隐私工程定义、目标及内容是什么？

以隐私嵌入系统工程为核心。

1.隐私工程的定义

隐私工程的概念起源于国外，各国对于隐私工程的定义并不相同。ENISA 指出“隐私工程可以被认为是Data Protection by Designand by Default 的一部分，目标在于支持选择、运用和配置恰当的技术和组织措施，以实现具体的数据保护原则4。美国国家标准技术研究院（National Institute of Standards and Technology，“NIST”）于2017 年在其内部报告5中将隐私工程定义为“一种系统工程的特殊方法，旨在让个人免于承受系统处理个人识别信息过程中所产生的不可接受的后果”。ISO/IEC TR 27550:2019《信息技术安全技术系统生命周期流程中的隐私工程》（“ISO/IEC 27550:2019”）认为隐私工程是“将隐私问题纳入系统和软件工程生命周期过程的工程实践”。我国于 2022 年正式发布了 GB/T 41817-2022《信息安全技术个人信息安全工程指南》（“《个人信息安全工程指南》”）。该标准将个人信息安全工程（也称“隐私工程” 6）定义为“将个人信息安全原则和要求融入产品服务规划、建设的每个阶段，使个人信息安全要求在产品服务中有效落实的工程化过程”。

本白皮书认为，隐私工程并不局限于将隐私保护的需求整合到系统和软件开发生命周期，此外还需要一系列组织、技术和管理等多方面的支持。因此，本白皮书所指的隐私工程，是将隐私保护要求嵌入系统工程乃至企业管理全流程的一种工程实践。这也和上文中欧盟和美国的定义较为一致。通过对比能够看出，欧盟和美国对隐私工程的定义更加宽泛，并未将隐私工程限定在系统和软件开发流程中，而是描述了通过隐私工程要达到“实现数据保护原则”和“保护个人隐私权利”目的。要实现这样的目的，除了将隐私嵌入系统和软件开发流程之外，还要在组织架构保障、技术措施选择、合规基线确定、风险评估流程以及隐私风险管理等方面注意隐私保护。ISO/IEC 对隐私工程的定义与我国《个人信息安全工程指南》的定义较为类似，但结合 ISO/IEC 27550:2019 对隐私工程阶段流程的描述（包括采购与供应、人力资源管理、知识管理、风险管理等流程），ISO/IEC 也并非认为隐私工程仅指将隐私要求融入系统和软件工程生命周期过程。因此，我们在理解隐私工程时，可以在《个人信息安全工程指南》的基础上进行扩大解释，即通过一种体系化、制度化、流程化、平台化的方式来提升企业的隐私保护能力的工程实践。将隐私要求嵌入系统和软件开发流程是隐私工程的核心，但同时还需要通过组织保障、制度要求、流程管理、平台工具等提供基础和支持。

2.隐私工程的目标

各国对于隐私工程目标的设定基本以其倡导的隐私保护原则或立法要求为基础。《个人信息安全工程指南》提出了五项目标：合法正当、最小必要、公开透明、不可关联、可管理性。其中，“公开透明”“不可关联”“可管理性”基本与欧盟和美国提出的隐私工程目标相一致，而“合法正当”和“最小必要”两项目标则主要是基于《个人信息保护法》的顶层架构进行了调整，使其更好地承接《个人信息保护法》的要求并在研发工程侧进行落地。

3.隐私工程的内容

《个人信息安全工程指南》针对各软件开发阶段的活动、输入、输出已给出了较为具体的实施方案，包含了需求、设计、开发、测试和部署软件开发过程通用的个人信息安全工程活动。此外，《个人信息安全工程指南》还在附录中给出了个人信息安全设计的要点和常见个人信息安全默认配置参考要点，对我国企业而言具有较强的实操性。

但如前所述，在完成《个人信息安全工程指南》提供的流程之外，企业还需要从运营和管理的角度提供一系列的隐私保护支撑，这些内容在 NIST 报告和在报告9中认为隐私工程应当包含五个部分（如图4）：（1）法律、法规和 FIPPs 10，用于推导隐私要求；（2）隐私影响评估，用于识别风险和描述系统评估过程；（3）风险模型，用于进行风险评估；（4）隐私工程和安全目标，用于厘清并评估系统是否满足相关要求以及妥善处理风险的能力；以及（5）风险管理框架，用于提供选择和评估控制措施的流程以管理已识别的风险并满足相关要求。

ISO/IEC 27550:2019 提 出 的 隐 私工程流程是建立在ISO/IEC/IEEE 15288:2023《系统和软件工程：系统软件生命周期》之上的，从企业完整运营的角度考虑，认为隐私工程涉及包括采购、销售、人力资源等相关部门，具备较强的兼容性。具体内容包括采购与管理流程、人力资源流程、知识管理流程、风险管理流程、相关方需求与要求流程、系统需求定义流程、架构定义流程和设计定义流程。