信息安全技術(shù)個(gè)人信息安全影響評(píng)估指南-編制說(shuō)明

1、國(guó)家標(biāo)準(zhǔn)信息安全技術(shù)個(gè)人信息安全影響評(píng)估指南（征求意見(jiàn)稿）編制說(shuō)明一、工作簡(jiǎn)況1.1 任務(wù)來(lái)源GB/T 35273信息安全技術(shù)個(gè)人信息安全規(guī)范標(biāo)準(zhǔn)一經(jīng)發(fā)布就得到了廣泛應(yīng)用，其中，個(gè)人信息安全規(guī)范標(biāo)準(zhǔn)強(qiáng)調(diào)展開個(gè)人信息安全影響影響評(píng)估工作，旨在發(fā)現(xiàn)、處置和持續(xù)監(jiān)控個(gè)人信息處理過(guò)程中的安全風(fēng)險(xiǎn)。2017年3月，在信安標(biāo)委會(huì)議周， 云計(jì)算及大數(shù)據(jù)特別工作組討論會(huì)議上，一致同意編制 個(gè)人信息安全影響評(píng)估指南。本標(biāo)準(zhǔn)為自主制定標(biāo)準(zhǔn)，標(biāo)準(zhǔn)任務(wù)編號(hào)為：20180840-T-469 。1.2 主要起草單位和工作組成員標(biāo)準(zhǔn)由頤信科技有限公司牽頭， 中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、 四川大學(xué)、深圳市騰訊計(jì)算機(jī)系統(tǒng)有限公司

2、、華為技術(shù)有限公司、全知科技（杭州）有限責(zé)任公司、北京騰云天下科技有限公司、 國(guó)家金融 IC卡安全檢測(cè)中心、 強(qiáng)韻數(shù)據(jù)科技有限公司、中國(guó)信息通信研究院、北京信息安全測(cè)評(píng)中心、聯(lián)想（北京）有限公司、清華大學(xué)、阿里巴巴（北京）軟件服務(wù)有限公司、中國(guó)軟件評(píng)測(cè)中心、浙江螞蟻小微金融服務(wù)集團(tuán)股份有限公司、 陜西省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心等參與編制，歸口單位為全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（簡(jiǎn)稱信息安全標(biāo)委會(huì)， TC260）。本標(biāo)準(zhǔn)主要起草人：洪延青、何延哲、胡影、高強(qiáng)裔、陳湉、趙冉冉、劉賢剛、皮山杉、黃勁、葛夢(mèng)瑩、范為、寧華、葛鑫、周頓科、高磊、李汝鑫、秦頌、蘭曉、陳舒、陳興蜀、金濤、秦博陽(yáng)、高志民、顧偉、

3、白利芳、白曉媛、張謙、王偉光、賈雪飛、馮堅(jiān)堅(jiān)、朱信銘、王艷紅、李怡等。1.3 主要工作過(guò)程1、2017 年 3 月，在云計(jì)算及大數(shù)據(jù)特別工作組討論會(huì)議上，一致同意編制個(gè)人信息安全影響評(píng)估指南 ，對(duì)個(gè)人信息安全影響評(píng)估方法、應(yīng)用、政策和標(biāo)準(zhǔn)進(jìn)行調(diào)研分析，確定標(biāo)準(zhǔn)化需求。2、2017 年 5 月初，成立正式的個(gè)人信息安全影響評(píng)估指南標(biāo)準(zhǔn)編制組，標(biāo)1準(zhǔn)由頤信科技有限公司牽頭， 中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、 深圳市騰訊計(jì)算機(jī)系統(tǒng)有限公司、華為技術(shù)有限公司、全知科技有限公司、北京信息安全測(cè)評(píng)中心、四川大學(xué)網(wǎng)絡(luò)空間安全研究院、中國(guó)信息通信研究院、阿里巴巴（北京）軟件服務(wù)有限公司、螞蟻金服公司、陜西信息安全測(cè)

4、評(píng)中心等組成標(biāo)準(zhǔn)編制組。3、2017 年 7 月，在中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院召開第一次標(biāo)準(zhǔn)編制組工作會(huì)議，對(duì)標(biāo)準(zhǔn)編制背景、 標(biāo)準(zhǔn)化內(nèi)容等進(jìn)行了深入討論，確定了標(biāo)準(zhǔn)編制工作機(jī)制，確定了標(biāo)準(zhǔn)編制提綱。3、2017 年 9 月，標(biāo)準(zhǔn)編制組按照參與單位提供的資料匯總形成了國(guó)家標(biāo)準(zhǔn)信息安全技術(shù)個(gè)人信息安全影響評(píng)估指南初步草案。4. 2017 年 10 月 16 日，標(biāo)準(zhǔn)編制組在全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2017年第二次工作組廈門會(huì)議周進(jìn)行工作匯報(bào)，工作組成員單位對(duì)標(biāo)準(zhǔn)草案提出了建議和意見(jiàn)。會(huì)議決定維持標(biāo)準(zhǔn)草案狀態(tài)，繼續(xù)完善。52017 年 12 月 20 日，在中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院召開第二次標(biāo)準(zhǔn)編

5、制組工作會(huì)議，對(duì)標(biāo)準(zhǔn)存在的問(wèn)題和意見(jiàn)進(jìn)行了修改，并對(duì)草案需增加的內(nèi)容進(jìn)行了安排。6. 2018 年 3 月 26 日，在中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院召開第三次標(biāo)準(zhǔn)編制組工作會(huì)議，再次完善了標(biāo)準(zhǔn)草案內(nèi)容。7. 2018 年 4 月 14 日，標(biāo)準(zhǔn)編制組在全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2018年第一次工作組武漢會(huì)議周進(jìn)行工作匯報(bào)，將標(biāo)準(zhǔn)推進(jìn)到征求意見(jiàn)稿狀態(tài)。二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問(wèn)題個(gè)人信息安全影響評(píng)估指南通過(guò)借鑒國(guó)外立法和標(biāo)準(zhǔn)的研究，結(jié)合國(guó)內(nèi)應(yīng)用實(shí)踐和標(biāo)準(zhǔn)編制組的科研成果，提出與國(guó)際標(biāo)準(zhǔn)接軌、 適合我國(guó)國(guó)情， 并具有一定創(chuàng)新性的“ PIA”標(biāo)準(zhǔn)。為組織、監(jiān)管部門、第三方測(cè)評(píng)機(jī)

6、構(gòu)等開展評(píng)估工作提供的指導(dǎo)和依據(jù)。本標(biāo)準(zhǔn)的編制遵循以下原則：(1) 先進(jìn)性：標(biāo)準(zhǔn)反映當(dāng)今個(gè)人信息保護(hù)的先進(jìn)技術(shù)水平；(2) 開放性：標(biāo)準(zhǔn)的編制、評(píng)審與使用具有開放性；(3) 適應(yīng)性：標(biāo)準(zhǔn)結(jié)合我國(guó)國(guó)情；(4) 簡(jiǎn)明性：標(biāo)準(zhǔn)易于理解、實(shí)現(xiàn)和應(yīng)用；2(5) 中立性：公正、中立，不與任何利益攸關(guān)方發(fā)生關(guān)聯(lián)；(6) 一致性：術(shù)語(yǔ)與國(guó)內(nèi)外標(biāo)準(zhǔn)所用術(shù)語(yǔ)最大程度保持一致。指南將針對(duì)組織提出個(gè)人信息安全影響評(píng)估的基本框架、方法和流程，供其自評(píng)估使用，同時(shí)為國(guó)家主管部門、第三方測(cè)評(píng)組織等開展個(gè)人信息安全監(jiān)管、檢查、評(píng)估等工作提供的指導(dǎo)和依據(jù)。本標(biāo)準(zhǔn)主要內(nèi)容分為 6 個(gè)章節(jié)，分別針對(duì)個(gè)人信息安全影響評(píng)估的原理和框架

7、、評(píng)估流程、評(píng)估的具體實(shí)施方式進(jìn)行了詳細(xì)的說(shuō)明， 資料性附錄中給出了評(píng)估過(guò)程使用的判定準(zhǔn)則和工具表。個(gè)人信息安全影響評(píng)估是個(gè)人信息控制者實(shí)施風(fēng)險(xiǎn)管理的重要組成部分，旨在發(fā)現(xiàn)、處置和持續(xù)監(jiān)控個(gè)人信息處理過(guò)程中的安全風(fēng)險(xiǎn)。 一般情況下， 個(gè)人信息控制者必須在收集和處理個(gè)人信息前開展個(gè)人信息安全影響評(píng)估， 明確個(gè)人信息保護(hù)邊界， 根據(jù)評(píng)估結(jié)果實(shí)施適當(dāng)?shù)陌踩刂拼胧?降低收集和處理個(gè)人信息的過(guò)程對(duì)個(gè)人信息主體權(quán)益造成的影響； 另外，個(gè)人信息控制者還需按照要求定期開展個(gè)人信息安全影響評(píng)估，根據(jù)業(yè)務(wù)現(xiàn)狀、威脅環(huán)境、法律法規(guī)、標(biāo)準(zhǔn)要求等情況持續(xù)修正個(gè)人信息保護(hù)邊界， 調(diào)整安全控制措施， 使個(gè)人信息處理過(guò)程

8、處于風(fēng)險(xiǎn)可控的狀態(tài)。個(gè)人信息安全影響評(píng)估指南的核心思路是針對(duì)個(gè)人信息處理活動(dòng)，評(píng)估可能對(duì)個(gè)人權(quán)益造成的影響以及風(fēng)險(xiǎn)，影響主要包括四個(gè)方面：一是，影響個(gè)人自主決定權(quán)，比如被強(qiáng)迫執(zhí)行不愿執(zhí)行的操作、無(wú)法更正錯(cuò)誤上傳的個(gè)人信息、 無(wú)法選擇推送廣告的種類、 被蓄意推送影響個(gè)人價(jià)值觀判斷的資訊；二是，引發(fā)差別性待遇，比如隱私信息（疾病、婚史、種族等）泄露造成的歧視、故意設(shè)置個(gè)人福利、資格、權(quán)利的差別等；三是，個(gè)人名譽(yù)受損或遭受精神壓力，比如公開不愿為人知的事實(shí)（生活習(xí)慣、以往經(jīng)歷等），被頻繁騷擾、監(jiān)視追蹤等；四是，個(gè)人財(cái)產(chǎn)受損或遭受人身傷害，比如賬戶被盜、遭受詐騙、被勒索恐嚇、限制自由等。三、主要試驗(yàn)情

9、況分析無(wú)。3四、知識(shí)產(chǎn)權(quán)情況說(shuō)明無(wú)。五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果個(gè)人信息保護(hù)工作的復(fù)雜性，往往體現(xiàn)在個(gè)人信息邊界的模糊性，動(dòng)態(tài)性，個(gè)人信息處理活動(dòng)的廣泛性， 個(gè)體認(rèn)識(shí)的差異性等方面， 如果對(duì)其簡(jiǎn)單進(jìn)行理想化、原則性的完全保護(hù)， 會(huì)大大制約基于數(shù)據(jù)的信息化產(chǎn)業(yè)發(fā)展， 這正是個(gè)人信息安全工作最大的矛盾和爭(zhēng)議，而風(fēng)險(xiǎn)管理的思路為解決這個(gè)問(wèn)題提供了可能。只要處理個(gè)人信息就不可能沒(méi)有風(fēng)險(xiǎn)， 實(shí)施有效的個(gè)人信息安全風(fēng)險(xiǎn)評(píng)估， 及時(shí)整改高風(fēng)險(xiǎn)、 中風(fēng)險(xiǎn)問(wèn)題， 適當(dāng)接受低風(fēng)險(xiǎn)問(wèn)題， 一方面?zhèn)€人權(quán)益得到了最大程度的保護(hù)，另一方面也大大減輕了組織負(fù)擔(dān)， 在個(gè)人信息的處理過(guò)程中保留了適當(dāng)?shù)撵`活度

10、，降低了對(duì)業(yè)務(wù)的影響。畢竟，不管法律法規(guī)、政策、標(biāo)準(zhǔn)其制定的核心目的是為了保護(hù)個(gè)人權(quán)益不受侵害，而不是機(jī)械式地落實(shí)其要求而不談保護(hù)效果，否則可能適得其反，既沒(méi)有保護(hù)好個(gè)人信息，又制約了組織的發(fā)展，因此開展個(gè)人信息安全風(fēng)險(xiǎn)評(píng)估將是組織平衡發(fā)展和安全策略的重要工具，非常有必要從標(biāo)準(zhǔn)角度對(duì)此工作做詳細(xì)規(guī)范性的指導(dǎo)。六、采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)情況無(wú)。七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性本標(biāo)準(zhǔn)與現(xiàn)行法律、法規(guī)以及國(guó)家標(biāo)準(zhǔn)不存在沖突與矛盾。2016 年，個(gè)人信息安全規(guī)范 標(biāo)準(zhǔn)制定項(xiàng)目在全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)立項(xiàng)，被列為重點(diǎn)標(biāo)準(zhǔn)項(xiàng)目， 從更專業(yè)、更全面的角度對(duì)個(gè)人信息安全管理工作提出要

11、求，為加強(qiáng)我國(guó)個(gè)人信息安全工作解了燃眉之急。 個(gè)人信息安全規(guī)范已經(jīng)正式發(fā)布，標(biāo)準(zhǔn)號(hào)為 GB/T 35273-2017。本標(biāo)準(zhǔn)是個(gè)人信息安全規(guī)范的配套標(biāo)準(zhǔn)，研究過(guò)程中將借鑒美、歐等國(guó)家和地區(qū)在個(gè)人信息安全風(fēng)險(xiǎn)評(píng)估（國(guó)際上習(xí)慣稱為隱私影響評(píng)估（PIA）方面最新的法律規(guī)定、制度設(shè)計(jì)、實(shí)踐做法，以國(guó)內(nèi)現(xiàn)有立法、行政法規(guī)、標(biāo)準(zhǔn)要求為出發(fā)點(diǎn)，提出科學(xué)有效符合、 信息化發(fā)展需要、 具有明確實(shí)施指導(dǎo)意義的個(gè)人信息安全風(fēng)險(xiǎn)評(píng)估指南。八、重大分歧意見(jiàn)的處理經(jīng)過(guò)和依據(jù)無(wú)。4九、標(biāo)準(zhǔn)性質(zhì)的建議建議本標(biāo)準(zhǔn)作為推薦性國(guó)家標(biāo)準(zhǔn)發(fā)布實(shí)施。十、貫徹標(biāo)準(zhǔn)的要求和措施建議本標(biāo)準(zhǔn)規(guī)定了個(gè)人信息安全影響評(píng)估的基本概念、框架、方法和流程，并提出了特定場(chǎng)景下進(jìn)行評(píng)估的