个人信息安全工程指南发布

一、新规介绍

根据2022年10月14日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2022年第13 ），全国信息安全标准化技术委员会归口的14项国家标准正式发布，其中包括推荐性国标GB/T 41817-2022《信息安全技术 个人信息安全工程指南》（简称“工程指南”）的正式版本。《工程指南》作为一项，以标准的形式从制度层面出发将组织内各团队/部门间的工作配合方式作出协调和指导。同时，该标准在三年前信安标委发布的《工程指南（征求意见稿）》基础上，进一步贯彻落实了“个人信息安全措施与产品和服务同步规划、同步建设、同步使用”的理念。概言之，《工程指南》对于企业如何将现有法规和标准落实到具体的系统和软件的设计开发程序中给出了强实践意义的指引，企业在提升 络产品和服务的个人信息保护能力时应将该标准作为重要参考。

二、标准范围

(一）重要术语

(二）适用范围

《工程指南》提出了个人信息安全工程的原则、目标、阶段和准备，提供了 络产品和服务在需求、设计、开发、测试、发布阶段落实个人信息安全要求的工程化指南。

(三）规范性引用文件

三、 主要内容

(一）《工程指南》亮点与合规建议

(二）个人信息安全工程原则和目标

● 原则：

a) 嵌入设计原则：也称“隐私设计原则”，即将个人信息保护要求纳入产品服务的设计中。

b) 默认保护原则：也称“默认隐私原则”，即产品服务的默认设置要最大程度保护个人信息安全，如默认收集最小化等。

c) 用户中心原则：充分考虑用户个人信息安全需求，以用户为中心设计产品服务的个人信息安全功能，最大程度保障用户个人信息权益。

d) 工程对应原则：个人信息安全工程与软件开发生存周期对应，阶段划分一致，便于软件开发和工具集成。

e) 全程安全原则：在个人信息处理活动的全流程中实现个人信息安全。

与信息系统安全工程侧重于保护ICT资产的保密性、完整性和可用性不同，个人信息安全工程聚焦于保障用户个人信息权益，在使产品服务满足《个人信息安全规范》中个人信息处理活动原则和安全要求的基础上，重点实现以下目标。

a) 合法正当：遵循个人信息安全相关法律法规要求，处理个人信息具有明确、合理的目的，不通过误导、欺诈、胁迫等方式处理个人信息。

b) 最小必要：处理个人信息与处理目的直接相关，采取对个人权益影响最小的方式，收集个人信息限于实现处理目的的最小范围。

c) 公开透明：公开个人信息处理规则，明示处理的目的、方式和范围，提高产品服务个人信息处理的透明性。

d) 不可关联：采用去标识化、匿名化等手段，减少个人信息关联到个人信息主体引起的安全风险。

e) 可管理性：提供个人信息处理的管理机制，使用户和组织能够适当干预产品服务处理个人信息的过程。

(三）工程阶段

《工程指南》在实际应用所需的基础上，对 络产品和服务的规划建设作出明确的阶段划分，并明确个人信息安全工程应与与其规划建设过程相对应。如果组织已开展安全工程实践(如SDL)，可在安全工程基础上结合自身需要，增加个人信息安全工程活动。

如果 络产品和服务涉及《个人信息保护法》第五十五条所说明的“对个人权益有重大影响的个人信息处理活动”， 则在规划建设时需按照GB/T 39335—2020《信息安全技术 个人信息安全影响评估指南》开展个人信息保护影响评估（PIA）。个人信息保护影响评估会贯穿于个人信息安全工程各阶段（而不局限在某一阶段），如：

a) 在需求阶段，启动个人信息保护影响评估，确定评估对象和范围，对需求进行评估：

b) 在设计和开发阶段，对个人信息安全设计进行评估，输出设计的评估结果，并按照评估确定后的设计进行开发；

c) 在测试阶段，对实际个人信息保护功能进行验证和测试；

d) 在发布阶段，对个人信息保护影响评估相关文档进行评审、签发及归档。

《工程指南》对PIA与产品服务规划建设的同步开展的强调，体现其与对个人信息保护的深刻理解。显然，《工程指南》将PIA手段更加细致具体地前置于 络产品和服务的需求和设计阶段，从根源上控制 络服务和产品在收集和处理个人信息方面可能存在的风险。

《工程指南》强调组织在开展个人信息安全工程前，宜做好工作团队、制度流程、技术工具等方面的准备工作。由于《工程指南》每一个阶段的工作中均设置了其倡导设立的个人信息保护工程团队的工作方法和目标，力图将个人信息保护工作紧密焊接至 络产品和服务的开发全流程中。因此，工程团队的建立应为组织进行合规工作的重要前提，组织应明确其在工程各阶段相关的角色和职责，并对相关人员进行培训。通常来说，该团队应由个人信息保护团队和业务团队组成：

的岗位。

在需求、设计、开发、测试、发布的每一个工程阶段中，《工程指南》均采用关键节点控制的方式从流程上控制个人信息安全，此类要求意味着个人信息安全合规工作将全面嵌入产品开发生存全周期。《工程指南》设置的核心的关键节点包括：a）输入控制；b）角色职责控制；c)主要活动控制；d)输出物控制。各工程阶段的主要关键节点如下表所示：

(四）个人信息安全设计

《工程指南》的整体逻辑显示其最为重视的工程阶段为产品服务的设计阶段，信安标委通过流程图形式清晰阐述了个人信息安全设计的主要步骤：

此外，《工程指南》还特意在附录A部分罗列了产品设计阶段的重点设计考虑点，该部分显示了《工程指南》对《个人信息安全规范》和《App收集个人信息基本要求》所关注和合规项的落实，对产品的具体设计者（开发人员）而言更具有落地操作的参考价值。在 络产品和服务的设计过程中，至少应考虑到以下要点：

(五）个人信息安全默认配置

《工程指南》强调将默认隐私原则（Privacy by Design, PbD）融入产品服务中，通过默认配置最大程度保护个人信息。PbD侧重于个人信息保护，强调科技与法律的结合，主张在系统设计的最初阶段将个人信息保护的需求“嵌入其中”，成为系统运行的默认规则，而不是事后简单地“附加其上”。《工程指南》在附录B中列举了常见个人信息安全默认配置参考要点，企业在根据下列要点进行默认隐私保护设计的同时，也可以参考《关于GDPR第25条设计数据保护及默认设置数据保护的指南》，以此实现“通过设计保护隐私”的个人信息保护目的：

a) 默认采用对个人权益影响最小的实现方式收集个人信息，包括但不限于：

1) 如能通过不收集个人信息的方式实现功能，默认采用不收集个人信息的方式：

2) 如能通过不收集敏感个人信息的方式实现功能，默认采用不收集敏感个人信息的方式。

b) 当产品服务在静默状态或在后台运行，且未向用户提供服务时，默认不收集用户个人信息。

c) 如能在本地实现个人信息处理目的，默认采用本地处理方式，不向服务端回传个人信息。

d) 默认关闭产品服务的扩展业务功能，包括但不限于：

1) 默认关闭向用户好友推送其浏览、播放、购物等记录功能；

2) 默认关闭收集个人生物识别信息的功能；

3) 默认关闭个性化推荐功能，如分析用户 交 络信息并推荐好友的功能等。

e) 默认仅声明和申请实现处理目的最小范围的系统权限，申请授权后默认仅访问所需要的最少个人信息。

f) 默认仅使用满足处理目的需要的最少数量的第三方应用。

g) 默认以最小期限保存个人信息。

h) 展示敏感个人信息时默认将其去标识化，由用户主动选择明文展示。

i) 避免使用默认勾选的方式取得同意。