隐私影响评估（PIA）的发展及ISO/IEC 29134:2017实施探讨

谢宗晓 董坤祥 甄杰

1 从公平信息实践到隐私保护

隐私一般被定义为个体控制其个人信息收集和使用的能力。隐私合规在不同的国家或地区都很重要，但是也略有不同。例如，在欧洲多以统一立法的形式出现，在美国则是不同的行业有不同的要求[1]。纵观世界各国及地区的隐私立法，原则大同小异，大多可以追溯到“公平信息实践（fair information practices，FIPs）”。

FIPs运动起源于19世纪60年代晚期的欧洲，在美国得到进一步的发展。FIPs运动的最初目的“与其说是保护隐私，不如说是从那些对其影响越来越大的组织的角度来回应隐私问题”[2]。但正是由于FIPs运动引起了人们对隐私的重视，由此确立的FIPs原则（即FIPP）也奠定了今天隐私保护的原则，例如，《OECD隐私指南》《APEC隐私框架》和ISO/IEC 29100： 2011《隐私框架》等重要文献，都给出了类似的描述。FIPP确立的标志性事件为1973年美国卫生、教育与福利部发布的《记录、计算机与公民权利》（也称为HEW报告），该报告直接促成了在1974年出台的《美国隐私法案》。

普遍认为，FIPs是现代信息隐私法的基石，FIPP也已经成为全球隐私保护的重要准则，而且从其演化和各个版本进行总结，可以发现是FIPs确立了以个人信息赋权与施加信息控制者责任的进路[3]。

2 隐私影响评估的发展

隐私影响评估（privacy impact assessment，PIA）的出现是一个自然而然的过程[2]，一般认为，PIA的词汇来源可能有两种。

第一种认为PIA来源于“技术评估（technology assessment）”。1972—1995年，美国国会设有技术评估办公室（OTA），该类词汇现在用的比较少， 2013年MAS1）发布的Technology Risk Management Guidelines（技术风险管理指引）还是用的类似词汇，在这种情况大多用信息安全风险管理，或者信息系统安全风险管理等，一般不会冠以更通用的“技术”。

第二种认为PIA来源于“影响陈述（impact statement）”，该词汇来源于19世纪60年代的“绿色运动”所产生的“环境影响陈述（environment impact statement，EIS）”，在环境安全管理情境中，还产生了“环境影响评估（environment impact assessment，EIA）”等词汇。影响评估实际是一类词汇，例如，ISO/IEC 27002：2013中含有“业务影响分析（business impact analysis）”等词汇，又如，社会影响评估（social impact assessment，SIA）。

由于EIS等影响，先出现的词汇是“隐私影响陈述（privacy impact statement）”，在这个阶段中，评估方法论可能还不是强调的重点。在后续的应用中，该词汇慢慢演化为PIA。最早使其制度化的是1995通过的Directive 95/46/EC2），条款20，要求信息系统需要通过“预先校验（prior checking）”，已验证与应用标准的符合性。虽然用的不同的词汇，但已经有了基本的雏形。

总之，隐私保护的概念出现于19世纪60年代中期，跟国内的发展路线一样，开始关注的是组织的信息安全，之后关注的才是个体的隐私信息。至19世纪90年代中期，PIA才成为一个常规手段，虽然相关的概念早已经出现，由于其方法论，或者说过程控制，使得PIA与符合性检查（compliance check）和隐私审计（privacy audit）等存在明显的不同。

3 关于PIA的国际标准ISO/IEC 29134

ISO/IEC 29134：2017发布于2017年6月，全称为Information technology—Security techniques— Guidelines for privacy impact assessment（信息技术 安全技术 隐私影响评估指南），该标准是关于PIA最具代表性的标准之一，其中将PIA定义为：在组织更广泛的风险管理框架内进行的识别、分析、评估、咨询、沟通和计划处置与个人身份信息处理相关的潜在隐私影响的整个过程。

ISO/IEC 29134：2017描述了PIA过程以及PIA报告的结构与内容，适用于各种类型和规模的组织，包括上市公司、私营公司、政府实体和非营利组织等。

除去前言和引言，ISO/IEC 29134：2017正文共有7章，4个资料性附录。

前4章均为通用章节，分别为范围、规范性引用文件、术语与定义和缩略语。标准的主要内容集中在第5～7章，第5章为PIA准备，第6章为PIA过程，第7章为PIA报告。

第5章，PIA的基础准备，这与一次具体的PIA准备不同，具体的PIA准备工作流程在6.3中介绍。6.3.1描述了执行PIA所带来的好处，原则上，这不需要赘述。6.3.2为PIA报告的目标，其中按照不同的角色描述了他们的期望，具体为PII信息流主体、管理者、监管者和顾客。在6.3.3和6.3.4中，分别介绍了执行评估的可核查性以及PIA的范围。

第6章按照“目標”“输入”“期望输出”“行动”以及“实施指南”的格式对每个步骤进行描述。主要过程见表1。

第7章对PIA报告的结构和内容给出了指导，7.2是报告的结构，其他章节为内容。报告的内容与章节的对应见表2。

ISO/IEC 29134：2017的附录共有4个，都是资料性附录。

附录A给出了估算潜在隐私违反（privacy breach）的影响和可能性的标准和刻度，就是在风险评估前确定准则的过程。在其中分别给出了影响等级的定义，以及可能性等级的定义。两者都是用的4级定义法，影响的等级是4级，可能性用的是“可忽略”“有限”“显著”和“最大”。

附录B主要是典型的威胁列表，在附录中，加常见威胁列表，这是很多信息安全风险评估标准的惯例。

附录C讨论了几个术语的用法，其中包括了：1）PIA的范围（scope of PIA）;2）计划（project）;3）过程（process）;4）显著性（significance）;5）监视与评审（monitoring and reviewing）。

附录D是对PIA流程的支持工具进行举例，其中包括了一个PII处理的工作流程图（对应正文6.4.1）和一个隐私风险地图（对应正文6.4.4.3）。

4 小结

需要说明的是，ISO/IEC 29134：2017的参考文献比较多，不仅有标准，还有一些期刊和会议论文，其中作者David Wright的文章有3篇，这在标准中并不多见。

隐私影响评估（PIA）已经成为隐私保护部署的常规的手段之一，在很多标准的实施过程中，PIA已经成为必须选项。本文讨论了PIA来源和发展过程，是为了更好地理解PIA在隐私保护实践中的作用，同时，详细介绍了ISO/IEC 29134：2017中的PIA过程以及PIA报告的要求，在后续的专栏中，会对PIA与ISO/IEC 27000标准族的关系进行专门的讨论，因为在目前的实践中，信息安全都已经部署得相对成熟，对于隐私保护的推进，大都在这个基础上进行。

（注：本文仅做学术探讨，与作者所在单位观点无关）

参考文献

[1] KARYDA M ， GRITZALIS S ， PARK J H ， et al. Privacy

and fair information practices in ubiquitous environments：

Research challenges and future directions[J].Internet Research，2009， 19（2）：194-208.

[2] CLARKE ROGER. Privacy impact assessment： Its origins and development [J]. Computer Law & Security  Review， 2009， 25（2）：123-135.

[3] 丁曉东. 论个人信息法律保护的思想渊源与基本原理：基 于“公平信息实践”的分析[J]. 现代法学， 2019，41（3）：96- 110.

[4] 赵战生，谢宗晓.信息安全风险评估：第2版[M]. 北京：中 国标准出版社，2016.