1.  近年來，隨著網(wǎng)絡的發(fā)展，信息化的普及，竊取他人隱私，**他人隱私的法規(guī)現(xiàn)象時有發(fā)生，那什么是隱私風險？隱私風險是指個人遇到的與其個人數(shù)據(jù)處理相關問題的可能性，以及這些問題一旦發(fā)生所帶來的影響。隱私風險包括但不限于缺乏適當?shù)募夹g性保障措施、社交媒體攻擊、移動惡意軟件、第三方非授權訪問、由于不當配置造成的疏忽、未按時更新的安全軟件等。本文借鑒了一些文章和參考了一些資料，筆者將分幾個層面對隱私風險管理進行闡述，本文先回顧下全球隱私保護立法趨勢，再討論隱私風險管理的必要性，我們將淺析 ISO27701隱私風險管理標準。

2.  回顧下全球隱私保護立法趨勢

當今社會數(shù)據(jù)濫用、數(shù)據(jù)竊取、隱私泄露以及“大數(shù)據(jù)殺熟”等數(shù)據(jù)安全問題呈現(xiàn)爆發(fā)趨勢。在此背景下，全球各個國家紛紛頒布相關法律法規(guī)，對數(shù)據(jù)安全與隱私保護相關問題進行嚴格的規(guī)范與引導。比較重點的幾個隱私法律，如：

• 歐盟GDPR：歐盟于2018年5月25日正式實施了《通用數(shù)據(jù)保護條例》 (《General Data Protection Regulation》,簡稱《GDPR》)，是一項保護歐盟公民個人隱私和數(shù)據(jù)的法律，其適用范圍包括歐盟成員國境內企業(yè)的個人數(shù)據(jù)、也包括歐盟境外企業(yè)處理歐盟公民的個人數(shù)據(jù)。
• 美國CCPA：美國已有多個州先在數(shù)據(jù)安全與隱私保護進行了立法，其中***的要數(shù)2018年6月加州通過《加州消費者隱私法案》（ 《California Consumer Privacy Act》, 簡稱《CCPA》）。該法案被稱為美國“*嚴厲和***的個人隱私保護法案”，將于2020年1月1日生效。
• 中國CSL：我國于2017年6月1日正式實施《中華人民共和國網(wǎng)絡安全法》（通常簡稱《網(wǎng)安法》）?！毒W(wǎng)安法》是我國首部**規(guī)范網(wǎng)絡空間安全管理方面問題的基礎性法律，包含的內容十分豐富，一共包括7章79條，包含網(wǎng)絡運行安全、關鍵信息基礎設施的運行安全、網(wǎng)絡信息安全等內容。值得關注的是，《網(wǎng)安法》在數(shù)據(jù)（包括個人信息）安全與保護上也有諸多規(guī)定，例如第四十至四十五條。

3、  隱私風險管理的必要性

一般情況下，導致隱私保護不合規(guī)的原因主要表現(xiàn)在幾方面：

隱私保護不合規(guī)造成的后果：

所以這就體現(xiàn)了隱私風險管理的價值：

4.    隱私風險管理標準參考-淺析ISO27701

   聊到隱私就不得不提及一個很重要的標準：ISO27701，那什么是ISO27701？

ISO 27701 源自 ISO/IEC 27552，為建立、實現(xiàn)、維護和持續(xù)改進隱私信息管理系統(tǒng) (PIMS) 提供具體要求和指南，令 PIMS 作為 ISO 27001 中定義的靈活信息安全管理系統(tǒng) (ISMS) 的擴展，在信息安全的基礎上將處理 PII 所需的隱私保護納入考慮。與 ISO 27001 標準類似， ISO 27701 不期望組織機構在所有情況下采納每一條控制。相反，該標準要求組織機構理解自身 PII 處理的具體上下文，以適合其處理活動的方式調整特定控制集和與之相關的實現(xiàn)。

PII：個人可識別身份信息，指 任何可以識別PII主體的信息或直接或間接與PII主體相關的信息
PIMS：隱私信息管理體系
PII控制者的customer：與PII控制者有合約關系的組織，可以是共同控制者
PII處理者的customer：與PII處理者有合約關系的PII處理者

控制者和處理者。這兩個術語在很多隱私法律和規(guī)定中都能見到，包括 GDPR。通常，“控制者” 是指示為什么要收集和處理 PII 的實體，“處理者” 是**該控制者負責處理此數(shù)據(jù)的另一個法律實體（非員工）。

新發(fā)布的標準適用于 PII 控制者（及聯(lián)合控制者）和處理者（包括下級處理者），無論其運營的行業(yè)和司法轄區(qū)，也包括到 GDPR 和 SO/IEC 29100、ISO/IEC 27018 及 ISO/IEC 29151 安全框架的映射。預計 ISO 27701 要求還將映射到其他隱私法律，如《2018 加州消費者隱私法案》(CCPA)、《金融服務現(xiàn)代化法案》(GLBA) 和《健康保險流通與責任法案》(HIPAA) 等，通過提供通用的合規(guī)標準幫助組織機構更好地符合這些監(jiān)管要求。

下面我們就就來看看適用于控制者和處理者的關鍵 ISO 27701 要求。

適用于控制者和處理者的要求

保密性：經授權訪問 PII 的個人必須履行保密協(xié)議。
分析風險：必須進行隱私風險評估以識別 PII 處理風險。
監(jiān)管：組織機構必須指定負責開發(fā)、實現(xiàn)、維護和監(jiān)視其治理及隱私項目的個人。
培訓：可以訪問 PII 的人員需經過隱私意識培訓。
內部過程：組織機構必須為應對 PII 泄露事件而采納各種策略和規(guī)程，比如事件響應計劃。
記錄保存：ISO 27701 要求組織機構保留所有 PII 處理活動的記錄，包括 PII 在司法轄區(qū)間轉移和向第三方披露等。

特定于控制者的要求

隱私通告：組織機構必須提供包含 PII 收集、使用和處理相關具體信息的隱私政策。
處理者合同要求：組織機構必須與其處理者簽訂書面合同，約定具體事項，比如保護 PII、限制處理操作*可在 PII 特定用途范圍內，以及提供 PII 泄露通報。
個**益：ISO 27701 要求組織機構實現(xiàn)各種機制，賦予個人訪問、修改和刪除其 PII，以及反對或限制 PII 處理等權益。
設計隱私與默認隱私：組織機構必須采取措施實現(xiàn)設計隱私和默認隱私原則。

特定于處理者的要求

處理限制：組織機構必須*按控制者或處理者（取決于客戶的角色）的說明處理 PII。
輔助個**益：ISO 27701 要求處理者實現(xiàn)幫助客戶遵從個**益的種種措施。
轉移與披露：處理者必須于 PII 在司法轄區(qū)間轉移或任何預期變化發(fā)生前通告客戶。
分包商：ISO 27701 要求處理者*可雇傭一家分包商按照客戶合同的條款處理 PII。

ISO 27701的目標是通過對于隱私保護的控制實現(xiàn)對ISMS進行補充，使企業(yè)建立PIMS，實現(xiàn)有效的隱私管理，從而使企業(yè)獲益。

ISO 27701與各標準之間的關系

a) ISO 27701是ISO 27001和ISO 27002在隱私方面的擴展。

b) ISO 27002為ISO 27001提供風險處置具體的控制目標和控制措施。

c) ISO 29100、ISO 27018、ISO 29151均為隱私方面的標準，有不同的側重點，與ISO 27701互為補充。

d) ISO 27001幫助企業(yè)建立ISMS，通過有效的風險管理來保護和管理組織的所有信息，從數(shù)據(jù)安全方面滿足GDPR的部分要求。

e) ISO 27701加入了隱私保護的額外要求，更**地覆蓋了GDPR的要求。

無論組織機構的規(guī)模大小，不管身為 PII 控制者還是處理者，公司企業(yè)都應考慮獲取 ISO 27701 認證，要么是自身，要么要求供應商獲得。對處理敏感或大量 PII 的處理者、下級處理者和聯(lián)合控制者而言尤其如此。

無論組織機構的規(guī)模大小，不管身為 PII 控制者還是處理者，公司企業(yè)都應考慮獲取 ISO 27701 認證，要么是自身，要么要求供應商獲得。對處理敏感或大量 PII 的處理者、下級處理者和聯(lián)合控制者而言尤其如此。