隱私認證專題02 | 美國TrustArc隱私合規認證的實踐及方法論

掃描上圖二維碼，立即預約報名！

來源 | 小米安全中心

文 | 張曉芳，主要負責小米隱私合規風險評估，隱私相關認證，IoT產品安全風險合規評估等工作，9年+安全/隱私從業經驗，6年+外企安全運維經驗，熟悉訪問控制、風險評估、合規等安全領域，CISSP，CIPP/E證書持有者。

1. 引言

2018年歐盟個人資訊保護法案GDPR正式生效，也被稱為個人資料保護的元年。自2018年開始，個人資訊保護的話題一直熱度不減，各國在資料安全和個人資訊保護立法上的積極性也是空前絕後。GDPR之後，加州、印度、澳大利亞、泰國、巴西、埃及等地紛紛頒佈了新的隱私法案或草案。全球範圍內新推出了50個以上的隱私法規，並且有150個以上的國家或地區對現有隱私法規進行了更新或提出了補充意見。

在國內外對個人資訊保護高度關注的情況下，對於一家企業，特別是跨國企業來說，同時滿足不同國家不同的法律要求變得異常艱難，那如何讓企業的隱私合規工作化繁為簡？又如何快速知道從哪些方面著手隱私合規建設呢？為解決這些問題，企業可以參照最佳實踐或隱私合規框架，來輔助企業快速著手合規建設工作。透過權威組織的認證應該是企業快速引入隱私合規框架的方式之一，本文將為大家介紹TrustArc 企業隱私與資料治理合規認證。

2. who|誰是TrustArc

大家可能會在某些公司的隱私政策上看到下面這個‘TRUSTe隱私認證’的圖章：

這個圖章的存在，代表這個企業的產品的隱私政策和隱私實踐符合TRUSTe企業隱私與資料治理實踐評估標準。但國內對TrustArc這家公司是比較陌生的，網上相關的資料也相對較少，那它是一傢什麼樣的公司呢？

TrustArc，原名Truste, 是一家位於美國加州的隱私合規科技公司，主要為企業提供隱私合規相關的軟體或服務，幫助企業建立和完善隱私合規的相應隱私管理流程，使其快速的符合不同的法律法規的要求。

除了企業隱私和資料治理實踐認證外，TrustArc會提供不同法律法規（如GDPR、CCPA）的合規評估，包括配套的實施工具，如同意管理、使用者權利、資料流梳理工具等等。此外，它也進行諸如privacy shield 的合規評估諮詢工作，可以說TrustArc在隱私合規上提供了覆蓋面較廣的多框架、多法律法規的評估和諮詢工作。

圖1-TrustArc提供的GDPR實施工具

3. Why|為什麼要獲得TrustArc的認證

TrustArc經過多年的隱私合規從業經驗的積累，已經形成了一整套，較成熟的隱私合規評估方法論，同時其國際影響力和知名度，讓更多的企業開始著手於取得這個認證。

3.1 成熟的隱私和資料合規管理方法論

TrustArc企業隱私和資料治理合規評估框架參照了相關組織的個人資訊保護框架的內容，比如OECD、APAC、GAPP、ISO、NIST等組織釋出的隱私框架，所以在正式介紹TrustArc隱私企業隱私和資料治理合規框架之前，對幾大組織提出的隱私框架，從釋出時間、隱私原則等內容進行基本的介紹。

圖2-各框架釋出時間線

OECD Privacy framework：

經濟合作與發展組織（OECD）是“致力於民主和市場經濟的國家”的論壇，OECD隱私原則是1980年正式啟用的《經合組織保護隱私和個人資料越境流動準則》的一部分，OECD隱私權原則與歐盟（EU）成員國的資料保護法規緊密相關，該法規實施了歐盟委員會資料保護指令（指令95/46 / EC）以及其他“歐盟風格國家隱私立法‘’，從GDPR中，也一樣有OECD 框架的影子。

APEC Privacy Framework：

亞太經濟合作組織（APEC）隱私框架有與其他框架重疊的部分，但是，它更側重於因披露資訊而造成的實際或潛在損害，而不是個人對其資訊的權利。OECD隱私原則在歐盟和其他政府的法律制度中得到支援，但APEC隱私框架不受法律支援。亞太經合組織隱私框架的主要支持者是一些跨國公司。

APEC隱私框架是一系列原則和實施要求，旨在促進有效的個人資訊保護，避免在全球至關重要資料交換中的資訊流壁壘，並確保持續的貿易和經濟增長。亞太經濟合作組織區域共有27個國家。

Generally Accepted Privacy Principles（GAPP）

公認的隱私原則（GAPP）是在2003年由美國註冊會計師協會（AICPA）和加拿大特許會計師協會（CICA）制定，並於2006年和2009年進行了更新，與OECD隱私原則相似，此原則更側重於實施。

企業可以透過使用GAPP設計，實施和溝通隱私政策、建立和管理隱私計劃、監控和稽核隱私程式、衡量績效和標準。GAPP共包含10條原則，每條原則均以客觀和可衡量的標準作為後盾，以確定組織內的隱私風險和合規性，GAPP在加拿大隱私從業者中很受歡迎。

ISO29100：ISO隱私框架

ISO29100釋出的隱私框架，其中定義了與企業隱私管理相關的角色，影響隱私合規管理的因素、PII定義、隱私基本原則等內容，適用於企業在涉及到採購、設計、開發產品或服務，在收集和處理個人資訊所面臨的隱私風險和可以採取的風險控制措施。

ISO27701：個人資訊管理體系認證

ISO27701認證透過對ISO/IEC 27001資訊保安管理和ISO/IEC 27002安全控制擴充套件隱私相關的管理要求，為企業提供了可幫助其實施、維護和不斷改進個人資訊管理體系的認證框架。此認證可以協助企業證明遵守了世界各地的隱私法規，例如GDPR。框架中除了第6章在資訊保安體系標準基礎上增加了對個人資訊的安全附加要求外，也分別在第7、8章對資料控制者、資料處理者提出了額外的指導內容，指導內容中延續了ISO29100中的隱私原則逐一展開。

NIST Privacy Framework：

NIST（美國國家標準與技術研究院）提出了基於企業風險評估導向的隱私評估框架，幫助組織識別和管理隱私風險，以開發創新產品和服務的同時保護好個人隱私。此框架是NIST Cyber Security framework的擴充，是幫助企業透過風險管理提高個人資訊保護能力的工具。

圖3：各組織釋出的隱私框架原則矩陣

3.2 TrustArc隱私和資料治理框架內容介紹

TrustArc經過10000+專案的經驗積累，以及行業專家的知識沉澱，已經形成了成熟度較高的隱私和資料合規評估方法論，建立了行之有效的評估標準以及評估框架，並根據法律法規的釋出和修訂，以及企業所提供服務的不同性質，及時便捷的調整框架和評估標準，便於讓企業迅速知道在一部法規的頒佈後需要從哪裡入手，開始哪些工作才能確保其合規。

本文介紹的TrustArc隱私和資料治理框架借鑑了各大組織框架提出的隱私原則外，也融合了全球不同的法律法規，如GDPR、CCPA、HIPPA等；針對隱私資料安全性相關的合規要求，借鑑瞭如ISO27001等資訊保安管理體系的評估要點；將以上內容融合成TrustArc隱私和資料治理合規評估方法論，透過TrustArc認證讓企業的產品和服務可以證明其負責任的資料收集，處理和隱私管理實踐。

TrustArc框架總體分為構建-Build、實施-Implement和證明- Demonstrate三個階段，每個階段均有其對應的評估標準。

1. 構建（Build）：構建階段中的評估標準主要是為了與法律法規以及有效的實踐和合規計劃保持一致，建立，維護並不斷髮展和完善與其他資訊治理，合規性和風險管理相符的隱私管理程式。

2. 實施（Implement）：實施階段的評估點主要是圍繞著隱私原則展開，著重評估企業如何設計和制定有效的隱私和資料治理的控制措施，並應用到組織流程中、產品和技術的設計和開發過程中，以及在產品，流程或技術的整個生命週期中維護或加強這些控制措施的實施。如企業建立了隱私影響評估（DPIA）流程來識別可能對個人產生高風險的資料處理行為，並可以處置已識別的風險。

3. 證明（Demonstrate）：證明階段主要用於提供隱私合規計劃和實踐合規性，成熟度，責任感和價值的證據。

4. How|怎樣透過這個認證？

TrustArc隱私和資料治理認證過程主要分為三個階段：評估階段、整改和認證階段、持續監控和指導階段，以下將以企業視角描述各個階段中，企業在準備認證所需要完成的主要工作內容。

4.1 評估階段

隱私評估階段主要是為了識別企業隱私合規風險以及在如何處置合規風險的相關資訊的收集。這個階段TrustArc會幫助企業指定一位合規評估經理指導企業完成整個過程。在這個階段中，關鍵的幾個專案步驟為：

（1）確認專案範圍：

TrustArc認證範圍主要從業務、產品/服務、資料資產（如網站、APP、雲平臺）等維度，企業需要根據自身需求點，來首先進行專案範圍的確認。

（2）線上填寫合規檢查問卷：

TrustArc的線上問卷會根據專案範圍中待評估的產品或服務的性質、不同情況涉及到不同的評估問題。

合規評估問卷的框架都來自於TrustArc隱私和資料治理框架，涵蓋了從資料處理活動，到框架中的隱私原則、企業隱私管理計劃持續化和監控、以及企業相關隱私管理責任的方方面面。問卷各個部分的填寫指導以及準備的證據資訊可以參照下表:

表1-TrustArc評估問卷反饋指導

4.2 差距分析和報告階段

在差距評估過程中，TrustArc將透過顧問評估和技術測試兩個方面對專案評估範圍內的產品或服務進行評估分析：

（1）顧問評估：

TrustArc隱私顧問會對企業提交的合規檢查問卷內容進行人工評估，評估的主要標準依賴於TrustArc企業隱私和資料治理實踐認證評估標準，對應企業提交的問卷內容進行綜合評估，評估過程中將針對問卷的證據或描述不清晰的部分，透過郵件或會議的方式與企業進行進一步的確認。

（2）人工測試：

TrustArc的技術測試團隊會對產品或服務進行隱私技術測試，比如透過抓包的方式確認敏感資訊在傳輸中是否加密，是否在同意隱私政策前回傳相關資料，隱私政策在產品內是否可訪問，獲取使用者同意的產品實現方式的檢查等等。

經過以上的評估和測試，TrustArc將根據顧問的評估結果和技術測試結果線上出具評估結果報告，其中報告中包括差距分析，風險總結和風險處置建議，該報告中會進一步指導企業如何確保隱私合規。

4.3 整改和認證階段

差距分析報告中提出的風險項和分享處置建議，將在線上系統以整改計劃的方式反饋給企業，企業需要明確整改方案和整改完成時間，並及時在線上反饋相關整改完成證據。

差距整改涉及到制度流程的補充或完善，以及產品前端或後端技術相關整改。TrustArc顧問會全程跟蹤整改計劃的實施情況，確保所有風險項均整改完成後，向企業發放正式的認證透過證書，企業透過認證後，可以將TrustArc的隱私印章嵌入到其產品或服務的隱私政策中。

4.4 持續監控和指導階段

整個評估過程透過線上系統進行，包括證據，評估報告和最後的整改計劃均完好的記錄在統一的線上系統中，易於查詢或證明企業的隱私合規性。企業還可獲得TrustArc提供的第三方爭端解決服務，該服務可幫助有效管理客戶的隱私查詢並滿足爭端處理的合規性要求。

同時，TrustArc會提供反饋按鈕，向消費者，業務合作伙伴和監管機構進行外部展示和證明企業使用技術和工具來管理與隱私相關的問題或疑慮。隱私反饋按鈕可以放置在企業的隱私政策頁面上，並連結到供消費者提交問題或反饋的頁面。

TrustArc會不斷的向企業提供隱私相關的意見、調查報告、或線上的教育培訓或相關白皮書文件等，企業的隱私合規專家有許可權訪問這些內容，獲得相關的知識。

5. What|認證的收益是什麼？

TrustArc的認證，不僅僅是收穫了一張證書，個人認為以下兩個方面也是企業收穫較多的方面：

5.1 隱私合規體系建立：

認證中評估框架和評估標準讓企業可以快速梳理當前的隱私合規實踐、使當前的實踐更加體系化，規範化呈現。比如，透過認證梳理出隱私管理方面的隱私合規體系文件列表如下（示例），其中安全保護相關的制度文件可以引用ISMS相關體系檔案：

表2-隱私合規體系文件示例

5.2. 隱私合規體系執行監控：

透過TrustArc的認證後，一方面需要進行年審，年審時需要重新填寫評估問卷，確保產品或服務的資料收集或處理髮生任何改變都被重新評估，並且也將評估企業在過去的一年中，體系中相應的內容的執行情況；另一方面，TrustArc會持續的關注企業的隱私合規行為，如發現有隱私相關的違反情況，會詢問企業相關的問題點，企業需及時澄清相關問題，如果逾期未能澄清，隱私印章連結將被暫時撤回，直到企業整改完相應問題才會被恢復

企業合規人員，最主要的工作方向就是要證明合規，如何證明一直都是大家的痛點，企業可以以透過認證的方式，幫助企業建立完備的隱私合規體系，並對隱私體系執行情況進行持續性的監控，PDCA迴圈的方式，讓企業不斷完善自身的隱私合規體系，向監管和大眾證明其合規性。

參考資料

https://www.trustarc.com/products/enterprise-privacy-certification/
https://www.apec.org/About-Us/About-APEC/Fact-Sheets/What-is-the-Cross-Border-Privacy-Rules-System
http://oecdprivacy.org/
https://www.cpacanada.ca/
https://www.isaca.org/
https://www.iso.org/home.html
https://www.nist.gov/privacy-framework
https://download.trustarc.com/dload.php/?f=O9Z2KDNV-628