隐私保护国际标准进展与简析
中国质量与标准导报贷款收入证明范本
2019 / 1
隐私保护国际标准进展与简析
谢宗晓 李松涛(中国金融认证中心)
1 隐私的定义与范围
在GB/T 35273—2017《信息安全技术 个人信息安全规范》中没有专门定义“隐私”,但是在其附录B(个人敏感信息判定)中提出:“通常情况下,14周岁以下(含)儿童的个人信息和自然人隐私信息属于个人敏感信息。”可见,隐私信息作为个人敏感信息的子集处理。GB/T 35273—2017中将个人敏感信息定义为:
“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。
莫吉托周杰伦注1:个人敏感信息包括身份证号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14周岁以下(含)儿童的个人信息等。”
在ISO/IEC 29100:2011《信息技术 安全技术 隐私框架》等国际标准中,实际也没有给出“隐私”的准确定义,主要定义的是个人识别信息(Personally Identifiable Information,PII)。但其中有相关定义,例如,隐私违反、隐私控制和隐私策略等。
此外,在ISO/TS 14441:2013《健康信息学 用于一致性评估的EHR系统安全与隐私要求》和ISO/ TR 18638:2017《健康信息学 卫生保健组织健康信息隐私教育指南》等标准中定义了“信息隐私(information privacy)”,在ISO/TS 19299:2015《电子收费 安全框架》和ISO/TS 21719-2:2018《电子收费 车载设备个性化 第2部分:利用专用短程通讯》等标准中,将同样的概念定义为“数据
隐私(data privacy)”,但这些定义都是在各自的应用情境(context)中,不是非常通用。
遵循上述惯例,在本文的讨论中,也不再严格区别个人敏感信息、个人识别信息和隐私等几个较为接近的概念。
2 ISO/IEC JTC 1/SC 27 发布的相关标准ISO/IEC JTC 1/SC 27(IT安全技术分技术委员会)主要负责安全技术标准的开发,截至2018年10月,发布的隐私保护相关标准如表1所示。
ISO/IEC 29100:2011给出了一个隐私保护的框
序号标准编号标准名称三八妇女节短句大全
1ISO/IEC 29100:2011
ISO/IEC 29100:2011/Amd 1:2018
隐私框架
Information technology — Security techniques — Privacy framework
2ISO/IEC 29101:2013信息技术 安全技术 隐私架构框架
Information technology — Security techniques — Privacy architecture framework
3ISO/IEC 29134:2017信息技术 安全技术 隐私影响评估指南
Information technology — Security techniques — Guidelines for privacy impact assessment
4ISO/IEC 29190:2015
信息技术 安全技术 隐私能力评估模型
Information technology — Security techniques — Privacy capability
assessment model
表1 ISO/IEC JTC 1/SC 27 发布的隐私保护标准
标 准 解 读
标准咨询
CHINA QUALITY AND STANDARDS REVIEW
序号标准编号
标准名称
1
ISO 22307:2008
金融服务 隐私影响评估
Financial services — Privacy impact assessment
2ISO/IEC 29187-1:2013
信息技术 与LET有关的隐私保护要求识别 第1部分:框架与参考模型
二年级上册数学期中考试试卷分析Information technology — Identification of privacy protection requirements pertaining to learning, education and training (LET) — Part 1: Framework and reference model
表2 其他相关的隐私保护国际标准
1)目前,已经发布了很多在不同领域中应用ISO/IEC 27002的标准,例如,ISO/IEC 27011:2016《信息技术 安全技术 基于ISO / IEC 27002的电信组织信息安全控制实用规则》(Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for telecommunications organizations),ISO/IEC 27017:2015《信息技术 安全技术 基于ISO/IEC 27002的云服务信息安全控制实用规则》 Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services。
架,主要的步骤包括:识别PII、隐私防护的要求,隐私策略和隐私控制的确定。该标准的附录A 对于隐私的词汇和ISO/IEC 27000标准族的词汇进行了对应。由于隐私保护和信息安全存在太多的交叉,因此在ISO/IEC 29100:2011中,关于隐私控制并没有展开,但是在标准的第5章(ISO/IEC 29100的隐私原则)中讨论得比较细致,也比较有指导意义。ISO/IEC 29100在2017年经过评审后依然有效。
ISO/IEC 29101:2013为信息系统中的PII 处理提供了技术索引,该标准的框架沿用了ISO/IEC/IEEE 42010《系统与软件工程 架构描述》。该标准的第6章描述了一个PII 处理的生命周期,包括:收集、传输、应用、存储和销毁。第8章中,将架构视角(architectural views)又分为三个视角:组件视角(component view)、角视角(actor view)和交互视角(interaction view)。其中组件视角的分层及其中的控制比较有价值。
ISO / IEC 29134:2017描述了一个隐私影响评估(Privacy Impact Assessment,PIA)过程,以及如何准备PIA 报告。该标准中的PIA 过程与ISO/IEC 27005中的信息安全风险评估过程存在诸多类似,
其中词汇也大多直接引用自ISO / IEC 27000标准族。
ISO/IEC 29190:2015为组织如何评估隐私相关过程的管理能力提供了指导,该标准与过程评估标准比较相关,例如,ISO/IEC 33001:2015《信息技术 过程评估 概念和术语》和ISO / IEC 33020:2015《信息技术 过程评估 评估过程能力的过程测量框架》。
ISO/IEC 27018:2014沿用了ISO / IEC 29100的框架和原则,为公有云计算环境中的PII 保护提供了通用的控制目标、控制和实施指南。显然,该标准基于ISO/IEC 270021) ,可以列入ISO/IEC 27000标准族。
3 其他相关的国际标准
隐私信息与普通的信息比较,具有一定的特殊性,例如,对所有的隐私信息都应该进行严格的保护,而没有必要考虑分级,这使得其他可能涉及到隐私信息的行业或其相关的信息系统都需要考虑该问题。表2中列出了一些比较典型的考虑隐私方面的其他领域,例如,金融、医疗和教育等,对于隐私保护方面的特殊要求。表2中所列标准仅为示例,更多的标准需要根据行业或应用领域查阅。
序号
标准编号promax
标准名称
5ISO/IEC 27018:2014
信息技术 安全技术 公有云中处理的个人识别信息保护实用规则Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors
五一游记续表1
中国质量与标准导报  2019 / 1
ISO 22307:2008是由ISO/TC 68/SC 9 (金融服务信息交换分技术委员会)发布。在经过2012年评审之后依然有效。ISO 22307:2008描述了通用的PIA 活动,但是并没有给出完整的评估流程,在评估章节(5.3.2)中,只是提出了PIA 评估的要求。附录中的问卷与金融机构结合比较紧密,但正文中的描述,更多的是针对通用的PIA 要求。
ISO/IEC 29187-1:2013是由ISO/IEC JTC 1/SC 36(IT 学习、教育和培训分技术委员会)发布。该标准的描述非常细致,对于person 和individual 等诸如此类的词汇都进行了辨析,而且规范性引用文件和参考文献的标识也非常详细,对于了解隐私保护而言,ISO/IEC 29187-1:2013非常有用。
ISO/TS 14441:2013和ISO/TR 18638:2017均由ISO/TC 215(健康信息学标准化技术委员会)发布。由于个人健康信息属于重要的隐私,因此ISO/TC 215发布的关于隐私保护的标准特别多,也更细致。例如,ISO/TS 17975:20152)《健康信息学 收集、使用或公开个人健康信息的同意原则和数据要求》专门针对个人健康信息的收集、使用和公开的环节。ISO/TS 14441:2013在第5章中提出了82项安全与
隐私要求,在第6章中则给出了建立与维护符合性评估程序的最佳实践与指南。ISO/TS 14441:2013与ISO/IEC 15408《信息技术 安全技术 IT 安全评估准则》都保持了一致性。该标准在2017年经过评审,版本依然有效。ISO/TR 18638:2017主要适用于为医疗机构进行信息隐私保护教育的单位,该标准中讨论了相关定义、医疗机构的信息与保护实践所面临的挑战以及信息隐私保护教育规划的要点。
4 小结
本文中介绍了ISO/IEC JTC 1/SC 27 发布的隐私保护相关标准,同时也对其他领域中关于隐私保护的标准选择性地进行了介绍。从中可以看出,信息安全与隐私保护存在诸多共同点,例如,ISO/TS 144
41:2013在其中统称为“安全与隐私要求”,而且关于隐私保护的标准大多都参考了ISO/IEC 27002,通用的信息安全强调信息的机密性、完整性和可用性,在不同的子领域强调不同的重点,例如,隐私保护更注重“机密性”,关键信息基础设施保护(Critical Information Infrastructures Protection,CIIP)则更关注“可用性”。
2) ISO/TS 17975:2015 《健康信息学 收集、使用或公开个人健康信息的同意原则和数据要求》(Health informatics — Principles and data requirements for consent in the Collection, Use or Disclosure of personal health information),该标准与ISO 27799:2008 《健康信息学 应用ISO/IEC 27002的健康领域信息安全管理》(Health informatics — Information security management in health using ISO/IEC 27002)保持了一致性,ISO 27799的最新版本为2016版。
序号标准编号
标准名称
3
ISO/TS 14441:2013
健康信息学 用于一致性评估的EHR系统安全与隐私要求
Health informatics — Security and privacy requirements of EHR systems for use in conformity assessment
4ISO/TR 18638:2017
健康信息学 卫生保健组织健康信息隐私教育指南
Health informatics — Guidance on health information privacy education in healthcare organizations
续表2
(注:本文仅做学术探讨,与作者所在单位观点无关)

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。