隐私保护国际标准进展与简析

谢宗晓 李松涛

1 隐私的定义与范围

在GB/T 35273—2017《信息安全技术 个人信息安全规范》中没有专门定义“隐私”，但是在其附录B（个人敏感信息判定）中提出：“通常情况下，14周岁以下（含）儿童的个人信息和自然人隐私信息属于个人敏感信息。”可见，隐私信息作为个人敏感信息的子集处理。GB/T 35273—2017中将个人敏感信息定义为：

“一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。

注1：个人敏感信息包括身份证号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14周岁以下（含）儿童的个人信息等。”

在ISO/IEC 29100：2011《信息技术 安全技术 隐私框架》等国际标准中，实际也没有给出“隐私”的准确定义，主要定义的是个人识别信息（Personally Identifiable Information，PII）。但其中有相关定义，例如，隐私违反、隐私控制和隐私策略等。

此外，在ISO/TS 14441：2013《健康信息学 用于一致性评估的EHR系统安全与隐私要求》和ISO/TR 18638：2017《健康信息学 卫生保健组织健康信息隐私教育指南》等标准中定义了“信息隐私（information privacy）”，在ISO/TS 19299：2015《电子收费 安全框架》和ISO/TS 21719-2：2018《电子收费 车载设备个性化 第2部分：利用专用短程通讯》等标准中，将同样的概念定义为“数据隐私（data privacy）”，但这些定义都是在各自的应用情境（context）中，不是非常通用。

遵循上述惯例，在本文的讨论中，也不再严格区别个人敏感信息、个人识别信息和隐私等几个较为接近的概念。

2 ISO/IEC JTC 1/SC 27 发布的相关标准

ISO/IEC JTC 1/SC 27（IT安全技术分技术委员会）主要负责安全技术标准的开发，截至2018年10月，发布的隐私保护相关标准如表1所示。

ISO/IEC 29100：2011给出了一个隐私保护的框架，主要的步骤包括：识别PII、隐私防护的要求，隐私策略和隐私控制的确定。该标准的附录A对于隐私的词汇和ISO/IEC 27000标准族的词汇进行了对应。由于隐私保护和信息安全存在太多的交叉，因此在ISO/IEC 29100：2011中，关于隐私控制并没有展开，但是在标准的第5章（ISO/IEC 29100的隱私原则）中讨论得比较细致，也比较有指导意义。ISO/IEC 29100在2017年经过评审后依然有效。

ISO/IEC 29101：2013为信息系统中的PII处理提供了技术索引，该标准的框架沿用了ISO/IEC/IEEE 42010《系统与软件工程 架构描述》。该标准的第6章描述了一个PII处理的生命周期，包括：收集、传输、应用、存储和销毁。第8章中，将架构视角（architectural views）又分为三个视角：组件视角（component view）、角色视角（actor view）和交互视角（interaction view）。其中组件视角的分层及其中的控制比较有价值。

ISO / IEC 29134：2017描述了一个隐私影响评估（Privacy Impact Assessment，PIA）过程，以及如何准备PIA报告。该标准中的PIA过程与ISO/IEC 27005中的信息安全风险评估过程存在诸多类似，其中词汇也大多直接引用自ISO / IEC 27000标准族。

ISO/IEC 29190：2015为组织如何评估隐私相关过程的管理能力提供了指导，该标准与过程评估标准比较相关，例如，ISO/IEC 33001：2015《信息技术 过程评估 概念和术语》和ISO / IEC 33020：2015《信息技术 过程评估 评估过程能力的过程测量框架》。

ISO/IEC 27018：2014沿用了ISO / IEC 29100的框架和原则，为公有云计算环境中的PII保护提供了通用的控制目标、控制和实施指南。显然，该标准基于ISO/IEC 270021） ，可以列入ISO/IEC 27000标准族。

3 其他相关的国际标准

隐私信息与普通的信息比较，具有一定的特殊性，例如，对所有的隐私信息都应该进行严格的保护，而没有必要考虑分级，这使得其他可能涉及到隐私信息的行业或其相关的信息系统都需要考虑该问题。表2中列出了一些比较典型的考虑隐私方面的其他领域，例如，金融、医疗和教育等，对于隐私保护方面的特殊要求。表2中所列标准仅为示例，更多的标准需要根据行业或应用领域查阅。

ISO 22307：2008是由ISO/TC 68/SC 9 （金融服务信息交换分技术委员会）发布。在经过2012年评审之后依然有效。ISO 22307：2008描述了通用的PIA活动，但是并没有给出完整的评估流程，在评估章节（5.3.2）中，只是提出了PIA评估的要求。附录中的问卷与金融机构结合比较紧密，但正文中的描述，更多的是针对通用的PIA要求。

ISO/IEC 29187-1：2013是由ISO/IEC JTC 1/SC 36（IT学习、教育和培训分技术委员会）发布。该标准的描述非常细致，对于person和individual等诸如此类的词汇都进行了辨析，而且规范性引用文件和参考文献的标识也非常详细，对于了解隐私保护而言，ISO/IEC 29187-1：2013非常有用。

ISO/TS 14441：2013和ISO/TR 18638：2017均由ISO/TC 215（健康信息学标准化技术委员会）发布。由于个人健康信息属于重要的隐私，因此ISO/TC 215发布的关于隐私保护的标准特别多，也更细致。例如，ISO/TS 17975：20152）《健康信息学 收集、使用或公开个人健康信息的同意原则和数据要求》专门针对个人健康信息的收集、使用和公开的环节。ISO/TS 14441：2013在第5章中提出了82项安全与隐私要求，在第6章中则给出了建立与维护符合性评估程序的最佳实践与指南。ISO/TS 14441：2013与ISO/IEC 15408《信息技术 安全技术 IT安全评估准则》都保持了一致性。该标准在2017年经过评审，版本依然有效。ISO/TR 18638：2017主要适用于为医疗机构进行信息隐私保护教育的单位，该标准中讨论了相关定义、医疗机构的信息与保护实践所面临的挑战以及信息隐私保护教育规划的要点。

4 小结

本文中介绍了ISO/IEC JTC 1/SC 27 发布的隐私保护相关标准，同时也对其他领域中关于隐私保护的标准选择性地进行了介绍。从中可以看出，信息安全与隐私保护存在诸多共同点，例如，ISO/TS 14441：2013在其中统称为“安全与隐私要求”，而且关于隐私保护的标准大多都参考了ISO/IEC 27002，通用的信息安全强调信息的机密性、完整性和可用性，在不同的子领域强调不同的重点，例如，隐私保护更注重“机密性”，关键信息基础设施保护（Critical Information Infrastructures Protection，CIIP）则更关注“可用性”。