范围与意义

(二) 研究方法

二、 基于ISO27701的个人信息管理体系(PIMS)的分析

(一) 个人信息管理体系(PIMS)的特定要求

(二) 个人信息管理体系(PIMS)的特定指南

(三) 个人信息管理体系(PIMS)下针对控制者的控制目标和措施

(四) 个人信息管理体系(PIMS)下针对处理者的控制目标和措施

三、基于ISO27701的个人信息管理体系(PIMS)在企业的应用

(一) 在数据保护合规管理体系的应用

(二) 在业务场景的应用--以人力资源场景为例

(三) 在商业增信的应用

四、结语

一、概述

(一)研究范围与意义

1、与隐私和个人数据保护相关的法律及标准

欧盟《通用数据保护条例》(General Data Protection Regulation,以下简称“GDPR”)是迄今为止影响力最广、严格程度最高的数据保护法。截止目前,全球已有100多个国家/地区制定了隐私和数据保护立法。2020年初,在国际隐私专家协会发布的《全球立法预测白皮书》中预计各国监管和执法力度将有所加强。如比利时数据保护机构未来5年的战略草案将电信、媒体、直接营销和公共部门列为优先领域。泰国《个人数据保护法》原定于2020年5月生效,因疫情推迟至2022年生效。美国《加利福尼亚消费者隐私法案》已于2020年1月生效,其他州已经纷纷开始进行立法讨论,产生了区域示范性效应。巴西的《通用数据保护条例》于2021年5月生效。2020年至2021年数据保护立法逐渐全球遍地开花。
对在中国境内进行的数据处理活动而言,涉及个人信息保护的现行有效法律主要有《中华人民共和国网络安全法》、《消费者权益保护法》、《中华人民共和国刑法》(第253条之一“侵犯公民个人信息罪”)以及于2021年1月1日的《民法典》(第四编第六章隐私权和个人信息保护)。需要注意的是《数据安全法》已发布并定于2021年9月1日正式施行,《个人信息保护法(草案)》已进行二审,2021年很有可能成为中国个人数据保护立法元年。
综上所述,进行数据保护立法是全球趋势,对于企业而言,数据保护合规避无可避。特别是对于跨国企业,需要面临不同法域的数据保护规定,如何对这些规定进行研究总结,形成一套体系化的、可落地的数据保护合规体系是最大的难点。

2、ISO27701的介绍与研究价值[1]

2019年8月6日,国际标准化组织(the International Organization for Standardization,“ISO”)和国际电工委员会(the International Electrotechnical Commission,“IEC”)发布Security techniques-Extension to ISO/IEC 27001 and ISO/IEC27002 for privacy information management-Requirements and guidelines,即《安全技术-ISO/IEC27001与ISO/IEC27002隐私信息管理的扩展-要求与指南》,在ISO标准族系中的标号是ISO/IEC 27701:2019,因此简称为ISO27701,中文一般称为《隐私信息管理系统》。ISO27701在27001 ISMS体系基础上,扩展了对隐私和个人信息保护的要求,成为了第一部全球通用的数据保护标准。它对建立、实施、维护和改进隐私信息管理体系做出规定,从PII(Personal Identification Information,以下简称PII)控制者和处理者等不同维度给出了控制目标和控制措施,为各类组织提供了国际通用的隐私信息管理框架和隐私合规最佳实践。
因其提供了通用性,ISO 27701并不对标特定的法律法规要求,而是定义了能够支撑实现这些要求的体系及运行机制。以数据泄露事件响应为例,GDPR中规定了报告的义务,包括时限、内容和对象等要求[2]。27701在其6.13.1中规定了如何管理这类事件,包括了责任与规程、汇报、评估和决策、复盘学习、证据收集等,但没有就报告时限做出明确规定,而是把这个作为体系环境评估时的输入由组织自行确定,从而提供了更广泛的通用性。
目前,美国和英国等国家认可机构已颁发对ISO/IEC 27701认证机构的认可。中国2020年也启动了对ISO/IEC 27701标准的国标转化筹备工作。因为国际环境的影响,目前选择认证的组织多数是亚太地区的企业,尤其以国内居多,如华为终端云服务、阿里云、爱奇艺等均在近期完成了ISO27701认证。
因此进行ISO27701的对标研究,有助于加深相关企业对于该标准的理解、推进差距分析,最终提升数据保护水平并通过认证。

(二)研究方法

1、基于PDCA循环的逻辑

PDCA循环是美国质量管理专家休哈特博士首先提出的,由戴明采纳、宣传,获得普及,所以又称戴明环。PDCA循环的含义是将质量管理分为四个阶段,即Plan(计划)、Do(执行)、Check(检查) 和 Action(处理)。全面质量管理的思想基础和方法依据就是PDCA循环。
ISO作为企业管理标准,其制定的过程也遵循了PDCA循环。特别是在ISO27701的第五部分(详见下图所示),因此对于ISO27701的研究也应按照PDCA循环进行。

表1:ISO27701 PDCA循环逻辑图

2、立足“控制者”和“处理者”的角色分析

ISO27701相比于其他标准也有特殊之处,即作为数据保护的标准,遵循着数据保护的固有视角,即以控制者和处理者的角色来区分其义务,通过对“客户”的定义,说明在不同的业务场景下,不同组织之间的合作关系与责任边界。因此在进行研究时也应该按照不同场景下企业所扮演的不同角色进行分析。

二、基于ISO27701的个人信息管理体系(PIMS)的分析[3]

基于ISO27701的个人信息管理体系由三部分组成:特定要求、特定指南、附加指南(控制者和处理者)。特定要求是搭建个人信息管理体系的方法论,特定指南是构建个人信息管理体系的措施和工具,附加指南是针对控制者和处理者的场景化指引。具体如下图所示:

表2:PIMS内容构成图

(一)个人信息管理体系(PIMS)的特定要求[4]

1、总则

总则中概括的指出在ISO27001里提及的“信息安全”方面的要求全部扩展至可能受个人信息处理而受影响的隐私方面。

2、组织情境

组织情境,即指一个组织在开展个人信息管理前需要理解组织本身在个人信息处理活动中所扮演的角色以及识别与组织进行个人信息管理相关的内外部因素。首先进行组织的角色理解以及内外部因素的识别。角色即PII控制者和PII处理者,内外部因素主要包括适用的隐私法/监管条例/司法判例/行政决定/合同要求以及适用的组织情境、治理、策略和规程。再者要理解相关方的需求和期望。在信息交互如此迅速的时代,个人信息处理并非依靠孤立的组织完成,而是包括与其相关的其他方,包括客户、供应商、分包商和其他PII控制者、处理者甚至监管机构。第三,确定信息安全管理体系的范围。最后是按照PDCA的要求建立、实施、维护和持续改进信息管理体系(PIMS)。

3、领导力

领导力包括领导力和承诺、方针及组织角色、责任和权限,适用ISO27001的要求,无扩充。

4、策划

策划包含两个层面,一是进行评估风险,二是针对评估出的风险进行相应风险处置。组织可以实施整合的信息安全和隐私风险评估过程,或者分别实施,以识别PIMS范围内与PII处理相关的风险,并且要进一步识别出风险一旦发生对组织和PII主体的潜在影响。最后根据识别出的风险及影响和ISO27001第6.1.3b)条确定必要的控制措施,此类控制措施还应与ISO27701的附录A和/或附录B以及ISO27001的附录A中的控制措施进行对照,以验证没有遗漏任何必要的控制措施。

5、支持

支持包括能力、意识、沟通和文件化信息四个部分,适用ISO27001的要求,无扩充。

6、运行

运行包括运行的规划和控制、信息安全风险评估及信息安全风险处置三个部分,适用ISO27001的要求,无扩充。

7、绩效评价

绩效评价包括监视、测量、分析和评价;内部审核和管理评审,适用ISO27001的要求,无扩充。

8、改进

改进包括不符合和纠正措施、持续改进两个部分,适用ISO27001的要求,无扩充。

(二)个人信息管理体系(PIMS)的特定指南[5]

1、概述

ISO27701中关于PIMS具体控制措施的描述实际上是从ISO27002的信息安全要求中扩展出来的,因此本部分仅重点描述ISO27701中相比于ISO27702中附加的实施指南。

2、信息安全策略

无论是通过制定单独的隐私政策,或是通过增强信息安全策略,组织(无论是控制者还是处理者)宜编写一份声明,说明支持并恪守适用的PII保护相关法律法规,并遵守组织与其合作伙伴、分包商及适用的第三方(客户、供应商等)之间商定的合同条款,这些条款宜明确分配它们之间的责任。

3、信息安全组织

组织宜指定一个联络点,就PII处理相关事宜,供客户使用。当组织作为PII控制者时,为PII主体指定一个有关处理其PII的联络点。
组织宜任命一名或多名人员,负责建立、实施、维护和监视整个组织范围的治理和隐私方案,以确保遵守与PII处理有关的所有适用的法律法规。在某些司法管辖区,此类人员被称为数据保护官(DPO)。组织宜确保移动设备的使用不会导致PII受到危害。

4、人力资源安全

组织宜采取措施(包括对报告事件的意识认知),以确保相关员工认识到违反隐私或安全(特别是涉及处理PII问题的)规则和规程,可能带给组织的后果(如法律后果、业务和品牌损失、声誉损害),带给员工的后果(如违纪后果)和带给PII主体的后果(如身体、物质和情感上的后果)。

5、资产管理

组织的信息分级方法宜明确地将PII作为其实施方案的一部分。在总体分级体系中考虑PII,对于理解组织处理PII的过程(如类别、特殊类型PII)、PII存储位置以及PII可能流经的系统而言,是不可或缺的。
组织宜确保组织控制下的人员了解PII的定义以及如何识别PII信息。
如可行,组织宜使用允许对PII加密存储的可移动物理介质和设备。未加密的介质应仅在不可避免的情况下使用,使用未加密介质和设备时,组织应实施规程和补偿控制措施(如防拆封包装)以减轻PII的风险。当处置存储PII的移动介质时,宜通过实施文件化的安全处置规程,以确保之前存储的PII不可访问。

6、访问控制

对于管理或操作处理 PII 的系统和服务用户,其账号的注册和注销规程应解决对这些用户的访问控制受到损害的情形,比如口令或其他用户注册数据的破坏或泄露。
对于处理PII的系统和服务,组织不应向用户重新发布任何已取消激活或已过期的用户ID。如组织将PII处理作为其提供的服务,客户有权负责用户身份管理的部分或所有方面,该等场景应包括在文件化信息中。对于包含PII的信息系统,组织宜为被授予访问权的用户创建并维护准确的、最新的用户属性记录。实施唯一的用户访问ID制度,使系统能识别关于PII处理的主体和具体操作。
如果客户要求,组织宜为客户控制下的用户账户提供安全登录程序的能力。

7、密码

某些司法管辖区可能要求适用密码来保护特定类型的PII,如健康数据、居民登记号、护照号和驾照号等。组织宜向客户提供有关信息,说明组织使用密码技术来保护其处理的PII的情况。组织还宜向客户提供有关组织提供的帮助客户应用加密保护的能力的相关信息。

8、物理和环境安全

每当组织重新分配存储空间时,以前存储在该存储空间上的任何PII都不应再被访问。如无法彻底删除PII,应采取合适的技术措施来避免被其他用户访问该等PII的风险。为了安全处置或再利用,可能存有PII的存储介质的设备宜被视为确实存有PII来处置。组织宜将包含PII的硬拷贝的创建限制在满足已确定的处理目的所需的最小需求范围。

9、运行安全

组织宜制定一项策略,以满足备份、恢复和复原PII的要求(可以是总体信息备份策略的一部分)和删除备份信息中包含的PII的任何进一步的要求(如合同或法律的要求)。
组织宜确保已将有关备份服务的限制通知到客户,相关具体责任可以由客户承担。当组织明确向客户提供备份和恢复服务,组织宜向客户提供关于其在 PII 备份和恢复方面的能力的明确信息。适用法律法规有具体要求的,应当遵守。组织应具备相关过程以确保/识别恢复后的PII是否准确和完整,以及进一步对不准确数据进行处理。ISO27701也对PII恢复日志和使用分包商存储/处理PII备份做出具体要求。
组织宜制定一个过程,使用连续、自动化的监控和告警过程,或以手动方式评审事态日志,此类评审宜按照文件化规定的周期进行,以识别违规行为并提出补救措施。ISO27701对事态日志的内容、服务商及PII 处理者就日志信息的操作进行了规定。

10、通信安全

组织宜考虑规程,以确保在适用时,与PII处理相关的要求在整个系统内外得到执行。
组织宜确保在其控制下有机会访问PII的个人遵守保密义务。保密协议无论是合同的一部分还是单独签署的,都宜具体规定保密义务的时间长度。

11、系统的获取、开发与维护

在通过不受信任的数据传输网络传输PII时,组织宜确保PII被加密传输。不受信任的网络包括公共互联网和组织运营之外的其他设施。
系统开发与设计策略宜包括根据面向PII主体的责任以及任何适用的法律法规及组织的处理类型,为组织处理PII的需求提供指导,并说明了隐私设计和隐私默认策略的具体考虑方面。涉及PII处理的系统和组件,应按照隐私设计和隐私默认原则进行设计。如可行,隐私设计与隐私默认原则宜同样运用于外包开发的信息系统。
PII不宜用于测试目的,宜使用假的或合成的PII。

12、供应商关系

组织为履行其信息安全和PII保护的义务,宜在其与供应商的协议中明确是否处理了PII,以及供应商所需满足的最低要求的技术和组织措施。供应商协议宜考虑到PII处理的类型,明确组织与合作伙伴、供应商及其适用第三方之间的责任分配。该等协议宜提供一种机制,确保组织支持和管理对所有适用法律法规的符合性,并进行合规审计。

13、信息安全事件管理

作为整个信息安全事件管理过程的一部分,组织宜建立责任和规程,以识别和记录PII违规行为。此外,组织宜考虑适用的法律法规的要求,就PII违规行行为向必要的相关方发出通知(包括通知的时间),以及向监管机构披露,如适用司法辖区法规已有规定,则应遵守。
涉及PII的事件宜作为组织的信息安全事件管理过程的一部分,触发组织的评审,以确定是否发生涉及PII且需要做出响应的违规行为。当发生PII违规时,响应规程应包括相关通知和记录,如适用司法辖区法规已有规定,则应遵守。作为PII处理者,应按照合同中关于PII违规通知的规定或适用法律法规要求采取行动,并进行通报/记录。

14、业务连续性管理的信息安全方面

无附加要求。

15、符合性

组织宜识别与处理PII有关的任何潜在的法律制裁(可能因某些义务被遗漏而导致),包括直接被地方监管机构开出大笔罚款。在某些司法管辖区,像ISO27701这样的国际标准可被用作组织与客户签订合同的基础,以概述各自的安全、隐私和PII保护责任,如果违反这些责任,合同条款可以为合同制裁提供依据。组织宜应将其隐私政策和相关规程的副本按要求保留一段时间。
如果一个组织作为PII处理者,且单个客户审计不可行或可能增加安全风险,则该组织宜在签订合同前及合同期内向客户提供独立证据,证明信息安全是根据组织的策略和规程来实施和运行的。

此外,ISO27701列举了组织宜评审与处理PII相关的工具和组件的方法。

(三)个人信息管理体系(PIMS)下针对控制者的控制目标和措施[6]

1、概述

控制者和处理者是数据处理活动中的责任承担方,GDPR在第5条第2款的责任原则中将数据处理原则的符合性证明责任赋予给控制者,ISO27701进一步根据控制者和处理者的不同角色,设置了不同的控制目标和措施。
不论是控制者还是处理者,具体控制措施都是以“收集和处理的条件”、“对PII主体的责任”、“隐私设计和隐私默认”和“PII共享、传输和披露”四个维度展开。

2、具体控制目标及措施

(1)收集和处理的条件

目标:确定并以文件化形式证明处理活动符合适用的司法管辖区法律,有被明确规定且合法的目的。

表3:控制者-收集和处理的条件

(2)对PII主体的责任

目标:确保PII主体提供有关其PII处理的适当信息,并履行与PII处理相关的任何其他适用的责任。

表4:控制者-对PII主体的责任

(3)隐私设计和隐私默认

目标:确保设计流程和系统,使收集和处理(包括使用、披露、保留、传输和处置)限于所必需的确定目的。

表5:控制者-隐私设计和隐私默认

(4)PII共享、传输和披露

目标:针对PII共享、披露、传输到其他司法管辖区或第三方,决定是否符合适用的法律责任,并记录何时执行了上述动作。

表6:控制者-PII共享、传输和披露

(四)个人信息管理体系(PIMS)下针对处理者的控制目标和措施[7]

1、概述

GDPR第28条中规定了控制者应对处理者进行合同约束并注明合同约束的具体内容,明确处理者的处理应当受某类合同或其他欧盟法与成员国法的约束,此外对处理者的直接要求散见记录保存、安全保障、数据泄露通知等条款[8]。而ISO27701中则为处理者设置了更加明确的控制目标和措施。

2、具体控制目标及措施

(1)收集和处理的条件

目标:确保数据处理的合法性(也就是基于合法目的、同意,或是司法管辖区适用的其他依据)

表7:处理者-收集和处理的条件

(2)对PII主体的责任

目标:确保向PII主体提供了有关处理其PII的适当信息,并满足与PII处理相关的对PII主体的任何其他适用的责任。

表8:处理者-对PII主体的责任

(3)隐私设计和隐私默认

目标:确保流程和系统的设计使PII收集和处理(包括使用、披露、保留、传输和处置)仅限于已确定目的所必须的内容。

表9:处理者-隐私设计和隐私默认

(4)PII共享、传输和披露

目标:针对PII共享、披露、传输到其他司法管辖区或第三方,决定是否符合适用的法律责任,并记录何时执行了上述动作。

表10:处理者-PII共享、传输和披露

三、基于ISO27701的个人信息管理体系(PIMS)在企业的应用

前面两部分已经就ISO以及ISO27701所提出的数据保护要求进行了分析,那么对于企业而言如何依照ISO27701来实施一套完整的管理体系来落实GDPR或是其他类似法规的要求,则是一个更加重要的问题。
本节将以PIMS是如何在企业的数据保护管理体系进行应用、在代表业务场景下进行提升以及在商业增信方面的作用为重点进行展开。

(一)在数据保护合规管理体系的应用

在本研究课题的第一部分已经提及,ISO体系是以“PDCA”框架进行的搭建,ISO27701也不例外,具体体现在ISO27701的第5章。对于已经获得ISO27001认证的企业可以主要以ISO27701的扩展要求进行分析,本研究课题以此方式进行展开。

1、组织情境

首先,企业应当根据其业务形态(核心业务是否涉及个人数据处理等)、组织架构(是否有位于不同司法管辖区的营业场所等),识别出适用的数据保护法,并从客户处了解到关于数据保护的诉求,构成最初对于组织的理解。接着深入到业务场景,分析企业具体所扮演的角色及处理活动的具体内容,初步形成数据字典,为数据全生命周期的管理打下基础。第二,在投标和进行运维阶段,切实接收到客户的数据保护要求,并开始寻找可落地的技术方案落实客户的需求和最终用户的隐私。第三,划出数据保护的业务范围。对于由统一的安全团队(产品安全、信息安全)进行个人数据保护合规的企业而言,此步骤主要是扩充原安全团队的职责范围。但是对于有单独的个人数据保护团队进行负责时需要明确不同团队之间的职责。

2、策划

企业首先应进行持续性的风险评估,例行性的按照一定的时间间隔进行总体性的风险评估。再者在采用新技术/产品、外部法律环境发生重大变化等场景下机动进行。可以系统性地对总部、重点子公司、重点业务场景进行风险评估,也可以采用线上的DPIA系统,就业务过程中发生的可能会对自然人的权利或自由产生重大影响的单项事项进行评估。最后根据识别出的风险,编制和落实适用的技术和组织措施。
在这一层面需要提升的是技术和组织措施还需要对照附录A和B以及变化的内外部环境进行调整,并且需要对落实情况进行检查和评估。

(二)在业务场景的应用--以人力资源场景为例

本节选取人力资源领域作为控制者的典型场景,采用关键控制点(Key Control Point,KCP)的评估方式,以每个具体控制措施为一个KCP,依据规则制定情况和嵌入流程/系统的情况,评价分为三个层次:管控缺失、管控有效性减损、有效管控。以评估模板的形式,供各企业参考。

表11:评估方法

1、总体评价

各企业可以根据其在人力资源领域所采取的具体隐私控制措施,对标ISO27701从是否有明显缺失项、是否有形成全集团统一的数据保护要求等维度先进行整体评价。

2、PIMS在人力资源领域的具体控制和实施

(1)      收集和处理的条件
“收集和处理的条件”映射在GDPR中主要是第3、第5、第6、第7条,解决的是数据处理的最基本的合法性的问题。对于控制者的角色而言,数据处理的合法性是最源头最关键的问题。将该项下8个控制目标可以按照对内和对外大致划分为内部评估和第三方管理。

表12:人力资源领域-收集和处理的条件

(2)      对PII主体的责任
在人力资源领域场景下,PII主体主要是公司员工,包括在职员工、离职员工、实习生、外包人员等。“对PII主体的责任”映射在GDPR中主要集中在第三章,解决的是如何响应和保障数据主体权利的问题。将该项下10个控制目标可以按照落实的对象分成内部评估和准备、响应数据主体的权利请求和第三方管理三个部分。

表13:人力资源领域-对PII主体的责任

(3)      隐私设计和默认设计
“隐私设计和默认设计”主要映射的是GDPR第25条,解决的是当数据控制者在决定和实施数据处理的方法时,如何以一种有效的方法实施适当的技术和组织措施,使得数据处理既符合相关数据保护法律要求,又能保障数据主体的权利。因此“隐私设计和默认设计”主要属于控制者内部进行评估和设置的要求。

表14:人力资源领域-隐私设计和默认设计

(4)      PII共享、传输和披露
“PII共享、传输和披露”主要映射的是GDPR第五章,解决的是数据控制者如何进行数据跨境转移的问题,聚焦跨境转移的合法性基础、安全保障措施和记录。因此“PII共享、传输和披露”主要属于控制者内部进行评估和设置的要求。

表15:人力资源领域-PII共享、传输和披露

(三)在商业增信的应用

以中兴通讯为例,2020年5月中兴通讯5G产品经过两个阶段严格现场审核及全方位评估,在产品设计、开发、部署及运维等全流程隐私保护方面均获得了全球权威认证机构BSI的审核认可,顺利通过英国标准协会(BSI)审核,成功获得ISO/IEC 27701:2019(隐私信息管理体系)国际标准认证。并于2021年5月通过BSI复审。
此次认证覆盖中兴通讯5G NR和UME的研发和维护服务,既是对5G产品在用户隐私安全管理和保护能力的充分认可,也是对数据保护合规体系建设水平的有力印证。
对于中兴通讯来说,隐私保护不仅仅是法律遵从,更是信任共建和道德履行的重要基线。当前,中兴通讯正聚焦核心场景,构建端到端、闭环型、流程化的隐私保护合规体系,将隐私保护理念融入产品研发过程,作为核心竞争力的重要内涵。中兴通讯将以5G产品获得国际标准认证为契机,继续为全球客户提供更加安全、可靠、合规的5G产品及方案,交付更高标准的5G网络。

四、结语

通过第二部分的分析可以得出ISO27701基本融合了GDPR的要求,并且以一种更加体系化的形式进行了数据保护要求的呈现,通过第三部分的评估可以得出ISO27701在数据保护合规管理体系优化、业务场景嵌入和商业增信方面有重大作用的结论。
因此进行ISO27701的认证不仅形式上助力于内部合规实力转化为外部增信,更是一种优化数据保护管理的有效手段。希望本研究报告能够为认证的通过和数据保护实力的提升添砖加瓦。

附录一  ISO27701专业术语释义表

脚注

[1] ISO27701中某些专业术语与各企业数据保护合规领域常用的表述不尽相同,如“隐私信息”、“信息”等。虽然严格从法律角度将这些概念不尽相同,但是鉴于ISO27701已明确将所有的信息安全要求扩展至隐私领域,因此本文中所出现的前述表述都指向“个人数据”。

[2] 参见GDPR第33条、第34条。

[3] 本文针对ISO27701的分析所使用的专业术语是通过英文版本直接翻译而来,不刻意转化为各企业数据保护领域常用术语。二者详细的对比请参考本文的附录一。

[4] 参见ISO27701第5部分。

[5] 参见ISO27701第六部分。

[6] 参见ISO27701第七部分以及附录A。

[7] 参见ISO27701第八部分以及附录B。

[8] 参见GDPR第30条、第32条、第33条、第34条。

(0)

相关推荐