ISO/IEC 29100 — 隐私框架

1. ISO/IEC 29100 隐私框架概述

ISO/IEC 29100提供了一个高层次的隐私框架，建立了通用术语体系，定义了核心隐私原则，并概述了参与个人可识别信息（PII）处理的行为主体及其角色。作为ISO/IEC 27000系列安全和隐私标准的一部分，该框架具有技术中立性，适用于任何处理PII的组织，无论其行业或管辖区如何。

ISO/IEC 29100中的隐私框架设计为与GDPR、CCPA、个人信息保护法等国家隐私法律互补。组织若将其PII处理与本框架对齐，将能显著简化跨多个司法管辖区的合规证明过程。

该标准确定了十一项基本隐私原则：同意与选择、目的合法性与明确性、收集限制、数据最小化、使用保留与披露限制、准确性与质量、公开透明与通知、个人参与与访问权、问责制、信息安全以及隐私合规。这些原则构成了隐私保护系统设计与运营的基础。

ISO/IEC 29100定义了五类关键角色：PII主体（数据主体）、PII控制者（决定目的和方式的实体）、PII处理者（代表控制者进行处理的实体）、第三方（可能接收PII的独立实体）和监管机构。理解这些角色及其法律关系对于设计合规系统至关重要。

一个常见的工程错误是将PII处理者视为控制者的简单延伸。实际上，处理者必须证明独立的合规措施，包括合同保障、审计权和数据泄露通知程序。在供应商选择过程中不可忽视处理者尽职调查。

该框架还引入了PII处理流程的概念，用于映射PII从收集到使用、存储、披露和最终销毁的整个生命周期。流程中的每个阶段都承担着隐私原则下的特定义务。例如，收集阶段必须实现同意机制，而披露阶段必须执行目的兼容性检查和数据共享协议。

将ISO/IEC 29100框架转化为工程实践需要系统化的方法。隐私设计必须从需求收集到部署运营全程嵌入到软件开发生命周期中。关键架构模式包括基于属性的访问控制（ABAC）、用于分析的差分隐私、同态加密以及基于可验证凭证的隐私增强身份管理。

对于新建项目，从一开始就采用以隐私为中心的数据架构比事后改造控制措施更具成本效益。使用基于ISO/IEC 29100的隐私影响评估模板作为系统设计评审中的需求检查清单。

切勿在开发或测试环境中硬编码同意决策或绕过隐私控制。使用匿名化的合成数据进行测试，并确保所有非生产环境执行与生产环境相同的数据最小化和访问控制措施。

问1：ISO/IEC 29100与GDPR合规是什么关系？
答：ISO/IEC 29100提供了一个与GDPR要求高度一致的框架结构。该标准中的隐私原则与GDPR第5至第9条相对应。获得ISO/IEC 29100认证的组织可将其作为GDPR第24条规定的问责文档的一部分。

问2：ISO/IEC 29100是否规定具体技术控制措施？
答：不，该框架基于原则且技术中立。它定义了从隐私角度应实现的目标，但未规定具体技术实现。详细控制措施由相关标准覆盖，如ISO/IEC 27001（信息安全）和ISO/IEC 27018（云PII）。

问3：ISO/IEC 29100是否适用于小型组织？
答：是的。该框架具有可扩展性，适用于各种规模的组织。小企业可以使用更简单的机制实现相同的原则，如人工同意日志和基于电子表格的PII清单，而大型企业则应使用自动化治理平台。

问4：隐私框架应多久审查一次？
答：至少每年一次，或在PII处理活动、适用法规或组织结构发生重大变化时进行审查。建议使用自动化合规仪表板进行持续监控。