隱私工程的內(nèi)涵：以隱私嵌入系統(tǒng)工程為核心

隱私工程的概念起源于國外，各國對于隱私工程的定義并不相同。ENISA指出“隱私工程可以被認為是Data Protection by Design and by Default的一部分，目標在于支持選擇、運用和配置恰當?shù)募夹g(shù)和組織措施，以實現(xiàn)具體的數(shù)據(jù)保護原則。美國國家標準技術(shù)研究院（National Institute of Standards and Technology，“NIST”）于2017年在其內(nèi)部報告中將隱私工程定義為“一種系統(tǒng)工程的特殊方法，旨在讓個人免于承受系統(tǒng)處理個人識別信息過程中所產(chǎn)生的不可接受的后果”。ISO/IEC TR 27550:2019《信息技術(shù) 安全技術(shù) 系統(tǒng)生命周期流程中的隱私工程》（“ISO/IEC 27550:2019”）認為隱私工程是“將隱私問題納入系統(tǒng)和軟件工程生命周期過程的工程實踐”。

我國于2022年正式發(fā)布了GB/T 41817-2022《信息安全技術(shù) 個人信息安全工程指南》（“《個人信息安全工程指南》”）。該標準將個人信息安全工程（也稱“隱私工程”）定義為“將個人信息安全原則和要求融入產(chǎn)品服務(wù)規(guī)劃、建設(shè)的每個階段，使個人信息安全要求在產(chǎn)品服務(wù)中有效落實的工程化過程”。

本白皮書認為，隱私工程并不局限于將隱私保護的需求整合到系統(tǒng)和軟件開發(fā)生命周期，此外還需要一系列組織、技術(shù)和管理等多方面的支持。因此，本白皮書所指的隱私工程，是將隱私保護要求嵌入系統(tǒng)工程乃至企業(yè)管理全流程的一種工程實踐。這也和上文中歐盟和美國的定義較為一致。通過對比能夠看出，歐盟和美國對隱私工程的定義更加寬泛，并未將隱私工程限定在系統(tǒng)和軟件開發(fā)流程中，而是描述了通過隱私工程要達到“實現(xiàn)數(shù)據(jù)保護原則”和“保護個人隱私權(quán)利”目的。要實現(xiàn)這樣的目的，除了將隱私嵌入系統(tǒng)和軟件開發(fā)流程之外，還要在組織架構(gòu)保障、技術(shù)措施選擇、合規(guī)基線確定、風險評估流程以及隱私風險管理等方面注意隱私保護。ISO/IEC對隱私工程的定義與我國《個人信息安全工程指南》的定義較為類似，但結(jié)合ISO/IEC 27550:2019對隱私工程階段流程的描述（包括采購與供應(yīng)、人力資源管理、知識管理、風險管理等流程），ISO/IEC也并非認為隱私工程僅指將隱私要求融入系統(tǒng)和軟件工程生命周期過程。因此，我們在理解隱私工程時，可以在《個人信息安全工程指南》的基礎(chǔ)上進行擴大解釋，即通過一種體系化、制度化、流程化、平臺化的方式來提升企業(yè)的隱私保護能力的工程實踐。將隱私要求嵌入系統(tǒng)和軟件開發(fā)流程是隱私工程的核心，但同時還需要通過組織保障、制度要求、流程管理、平臺工具等提供基礎(chǔ)和支持。

各國對于隱私工程目標的設(shè)定基本以其倡導的隱私保護原則或立法要求為基礎(chǔ)?！秱€人信息安全工程指南》提出了五項目標：合法正當、最小必要、公開透明、不可關(guān)聯(lián)、可管理性。其中，“公開透明”“不可關(guān)聯(lián)”“可管理性”基本與歐盟和美國提出的隱私工程目標相一致（如表1），而“合法正當”和“最小必要”兩項目標則主要是基于《個人信息保護法》的頂層架構(gòu)進行了調(diào)整（如圖1），使其更好地承接《個人信息保護法》的要求并在研發(fā)工程側(cè)進行落地。

來源：CCSA TC601

圖 1 個人信息安全工程目標和《個人信息保護法》基本原則映射

表 1 國內(nèi)外隱私工程目標對比

來源：CCSA TC601

《個人信息安全工程指南》針對各軟件開發(fā)階段的活動、輸入、輸出已給出了較為具體的實施方案，包含了需求、設(shè)計、開發(fā)、測試和部署軟件開發(fā)過程通用的個人信息安全工程活動（如圖2）。此外，《個人信息安全工程指南》還在附錄中給出了個人信息安全設(shè)計的要點和常見個人信息安全默認配置參考要點，對我國企業(yè)而言具有較強的實操性。

來源：《個人信息安全工程指南》

圖 2 《個人信息安全工程指南》個人信息安全工程各階段活動

但如前所述，在完成《個人信息安全工程指南》提供的流程之外，企業(yè)還需要從運營和管理的角度提供一系列的隱私保護支撐，這些內(nèi)容在NIST報告和ISO/IEC 27550:2019中均有所體現(xiàn)。NIST在報告中認為隱私工程應(yīng)當包含五個部分（如圖3）：（1）法律、法規(guī)和FIPPs，用于推導隱私要求；（2）隱私影響評估，用于識別風險和描述系統(tǒng)評估過程；（3）風險模型，用于進行風險評估；（4）隱私工程和安全目標，用于厘清并評估系統(tǒng)是否滿足相關(guān)要求以及妥善處理風險的能力；以及（5）風險管理框架，用于提供選擇和評估控制措施的流程以管理已識別的風險并滿足相關(guān)要求。

來源：An Introduction to Privacy Engineering and Risk Management in Federal Systems

圖 3 NIST隱私工程構(gòu)成

ISO/IEC 27550:2019提出的隱私工程流程是建立在ISO/IEC/IEEE 15288:2023《系統(tǒng)和軟件工程：系統(tǒng)軟件生命周期》之上的，從企業(yè)完整運營的角度考慮，認為隱私工程涉及包括采購、銷售、人力資源等相關(guān)部門，具備較強的兼容性。具體內(nèi)容包括采購與管理流程、人力資源流程、知識管理流程、風險管理流程、相關(guān)方需求與要求流程、系統(tǒng)需求定義流程、架構(gòu)定義流程和設(shè)計定義流程（如表2）。

表 2 ISO/IEC 27550:2019提出的覆蓋系統(tǒng)生命周期的隱私工程流程

來源：ISO/IEC 27550:2019

基于歐盟、美國以及ISO/IEC對于隱私工程內(nèi)容的描述，結(jié)合我國個人信息保護的相關(guān)要求，本白皮書認為隱私工程主要包含以下內(nèi)容：

表 3 隱私工程內(nèi)容

來源：CCSA TC601