隐私工程白皮书.pdf

1、隐私工程白皮书隐私工程白皮书CCSACCSA T TC601C601 大数据大数据技术技术标准推进标准推进委员会委员会2022023 3年年9 9月月前前 言言2022 年，我国发布了国家标准 GB/T 41817-2022信息安全技术 个人信息安全工程指南（“个人信息安全工程指南”）。作为支撑中华人民共和国个人信息保护法（“个人信息保护法”）落地的国家标准之一，该标准结合国外隐私工程的实践经验以及个人信息保护法的相关要求，在需求、设计、开发、测试、发布的传统开发流程中嵌入个人信息保护的工程化要求，旨在将个人信息保护措施与产品和服务同步规划、建设和使用，主动预防个人信息安全风险和侵害用户个人信

2、息权益事件的发生，为帮助网络产品和服务提升个人信息保护能力提供工程化指引。“个人信 息安全工 程”的概念 取自“隐私工 程”即“privacyengineering”，国际标准 ISO/IEC TR 27550:2019信息技术 安全技术 系统生命周期流程中的隐私工程将隐私工程定义为“将隐私问题纳入系统和软件工程生命周期过程的工程实践”。作为将隐私保护要求嵌入系统工程乃至企业管理全流程的一套方法论，欧盟、美国等国家对其进行持续讨论和研究，对于隐私工程与隐私保护立法的关系、如何指导企业进行隐私工程实践等形成了较为体系化的结论和成果。相比之下，我国对于隐私工程的研究和实践仍处于初期。一方面，随着我

3、国个人信息保护立法的不断完善，如何在落实个人信息保护合规要求的同时尽量减少对业务的负担成为企业无法回避的课题，越来越多的企业开始从技术和管理等多角度求解，但尚未形成较为系统和全面的方法论；另一方面，我国对数据要素市场的大力发展也促使企业主动探寻数据安全合规流通路径，尤其是个人信息的安全合规使用，以掌握参与数据要素市场建设的先机。为了加深企业对隐私工程的理解，帮助处在不同发展阶段的企业提升隐私保护能力，我们联合在隐私工程理论和实践方面有经验的企业共同撰写了隐私工程白皮书，对隐私工程的理论发展和我国企业的隐私工程实践经验进行介绍，希望能够为企业隐私保护能力建设提供参考，推动形成更适合我国企业的隐私

4、工程体系。编制说明编制说明本报告由 CCSA TC601 牵头撰写，在撰写过程中得到了多家单位的大力支持，主要的参编单位及人员如下：参编单位：参编单位：蚂蚁科技集团股份有限公司、阿里巴巴（中国）有限公司、Amber Group、OPPO 广东移动通信有限公司、湖北星纪魅族集团有限公司、奇安盘古（上海）信息技术有限公司、杭州用九智汇科技有限公司、联通数字科技有限公司、翼健（上海）信息科技有限公司、北京数牍科技有限公司、北京市金杜律师事务所、广联达科技股份有限公司、中兴通讯股份有限公司参编人员：参编人员：王丹阳、闫树、吕艾临、侯宁、王泽宇、张斯睿、白晓媛、郑昊旸、苏豫陇、冯坚坚、曾茜、彭晋、李世奇

5、、黄吉鲲、胡恺健、杨晓丹、刘桃松、付艳艳、苏翔、朱玲凤、赵帅、刘隽乔、穆昭薇、崔玲龙、罗震、张霖涛、盛勤芬、金银玉、单进勇、宁宣凤、吴涵、徐梦悦、张婷、孙鹏、郭海生、王德政、薛勇目目录录一、隐私工程的起源：从隐私设计到隐私工程.1(一)隐私设计的产生和发展.1(二)隐私设计与隐私工程.4二、隐私工程的内涵：以隐私嵌入系统工程为核心.6(一)隐私工程的定义.6(二)隐私工程的目标.8(三)隐私工程的内容.10三、隐私工程的价值：企业隐私保护的必经阶段.13(一)监管趋势：隐私保护监管趋于精细化常态化.13(二)用户需求：个人信息主体权利保护成为隐私保护重点.15(三)企业发展：隐私保护助力企业合

6、规高效发展.16四、隐私工程的实践：我国隐私工程实践探索.18(一)隐私工程体系建设流程参考.18(二)隐私工程体系建设架构参考.32(三)隐私工程体系建设建议.43五、结语.46参考文献.47图图 目目 录录图 1 隐私设计七大基本原则.2图 2 个人信息安全工程目标和个人信息保护法基本原则映射.9图 3 个人信息安全工程指南个人信息安全工程各阶段活动.10图 4 NIST 隐私工程构成.11图 5Amber Group 信息安全与隐私组织架构.19图 6 OPPO安全隐私保护组织架构.20图 7Amber Group 信息安全与隐私管理体系文件融合架构.21图 8 蚂蚁 i-ABC 隐私工

7、程体系隐私水位洞察域架构.21图 9 OPPO数据安全技术防御体系.23图 10 隐私影响评估域架构.26图 11 隐私影响评估策略管控.26图 12 隐私风险监测域架构.32图 13 技术驱动的 i-ABC 隐私工程体系.33图 14 阿里巴巴隐私工程框架.35图 15 数据流通隐私合规风险精细化管控系统.37图 16 OPPO隐私工程实践框架.39图 17Amber Group 数据安全与隐私保护框架.41表表 目目 录录表 1 国内外隐私工程目标对比.9表 2 ISO/IEC 27550:2019提出的覆盖系统生命周期的隐私工程流程.12表 3 隐私工程内容.12表 4 星纪魅族隐私工程

8、流程.27隐私工程白皮书1一、隐私工程的起源：从隐私设计到隐私工程(一一)隐私设计的产生和发展隐私设计的产生和发展20世纪 90年代，加拿大学者、加拿大渥太华省信息与隐私委员会前主席 Ann Cavoukian 提出“隐私设计”理念，即 Privacy by Design（“PbD”），该理念认为隐私不能仅靠遵守法规监管框架来保证，相反，保障隐私安全在理想情况下应当成为一种默认操作模式，对隐私的保护必须由产品设计师们以一种双赢的方式设计出来。双赢的设计策略应该使隐私保护目标与其他目标相互包容而非冲突、排斥，隐私设计应当贯穿始于采集、终于销毁的个人信息处理活动全生命周期。在此之前，隐私计算技术一

9、度成为人们追捧的隐私保护解决方案，但随着隐私保护的法律原则和要求的发展，人们渐渐认识到隐私计算技术虽然能够通过数据最小化、数据可用不可见等方式帮助提升隐私保护安全，但无法实现将法律要求落地到系统上。因此，隐私设计理念提出将隐私计算技术的应用扩展为一套完整的隐私设计框架，主动将隐私保护嵌入信息技术、网络基础设施和商业实践中，并通过实践七项基本原则（如图 1）来实现这种嵌入的隐私保护理念。隐私工程白皮书2来源：CCSA TC601图 1 隐私设计七大基本原则随着时间的推移，隐私设计理念及其原则逐渐被各国监管机构和国际组织所认可，并成为推动隐私保护发展的重要理论基础。2010 年 10月，国际数据保

10、护和隐私委员会通过一致决议将隐私设计理论作为未来隐私保护至关重要的组成部分1。2018 年生效的欧盟通用数据保护条例（General Data Protection Regulation，“GDPR”）将隐私设计理念纳入第二十五条“Data Protection by Design and byDefault”中；2020 年 10 月，欧洲数据保护委员会（European DataProtection Board，“EDPB”）发布了 Guidelines 4/2019 on Article 25Data Protection by Design and by Default Version

11、 2.0。该指南在对基于设计的数据保护和基于默认的数据保护需要考虑的相关要素进行分析后，提出了透明度、合法性、公平性、目的限制、数据最小化、准确性、存储限制、完整性和保密性、可问责性等原则，并针对每132nd International Conference of Data Protection and Privacy Commissioners.Privacy by design resolution,October 2010.27-29 October 2010,Jerusalem,Israel.隐私工程白皮书3个原则提供了具体的要素和示例解读供参考。英国信息专员办公室（Informati

12、on Commissioners Office）发布的 Guide to Data Protection 自 2017 年以来持续更新，其中就“隐私保护设计”设专章，鼓励企业将隐私保护设计纳入现有的项目管理和风险管理方法和政策中。美国联邦贸易委员会（Federal TradeCommission）在 2012 年发布的报告2中提出以“隐私融入设计”“简化的用户选择”“透明性”为三大原则的隐私框架。2022 年 6 月 3 日，美国参议院和众议院发布的第一个获得两党两院支持的美国联邦全面隐私保护提案美国数据隐私和保护法（American DataPrivacy and Protection Ac

13、t）草案也将隐私融入设计原则放置在忠诚原则下进行了阐述。此 外，国 际 标 准 化 组 织（International Organization forStandardization，“ISO”）在 2023 年 1 月还发布了 ISO31700-1:2023消费者保护 产品及服务中的隐私设计 第一部分：高级要求和ISO/TR31700-2:2023消费者保护 产品及服务中的隐私设计 第二部分：实践案例，从基本原则和应用实践两个层面推动消费者在产品和服务的购买、使用等整个生命周期中的隐私安全保护。隐私设计的产生和发展标志着一种新的隐私保护范式的兴起，为更完善的隐私保护提供了新思路。同时，Ann

14、 Cavoukian 提出的隐私设计理念也面临着一些挑战，例如，企业管理层对于隐私保护的事后补救观念难以转变、设计和开发工程师需要有过硬的隐私保护2Protecting Consumer Privacy in an Era of Rapid Change:Recommendations For Businesses and Policymakers隐私工程白皮书4专业知识以选择合适的隐私保护架构和策略、业内尚未形成广泛共识的方法论等等。这些挑战也成了各国数据保护监管机构以及国际组织等持续讨论和研究的课题。(二二)隐私设计与隐私工程隐私设计与隐私工程隐私设计理念在提出后，获得了广泛认可。在随后的

15、若干年里，也进行了一系列的演变和发展，诸多学者和权威机构提出了一系列经典理论和知识体系，如隐私风险建模、隐私影响评估、隐私工程设计策略、隐私设计模式等等，将隐私设计从理论推向实践，而其中很重要的一项发展就是隐私工程的诞生。由于隐私设计的七项基本原则较为抽象，业界一直致力于将该等原则具体化，形成一套可以直接指导实际研发并解决特定领域不同隐私需求的方法论，即隐私工程（Privacy Engineering）。隐私工程对于隐私保护监管和企业实践都有较强的指导意义。一方面，法律的更迭速度与技术的发展速度差距越来越大，引发了数据保护监管机构的担忧。欧盟网络和信息安全局（European UnionAge

16、ncy for Cybersecurity，“ENISA”）指出，“欧盟各国数据监管机构缺乏有效和系统的能力去监管数据处理活动或者处罚违规行为”3；另一方面，隐私保护立法日趋严格但较为概括模糊，企业对如何证明其数据处理活动遵守隐私保护要求存在困惑，例如如何保证对法律概念和工程实践概念的理解保持一致，抽象的法律要求如何转化为精确的研发工程，不断更新迭代的系统如何保证持续合规等等。3Privacy and Data Protection by Design-from Policy to Engineering隐私工程白皮书5隐私工程通过梳理和总结隐私保护合规要求，将其转化为系统工程中的目标、策略、

17、风险管理框架、组织管理和运营方法，为隐私保护要求提供了具象化的实践指引。隐私工程白皮书6二、隐私工程的内涵：以隐私嵌入系统工程为核心各国对隐私工程的探索各有侧重。欧盟 GDPR 直接将隐私设计原则纳入立法中，因此欧盟对于隐私工程的探索主要围绕如何将GDPR 的原则性要求落地于实践展开讨论并提供指引。美国对于隐私工程的探索其核心目的与欧盟一致，都是针对如何将隐私保护的概括性原则和相关法律规定转化为系统工程的隐私要求并融入系统开发流程中。从形式上看，美国的隐私工程框架体系偏向于实用手册，更方便企业应用和实践。ISO 和国际电工委员会（InternationalElectro technical C

18、ommission，“IEC”）发布的国际标准则更多地对隐私工程的理论进行沉淀，没有将与隐私工程相关的实操措施和细节进行详细阐述，而是指向了其他框架、标准、书籍和论文，具备了一个知识索引的功能。我国则充分融合了国内外隐私工程实践，在国内近几年个人信息保护立法以及行业实践基础上，通过国家标准提供了一种履行义务的实践路径，即通过工程化的过程来将个人信息安全原则和要求融入产品服务规划、建设的每个阶段。(一一)隐私工程的定义隐私工程的定义隐私工程的概念起源于国外，各国对于隐私工程的定义并不相同。ENISA 指出“隐私工程可以被认为是 Data Protection by Designand by De

19、fault 的一部分，目标在于支持选择、运用和配置恰当的技术和组织措施，以实现具体的数据保护原则4。美国国家标准技术研究院（National Institute of Standards and Technology，“NIST”）于4Privacy and Data Protection by Designfrom policy to engineering隐私工程白皮书72017 年在其内部报告5中将隐私工程定义为“一种系统工程的特殊方法，旨在让个人免于承受系统处理个人识别信息过程中所产生的不可接受的后果”。ISO/IEC TR 27550:2019信息技术 安全技术 系统生命周期流程中的

20、隐私工程（“ISO/IEC 27550:2019”）认为隐私工程是“将隐私问题纳入系统和软件工程生命周期过程的工程实践”。我国于 2022 年正式发布了 GB/T 41817-2022信息安全技术 个人信息安全工程指南（“个人信息安全工程指南”）。该标准将个人信息安全工程（也称“隐私工程”6）定义为“将个人信息安全原则和要求融入产品服务规划、建设的每个阶段，使个人信息安全要求在产品服务中有效落实的工程化过程”。本白皮书认为，隐私工程并不局限于将隐私保护的需求整合到系统和软件开发生命周期，此外还需要一系列组织、技术和管理等多方面的支持。因此，本白皮书所指的隐私工程，是将隐私保护要求嵌入系统工程乃

21、至企业管理全流程的一种工程实践。这也和上文中欧盟和美国的定义较为一致。通过对比能够看出，欧盟和美国对隐私工程的定义更加宽泛，并未将隐私工程限定在系统和软件开发流程中，而是描述了通过隐私工程要达到“实现数据保护原则”和“保护个人隐私权利”目的。要实现这样的目的，除了将隐私嵌入系统和软件开发流程之外，还要在组织架构保障、技术措施选择、合规基线确定、风险评估流程以及隐私风险管理等方面注意隐私保护。ISO/IEC 对隐私工程的定义与我国个人信息安全工程指南5An Introduction to Privacy Engineering and Risk Management in Federal Sys

22、tems6GB/T 41817-2022信息安全技术 个人信息安全工程指南第 3.1条对个人信息安全工程进行了定义，并在“注”中明确“也称隐私工程”。隐私工程白皮书8的定义较为类似，但结合 ISO/IEC 27550:2019 对隐私工程阶段流程的描述（包括采购与供应、人力资源管理、知识管理、风险管理等流程），ISO/IEC 也并非认为隐私工程仅指将隐私要求融入系统和软件工程生命周期过程。因此，我们在理解隐私工程时，可以在个人信息安全工程指南的基础上进行扩大解释，即通过一种体系化、制度化、流程化、平台化的方式来提升企业的隐私保护能力的工程实践。将隐私要求嵌入系统和软件开发流程是隐私工程的核心，

23、但同时还需要通过组织保障、制度要求、流程管理、平台工具等提供基础和支持。(二二)隐私工程的目标隐私工程的目标各国对于隐私工程目标的设定基本以其倡导的隐私保护原则或立法要求为基础。个人信息安全工程指南提出了五项目标：合法正当、最小必要、公开透明、不可关联、可管理性。其中，“公开透明”“不可关联”“可管理性”基本与欧盟和美国提出的隐私工程目标相一致（如表 1），而“合法正当”和“最小必要”两项目标则主要是基于个人信息保护法的顶层架构进行了调整（如图 2），使其更好地承接个人信息保护法的要求并在研发工程侧进行落地。隐私工程白皮书9来源：CCSA TC601图 2 个人信息安全工程目标和个人信息保护法

24、基本原则映射表 1 国内外隐私工程目标对比我国我国欧盟欧盟 ENISA7美国美国 NIST8合法正当合法正当/遵循个人信息安全相关法律法规要求，处理个人信息具有明确、合理的目的，不通过误导、欺诈、胁迫等方式处理个人信息。/最小必要最小必要/处理个人信息与处理目的直接相关，采取对个人权益影响最小的方式，收集个人信息限于实现处理目的的最小范围。/公开透明公开透明透明性透明性（Transparency）可预测性可预测性（Predictability）公开个人信息处理规则，明示处理的目的、方式和范围，提高产品服务个人信息处理的透明性是指所有与隐私相关的数据处理，包括法律、技术和组织设置，都可以随时理解

25、和重建。数据的实际处理、计划处理以及处理后的具体情况都应当保证透明性。是指使个人、所有者和操作人员能够对个人信息及其信息系统的处理有可靠的预期。7Privacy and Data Protection by Designfrom policy to engineering8An Introduction to Privacy Engineering and Risk Management in Federal Systems隐私工程白皮书10我国我国欧盟欧盟 ENISA7美国美国 NIST8不可关联不可关联不可关联性不可关联性（Unlinkability）不可关联性不可关联性（Disassoc

26、iability）采用去标识化、匿名化等手段，减少个人信息关联到个人信息主体引起的安全风险。是指隐私相关数据与域外的任何其他隐私相关数据集不可关联。是指对个人信息或事件的处理，不与超出系统运行需求的个人或设备相关联。可管理性可管理性可干预性可干预性（Intervenability）可管理性可管理性（Manageability）提供个人信息处理的管理机制，使用户和组织能够适当干预产品服务处理个人信息的过程。是指确保对所有正在进行或计划进行的隐私数据处理进行干预，并在必要时能够纠正和制衡。是指提供对个人信息细粒度的管理的能力，包括选择、删除和选择性披露。来源：CCSA TC601(三三)隐私工程的

27、内容隐私工程的内容个人信息安全工程指南针对各软件开发阶段的活动、输入、输出已给出了较为具体的实施方案，包含了需求、设计、开发、测试和部署软件开发过程通用的个人信息安全工程活动（如图 3）。此外，个人信息安全工程指南还在附录中给出了个人信息安全设计的要点和常见个人信息安全默认配置参考要点，对我国企业而言具有较强的实操性。来源：个人信息安全工程指南图 3 个人信息安全工程指南个人信息安全工程各阶段活动但如前所述，在完成个人信息安全工程指南提供的流程之外，企业还需要从运营和管理的角度提供一系列的隐私保护支撑，这些内容在 NIST 报告和 ISO/IEC 27550:2019 中均有所体现。NIST隐

28、私工程白皮书11在报告9中认为隐私工程应当包含五个部分（如图 4）：（1）法律、法规和 FIPPs10，用于推导隐私要求；（2）隐私影响评估，用于识别风险和描述系统评估过程；（3）风险模型，用于进行风险评估；（4）隐私工程和安全目标，用于厘清并评估系统是否满足相关要求以及妥善处理风险的能力；以及（5）风险管理框架，用于提供选择和评估控制措施的流程以管理已识别的风险并满足相关要求。来源：An Introduction to Privacy Engineering and Risk Management in Federal Systems图 4 NIST 隐私工程构成ISO/IEC 27550:

29、2019 提 出 的 隐 私 工 程 流 程 是 建 立 在ISO/IEC/IEEE 15288:2023系统和软件工程：系统软件生命周期之上的，从企业完整运营的角度考虑，认为隐私工程涉及包括采购、销售、人力资源等相关部门，具备较强的兼容性。具体内容包括采购与管理流程、人力资源流程、知识管理流程、风险管理流程、相9An Introduction to Privacy Engineering and Risk Management in Federal Systems10FIPPs（Fair Information Practice Principles）即“公平信息实践法则”是由美国卫生、教育

30、与福利部提出的保护个人隐私的基本原则，包括个人有权知道他人收集了哪些关于他的信息，以及这些信息是如何被使用的；个人有权拒绝某些信息使用并更正不准确的信息；信息收集组织有义务保证信息的可靠性并保护信息安全。FIPPs随后成为美国 1974年隐私法案及其他联邦和各州隐私保护法律的基础，也被其他国家和国际组织所广泛承认和接受。尽管随着时间的推移 FIPPs的内容在表达上有所变化，但始终被视为与各组织的信息管理实践广泛相关的一致核心原则。隐私工程白皮书12关方需求与要求流程、系统需求定义流程、架构定义流程和设计定义流程（如表 2）。表 2 ISO/IEC 27550:2019提出的覆盖系统生命周期的隐

31、私工程流程流程类型（ISO/IEC/IEEE 15288）覆盖系统生命周期的流程（ISO/IEC/IEEE 15288）隐私工程事项协议流程采购流程供应链涉及个人信息供应流程组织项目赋能流程人力资源流程隐私工程人力资源管理知识管理流程隐私工程知识管理技术管理流程风险管理流程隐私风险管理技术流程相关方需求与要求流程相关方的隐私期待系统需求定义流程隐私原则执行架构定义流程隐私对架构的影响设计定义流程隐私对设计的影响来源：ISO/IEC 27550:2019基于欧盟、美国以及 ISO/IEC 对于隐私工程内容的描述，结合我国个人信息保护的相关要求，本白皮书认为隐私工程主要包含以下内容：表 3 隐私工

32、程内容组织人员组织人员从组织架构、工作职责、意识技能等方面，进行人才资源管理、沟通机制建立、隐私工程技能提升，以此构建让隐私工程顺利推行的组织根基。技术工具技术工具以技术工具的方式在产品/服务的数据处理活动中落地个人信息保护要求，或在内部管理中使用技术工具识别、管理个人信息保护风险。文档管理文档管理隐私工程落地实施的规划、执行方案、运行记录、改进跟踪均以文档方式进行记录并体系化管理。知识管理知识管理识别隐私工程知识库的组成元素、形成可用的隐私工程知识库并跟踪分析其使用情况。系统开发生命周期系统开发生命周期隐私管理隐私管理需求、设计、开发、测试和部署软件开发过程中嵌入个人信息保护要求，参考个人信

33、息安全工程指南的内容。第三方合作管理第三方合作管理在第三方的准入筛选、合同签订、跟踪监测、风险评估和退出等方面考虑隐私保护问题并形成全流程的管理机制。个人权利保障个人权利保障针对用户个人信息权利的授权、个性化、权利请求响应和处理等方面形成体系化的控制策略和流程。隐私安全事件管理隐私安全事件管理制定隐私安全应急预案并定期演练，建立事件的监测、处置、报告和通知流程。隐私风险管理隐私风险管理建立隐私风险管理体系，对隐私风险的识别、分析、评价、处置和监测形成标准化管理机制和运营系统。来源：CCSA TC601隐私工程白皮书13三、隐私工程的价值：企业隐私保护的必经阶段隐私保护其实早已成为我国企业关注的

34、重点，企业或多或少都在从技术、管理等多角度满足隐私保护要求，只是通常未形成较为系统和全面的方法论。随着个人信息保护法的出台和生效，我国的个人信息保护框架基本稳固，监管活动也逐渐趋于常态化，监管的关注点也越来越细致深入，大部分企业已具备基础的个人信息保护能力，开始追求隐私保护的制度化、流程化和体系化，更多从事前考虑并关注如何预防、评估和处置个人信息安全风险。由此可见，隐私工程或将成为下一阶段企业隐私保护的解决方案。(一一)监管趋势：隐私保护监管趋于精细化常态化监管趋势：隐私保护监管趋于精细化常态化APP 监管向着标准化、自动化、智能化发展。自 2019 年开始，移动互联网应用程序（APP）作为企

35、业收集和处理个人信息的重要媒介，一直是我国隐私保护监管的重点。2020 年 7 月，全国 APP 技术检测平台的上线和使用，APP 检测效率大大提高，2022 年该平台已具备每个月能够检测 18 万款 APP 的能力11；2023 年 7 月 27 日，APP 开发管理风险线索报送系统上线，旨在进一步加强对 APP 全生命周期管理，帮助及时发现、有效处置 APP 在代码设计、更新维护、程序管理中存在的风险漏洞。通过辅以技术检测，监管不仅仅停留在原则性的灰度检测和过度依赖司法裁判的事后释法，APP 被通报整改和下架已经成为常见的监管形态。11国新办举行 2021年工业和信息化发展情况新闻发布会图

36、文实录http:/ 监管范围扩大，覆盖前端、后端及全流程。目前，APP 监管范围已经从 APP 深入至 APP 内嵌第三方软件开发工具包（Software Development Kit，“SDK”），扩展至类 APP功能的小程序，相关检测也从 APP 的基本功能是否合法合规扩展到个人信息相关权限调用、信息上传等。2023 年 2 月，工业和信息化部发布关于进一步提升移动互联网应用服务能力的通知，明确提出 APP 开发运营者主体要完善内部管理机制，将相关法规政策要求落实到产品研发、推广和运营各环节；采取访问控制、技术加密、去标识化等安全技术措施，加强前端和后端安全防护；主动监测发现个人信息泄露

37、、窃取、篡改、毁损、丢失、非法使用等风险威胁，及时响应处置要求。除了 APP 监管，违反个人信息保护法的各类行为也陆续出现在行政处罚案例中，如未对个人信息采取加密、去标识化等安全技术措施，在存储和传输敏感个人信息时未采取必要的安全技术措施，没有制定内部管理制度和操作规程等等；处罚对象也不局限于APP 运营者，物业公司、售楼处、停车场等各行业、多样化服务的运营主体也都“榜上有名”。一方面，常态化的监管意味着企业需要对监管要求保持高度敏感，并建立起一套与业务高度契合的隐私风险识别和处置机制，不仅能够在发现问题时及时溯源和处置，还能够通过定期的评估和监测提前发现隐私安全风险并积极预防。另一方面，精细

38、化的监管要求企业将隐私保护深入到产品以及产品背后的系统、应用，进入真隐私工程白皮书15正的工程实现层面，把法律法规和标准内化形成一种顺其自然的默认隐私态势，降低隐私保护措施贯彻落实对企业的业务影响，做到从容应对立法、执法和司法的动态变化。(二二)用户需求：个人用户需求：个人信息主体信息主体权利保护成为隐私保权利保护成为隐私保护重点护重点保护个人信息主体相关权利成为法定要求。个人信息保护法生效后，企业需要对个人信息权利提供更多的保障，包括知情权、决定权、拒绝权、查阅复制权、更正补充权、请求转移权、删除权、解释说明权等等。无法及时满足用户的权利行使请求会带来行政处罚和诉讼风险。广东省高级人民法院

39、2023 年 1 月发布的个人信息保护典型案例中，就包括平台拒绝用户对其个人信息的查阅复制请求而导致的诉讼案件。个人信息权利管理逐渐成为提升用户体验的重要模块。随着我国个人信息保护立法逐渐完善，公众对于个人信息主体权利的保障意识不断提高。如果说企业重视保障个人信息主体的相关权利起初是为了回应监管要求，那么现阶段更多企业投入精力和成本提供便捷和人性化的个人信息管理功能，则是希望通过更好地维护用户的个人信息主体权利来提升产品用户体验，进而增强产品的竞争力。起初，用户行使相关权利通常需要通过意见反馈留言、发送邮件、拨打客服电话等实现，耗费时间长、反馈不及时；现在，越来越多的产品倾向于在产品的隐私设置

40、中增加多样化的个人信息权利管理功能，让用户可以更加便利地行使相关权利，如查看和获取个人信隐私工程白皮书16息收集清单、授权和撤回授权、个性化管理等等。为此，企业不仅需要设置相应的产品功能，还需要全方位动态梳理个人信息资产，掌握其收集和使用的个人信息类型、数量、使用目的、授权情况等，对个人信息在内部的流转进行全链路的追踪和监测，以便在个人用户提出权利行使要求时能够准确高效地定位到相关个人信息，并配合进行相应处理。在产品需求和设计阶段考虑个人信息主体的权利保障，正是隐私设计理念“尊重用户隐私，以用户为中心”的体现，也与隐私工程主张将隐私保护要求嵌入产品和系统开发流程中的基本要求不谋而合。具备良好隐

41、私保护实践的产品和服务不仅能减少隐私数据泄漏对个人权益的影响，也更加符合用户的隐私期待。(三三)企业发展：隐私保护助力企业合规高效发展企业发展：隐私保护助力企业合规高效发展隐私工程可以大大减少隐私保护对业务的影响。为了满足监管合规要求、保护个人信息权益，企业在建立个人信息保护制度的过程中，需要承担一些隐私合规的成本，如建设隐私合规能力和体系的培训、评估以及技术和维护成本等。隐私保护策略的实施通常也会影响个人信息价值的开发利用，企业很难实现隐私保护和业务价值的双赢。而隐私工程通过结合企业自身具体业务场景和合规要求，主动将隐私和数据保护需求嵌入到业务运营及系统服务的设计中，让隐私保护成为企业商业实

42、践和系统运行的默认规则，成为业务和系统的核心组成部分，减少因为事后整改而导致前期产研投入的浪费。隐私工程白皮书17隐私工程有利于企业可持续发展。环境、社会和公司治理（Environmental,Social,Governance，“ESG”）作为一种关注企业环境、社会、公司治理绩效而非传统财务绩效的企业评价标准，近年来越发获得投资者和企业的关注。在香港联交所的环境、社会及管治报告指引中，“描述消费者资料保障及私隐政策，以及相关执行及监察方法”属于强制披露内容。国际主流评级机构 MSCI 将隐私和数据安全议题列为评级关键指标之一，尤其是针对信息与通信技术行业的企业的评估，该类指标所占权重很高。隐

43、私工程作为能够深度契合企业业务流程的隐私保护方法和体系，回应了 ESG 相关利益方的重大关切，能够为企业 ESG 中的隐私安全与数据保护提供强有力的支撑，帮助企业建立良好的社会声誉，助力企业可持续发展。隐私工程白皮书18四、隐私工程的实践：我国隐私工程实践探索虽然隐私工程主要强调如何将隐私嵌入产品和系统的开发流程中，但要实现这种融合，还需要在组织建设、人员管理、技术选择、制度流程等方面进行配合，对内涉及企业多部门多方面参与，对外还要关注用户、合作方、监管部门等多个关联方的安全隐私需求。本章结合我国企业的隐私工程实践经验，提供了可参考的隐私工程体系建设流程、架构及建议，抛砖引玉，企业可结合自身需

44、求选取和应用。(一一)隐私工程体系建设流程参考隐私工程体系建设流程参考隐私工程体系建设可分为计划阶段、构建阶段、集成阶段、验证阶段和运营阶段，各个阶段与网络安全主流的 DevSecOps 的框架相适应，以便能够通过最小有效的方式将隐私保护嵌入已经较为完善的企业研发流程框架之中，减少隐私保护工作实施过程中的阻力。在实践中，企业可根据自身情况判断隐私保护现状及差距，从适当的流程入手逐步完善隐私工程体系的建设。1.隐私工程计划阶段计划阶段主要是通过组织架构、人员职责、制度流程、技术工具和知识管理等方面进行规划设计，是隐私工程的基础性工作。组织架构与人员职责。从企业层面设立专门的隐私保护组织，明确组织

45、构成以及各方职责分工，统筹规划并推进个人信息保护整体工作。具体包括制定个人信息保护目标，建立运营机制和问责机制，通过持续完善运营机制和专项活动推动隐私保护目标达成，包隐私工程白皮书19括不限于推动标准化流程的建立及完善、定期考核目标达成情况、通过组织培训活动提升员工隐私保护意识等。实践案例实践案例|Amber|Amber GroupGroup：职责清晰的安全隐私治理组织架构：职责清晰的安全隐私治理组织架构Amber Group 的信息安全与隐私组织架构（如图 5）借鉴和参考了 COBIT 5.0、ISO 27001 和 ISO 27701 等 IT 治理和安全隐私标准的组织架构设计指引，通过合

46、理的层级设置和职责划分，建立决策、管理、执行和监督四个层级的运作机制，具备分工合理、职责明确、相互制衡、报告关系清晰的特点，充分体现了治理框架的全面性、合规性、先进性、可操作性和审计独立性。信息安全与隐私组织架构建立了安全委员会、信息安全与隐私保护管理组、信息安全与隐私保护执行组（信息安全与隐私部门、数据所有者、数据消费者、信息安全与隐私接口人）、数据保护官、信息安全与隐私监管组等组织，建立了清晰的职责矩阵和 RACI 矩阵，能够对每个隐私工作领域所需要负责（Responsible）、批准（Accountable）、咨询（Consulted）、通知（Informed）的角色进行明确定义，确保隐

47、私工作有效地落实责任。来源：Amber Group图 5Amber Group 信息安全与隐私组织架构实践案例实践案例|OPPO|OPPO：安全与隐私管理：安全与隐私管理“三道防线三道防线”建立完善的安全与个人信息保护组织，各司其职，分工协作，是隐私工程体系运行的基础和驱动力。为此，OPPO 成立了安全与合规委员会，负责制定安全与合规总体战略规划，统筹推进个人信息保护整体工作。安全与合规委员会下设安全与隐私管理的三道防线（如图 6），协同推进安全隐私工作落地。第一道防线，由业务部门安全与隐私合规代表或安全系统工程师构成，主要向业务负责人及安全与合规委员会汇报，负责产品安全隐私策略的具体落地应用

48、、自查自纠等。第二道防线，由专职的安全隐私部门构成，主要向安全与合规委员会汇报，负责安全隐私能力的建设与支持、推动产品安全隐私策略的落地。第三道防线，由审计部门担任，主要向安全与合规委员会汇报，负责产品安全隐私策略落地的审计，发现风险，推动业务整改。隐私工程白皮书20OPPO 同时建立清晰的问责机制，督促各级部门履行自己的职责，在发生违规情形时，将由公司进行对应的问责处置。来源：OPPO图 6 OPPO安全隐私保护组织架构制度流程与合规基线。隐私工程体系应该具备稳定性、灵活性、体系兼容性和可扩展性，才能在面对快速出台的法律法规、政策和标准等做到“以不变应万变”。企业可以参照国际标准和最佳实践框

49、架建立一套稳固的底座，并根据行业和企业具体情况进行量身定制。企业应在隐私保护与治理过程中，持续对新的隐私保护要求以及行业规定进行识别和集成，以保证在稳固底座之上建立具备兼容性、可扩展性且符合企业实际情况的控制要求。实践案例实践案例|Amber Group：信息安全与隐私管理体系文件融合架构信息安全与隐私管理体系文件融合架构Amber Group 在隐私工程上的制度、流程和规范包括个人数据收集与处理程序、个人数据留存及销毁程序、数据主体同意管理规范、数据主体权利响应程序、数据处理记录规范、个人数据泄漏响应程序、数据跨境传输程序、数据安全与隐私保护技术规范、个人数据与隐私保护需求与架构评审 Che

50、cklist、个人数据与隐私合规评估准则、PIA&DPIA 报告及模板等主要内容（如图 7）。这些文件共同为隐私工程的构建阶段提供规范化文档指引，也是知识管理中需要持续维护的内容。隐私工程白皮书21来源：Amber Group图 7Amber Group 信息安全与隐私管理体系文件融合架构实践案例实践案例|蚂蚁集团：数字化的隐私合规基线蚂蚁集团：数字化的隐私合规基线蚂蚁 i-ABC 隐私工程体系中隐私水位洞察域（Privacy Level Insight，PLI）（如图 8）的核心是隐私合规基线的数字化，通过对于内外部的数据和信息进行分析，制定相关业务或产品的隐私合规基线，在此基础上对实际管控