声明
本文是学习360 企业个人信息合规思路与实践报告 2021. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
个人信息安全工程(隐私设计)
概述
个人信息安全工程,又可被称为隐私工程(privacy engineering),是将个人信息保护关注点整合到系统和软件生命周期过程的工程实践中。主要包括需求分析、产品设计、产品开发、测试审核、发布部署等阶段,各阶段对应的工程活动,如表 1-2 所示。138在个人信息安全工程中,根据实际情况,同步开展个人信息安全影响评估、法律合规评估。
表 1-2 个人信息安全工程总体框架
| 流程阶段 | 需求分析 | 产品设计 | 产品开发 | 测试审核 | 发布部署 | |
|---|---|---|---|---|---|---|
| 活动 | 流 程活动 | 需求触发 | 需求设计 | 隐私编码实现 | 测试用例 | 发布准备 |
| 需求分析及评估 | 设计检查及评估 | 安全编码 | 安全和隐私测试 | 发布评审 | ||
| 需求确定 | 第三方 SDK/插件安全 | 安全整改 | 安全部署 | |||
| 隐 私评审 | 隐私相关团队参与 |
本部分简言之,应当将本文件所述个人信息保护要求,个人信息合规问题提前到产品需求、设计、研发阶段,在需求、设计、开发、测试、上线发布等系统工程阶段考虑个人信息保护要求,保证系统建设时对个人信息保护措施进行同步规划、同步建设和同步使用139,并在产品运行全过程,通过个人信息处理全生命周期来进行个人信息的重点保护。通过个人信息处理全生命周期来进行个人信息的重点保护避免产品上线即存在个人信息保护方面的瑕疵,届时再进行产品合规修改,可能会增加业务成本,甚至被监管部门因个人信息不合规问题处罚、下架,严重影响到产品的生存问题。
个人信息安全设计考虑点: 隐私政策、告知同意机制设计、用户权益、产品权限、第三方插件/SDK(第三方接入)、定向推送设计、身份鉴别和访问控制、个人信息加密、密钥管理设计、个人信息采集、监测审计、个人信息去标识140。
隐私设计重点
隐私设计是指网络产品和服务的设计阶段需要实施个人信息保护的原则和要求。从日常实践来看,通常包括以下内容:产品隐私政策设计、产品权限管理设计、用户告知及授权交互操作设计、用户查询、删除、更正、账号注销、撤回同意等权益功能及机制的设计、用户信息保存期限的设计、身份认证和访问控制机制的设计(防止个人信息未经授权的访问及不正当的使用)、端到端的个人信息数据安全防护、隐私功能保护设计(如个人信息去标识化)以及数据加密设计等。
具体而言,隐私政策弹窗逻辑与页面设计、权限申请弹窗、隐私中心这三项是比较重要的部分。而“权限申请弹窗”的设计又是重中之重,也是近期监管的重点。
在公司设计App 权限申请弹窗时,需要注意遵守权限申请设计原则与权限使用设计原则。
| 权限申请设计原则 | 权限使用设计原则 |
|---|---|
| 最小必要 :仅申请 App 业务功能所必需的权限,不申请与 App 业务功能无关的权限 | 一致性:权限的使用应与权限申请时和隐私政策中所描述的目的用途、使用场景和规则相一致。 |
| 用户可知 :申请的权限均应有明确、合理的使用场景,并告知用户权限申请目的。 | 不扩散:App 通过系统权限获得的数据和能力,不应在用户未授权的情况下私自提供给小程序或终端上的其他 App 使用。 |
| 不强制不捆绑 :不应强制申请系统权限,不要求用户一次性授权同意打开多个系统权限。 | 访问显性化:使用系统权限(例如相机、麦克风、位置)获取个人敏感信息时,应采用显性方式提示用户, 避免以隐蔽方式收集用户个人信息。 |
| 动态申请 :App 所需的权限应在对应业务功能执行时动态申请。在用户未触发相关业务功能时,不提前申请与当前业务功能无关的权限。 |
在设计权限申请弹窗时可考虑如下建议141:
- 如安卓 APP 申请使用设备管理器、辅助功能、监听通知栏、悬浮窗权限等其他敏感权限,宜提供详细管理界面说明申请目的,并适当增加障碍设计避免用户误操作,同时可在 APP 使用过程中适当增加实时显性提示;
- 当录音、录屏、定位等敏感操作在后台执行时,宜采用显著方式(如图标闪烁、状态栏提示、自定义提示条等)提示用户,增加感知度和透明性;
- 如操作系统支持、APP 申请相机、位置、麦克风等敏感权限时宜提供用户选择临时单次授权;
- APP 监听设备的通话状态可通过接口 PhoneStateListener 或请求
AudioFocus 实现,无需申请权限;
- APP 如需访问其他 APP 共享的文件,建议使用 MediaStore 或 SAF 框架,由用户选择对应文件,而非申请外部存储权限直接进行读取等。
| 场景示例- | |||
|---|---|---|---|
| iOS 系统权限请求弹窗 可编辑 在弹窗文案中明确说明权限请求目的等 | 安卓系统权限请求弹窗 不可编辑 在系统权限请求前,通过产品内文字提示告知用户权限请求的目的等 |
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3PT2DmNl-1672487984992)(media/4ce2a874004e04293a2c94ba37deaf70.jpeg)]
本部分具体指引可参考个人信息合规项目成果之《开发设计个人信息合规指引》文件。
本部分技术细节可参考最新《信息安全技术 个人信息安全工程指南(征求意见稿)》和《信息安全技术 个人信息安全影响评估指南》。
组织、制度、技术要求
应设立专职个人信息保护负责人与机构
首先,企业应明确法定代表人或公司主要负责人 对个人信息安全负全面领导责任,包括提供人力、财力、物力保障。
其次,集团层面应任命设立专职的个人信息保护责任人与个人信息保护工作机构。
最后,哪些人员可以作为专职的个人信息保护负责人: 其应具有相关管理工作经历和专业知识;具有较强独立性:参与个人信息处理活动的重要决策直接向公司主要负责人报告工作;应为个人信息保护负责人提供必要资源,保障独立履行职责。避免多重工作职责之间存在利益等因素影响独立性。如个人信息保护负责人不宜兼任首席运营官、首席执行官等可能有利益冲突的职位。
个人信息保护负责人与机构的工作职责: 统筹内部个人信息安全工作并负直接责任,制定工作计划并督促落实;制定、签发、实施、更新个人信息保护政策和规程;建立、维护更新个人信息清单(个人信息类型、数量、来源、接收方等)和授权访问策略;开展个人信息安全影响评估,提出保护对策建议,督促整改;组织开展个人信息安全培训;在产品上线前进行检测,避免未知的个人信息收集、使用、共享等处理行为;公布投诉、举报方式等并及时处理;进行安全审计;与监管保持沟通,通报或报告个人信息保护和事件处置情况144。
应建立健全制度体系
应设置个人信息处理的管理、审批流程
企业应有书面可查证的文件或设置: 如总体制度方案;个人信息安全影响评估、应急预案、响应处置、培训、演练;日常审批制度流程;操作权限、操作行为指引;第三方的管理;设计与默认的隐私保护(个人信息安全工程)。
管理制度:
- 制定个人信息保护的总体方针和安全策略 等相关规章制度和文件,包括本机构的个人信息保护工作的目标、范围、原则和安全框架等相关说明;
- 制定员工手册 ,明确对于个人信息保护的指引和要求,突出个人信息接触岗对个人信息日常管理的操作规程、要求;
- 建立个人信息管理制度体系 ,其中包括安全策略、管理制度、操作规程和记录表单;
- 应制定个人信息安全事件应急预案 。
管理制度制定发布:由专职的个人信息保护负责人或机构负责安全管理制
144《信息安全技术 个人信息安全规范》(GB/T 35273-2020)。
度的制定;明确安全管理制度的制定程序和发布方式,对制定的安全管理制度进行论证和审定,并形成论证和评审记录;明确管理制度的发布范围, 并对发文及确认情况进行登记记录。
管理制度执行落实:对相关制度执行情况进行审批登记;保存记录文件, 确保实际工作流程与相关的管理制度内容相同;定期汇报总结管理制度执行情况。
| 数据种类 | 数 据级别 | 申请人 | 审批人 | 使 用目的 | 使 用时间 | 使 用 要求 |
|---|---|---|---|---|---|---|
| 人脸识别信息 | 3 级 ( 敏感 信息) | 内部员工 / 外部员工 | 1 名或者多名 | 数 据训练 | 3 个月 | 在 封 闭沙 箱 环境 中 使用,不对 外输出 |
| 按照不同标准对数据进行分类,例如设备信息、日志、元数据、用户主动提供的数据等 | 按 照一 定标 准分 为1-3 级 或者 更多级 | 具体到个人和业务团队 | 不同种类和级别数据需要经过的审批流程不一样,例如业务总监审批、数据保护官审批、 副总审批 | 对 使用 目的 进行 描述 | 根 据实 际需 求设 定时间 | 根 据 使用 目 的对 使 用要 求 进行规定, 例 如 停止访问、删 除 信息等 |
(二 ) 应严格管理内外部人员管理、操作、审计角色分离。1.内部人员管理
企业应与个人信息处理岗 位员工签订保密协议,转岗或离职仍继续履行保密义务;大量接触个人敏感信息的应进行背景调查,了解犯罪情况、诚信情况等;明确个人信息处理岗不同岗位的安全职责,建立发生安全事件的处罚机制;建立内部政策、制度**对员工提出个人信息保护的指引要求,使其遵守《员工手册》、《劳动合同》、等制度文件的要求,履行个人信息安全保护义务;应定期培训,**至少每年 1 次或在隐私政策发生重大变化时对个人信息处理岗进行培训和考核,确保掌握隐私政策和相关流程。设置人员权限,最小权限原则,**设置审批流程,**流程完备,批量修改、复制、下载等行为应严格审核,超权限的,应经公司级个人信息责任人或个人信息保护机构书面同意并存档留痕。个人敏感信息特别授权。记录审批和操作过程,留痕。
外部人员管理
- 与个人信息接触外部人员签订保密协议 ,明确可能访问个人信息的外部人员应遵守的个人信息安全要求,并监督其行为;
- 建立关于物理环境的外部人员访问安全措施 ,制定外部人员允许访问的设备、区域和信息的规定;要求外部人员访问前需要提出书面申请并获得批准;外部人员访问被批准后应有专人全程陪同或监督,并进行全程监控录像;对外部人员访问情况应登记备案;
- 建立关于网络通道的外部人员访问的安全措施 ,制定外部人员允许接入受控网络访问系统的规定;外部人员访问前需要提出书面申请并获得批准;外部人员访问时应进行身份认证;根据外部访问人员的身份划分不同的访问权限和访问内容;对外部访问人员访问时间进行限制; 对外部访问人员对个人信息的操作进行记录。
(三 ) 应严格管理第三方
- 建立第三方接入管理机制和工作流程,根据具体请见建立必要的安全评估等机制设置接入条件;
- 签订书面合同形式约定双方或多方的安全责任与应实施的个人信息安全措施;
- 向个人信息主体明确标识产品或服务由第三方提供,向个人信息主体告知目的、第三方的类型及可能产生的后果,并征得用户明示同意;
- 妥善留存合同、管理记录;
- 要求第三方征得用户授权并核验实现方式;
- 要求第三方建立响应用户个人信息权利行使和投诉等机制,并进行妥善留存、及时更新、以供个人信息主体查询、使用;
- 涉及第三方嵌入或接入的自动化工具(如代码、脚本、接口、算法模型、软件开发包工具、小程序等)宜:开展技术检测,确保其个人信息收集、使用行为符合要求;对第三方自动化工具处理活动进行审计, 发现违约行为及时切断接入145。
SDK 问题请见第三方接入(SDK)章节。
145 《信息安全技术 个人信息安全规范》(GB/T 35273-2020)。
(四 ) 应充分记录留痕
- 记录的重点版块: 记录与留痕在个人信息保护工作中至关重要,应包括所有处理过程、管理制度与政策、权限、流程、技术措施、个人信息安全影响评估、个人信息安全事件应对与处置、与第三方的合同、对第三方的管理措施等。
- 记录处理活动的具体内容: 所涉及个人信息的类型、数量、来源;包括直接和间接方式;根据业务功能或授权情况区分个人信息处理的目的、使用场景以及委托处理、共享、转让、公开披露,是否出境等情况;与个人信息处理各个环节相关的信息系统、组织或人员等。
- 记录时间: 除制度文件外,一般合同、审批流程、评估过程等至少留存 3 年。
(五 ) 应重视隐私设计与规划
见个人信息安全工程。
(六 ) 应进行事前风险评估
事前风险评估 是个人信息保护相关法律法规、国家标准的强制要求。事前风险评估强调风险的事先判断,改进及加强保护措施。
时机
- 对用户有重大影响的活动;
- 处理敏感个人信息;
- 自动化决策;
- 委托第三方、向第三方提供、公开;
- 向境外提供;
- 其他。
评估内容
- 处理目的、方式等是否合法、正当、必要;
- 对个人的影响与风险程度(个人信息安全影响评估);
- 所采取的安全保护措施是否合法、有效与风险适应。
记录>3 年
本部分各项评估、审计过程,含审批流程、风险程度、建议改进、成果报告等文件应保留至少 3 年。
注:分则《产品个人信息合规评估清单》 可用于对处理个人信息全生命周期行为–从收集到销毁的全面风险点评估,可作为事前风险评估的工具 表,法律合规评估与审计的工具表及个人信息安全影响评估的前提工具 表。
(八 ) 应开展个人信息安全影响评估146
针对个人信息处理活动 ,企业应检验其合法合规程度,判断其对用户合法权益造成损害的各种风险以及评估用于保护用户的各项措施有效性的过程。147个人信息安全影响评估类似 GDPR 下的 DPIA,是国际通行的处理个人信息合规路径。
146《信息安全技术 个人信息安全规范》(GB/T 35273-2020))11.4 及 2020
年 11 月发布的《信息安全技术 个人信息安全影响评估指南》、《个人信息保护法
(草案)》(二次审议稿)第 5555 条。
- 应当建立个人信息安全影响评估制度, 至少每年举行一次,主要评估遵循个人信息安全基本原则和处理活动对个人信息主体合法权益的影响情况。
- 须组建团队评估,应指定责任部门与人员,并指定人员签署评估报告。 管理层应配置评估所需的资源,需要组团队支持,由技术人员、相关业务部门及法律部门的代表组成团队。
- 形成个人信息安全影响评估报告 +以此采取保护个人信息主体的措施, 使风险降低到可接受的水平;妥善留存个人信息安全影响评估报告, 确保可供相关方查阅。明确评估报告的提交对象,评估的时间段,是 否会公开报告或仅公开摘要**。记录至少留 3 年。**
须开展的场景与时机,即合规差距评估时机,包括148:
- 整体合规评估
- 产品或服务的年度整体评估 ;
- 新产品/服务设计阶段 评估、上线初次评估;
- 法律法规、政策、标准有重大变化时重新评估;
- 业务模式、互联网安全环境、外部环境发生重大变化时重新评估;
- 发生重大个人信息安全事件时;
- 发生收购、兼并、重组、破产等情形。
局部合规评估
- 新功能;
- 法律法规、政策、标准发生变化时评估;
- 业务模式、信息系统、运行环境发生变化时;
新功能、业务功能发生重大变化时。
- 针对具体处理行为的专门评估,包括不限于
- 处理敏感个人信息;
- 利用个人信息进行自动化决策149;
- 基于不同业务目的所收集个人信息的汇聚融合 时;
- 向第三方 提供(共享、转让)委托第三方、第三方接入 SDK;公开披露;向境外提供;
- 处理个人信息数量较大时,如超过 100 万。
除此之外,出于审慎经营,维护良好品牌形象目的,可进行尽责性评估。
评估流程
149 《个人信息保护法(草案)》(二次审议稿)。
150 分则代指《x 产品个人信息合规评估清单》的摸底与评估。
151 同上。
评估报告的基本内容
个人信息保护负责人的审批页面、评估报告的适用范围、实施评估及撰写报告的人员信息表,参考的法律、法规和标准,个人信息安全影响评估对象(明确涉及的敏感个人信息)、评估内容、涉及的相关方等,以及个人权益影响分析结果、安全措施分析结果、安全事件发生的可能性分析结果、风险判定准则、合规性分析结果、风险分析过程及结果、风险处置建议等。
应建立个人信息应急机制和预案
企业应制定个人信息安全事件应急预案,包括应急处理流程、事件上报流程等。具体而言:
个人信息泄露的通报与报告 153:应至少每年举行 1 次内部应急响应培训和应急演练,留存培训和演练记录;应定期对原有应急预案进行重新评估, 修订和完善。
处置和响应
时机: 发现存在较大网络安全风险;发生安全事件;发生个人信息安全事件;
记录事件内容: 包括不限于发现事件的人员、时间、地点、涉及的个人信息及人数,发生事件的系统名次、对互联其他系统的影响;是否已联络执法机关或有关部门;是否按要求上报或通报;
152 《信息安全技术 个人信息安全影响评估指南》。
153 《网络安全法》第四十二条第二款“网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”
评估可能的影响: 及时采取必要措施,进行整改、消除影响;
按要求上报 154**:**涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或将要采取的处置措施,事件处置相关人员的联系方式;
依法告知: 可能会给个人信息主体的合法权益造成严重危害的,如个人敏感信息的泄露。这包括:
- 应及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。难以逐一告知个人信息主体时,应采取合理、有效方式发布与公众有关的警示信息;
- 告知内容应包括但不限于:
- 安全事件的内容和影响;
- 已采取或将要采取的处置措施;
- 个人信息主体自主防范和降低风险的建议;
- 针对个人信息主体提供的补救措施;
- 个人信息保护负责人和个人信息保护工作机构的联系方式。
(八 ) 应进行安全审计
企业应当审计隐私政策、相关规程、安全措施有效性等针对个人信息安全可能会造成影响的内容。本部分安全审计侧重点在技术方面,具体如下:
- 对个人信息保护政策、相关规程和安全措施的有效性进行审计;
- 建立自动化审计系统,监测记录个人信息处理活动;
- 审计过程形成的记录应能对安全事件的处置、应急响应和事后调查提
154 按照《国家网络安全事件应急预案》等有关规定及时上报。
供支撑;
- 防止非授权访问、篡改或删除审计记录;
- 及时处理审计过程中发现的个人信息违规使用、滥用等情况;
- 审计记录和留存时间应符合法律法规的要求155。
应有足以保护个人信息安全的技术措施
开展数据处理活动应当依照法律企业开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动, 应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务156, 尽可能将风险降到最低,防止篡改、毁损、窃取、丢失、泄露等。
使用密码技术 确保个人信息的保密性、完整性157。
通用要求: 通信网络安全(网络架构、通信传输);区域边界安全(边界防护、访问控制、入侵防范、恶意代码防范、安全审计);计算环境安全
(身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范和程序可信执行、资源控制);应用和数据安全(身份鉴别、访问控制、安全审计、软件容错、资源控制、数据完整性、数据保密性、数据备份恢复、剩余信息保护)。
扩展要求: 云计算安全扩展要求,应确保个人信息在云计算平台(简称
IDC)中存储于中国境内,如需出境需要按要求评估。
其他技术要求: 去标识化、匿名化处理,加密传输、加密存储、分类存储、备份存储。
155《信息安全技术 个人信息安全规范》(GB/T 35273-2020)
156《数据安全法》。
157 采用密码技术时宜遵循密码管理相关国家标准。
应确保以上保护措施的有效性,并根据合规情况持续改进。
对于员工个人信息的保护可原则性参考本制度,遵守告知同意等要求,并落实好各项技术保护措施。
延伸阅读
更多内容 可以 360 企业个人信息合规思路与实践报告 2021. 进一步学习
1482
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
