《隐私工程白皮书》正式发布(附下载)

白皮书对隐私工程的理论发展和我国企业的隐私工程实践经验进行介绍,希望能够为企业隐私保护能力建设提供参考,推动形成更适合我国企业的隐私工程体系。

640
出处:CCSA TC601 大数据技术标准推进委员会

9月26日,“2023数据要素发展大会”在广州市南沙区召开,在“公共数据运营与数据交易分论坛”上,中国通信标准化协会TC601 WG3副组长吕艾临发布了《隐私工程白皮书》。

在“数据二十条”的引领下,分类推进数据要素探索已成为共识,公共数据、企业数据和个人数据呈现出不同的重点突破方向,其中,“保护”是个人数据流通与开发利用的关键。随着立法的完善和监管的细致深入,我国企业越来越希望能够在事前预防个人信息安全事件的发生,监管也在逐步引导企业向制度化、流程化和标准化的隐私保护发展。隐私工程作为一种将隐私保护要求嵌入系统工程乃至企业管理全流程的一套方法论,或将成为我国企业隐私保护治理的“答案之书”。

我国对于隐私工程的研究和实践仍处于初期,企业对于隐私工程的认识相对模糊,大部分企业没有形成系统的方法论。因此,大数据技术标准推进委员会联合在隐私工程方面有一定探索和实践经验的企业一起撰写了《隐私工程白皮书》,对隐私工程的理论发展和我国企业的隐私工程实践经验进行介绍,希望能够为企业隐私保护能力建设提供参考,推动形成更适合我国企业的隐私工程体系。

640

20世纪90年代,加拿大学者安·卡沃基安(Ann Cavoukian)提出隐私设计理念(Privacy by Design),该理念提出将隐私计算技术的应用扩展为一套完整的隐私设计框架,主动将隐私嵌入信息技术、网络基础设施和商业实践中,并通过实践七项基本原则来实现这种嵌入的隐私。隐私设计理念自诞生以来经过一系列的发展也逐步得到了各国认可,但如何将隐私设计的七项原则落地、选择合适的隐私保护技术措施,如何合理制定隐私保护架构和策略等等,并未直接在七项原则和立法中直接给出答案。隐私工程恰好弥补了这一空缺。

640-1

隐私工程通过将隐私保护要转化为系统工程中的目标、策略、风险管理框架、包括组织管理和运营方法等等,为企业提供具象化的方法论。首先,从定义来看,白皮书对《个人信息安全工程指南》的定义进行了扩大解释,认为隐私工程不仅是指将隐私要求嵌入系统和软件开发流程,同时还需要通过组织人员、技术工具、知识管理、第三方合作管理、个人权利保障、隐私安全管理和隐私风险管理等提供基础和支持。

从目标来看,《个人信息安全工程指南》提出的“公开透明”“不可关联”“可管理性”基本与欧盟和美国提出的隐私工程目标相一致,而“合法正当”和“最小必要”两项目标则主要是基于《个人信息保护法》的顶层架构进行了调整,使其更好地承接《个人信息保护法》的要求并在研发工程侧进行落地。

640-2

从对企业的价值来看,隐私工程可以说是企业隐私保护的必经阶段。首先,随着我国隐私保护监管趋于精细化和常态化,《个人信息保护法》逐步落地,企业需要对监管要求保持高度敏感,通过体系化的方式在发现问题时及时溯源和处置,同时通过定期的评估和监测对隐私安全风险积极预防。

第二,个人信息权利管理不仅是对《个人信息保护法》的落地,也逐渐成为提升用户体验的重要模块。因此,企业需要对个人信息在内部的流转进行全链路的追踪和监测,以便在个人用户提出权利行使要求时能够配合进行相应处理。这与隐私工程主张将隐私保护要求嵌入产品和系统开发流程中的基本要求不谋而合。

第三,隐私工程可以大大减少隐私保护对业务的影响,减少因为事后整改而导致前期产研投入的浪费,帮助企业建立良好的社会声誉,助力企业可持续发展。

640-3

在理论梳理基础上,白皮书结合了蚂蚁、阿里、OPPO、Amber Group等多家企业的实践经验,提供了建设隐私工程的一个参考思路,包括计划、构建、集成、验证和运营五个阶段,各个阶段与网络安全主流的DevSecOps的框架相适应,以便能够通过最小有效的方式将隐私保护嵌入已经较为完善的企业研发流程框架之中,减少隐私保护工作实施过程中的阻力,企业可根据自身情况判断隐私保护现状及差距,从适当的流程入手逐步完善隐私工程体系的建设。

同时,我们在各阶段中还嵌入了企业在实践中的一些做法,作为案例参考,以便企业更好地理解隐私工程的建设流程。此外,白皮书还对以上四家企业的隐私工程架构进行了展示和解读,通过这些各具特色、各有侧重的隐私工程体系架构可以更加直观地了解隐私工程及其运行原理,企业可充分结合隐私工程的理论体系和实践案例探索建立适合自己的隐私工程体系。

640-4

我国在隐私保护方面的发展还属于初始阶段,虽然已经出台相关法律法规和标准,但企业从知晓、理解、吸收、内化再到贯彻落实是需要一个长久的过程,企业需要充分认识到隐私保护对于企业的价值,才能真正明白隐私保护其实不是企业发展的拦路障,而是助推剂。希望企业在建设隐私工程的过程中,合理选择建设路径,统筹协调跨部门合作,加强宣传价值,统一认知,共同推进隐私工程体系的建设和持续完善。

640-5

除白皮书以外,中国信通院云大所针对隐私工程还开展了一系列其他工作,如组织多家企业进行闭门研讨,举办“隐私工程初探”线上沙龙,与蚂蚁集团联合撰写《隐私工程实践蓝皮书》,牵头组织制定《隐私工程成熟度评估》标准,以及与阿里共同牵头推进隐私工程国际标准立项和制定等等,欢迎感兴趣的企业和专家老师积极参与。

640-6

640-1

最后,特别感谢参与编写的单位和专家老师对《隐私工程白皮书》的支持和帮助,希望更多的企业能够参与进来,共同推进隐私工程在我国的落地和发展。

640-7

640-8

联系人:
王老师
15941081234(微信电话同号)

白皮书全文下载:

更多标准、白皮书、报告等高质量纯净资料下载,在文末扫码关注官方微信公众号“idtzed”,进入公众号菜单“治库”,或按自动回复发送引号内关键词。

拒绝碎片化,一起终身学习!打造你的数治能力体,开启升值加薪。 即日起,前沿资料更新将只对数治网DTZed 正式会员开放下载,¥99 起即可获取人才 AI 匹配、自主学习课件和素养基础测评等系列会员权益:

  1. 填写开通申请
  2. 扫码获邀入群;

更多内推、热招职位征集中,还可领取入门公益宣讲和升值加薪计划福利,一起用 AI 工具打败工具人。