1.  近年來(lái)，隨著網(wǎng)絡(luò)的發(fā)展，信息化的普及，竊取他人隱私，**他人隱私的法規(guī)現(xiàn)象時(shí)有發(fā)生，那什么是隱私風(fēng)險(xiǎn)？隱私風(fēng)險(xiǎn)是指?jìng)€(gè)人遇到的與其個(gè)人數(shù)據(jù)處理相關(guān)問(wèn)題的可能性，以及這些問(wèn)題一旦發(fā)生所帶來(lái)的影響。隱私風(fēng)險(xiǎn)包括但不限于缺乏適當(dāng)?shù)募夹g(shù)性保障措施、社交媒體攻擊、移動(dòng)惡意軟件、第三方非授權(quán)訪問(wèn)、由于不當(dāng)配置造成的疏忽、未按時(shí)更新的安全軟件等。本文借鑒了一些文章和參考了一些資料，筆者將分幾個(gè)層面對(duì)隱私風(fēng)險(xiǎn)管理進(jìn)行闡述，本文先回顧下全球隱私保護(hù)立法趨勢(shì)，再討論隱私風(fēng)險(xiǎn)管理的必要性，我們將淺析 ISO27701隱私風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)。

2.  回顧下全球隱私保護(hù)立法趨勢(shì)

當(dāng)今社會(huì)數(shù)據(jù)濫用、數(shù)據(jù)竊取、隱私泄露以及“大數(shù)據(jù)殺熟”等數(shù)據(jù)安全問(wèn)題呈現(xiàn)爆發(fā)趨勢(shì)。在此背景下，全球各個(gè)國(guó)家紛紛頒布相關(guān)法律法規(guī)，對(duì)數(shù)據(jù)安全與隱私保護(hù)相關(guān)問(wèn)題進(jìn)行嚴(yán)格的規(guī)范與引導(dǎo)。比較重點(diǎn)的幾個(gè)隱私法律，如：

• 歐盟GDPR：歐盟于2018年5月25日正式實(shí)施了《通用數(shù)據(jù)保護(hù)條例》 (《General Data Protection Regulation》,簡(jiǎn)稱《GDPR》)，是一項(xiàng)保護(hù)歐盟公民個(gè)人隱私和數(shù)據(jù)的法律，其適用范圍包括歐盟成員國(guó)境內(nèi)企業(yè)的個(gè)人數(shù)據(jù)、也包括歐盟境外企業(yè)處理歐盟公民的個(gè)人數(shù)據(jù)。
• 美國(guó)CCPA：美國(guó)已有多個(gè)州先在數(shù)據(jù)安全與隱私保護(hù)進(jìn)行了立法，其中***的要數(shù)2018年6月加州通過(guò)《加州消費(fèi)者隱私法案》（ 《California Consumer Privacy Act》, 簡(jiǎn)稱《CCPA》）。該法案被稱為美國(guó)“*嚴(yán)厲和***的個(gè)人隱私保護(hù)法案”，將于2020年1月1日生效。
• 中國(guó)CSL：我國(guó)于2017年6月1日正式實(shí)施《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（通常簡(jiǎn)稱《網(wǎng)安法》）?！毒W(wǎng)安法》是我國(guó)首部**規(guī)范網(wǎng)絡(luò)空間安全管理方面問(wèn)題的基礎(chǔ)性法律，包含的內(nèi)容十分豐富，一共包括7章79條，包含網(wǎng)絡(luò)運(yùn)行安全、關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全、網(wǎng)絡(luò)信息安全等內(nèi)容。值得關(guān)注的是，《網(wǎng)安法》在數(shù)據(jù)（包括個(gè)人信息）安全與保護(hù)上也有諸多規(guī)定，例如第四十至四十五條。

3、  隱私風(fēng)險(xiǎn)管理的必要性

一般情況下，導(dǎo)致隱私保護(hù)不合規(guī)的原因主要表現(xiàn)在幾方面：

隱私保護(hù)不合規(guī)造成的后果：

所以這就體現(xiàn)了隱私風(fēng)險(xiǎn)管理的價(jià)值：

4.    隱私風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)參考-淺析ISO27701

   聊到隱私就不得不提及一個(gè)很重要的標(biāo)準(zhǔn)：ISO27701，那什么是ISO27701？

ISO 27701 源自 ISO/IEC 27552，為建立、實(shí)現(xiàn)、維護(hù)和持續(xù)改進(jìn)隱私信息管理系統(tǒng) (PIMS) 提供具體要求和指南，令 PIMS 作為 ISO 27001 中定義的靈活信息安全管理系統(tǒng) (ISMS) 的擴(kuò)展，在信息安全的基礎(chǔ)上將處理 PII 所需的隱私保護(hù)納入考慮。與 ISO 27001 標(biāo)準(zhǔn)類似， ISO 27701 不期望組織機(jī)構(gòu)在所有情況下采納每一條控制。相反，該標(biāo)準(zhǔn)要求組織機(jī)構(gòu)理解自身 PII 處理的具體上下文，以適合其處理活動(dòng)的方式調(diào)整特定控制集和與之相關(guān)的實(shí)現(xiàn)。

PII：個(gè)人可識(shí)別身份信息，指 任何可以識(shí)別PII主體的信息或直接或間接與PII主體相關(guān)的信息
PIMS：隱私信息管理體系
PII控制者的customer：與PII控制者有合約關(guān)系的組織，可以是共同控制者
PII處理者的customer：與PII處理者有合約關(guān)系的PII處理者

控制者和處理者。這兩個(gè)術(shù)語(yǔ)在很多隱私法律和規(guī)定中都能見(jiàn)到，包括 GDPR。通常，“控制者” 是指示為什么要收集和處理 PII 的實(shí)體，“處理者” 是**該控制者負(fù)責(zé)處理此數(shù)據(jù)的另一個(gè)法律實(shí)體（非員工）。

新發(fā)布的標(biāo)準(zhǔn)適用于 PII 控制者（及聯(lián)合控制者）和處理者（包括下級(jí)處理者），無(wú)論其運(yùn)營(yíng)的行業(yè)和司法轄區(qū)，也包括到 GDPR 和 SO/IEC 29100、ISO/IEC 27018 及 ISO/IEC 29151 安全框架的映射。預(yù)計(jì) ISO 27701 要求還將映射到其他隱私法律，如《2018 加州消費(fèi)者隱私法案》(CCPA)、《金融服務(wù)現(xiàn)代化法案》(GLBA) 和《健康保險(xiǎn)流通與責(zé)任法案》(HIPAA) 等，通過(guò)提供通用的合規(guī)標(biāo)準(zhǔn)幫助組織機(jī)構(gòu)更好地符合這些監(jiān)管要求。

下面我們就就來(lái)看看適用于控制者和處理者的關(guān)鍵 ISO 27701 要求。

適用于控制者和處理者的要求

保密性：經(jīng)授權(quán)訪問(wèn) PII 的個(gè)人必須履行保密協(xié)議。
分析風(fēng)險(xiǎn)：必須進(jìn)行隱私風(fēng)險(xiǎn)評(píng)估以識(shí)別 PII 處理風(fēng)險(xiǎn)。
監(jiān)管：組織機(jī)構(gòu)必須指定負(fù)責(zé)開(kāi)發(fā)、實(shí)現(xiàn)、維護(hù)和監(jiān)視其治理及隱私項(xiàng)目的個(gè)人。
培訓(xùn)：可以訪問(wèn) PII 的人員需經(jīng)過(guò)隱私意識(shí)培訓(xùn)。
內(nèi)部過(guò)程：組織機(jī)構(gòu)必須為應(yīng)對(duì) PII 泄露事件而采納各種策略和規(guī)程，比如事件響應(yīng)計(jì)劃。
記錄保存：ISO 27701 要求組織機(jī)構(gòu)保留所有 PII 處理活動(dòng)的記錄，包括 PII 在司法轄區(qū)間轉(zhuǎn)移和向第三方披露等。

特定于控制者的要求

隱私通告：組織機(jī)構(gòu)必須提供包含 PII 收集、使用和處理相關(guān)具體信息的隱私政策。
處理者合同要求：組織機(jī)構(gòu)必須與其處理者簽訂書(shū)面合同，約定具體事項(xiàng)，比如保護(hù) PII、限制處理操作*可在 PII 特定用途范圍內(nèi)，以及提供 PII 泄露通報(bào)。
個(gè)**益：ISO 27701 要求組織機(jī)構(gòu)實(shí)現(xiàn)各種機(jī)制，賦予個(gè)人訪問(wèn)、修改和刪除其 PII，以及反對(duì)或限制 PII 處理等權(quán)益。
設(shè)計(jì)隱私與默認(rèn)隱私：組織機(jī)構(gòu)必須采取措施實(shí)現(xiàn)設(shè)計(jì)隱私和默認(rèn)隱私原則。

特定于處理者的要求

處理限制：組織機(jī)構(gòu)必須*按控制者或處理者（取決于客戶的角色）的說(shuō)明處理 PII。
輔助個(gè)**益：ISO 27701 要求處理者實(shí)現(xiàn)幫助客戶遵從個(gè)**益的種種措施。
轉(zhuǎn)移與披露：處理者必須于 PII 在司法轄區(qū)間轉(zhuǎn)移或任何預(yù)期變化發(fā)生前通告客戶。
分包商：ISO 27701 要求處理者*可雇傭一家分包商按照客戶合同的條款處理 PII。

ISO 27701的目標(biāo)是通過(guò)對(duì)于隱私保護(hù)的控制實(shí)現(xiàn)對(duì)ISMS進(jìn)行補(bǔ)充，使企業(yè)建立PIMS，實(shí)現(xiàn)有效的隱私管理，從而使企業(yè)獲益。

ISO 27701與各標(biāo)準(zhǔn)之間的關(guān)系

a) ISO 27701是ISO 27001和ISO 27002在隱私方面的擴(kuò)展。

b) ISO 27002為ISO 27001提供風(fēng)險(xiǎn)處置具體的控制目標(biāo)和控制措施。

c) ISO 29100、ISO 27018、ISO 29151均為隱私方面的標(biāo)準(zhǔn)，有不同的側(cè)重點(diǎn)，與ISO 27701互為補(bǔ)充。

d) ISO 27001幫助企業(yè)建立ISMS，通過(guò)有效的風(fēng)險(xiǎn)管理來(lái)保護(hù)和管理組織的所有信息，從數(shù)據(jù)安全方面滿足GDPR的部分要求。

e) ISO 27701加入了隱私保護(hù)的額外要求，更**地覆蓋了GDPR的要求。

無(wú)論組織機(jī)構(gòu)的規(guī)模大小，不管身為 PII 控制者還是處理者，公司企業(yè)都應(yīng)考慮獲取 ISO 27701 認(rèn)證，要么是自身，要么要求供應(yīng)商獲得。對(duì)處理敏感或大量 PII 的處理者、下級(jí)處理者和聯(lián)合控制者而言尤其如此。

無(wú)論組織機(jī)構(gòu)的規(guī)模大小，不管身為 PII 控制者還是處理者，公司企業(yè)都應(yīng)考慮獲取 ISO 27701 認(rèn)證，要么是自身，要么要求供應(yīng)商獲得。對(duì)處理敏感或大量 PII 的處理者、下級(jí)處理者和聯(lián)合控制者而言尤其如此。