GB/T 41817-2022
基本信息
标准号: GB/T 41817-2022
中文名称:信息安全技术 个人信息安全工程指南
标准类别:国家标准(GB)
英文名称:Information security technology—Guidelines for personal information security engineering
标准状态:现行
发布日期:2022-10-12
实施日期:2023-05-01
出版语种:简体中文
下载格式:.pdf .zip
下载大小:9647432
标准分类号
标准ICS号:35.030
中标分类号:电子元器件与信息技术>>信息处理技术>>L80数据加密
关联标准
出版信息
出版社:中国标准出版社
页数:24页
标准价格:43.0
相关单位信息
起草人:刘贤刚、胡影、徐羽佳、范为、孙硕、郭铁涛、李汝鑫、贾雪飞、王昕、王佳敏、苏丹、白晓媛、武杨、赵冉冉、杨建媛、严少敏、刘笑岑、罗治兵、陈雪秀、白阳、周晨炜、刘行、王姣、王秉政、闵京华、王劲松、章娅玮、张冰烨、张屹、刘凯红、张朝、衣强、孙铁、李正、李俊等
起草单位:中国电子技术标准化研究院、华为技术有限公司、北京百度网讯科技有限公司、深圳市腾讯计算机系统有限公司、阿里巴巴(北京)软件服务有限公司、联想(北京)有限公司、蚂蚁科技集团股份有限公司、上海市方达(北京)律师事务所、北京京东尚科信息技术有限公司等
归口单位:全国信息安全标准化技术委员会(SAC/TC 260)
提出单位:全国信息安全标准化技术委员会(SAC/TC 260)
发布部门:国家市场监督管理总局 国家标准化管理委员会
标准简介
本文件提出了个人信息安全工程的原则、目标、阶段和准备,提供了网络产品和服务在需求、设计、开发、测试、发布阶段落实个人信息安全要求的工程化指南。本文件适用于涉及个人信息处理的网络产品和服务(含信息系统),为其同步规划、同步建设个人信息安全措施提供指导,也适用于组织在软件开发生存周期开展隐私工程时参考。注: 在不引起混淆的情况下,本文件中的“网络产品和服务”简称为“产品服务”。
标准图片预览
标准内容
ICS35.030
CCS L 80
中华人民共和国国家标准
GB/T41817—2022
信息安全技术
个人信息安全工程指南
Information security technologyGuidelines for personal information securityengineering
2022-10-12发布
国家市场监督管理总局
国家标准化管理委员会
2023-05-01实施
规范性引用文件
术语和定义
缩略语
个人信息安全工程原则
个人信息安全工程目标
个人信息安全工程阶段
个人信息安全工程准备
6个人信息安全工程需求阶段
角色与职责
主要活动
个人信息安全工程设计阶段
角色与职责
主要活动
个人信息安全工程开发阶段
角色与职责
主要活动
个人信息安全工程测试阶段
角色与职责
主要活动
GB/T41817—2022
GB/T41817—2022
个人信息安全工程发布阶段
10.1描述
角色与职责
主要活动
附录A(资料性)常见个人信息安全设计参考要点……附录B(资料性)常见个人信息安全默认配置参考要点..
参考文献
GB/T41817—2022
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本文件起草单位:中国电子技术标准化研究院、华为技术有限公司、北京百度网讯科技有限公司、深圳市腾讯计算机系统有限公司、阿里巴巴(北京)软件服务有限公司、联想(北京)有限公司、蚂蚁科技集团股份有限公司、上海市方达(北京)律师事务所、北京京东尚科信息技术有限公司、北京三快科技有限公司、中国银行股份有限公司、中电长城网际系统应用有限公司、微软(中国)有限公司、全知科技(杭州)有限责任公司、北京奇虎科技有限公司、北京字节跳动科技有限公司、贝壳找房(北京)科技有限公司、北京小桔科技有限公司、勤智数码科技股份有限公司、陕西省网络与信息安全测评中心、西安电子科技大学、北京邮电大学、上海工业控制安全创新科技有限公司、华东师范大学、浙江鹏信信息科技股份有限公司
本文件主要起草人:刘贤刚、胡影、徐羽佳、范为、孙硕、郭铁涛、李汝鑫、贾雪飞、王昕、王佳敏、苏丹、白晓媛、武杨、赵再再、杨建媛、严少敏、刘笑岑、罗治兵、陈雪秀、白阳、周晨炜、刘行、王姣、王秉政、闵京华、王劲松、章娅玮、张冰烨、张屹、刘凯红、张朝、衣强、孙铁、李正、李俊、裴庆祺、魏玉峰、朱通、邓婷、孙彦、陈舒、张宇光、徐国爱、蒲戈光、刘虹、陈铭松、邹楠GB/T41817—2022
为规范网络产品和服务个人信息处理活动,最大程度保障用户个人信息权益,业界陆续提出个人信息安全措施与产品和服务同步规划、同步建设、同步使用的理念。例如,欧盟《通用数据保护条例》规定在产品设计阶段要考虑个人信息保护要求,同时产品默认设置也要最大程度保护用户个人信息。这不仅有助于主动防御个人信息安全风险,也便于预防侵害用户个人信息权益事件发生。本文件根据个人信息保护法律法规和政策标准要求,结合国内外在隐私工程方面的实践经验,给出了具有处理个人信息功能的网络产品和服务在规划和建设阶段的个人信息安全工程实施指南,为帮助网络产品和服务提升个人信息保护能力提供工程化指引。TV
1范围
信息安全技术个人信息安全工程指南GB/T41817—2022
本文件提出了个人信息安全工程的原则、自标、阶段和准备,提供了网络产品和服务在需求、设计、开发、测试、发布阶段落实个人信息安全要求的工程化指南。本文件适用于涉及个人信息处理的网络产品和服务(含信息系统),为其同步规划、同步建设个人信息安全措施提供指导,也适用于组织在软件开发生存周期开展隐私工程时参考。注:在不引起混淆的情况下,本文件中的“网络产品和服务”简称为“产品服务”规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T25069—2022
信息安全技术术语
GB/T35273—2020信息安全技术个人信息安全规范GB/T39335—2020
GB/T41391—2022
术语和定义
信息安全技术个人信息安全影响评估指南信息安全技术移动互联网应用程序(App)收集个人信息基本要求GB/T25069—2022界定的以及下列术语和定义适用于本文件3.1
个人信息安全工程
personal information security engineering将个人信息安全原则和要求融入到产品服务规划、建设的每个阶段,使个人信息安全要求在产品服务中有效落实的工程化过程。
注:也称“隐私工程”。
personalinformationprotectionimpactassessment个人信息保护影响评估
针对个人信息处理活动,检验个人信息处理目的、处理方式是否合法、正当、必要,判断其对个人合法权益的影响及安全风险,以及评估所采取的个人信息保护措施有效性的过程。注:也称“个人信息安全影响评估”。3.3
个人信息处理活动personalinformationprocessing对个人信息的收集、存储、使用、加工、传输、提供、公开、删除等行为。3.4
automateddecision-making
自动化决策
通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。
GB/T41817—2022
注:包括个性化推荐、个性化展示、精准营销等情形、3.5
third-partycomponents
第三方应用
由产品服务提供者之外的其他组织或个人,提供的软件开发工具包、代码、插件、程序等应用。注1:包括商业应用和开源应用。注2:既包括嵌入产品服务的SDK、代码、插件等(称为“第三方组件”),也包括接人产品服务的移动互联网应用程序(简称“移动应用”)、小程序、应用系统等(称为第三方产品或服务”)。4缩略语
下列缩略语适用于本文件。
API:应用程序编程接口(applicationprogramminginterface)ICT:信息通信技术(informationcommunicationtechnology)SDK:软件开发工具包(softwaredevelopmentkit)SDL:安全开发生存周期(securitydevelopmentlifecycle)5总则
5.1个人信息安全工程原则
为使产品服务符合个人信息安全要求、更大程度保障用户个人信息权益,组织宜在产品服务规划建设时开展个人信息安全工程实践,落实同步规划、同步建设、同步使用个人信息安全措施。实施个人信息安全工程时,基于尊重用户、主动防范的理念,按照以下原则开展。嵌入设计原则:将个人信息保护要求纳入产品服务的设计中。a)
注1:也称隐私设计原则
默认保护原则:产品服务的默认设置要最大程度保护个人信息安全,如默认收集最小化等注2:也称默认隐私原则
用户中心原则:充分考虑用户个人信息安全需求,以用户为中心设计产品服务的个人信息安全功能,最大程度保障用户个人信息权益d)工程对应原则:个人信息安全工程与软件开发生存周期对应,阶段划分一致,便于软件开发和工具集成。
全程安全原则:在个人信息处理活动的全流程中实现个人信息安全。e)全
2个人信息安全工程目标
与信息系统安全工程侧重于保护ICT资产的保密性、完整性和可用性不同,个人信息安全工程聚焦于保障用户个人信息权益,在使产品服务满足GB/T35273一2020中个人信息处理活动原则和安全要求的基础上,重点实现以下目标。a)合法正当:遵循个人信息安全相关法律法规要求,处理个人信息具有明确、合理的目的,不通过误导、欺诈、胁迫等方式处理个人信息。最小必要:处理个人信息与处理目的直接相关,采取对个人权益影响最小的方式,收集个人信b)
息限于实现处理目的的最小范围公开透明:公开个人信息处理规则,明示处理的目的、方式和范围,提高产品服务个人信息处理c)
的透明性。
d)不可关联:采用去标识化、匿名化等手段,减少个人信息关联到个人信息主体引起的安全风险。2
GB/T41817—2022
可管理性:提供个人信息处理的管理机制,使用户和组织能够适当干预产品服务处理个人信息的过程。
5.3个人信息安全工程阶段
产品服务的个人信息安全工程与其规划建设过程相对应,也分为需求、设计、开发、测试、发布5个阶段,各阶段活动见图1。如果组织已开展安全工程实践(如SDL),可在安全工程基础上结合自身需要,增加个人信息安全工程活动需求
。个人信息需求分析
·个人信息需求评估
·个人信息需求确定
。个人信息安全设计
。个人信必安全功能实现
·设计检查、评估和确定·管理使用第三方应用·第三方应用选择
·代码分析
个人信息保护影响评估
·个人信息测试用例创建
■个人信息安全功能测试
·测试结果分析
图1个人信息安全工程各阶段活动发布
·制定个人信息应急预案
·发有准备和评审
·安全部署和监控
如果产品服务涉及处理敏感个人信息等情形,在产品服务规划建设时需按照GB/T39335一2020开展个人信息保护影响评估。根据组织实际情况,个人信息保护影响评估通常会贯穿于个人信息安全工程各阶段。例如:在需求阶段,启动个人信息保护影响评估,确定评估对象和范围,对需求进行评估;在设计和开发阶段,对个人信息安全设计进行评估,输出设计的评估结果,并按照评估确定后的设计进行开发;在测试阶段,对实际个人信息保护功能进行验证和测试;在发布阶段,对个人信息保护影响评估相关文档进行评审、签发及归档。注:需开展个人信息保护影响评估的场景,包括但不限于处理敏感个人信息、利用个人信息进行自动化决策、委把处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息、向境外提供个人信息及其他对个人权益有重大影响的个人信息处理活动等。5.4个人信息安全工程准备
组织在开展个人信息安全工程前,宜做好工作团队、制度流程、技术工具等方面的准备工作,包括但不限于以下内容。
a)组建个人信息安全工程团队,明确工程各阶段相关的角色和职责,并对相关人员进行培训。注:团队通常由个人信息保护团队和业务团队组成。其中,个人信息保护团队根据组织实际情况,可由安全、法务,合规、隐私等多个部门角色构成。业务团队可能涉及产品经理、研发、测试、运营及部署等多个与产品服务相关的岗位。
围绕产品服务建设生存周期,建立个人信息安全工程相关制度流程,细化各阶段的工作任务和b)
实施指南。
根据组织实际情况,准备相关技术工具支撑个人信息安全工程实践,例如需求跟踪系统、隐私测评工具等。
6个人信息安全工程需求阶段
6.1描述
在产品服务规划建设的需求阶段,针对产品服务的个人信息需求进行分析、评估和确定。3
GB/T41817—2022
注:个人信息需求包括个人信息处理需求和个人信息安全需求。6.2输入
需求阶段的主要输人为:产品服务功能需求,适用的个人信息安全法律法规和政策标准等。产品服务功能需求,需明确产品服务预期的业务功能、应用场景、业务流程、相关方等3角色与职责
本阶段主要涉及的角色及其职责为:a)业务团队负责确定产品服务功能需求,识别个人信息处理需求;b)个人信息保护团队负责确定个人信息安全需求,开展个人信息需求评估。6.4主要活动
6.4.1个人信息需求分析
个人信息需求分析通常涉及以下内容:根据产品服务的功能需求清单,识别涉及的个人信息处理场景并分析个人信息处理需求,包括a)
但不限于:
预期的业务功能,业务流程和个人信息处理活动;1)
预期的个人信息处理目的和处理方式:预期处理的个人信息种类、数量、敏感程度、方式和范围;3)
预期的个人信息存储方式、权限管理和保护方式;可能涉及的信息系统和区域(如物理区域、逻辑区域);可能涉及的工作团队角色和职责:可能涉及的第三方、与第三方的合作方式和预期药束措施;8)
是否涉及将个人信息向他人提供、公开和出境等活动;9)
是否涉及对未成年人的个人信息处理、个人生物识别信息处理和自动化决策等活动。b)梳理产品服务需满足的个人信息安全合规要求,梳理来源包括但不限于:1)
适用的法律、行政法规、监管政策和强制性国家标准;2)
适用的推荐性国家标准和行业标准;组织内部个人信息安全管理目标和制度要求;3)
客户对个人信息保护的需求,合同协议中对个人信息保护的约定内容;4)
历史版本的遗留问题、监测到的个人信息安全风险、监管通报问题和发生的安全事件等。识别可能存在的个人信息安全风险,结合产品服务需满足的个人信息安全合规要求,综合分析c
形成个人信息安全需求。
6.4.2个人信息需求评估
该活动通常涉及以下内容。
a)明确个人信息需求评估的方法和准则,定义组织个人信息安全风险的最低可接受水平。注:常见评估方法,包括但不限于个人信息保护影响评估、个人信息保护合规评估、数据安全风险评估等。评估准则是指要明确评估模型、评价规则等。对个人信息处理需求和安全需求进行评估,发现可能存在的个人信息安全风险,判断需求是否b)
合理或风险是否过高,评估要点包括但不限于:1)预期的个人信息处理目的和处理方式是否合法、正当,是否超出用户授权或约定范围等;2)预期收集的个人信息对实现产品服务功能的必要性;4
3)是否存在对用户个人信息权益产生的影响及安全风险;4)
拟采取的个人信息安全措施,是否与个人信息安全风险相适应;GB/T41817—2022
拟合作第三方的个人信息保护合规情况、数据安全能力和个人信息主体权益响应情况;5)
6)是否存在对产品服务的功能和性能产生的负面影响。c)记录并留存需求评估的过程和结果。6.4.3个人信息需求确定
该活动包括但不限于以下内容:当评估结论为需求不合理或存在高风险时,对相关需求进行调整后再次进行评估:a)
调整后的需求要通过个人信息需求评估,最终输出产品服务个人信息需求;在后续个人信息安全工程阶段,宜通过使用需求跟踪系统等手段,跟进产品服务个人信息需求c)
的实现情况。
6.5输出www.bzxz.net
需求阶段的主要输出为:产品服务个人信息需求。产品服务个人信息需求,通常以需求清单或需求规格说明书形式表达,包括产品服务的个人信息处理需求(含预期处理的个人信息清单)、个人信息安全需求等内容7个人信息安全工程设计阶段
7.1描述
在产品服务规划建设的设计阶段,针对产品服务的个人信息需求,对个人信息安全功能及实现机制进行设计。
2输入
设计阶段的主要输人为:产品服务功能需求和产品服务个人信息需求。7.3
3角色与职责
本阶段主要涉及的角色及其职责为:a)业务团队负责完成功能架构设计,配合个人信息保护团队完成相关工作;b)个人信息保护团队负责设计产品服务个人信息安全功能,开展设计检查和评估。7.4主要活动
7.4.1个人信息安全设计
根据5.2中个人信息安全工程目标,针对产品服务的个人信息需求,设计对应的个人信息安全功能实现方案。该活动主要包括以下步骤。制定产品服务个人信息安全设计规范,明确产品服务个人信息安全功能设计要求或实现指南。a)
根据产品服务功能需求和个人信息处理需求,在功能架构、业务流程、数据元素和数据接口等b)
设计中明确产品服务的个人信息处理设计,包括但不限于:1)明确全流程个人信息处理活动及各项活动相关的系统或模块;2)明确个人信息处理相关方,确定系统或相关方之间的数据流;3)明确产品服务的基本业务功能和扩展业务功能,如产品服务为移动应用,划分基本业务功5
GB/T41817—2022
能和扩展业务功能的要求见GB/T41391一2022;明确收集个人信息种类、使用目的和使用场景;4)
明确组织与外部第三方的关系(如共同控制、委托处理等),确定与第三方共享的个人信息5)
种类、使用目的、使用场景和共享方式等围绕产品服务的功能架构、个人信息处理活动和数据流,对个人信息安全需求进行分解,设计c
产品服务各模块需包含的个人信息安全功能,常见个人信息安全设计参考要点见A.1~A.6,SDK个人信息安全设计参考要点见A.7。设计的要点包括但不限于:1)个人信息收集、存储、使用、加工、传输、提供、公开和删除等处理活动合规机制;2)
告知和同意;
个人信息查阅、更正、删除、撤回同意和账号注销等个人信息主体权利保障功能;4
个人信息保护政策;
自动化决策,如用户画像、广告营销和算法推荐等;权限申请与使用;
全流程数据处理安全措施;
身份鉴别和访问控制机制;
数据加密;
个人信息处理日志审计:
敏感个人信息保护(如未成年人个人信息和个人生物识别信息);12)个人信息不可关联机制。
d)针对各项个人信息安全功能设计具体技术路线,完成产品服务的个人信息安全详细设计。注:个人信息安全设计也需明确哪些个人信息安全需求或功能,宜通过调用通用组件或工具(如软件工程、安全工程、网络安全工具等)来实现
7.4.2设计检查、评估和确定
该活动包括以下内容:
根据产品服务需满足的个人信息安全合规要求,制定个人信息安全合规检查项,并对照检查项对个人信息安全设计进行检查,发现是否存在个人信息违法违规问题;针对个人信息需求评估时发现的个人信息安全风险,对个人信息安全设计进行影响评估或风b)
险评估,研判设计是否能控制或缓解个人信息安全风险;如果检查结果为不合规或者评估结果为存在高风险,需对个人信息安全设计进行调整更新后,c
再次进行检查和评估;
通过个人信息安全设计检查和评估后,确定产品服务个人信息安全设计并进行输出;d)
e)记录设计检查和评估的过程,为产品服务改进、管理和维护等提供依据7.4.3第三方应用选择
选择第三方应用时,在满足产品服务相应功能和性能需求的基础上,也要考虑第三方应用的个人信息安全风险。该活动通常涉及以下内容。a)识别第三方应用的个人信息处理情况,包括但不限于:1)处理个人信息的自的、方式和范围;2)申请权限的目的和范围;
3)个人信息保护政策。
b)按照合法、正当、必要的原则选择第三方应用,考虑因素包括但不限于:1)应用提供者的基本信息明确、沟通反馈渠道有效且版本更新及时;6
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
CCS L 80
中华人民共和国国家标准
GB/T41817—2022
信息安全技术
个人信息安全工程指南
Information security technologyGuidelines for personal information securityengineering
2022-10-12发布
国家市场监督管理总局
国家标准化管理委员会
2023-05-01实施
规范性引用文件
术语和定义
缩略语
个人信息安全工程原则
个人信息安全工程目标
个人信息安全工程阶段
个人信息安全工程准备
6个人信息安全工程需求阶段
角色与职责
主要活动
个人信息安全工程设计阶段
角色与职责
主要活动
个人信息安全工程开发阶段
角色与职责
主要活动
个人信息安全工程测试阶段
角色与职责
主要活动
GB/T41817—2022
GB/T41817—2022
个人信息安全工程发布阶段
10.1描述
角色与职责
主要活动
附录A(资料性)常见个人信息安全设计参考要点……附录B(资料性)常见个人信息安全默认配置参考要点..
参考文献
GB/T41817—2022
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本文件起草单位:中国电子技术标准化研究院、华为技术有限公司、北京百度网讯科技有限公司、深圳市腾讯计算机系统有限公司、阿里巴巴(北京)软件服务有限公司、联想(北京)有限公司、蚂蚁科技集团股份有限公司、上海市方达(北京)律师事务所、北京京东尚科信息技术有限公司、北京三快科技有限公司、中国银行股份有限公司、中电长城网际系统应用有限公司、微软(中国)有限公司、全知科技(杭州)有限责任公司、北京奇虎科技有限公司、北京字节跳动科技有限公司、贝壳找房(北京)科技有限公司、北京小桔科技有限公司、勤智数码科技股份有限公司、陕西省网络与信息安全测评中心、西安电子科技大学、北京邮电大学、上海工业控制安全创新科技有限公司、华东师范大学、浙江鹏信信息科技股份有限公司
本文件主要起草人:刘贤刚、胡影、徐羽佳、范为、孙硕、郭铁涛、李汝鑫、贾雪飞、王昕、王佳敏、苏丹、白晓媛、武杨、赵再再、杨建媛、严少敏、刘笑岑、罗治兵、陈雪秀、白阳、周晨炜、刘行、王姣、王秉政、闵京华、王劲松、章娅玮、张冰烨、张屹、刘凯红、张朝、衣强、孙铁、李正、李俊、裴庆祺、魏玉峰、朱通、邓婷、孙彦、陈舒、张宇光、徐国爱、蒲戈光、刘虹、陈铭松、邹楠GB/T41817—2022
为规范网络产品和服务个人信息处理活动,最大程度保障用户个人信息权益,业界陆续提出个人信息安全措施与产品和服务同步规划、同步建设、同步使用的理念。例如,欧盟《通用数据保护条例》规定在产品设计阶段要考虑个人信息保护要求,同时产品默认设置也要最大程度保护用户个人信息。这不仅有助于主动防御个人信息安全风险,也便于预防侵害用户个人信息权益事件发生。本文件根据个人信息保护法律法规和政策标准要求,结合国内外在隐私工程方面的实践经验,给出了具有处理个人信息功能的网络产品和服务在规划和建设阶段的个人信息安全工程实施指南,为帮助网络产品和服务提升个人信息保护能力提供工程化指引。TV
1范围
信息安全技术个人信息安全工程指南GB/T41817—2022
本文件提出了个人信息安全工程的原则、自标、阶段和准备,提供了网络产品和服务在需求、设计、开发、测试、发布阶段落实个人信息安全要求的工程化指南。本文件适用于涉及个人信息处理的网络产品和服务(含信息系统),为其同步规划、同步建设个人信息安全措施提供指导,也适用于组织在软件开发生存周期开展隐私工程时参考。注:在不引起混淆的情况下,本文件中的“网络产品和服务”简称为“产品服务”规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T25069—2022
信息安全技术术语
GB/T35273—2020信息安全技术个人信息安全规范GB/T39335—2020
GB/T41391—2022
术语和定义
信息安全技术个人信息安全影响评估指南信息安全技术移动互联网应用程序(App)收集个人信息基本要求GB/T25069—2022界定的以及下列术语和定义适用于本文件3.1
个人信息安全工程
personal information security engineering将个人信息安全原则和要求融入到产品服务规划、建设的每个阶段,使个人信息安全要求在产品服务中有效落实的工程化过程。
注:也称“隐私工程”。
personalinformationprotectionimpactassessment个人信息保护影响评估
针对个人信息处理活动,检验个人信息处理目的、处理方式是否合法、正当、必要,判断其对个人合法权益的影响及安全风险,以及评估所采取的个人信息保护措施有效性的过程。注:也称“个人信息安全影响评估”。3.3
个人信息处理活动personalinformationprocessing对个人信息的收集、存储、使用、加工、传输、提供、公开、删除等行为。3.4
automateddecision-making
自动化决策
通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。
GB/T41817—2022
注:包括个性化推荐、个性化展示、精准营销等情形、3.5
third-partycomponents
第三方应用
由产品服务提供者之外的其他组织或个人,提供的软件开发工具包、代码、插件、程序等应用。注1:包括商业应用和开源应用。注2:既包括嵌入产品服务的SDK、代码、插件等(称为“第三方组件”),也包括接人产品服务的移动互联网应用程序(简称“移动应用”)、小程序、应用系统等(称为第三方产品或服务”)。4缩略语
下列缩略语适用于本文件。
API:应用程序编程接口(applicationprogramminginterface)ICT:信息通信技术(informationcommunicationtechnology)SDK:软件开发工具包(softwaredevelopmentkit)SDL:安全开发生存周期(securitydevelopmentlifecycle)5总则
5.1个人信息安全工程原则
为使产品服务符合个人信息安全要求、更大程度保障用户个人信息权益,组织宜在产品服务规划建设时开展个人信息安全工程实践,落实同步规划、同步建设、同步使用个人信息安全措施。实施个人信息安全工程时,基于尊重用户、主动防范的理念,按照以下原则开展。嵌入设计原则:将个人信息保护要求纳入产品服务的设计中。a)
注1:也称隐私设计原则
默认保护原则:产品服务的默认设置要最大程度保护个人信息安全,如默认收集最小化等注2:也称默认隐私原则
用户中心原则:充分考虑用户个人信息安全需求,以用户为中心设计产品服务的个人信息安全功能,最大程度保障用户个人信息权益d)工程对应原则:个人信息安全工程与软件开发生存周期对应,阶段划分一致,便于软件开发和工具集成。
全程安全原则:在个人信息处理活动的全流程中实现个人信息安全。e)全
2个人信息安全工程目标
与信息系统安全工程侧重于保护ICT资产的保密性、完整性和可用性不同,个人信息安全工程聚焦于保障用户个人信息权益,在使产品服务满足GB/T35273一2020中个人信息处理活动原则和安全要求的基础上,重点实现以下目标。a)合法正当:遵循个人信息安全相关法律法规要求,处理个人信息具有明确、合理的目的,不通过误导、欺诈、胁迫等方式处理个人信息。最小必要:处理个人信息与处理目的直接相关,采取对个人权益影响最小的方式,收集个人信b)
息限于实现处理目的的最小范围公开透明:公开个人信息处理规则,明示处理的目的、方式和范围,提高产品服务个人信息处理c)
的透明性。
d)不可关联:采用去标识化、匿名化等手段,减少个人信息关联到个人信息主体引起的安全风险。2
GB/T41817—2022
可管理性:提供个人信息处理的管理机制,使用户和组织能够适当干预产品服务处理个人信息的过程。
5.3个人信息安全工程阶段
产品服务的个人信息安全工程与其规划建设过程相对应,也分为需求、设计、开发、测试、发布5个阶段,各阶段活动见图1。如果组织已开展安全工程实践(如SDL),可在安全工程基础上结合自身需要,增加个人信息安全工程活动需求
。个人信息需求分析
·个人信息需求评估
·个人信息需求确定
。个人信息安全设计
。个人信必安全功能实现
·设计检查、评估和确定·管理使用第三方应用·第三方应用选择
·代码分析
个人信息保护影响评估
·个人信息测试用例创建
■个人信息安全功能测试
·测试结果分析
图1个人信息安全工程各阶段活动发布
·制定个人信息应急预案
·发有准备和评审
·安全部署和监控
如果产品服务涉及处理敏感个人信息等情形,在产品服务规划建设时需按照GB/T39335一2020开展个人信息保护影响评估。根据组织实际情况,个人信息保护影响评估通常会贯穿于个人信息安全工程各阶段。例如:在需求阶段,启动个人信息保护影响评估,确定评估对象和范围,对需求进行评估;在设计和开发阶段,对个人信息安全设计进行评估,输出设计的评估结果,并按照评估确定后的设计进行开发;在测试阶段,对实际个人信息保护功能进行验证和测试;在发布阶段,对个人信息保护影响评估相关文档进行评审、签发及归档。注:需开展个人信息保护影响评估的场景,包括但不限于处理敏感个人信息、利用个人信息进行自动化决策、委把处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息、向境外提供个人信息及其他对个人权益有重大影响的个人信息处理活动等。5.4个人信息安全工程准备
组织在开展个人信息安全工程前,宜做好工作团队、制度流程、技术工具等方面的准备工作,包括但不限于以下内容。
a)组建个人信息安全工程团队,明确工程各阶段相关的角色和职责,并对相关人员进行培训。注:团队通常由个人信息保护团队和业务团队组成。其中,个人信息保护团队根据组织实际情况,可由安全、法务,合规、隐私等多个部门角色构成。业务团队可能涉及产品经理、研发、测试、运营及部署等多个与产品服务相关的岗位。
围绕产品服务建设生存周期,建立个人信息安全工程相关制度流程,细化各阶段的工作任务和b)
实施指南。
根据组织实际情况,准备相关技术工具支撑个人信息安全工程实践,例如需求跟踪系统、隐私测评工具等。
6个人信息安全工程需求阶段
6.1描述
在产品服务规划建设的需求阶段,针对产品服务的个人信息需求进行分析、评估和确定。3
GB/T41817—2022
注:个人信息需求包括个人信息处理需求和个人信息安全需求。6.2输入
需求阶段的主要输人为:产品服务功能需求,适用的个人信息安全法律法规和政策标准等。产品服务功能需求,需明确产品服务预期的业务功能、应用场景、业务流程、相关方等3角色与职责
本阶段主要涉及的角色及其职责为:a)业务团队负责确定产品服务功能需求,识别个人信息处理需求;b)个人信息保护团队负责确定个人信息安全需求,开展个人信息需求评估。6.4主要活动
6.4.1个人信息需求分析
个人信息需求分析通常涉及以下内容:根据产品服务的功能需求清单,识别涉及的个人信息处理场景并分析个人信息处理需求,包括a)
但不限于:
预期的业务功能,业务流程和个人信息处理活动;1)
预期的个人信息处理目的和处理方式:预期处理的个人信息种类、数量、敏感程度、方式和范围;3)
预期的个人信息存储方式、权限管理和保护方式;可能涉及的信息系统和区域(如物理区域、逻辑区域);可能涉及的工作团队角色和职责:可能涉及的第三方、与第三方的合作方式和预期药束措施;8)
是否涉及将个人信息向他人提供、公开和出境等活动;9)
是否涉及对未成年人的个人信息处理、个人生物识别信息处理和自动化决策等活动。b)梳理产品服务需满足的个人信息安全合规要求,梳理来源包括但不限于:1)
适用的法律、行政法规、监管政策和强制性国家标准;2)
适用的推荐性国家标准和行业标准;组织内部个人信息安全管理目标和制度要求;3)
客户对个人信息保护的需求,合同协议中对个人信息保护的约定内容;4)
历史版本的遗留问题、监测到的个人信息安全风险、监管通报问题和发生的安全事件等。识别可能存在的个人信息安全风险,结合产品服务需满足的个人信息安全合规要求,综合分析c
形成个人信息安全需求。
6.4.2个人信息需求评估
该活动通常涉及以下内容。
a)明确个人信息需求评估的方法和准则,定义组织个人信息安全风险的最低可接受水平。注:常见评估方法,包括但不限于个人信息保护影响评估、个人信息保护合规评估、数据安全风险评估等。评估准则是指要明确评估模型、评价规则等。对个人信息处理需求和安全需求进行评估,发现可能存在的个人信息安全风险,判断需求是否b)
合理或风险是否过高,评估要点包括但不限于:1)预期的个人信息处理目的和处理方式是否合法、正当,是否超出用户授权或约定范围等;2)预期收集的个人信息对实现产品服务功能的必要性;4
3)是否存在对用户个人信息权益产生的影响及安全风险;4)
拟采取的个人信息安全措施,是否与个人信息安全风险相适应;GB/T41817—2022
拟合作第三方的个人信息保护合规情况、数据安全能力和个人信息主体权益响应情况;5)
6)是否存在对产品服务的功能和性能产生的负面影响。c)记录并留存需求评估的过程和结果。6.4.3个人信息需求确定
该活动包括但不限于以下内容:当评估结论为需求不合理或存在高风险时,对相关需求进行调整后再次进行评估:a)
调整后的需求要通过个人信息需求评估,最终输出产品服务个人信息需求;在后续个人信息安全工程阶段,宜通过使用需求跟踪系统等手段,跟进产品服务个人信息需求c)
的实现情况。
6.5输出www.bzxz.net
需求阶段的主要输出为:产品服务个人信息需求。产品服务个人信息需求,通常以需求清单或需求规格说明书形式表达,包括产品服务的个人信息处理需求(含预期处理的个人信息清单)、个人信息安全需求等内容7个人信息安全工程设计阶段
7.1描述
在产品服务规划建设的设计阶段,针对产品服务的个人信息需求,对个人信息安全功能及实现机制进行设计。
2输入
设计阶段的主要输人为:产品服务功能需求和产品服务个人信息需求。7.3
3角色与职责
本阶段主要涉及的角色及其职责为:a)业务团队负责完成功能架构设计,配合个人信息保护团队完成相关工作;b)个人信息保护团队负责设计产品服务个人信息安全功能,开展设计检查和评估。7.4主要活动
7.4.1个人信息安全设计
根据5.2中个人信息安全工程目标,针对产品服务的个人信息需求,设计对应的个人信息安全功能实现方案。该活动主要包括以下步骤。制定产品服务个人信息安全设计规范,明确产品服务个人信息安全功能设计要求或实现指南。a)
根据产品服务功能需求和个人信息处理需求,在功能架构、业务流程、数据元素和数据接口等b)
设计中明确产品服务的个人信息处理设计,包括但不限于:1)明确全流程个人信息处理活动及各项活动相关的系统或模块;2)明确个人信息处理相关方,确定系统或相关方之间的数据流;3)明确产品服务的基本业务功能和扩展业务功能,如产品服务为移动应用,划分基本业务功5
GB/T41817—2022
能和扩展业务功能的要求见GB/T41391一2022;明确收集个人信息种类、使用目的和使用场景;4)
明确组织与外部第三方的关系(如共同控制、委托处理等),确定与第三方共享的个人信息5)
种类、使用目的、使用场景和共享方式等围绕产品服务的功能架构、个人信息处理活动和数据流,对个人信息安全需求进行分解,设计c
产品服务各模块需包含的个人信息安全功能,常见个人信息安全设计参考要点见A.1~A.6,SDK个人信息安全设计参考要点见A.7。设计的要点包括但不限于:1)个人信息收集、存储、使用、加工、传输、提供、公开和删除等处理活动合规机制;2)
告知和同意;
个人信息查阅、更正、删除、撤回同意和账号注销等个人信息主体权利保障功能;4
个人信息保护政策;
自动化决策,如用户画像、广告营销和算法推荐等;权限申请与使用;
全流程数据处理安全措施;
身份鉴别和访问控制机制;
数据加密;
个人信息处理日志审计:
敏感个人信息保护(如未成年人个人信息和个人生物识别信息);12)个人信息不可关联机制。
d)针对各项个人信息安全功能设计具体技术路线,完成产品服务的个人信息安全详细设计。注:个人信息安全设计也需明确哪些个人信息安全需求或功能,宜通过调用通用组件或工具(如软件工程、安全工程、网络安全工具等)来实现
7.4.2设计检查、评估和确定
该活动包括以下内容:
根据产品服务需满足的个人信息安全合规要求,制定个人信息安全合规检查项,并对照检查项对个人信息安全设计进行检查,发现是否存在个人信息违法违规问题;针对个人信息需求评估时发现的个人信息安全风险,对个人信息安全设计进行影响评估或风b)
险评估,研判设计是否能控制或缓解个人信息安全风险;如果检查结果为不合规或者评估结果为存在高风险,需对个人信息安全设计进行调整更新后,c
再次进行检查和评估;
通过个人信息安全设计检查和评估后,确定产品服务个人信息安全设计并进行输出;d)
e)记录设计检查和评估的过程,为产品服务改进、管理和维护等提供依据7.4.3第三方应用选择
选择第三方应用时,在满足产品服务相应功能和性能需求的基础上,也要考虑第三方应用的个人信息安全风险。该活动通常涉及以下内容。a)识别第三方应用的个人信息处理情况,包括但不限于:1)处理个人信息的自的、方式和范围;2)申请权限的目的和范围;
3)个人信息保护政策。
b)按照合法、正当、必要的原则选择第三方应用,考虑因素包括但不限于:1)应用提供者的基本信息明确、沟通反馈渠道有效且版本更新及时;6
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。