谢宗晓 董坤祥 甄杰

1 概述

ISO/IEC 29100：2011《信息技术 安全技术 隐私框架》1）（Information technology — Security techniques — Privacy framework）发布于2011年12月，该标准在2017年评审之后，仍然有效。但在2018年6月发布了ISO/IEC 29100：2011/Amd 1：2018 《信息技术 安全技术 隐私框架 修改1：说明》（Information technology—Security techniques—Privacy framework—Amendment 1： Clarifications），该说明只有4页。

正式重新发布的版本则标识为ISO/IEC 29100：

2011+A1：2018。由于该版本较新，而且其中还用符号细致标识了与2011版的区别，因此在本文介绍中，直接讨论该版本。

ISO/IEC 29100：2011+A1：2018主要给出了一个隐私保护的框架，它在本质上是通用的，并将组织、技术和规程方面放在整体隐私框架中。隐私保护框架旨在通过定义常用的隐私术语、界定处理PII的行动者及其角色以及参考已知的隐私原则，帮助组织在ICT环境中确立他们的隐私防护要求2）。

2 标准架构

除了前言和引言，ISO/IEC 29100：2011+A1：2018的正文共有5章，以及一个资料性附录。

第1章为“范围”，该标准与ISO/IEC 27701：2019等不同，不仅适用于“所有类型和规模的组织”，还适用于自然人。第2章为“术语和定义”，其中定义了27个术语，这些术语在ISO/IEC 27701：2019中都被引用，其中个人可识别信息（personally identifiable information，PII）、PII违反、PII主体、PII控制者和PII处理者等词汇并不容易理解，也不常用。第3章为“符号和缩略语”。

第4章和第5章包含了该标准的主要内容，其中第4章介绍了隐私框架的基本要素，但其中并不是一个流程性框架，而是一个要素集合;第5章给出了隐私处理应该普遍遵循的11条原则。

该标准的附录A为资料性附录，对于隐私的词汇和ISO/IEC 27000标准族的词汇进行了映射，这种对照表在ISO/IEC 27701：2019的附录F中更为详细，其中还给出了细化的示例，更具备参考价值。

3 隐私框架的基本要素

第4章为“隐私框架的基本要素”。第1节中开门见山地给出了隐私框架的组件，表1是隐私框架的基本要素与标准章节的对应情况。

表1 隐私框架基本要素

参与者及其角色（4.2）是对术语中的PII主体、PII控制者、PII处理者以及第三方进行的解释说明，交互（4.3）则描述了可能的8种场景，这4种参与者之间可能出现的PII流，即作为PII提供者还是PII接收者出现。

认识PII（4.4）是对个人可识别信息（PII）的详细解释，并给出了详细的示例表。除了讨论了最基本的原则，例如，标识符、其他可区别特征和可链接至PII主体的信息，该节中也介绍了假名数据、元数据、未经请求的PII和敏感PII等不同的类型。

隐私防护要求（4.5）将主要的影响因素分为4类，分别为：1）法律法规因素;2）合同因素;3）业务因素;4）其他因素。具体如图1所示。

注意，在图1 中，用到了隐私风险管理的概念，只是根据ISO GUIDE 73对“风险管理”的定义，提出了相应的要求，与ISO/IEC 27001：2013中对风险管理的要求，情况基本一致，例如，要求建立环境（context），要求有风险评估和风险处置的步骤，以及沟通和评审等环节。在ISO/IEC 29100：2011+A1：2018的参考文献中，列出了ISO 310003）。

隐私策略（4.6）经常被用来指内部和外部隐私策略。内部隐私策略记录组织为满足与PII处理相关的隐私保护要求而采取的目标、规则、义务、限制和/或控制。外部隐私策略是向组织的外部人员提供组织隐私实践的通知，以及其他相关信息，如PII控制者的身份和官方地址、PII主体可以从中获得额外信息的联络点等。在ISO/IEC 29100的框架中，术语“隐私策略”用于指组织的内部隐私策略，外部隐私策略称为通知。同时要注意的是，隐私策略的制定者也特别指明是最高管理者（the top management）。

隐私控制（4.7）的逻辑与ISO/IEC 27001：2013基本是一致的，即控制的选择源于隐私防护要求，其中包括隐私风险评估（privacy risk assessment，PIA）的结果。在标准中也特别指出：风险管理是这一过程中的核心方法，隐私控制的识别也应该是组织信息安全管理框架的一个组成部分。

4 隐私原则

第5章为“ISO/IEC 29100的隐私原则”。在

第1节中列出了11个原则，隐私原则的应用可能会受到社会、文化、经济等因素的限制，尤其是不同的文化对于“什么是隐私”的理解存在较大的差异，以至使这个概念显得比较主观。但是，标准正文中认为，即便如此，组织也应该应用其中的所有原则，并对原则的例外情况加以说明。表2给出了这些原则与标准章节的对应。

（1）“同意”与“选择”原则指的是处理之前须获得PII主体的同意，在取得同意之前，向PII主体提供由“公开、透明与通知”原则（原则第7条）所示的信息，并让其明白同意与不同意的區别，同时，PII主体的选择应该是自由的、具体的和有知识的。这导致PII主体的同意并不构成处理PII的充分法律依据（例如，未经父母或监护人批准而给予未成年人的同意）。

（2）“目的合法性与规范”意味着处理的目的应该是符合法律法规要求的，当出现新的目的时，则应告知PII主体并启动“同意与选择”原则（原则第1条）重新获得同意。对于敏感PII（在标准4.4.7中定义）需要特别的法律依据或授权。如处理PII的目的不符合法律要求，则不能够进行。

（3）“收集限制”是非常重要的原则，在国内存在很大的隐患。遵循这一原则应该将PII的收集限制在适用法律范围内，并为特定目的而严格需要的范围内。PII控制人一般都期望收集额外的信息，目前可以参考《APP违法违规收集使用个人信息自评估指南》和《中央网信办、工业和信息化部、公安部、市场监管总局关于开展APP违法违规收集使用个人信息专项治理的公告》5）等文件。

（4）“数据最小化”与“收集限制”密切相关，又有所延伸。“收集限制”是指所收集的数据与指定用途有关的限制，而“数据最小化”则严格地将PII的处理最小化，例如，采用“需要知道（need-to-know）”原则，尽可能使用或提供不涉及识别PII主体的交互和交易作为默认选项，从而降低可链接性等。

（5）“使用、保留和披露限制”需要将PII的使用、保留和披露（包括转让）限制在为实现具体、明确和合法的目的所必需的范围内。如果在必须保留的情况下，则应该考虑之后的安全销毁和匿名化（anonymization）等手段。注意，匿名化和假名化（pseudonymization）不同，假名化实际依然保留了可链接性（linkable）。

（6）“准确性与质量”指确保处理的PII准确、完整、最新、足够及相关等，并应该考虑在处理前的可靠性，建立规范的程序，确保准确性和质量，定期检查收集和存储PII的准确性和质量。对于准确性和质量的控制应该形成一整套的体系。

（7）“公开、透明与通知”，首先意味着向PII主体提供有关处理PII的策略、规程及实践的清晰及容易查阅的各种信息，这可能包括正在处理PII的事实、处理PII的目的、可能向其披露PII的隐私利益相关者的类型，以及PII控制者的身份，包括如何联系PII控制者的信息，当然也包括重大变动。

（8）“个体参与和访问”主要指给予PII主体查阅PII的能力，同时在访问时，PII控制者应用适当的控制，以确保PII主体严格访问其自己的PII，而不是其他PII主体的PII。该条原则意味着容许PII主体对PII的准确性与完整性（原则第6条）提出质疑，并在适当情况下，將其修订、更正或删除。

（9）“可核查性”主要与PII处理的保护义务相关。与PII处理有关的策略、规程及实践应该指定特定的负责人，在内部也应该建立PII主体的投诉机制。还应该注意，建立赔偿程序是建立可核查性（问责制）的重要组成部分。

（10）“信息安全”在该标准中是作为一个原则出现的，具体而言，在运营、功能及策略层面，以适当的控制，保障PII受其监管，以确保PII的完整性、保密性及可用性，并在整个生命周期内，保障PII免受未经授权的查阅、损毁、使用、修改、披露或遗失等风险。该原则不需要赘述。

（11）“隐私符合性”这个原则与ISO/IEC 27001：2013也比较类似，主要是指加强审计和内部控制等，旨在建立这样的一套机制，以保持持续的合规状态。这点与识别隐私防护要求时考虑的法律、法规和合同等因素有所不同。

5 小结

总之，ISO/IEC 29100：2011虽然称为隐私的“框架”，但是整个标准与平时所理解的框架并不是很相符，例如，美国国家标准与技术研究院（NIST）的风险管理框架（Risk Management Framework，RMF），而是主要定义了诸多的词汇，并给出了一系列的原则。其中所定义的词汇被其他标准直接引用，所确定的原则也为ISO/IEC 27701：2019等提供了基础。同时，由于隐私保护和信息安全存在太多的交叉，因此在ISO/IEC 29100：2011中，关于隐私控制并没有展开。

（注：本文仅做学术探讨，与作者所在单位观点无关）