新國際標準將有助于遏制個人信息泄露

譯 / 常儷

在高度互聯的世界，隱私被置于新的維度。引導國際標準制定的三大組織IEC、ISO和ITU共同制定的新指南剛剛發布，它為保護個人可識別信息提供了實施規范。

優步因其5700萬名司機和用戶信息泄露，成為新聞頭條。2017年7月，美國大型信貸機構Equifax違約事件泄露了14300萬人的社會保險號碼、生日和地址。上個月，Yahoo在其被電信巨頭Verizon收購之前，發布了2013年數據泄露的消息，盡管當時受到影響的有10億用戶，但實際上，涉及了30億Yahoo用戶的賬戶。

越來越多備受矚目的數據泄露事件的發生，促使世界各國調查相關政策和監管的潛在改革。其中最廣為人知的是歐盟的數據保護通用規范（European Union’s General Data Protection Regulation），其將于2018年5月生效，將產生全球性影響。

隨著醫療和金融服務等行業的數字化轉型，對個人數據的保護變得越來越迫切。越來越多的組織在處理個人數據，且處理的數據量不斷增長。

ISO/IEC 29151/ITU-T X.1058為政府和行業加強個人數據保護控制，提供了有價值的參考信息。

該標準根據 ISO/IEC 27002（信息安全監控實施規范）制定，附加了針對個人數據保護的具體指南。其中包括為數據處理人員推薦的管理結構，以及與專業法律團隊有效合作以處理相關法律和規范涉及的問題。

另外，ISO/IEC 29151/ITU-T X.1058的附件提供了個人數據控制的擴展集，包括與“同意和選擇”相關的控制目標，以及“參與個人數據管理的原則”，例如：“誰”可以識別什么人的信息。其主要關注“目標合法”方面的問題——是否可以進行個人數據信息收集，鼓勵尋求“收集限制”和“數據最少化”，以及組織關于個人數據的“開放性和透明性”政策，為上述問題提供實施指南。

ISO/IEC 29151/ITU-T X.1058由ISO/IEC JTC 1/SC 27、ISO/IEC安全技術標準化專家組和ITU-T第17研究組共同制定，旨在擔負起建立信息傳播安全和信心的責任。

（原文標題：International Standard looks to curb theft of personal data，作者：Clare Naden，摘編自ISO官網）