ISO/IEC 29101 — 隐私架构

1. 隐私保护系统的参考架构

ISO/IEC 29101定义了面向隐私保护系统的参考架构，涵盖整个PII处理生命周期。该架构分为若干层次：应用层、隐私控制层、数据层和基础设施层。每个层次集成了基于ISO/IEC 29100原则衍生的特定隐私控制措施。这种分层架构遵循纵深防御原则，即使某一层的控制措施被攻破，其余层次仍能为PII提供持续保护。

在设计隐私保护架构时，首先绘制数据流图，识别所有PII进入、流经或离开系统的接触点。每个接触点都是实施加密、访问控制或匿名化等隐私控制的候选位置。

隐私控制层是ISO/IEC 29101的架构核心，包括策略执行点（PEP）、策略决策点（PDP）和策略信息点（PIP），共同实现基于属性的访问控制、同意管理和基于目的的使用限制。这些组件遵循XACML架构模式，设计为基础设施无关的，可部署在云、本地和混合环境中同时保持一致的策略执行。策略决策与策略执行的分离是一项关键设计原则，支持集中式策略管理和分布式执行。

架构层次	组件	隐私控制措施
应用层	用户界面、API、服务	同意UX、隐私通知、偏好管理
隐私控制层	PEP、PDP、PIP、审计引擎	策略执行、目的绑定、日志记录
数据层	数据库、数据湖、备份	加密、令牌化、数据脱敏、保留策略
基础设施层	网络、计算、存储	网络分段、TEE、HSM、DLP

2. 数据流与隐私控制模式

ISO/IEC 29101描述了常见PII处理场景的规范数据流模式，包括从数据主体收集、与第三方共享、跨境传输和分析处理。每种模式都包含推荐的控制点。例如，在跨境传输场景中，控制措施必须包括传输影响评估、充分性判断以及加密和假名化等补充措施。标准强调控制点应放置在数据进入或离开信任域的系统边界处，实现系统化的隐私执行而无需修改内部应用逻辑。

跨境PII传输是隐私架构中风险最高的领域之一。不要仅依赖合同条款而不验证技术执行机制。实施地理围栏、数据驻留强制执行和传输日志记录等技术控制作为纵深防御措施。

该标准还引入了隐私策略表达的概念——一种用于表示隐私策略、同意偏好和数据处理约束的机器可读格式。这使跨分布式系统的自动化策略执行成为可能，减少了对人工合规检查的依赖。实施隐私策略表达的组织可降低审计开销并加快事件响应速度，因为策略可以集中更新并自动传播到所有执行点。标准定义的策略表达语言具有可扩展性，允许组织在维护与标准隐私框架互操作性的同时添加领域特定的隐私规则。

3. 参考架构的工程实现

在实践中实施ISO/IEC 29101需要为每个架构层选择合适的技术栈。对于隐私控制层，Open Policy Agent等开源策略引擎或Axiomatics等商业解决方案可作为PDP。同意管理可使用Kantara Initiative的同意收据规范或基于符合标准的数据存储构建的定制解决方案来实现。在数据层，建议实施数据库列级加密、敏感标识符的令牌化服务以及非生产环境的动态数据脱敏。

推荐的实现模式是将隐私控制点嵌入服务网格层作为中间件。这种方法将隐私执行与应用逻辑解耦，使得隐私策略可以在不修改代码的情况下更新。Istio和Envoy可以配置外部授权过滤器，为每个与PII相关的API请求调用PDP。

不要设计一个单一的隐私控制层使其成为瓶颈或单点故障。将策略执行分布到服务边界，并实施具有适当生存时间值的策略决策缓存，以同时维护安全性和性能。

问1：ISO/IEC 29101与ISO/IEC 29100有何不同？
答：ISO/IEC 29100定义了”是什么”——隐私原则和框架。ISO/IEC 29101定义了”怎么做”——构建符合这些原则的系统的具体参考架构和设计模式。

问2：参考架构是否特定于某个技术平台？
答：不，参考架构是平台无关的。可以使用云原生服务、本地基础设施或混合部署来实现。关键要求是每个架构层都实现了指定的隐私控制措施。

问3：ISO/IEC 29101能否用于遗留系统迁移？
答：可以，但遗留系统通常需要引入隐私网关层，在系统边界拦截PII流。这种方法在不修改遗留应用的情况下增加隐私控制措施，使用带有策略执行的反向代理和数据库级加密网关等技术。

1. 隐私保护系统的参考架构

2. 数据流与隐私控制模式

3. 参考架构的工程实现

发表回复取消回复

Trending now