产品和服务设计中的消费者隐私保护 第2部分：应用案例 征求意见稿

GB/ZXXXXX—XXXX/ISO/TR3本文件规定了如何使用ISO31700-1建议，并说明了ISO31700-1应用的案例。ISO31700-1产品和服务设计中的消费者隐私保护第1部分：高阶要求下列术语和定义适用于本文件。ISO和IEC在以下地址维护用于标准化的术语数据库：——ISO在线浏览平台：可在/obp获得；——IEC电子百科：可在/获得。在涉及个人身份信息的产品或服务的初始设计阶段和整个生命周期中应考虑隐私的设注：生命周期还包括更新改造期间。描述消费者和消费品之间的相互关系，用于帮助识别、梳理和满足需求以支持特定的业务目标。注1：消费者可以是系统的用户和工程师。注2：本文件中涉及的系统是消费品或服务。GB/ZXXXXX—XXXX/ISO/TR32类别章节编号和要求4.2设计消费者行使隐私权的功能4.3开发确定消费者隐私偏好的功能4.4为隐私设计人机界面4.5分配相关角色和权限4.6建立多功能职责4.8确保了解隐私控制4.9文件化信息管理7.2将隐私控制的设计和操作应用到产品开发和管理生37.9在个人身份信息生命周期中为所依赖的流程和产品操作实施隐私——生命周期流程，见表2；确保个人身份信息主体可多次使用资源或服务且其他主体无法将其相确保个人信息主体、控制者、处理者及监管表4NIST隐私框架制定和实施组织治理结构，以便持续了解由隐私风险提供的组织风险管制定和实施适当的活动，使组织或个人能够以足够的颗粒度制定和实施适当的活动，使组织或个人能够对数据处理方式和相关隐私个人、所有者和操作人员能够对数据及其系统、产品或服务的处理进行提供数据颗粒度管理功能，包括更改、删除和选使数据或事件的处理无法与超出系统操作要求的个人或设GB/ZXXXXX—XXXX/ISO/TR34-----息发力5---制---GB/ZXXXXX—XXXX/ISO/TR36——扩展此类流程，以整合隐私工程。这些扩隐私框架[7]、OASISPMRM[6——主要说明的条目是通用的，包括ID：案例名称；产品、服务或过程的描述；对产品、服务或过程的描述对隐私保护目标的简要描述7描述所收集的个人资料描述个人身份信息（PII）收集的目的关于消费品和服务的简短叙述与ISO31700-1的联系该部分描述了三个案例：在线零售、健身公ISO31700-1要求4.2设计消费者行使隐私权的功能×4.3开发确定消费者隐私偏好的功能×××××××××8×××××××××××××××××××××××私控制××××××××××××××产品、服务或对隐私保护目标确保零售商提供或收集的个人信息于仅限用于完成销利益系统和相9描述收集的个人描述收集个人信卖方手机个人身份信息是为了完成订单、促进产品开发关于消费品和服一位消费者上网为孙辈寻找玩具。在查看了多个网站和一些他尚未完成的订单后，消费者通过一个在线零售商和付款方式在内的联系信息。为了运输和订购，他提供了自己的联系信息和地址。为了付款，他输入了自己的信用卡。在线零售商询问他是否想要创建一个账户拒绝了。在线零售商询问他是否希望他们在发货后保留联系信息，以便将来购买或退货。除了与退货有关的，客户拒绝允许这样做。在线零售商还询问了一些关于家庭规模、年龄和收入的问题。客户拒绝回答，并拒绝接GB/ZXXXXX—XXXX/ISO/TR3支付系统平板和笔记本电脑零售商支付系统平板和笔记本电脑零售商提供信用卡信息客户信息：订购商品日期联系方式客户信息：无账户客户信息：不保留联系信息没有产品信息采购环节提供信用卡信息客户信息：订购商品日期联系方式客户信息：无账户客户信息：不保留联系信息没有产品信息采购环节下单联系方式提供信用卡信息是否创建账户？不创建账户是否保留联系信息？除退货权外，不保留提供关于家庭规模、年龄和收入的信息？拒绝产品信息拒绝消费者订购上网为孙辈寻找玩具图1在线零售使用案例主要描述示意图关于消费者沟描述消费者沟通的需求如何零售商公司的信息系统受到网络安全攻击，导致该组织启动了其消费者支持计划，在网上发客户对其购买的产品进行具体询问，并获得定消费者订购零售商ISO31700-1参考建立治理结构建立隐私管辖计划建立消费者支持计划（基本要求说明）参考采购计划（主要说明）消费者订购零售商ISO31700-1参考建立治理结构建立隐私管辖计划建立消费者支持计划（基本要求说明）参考采购计划（主要说明）平板和笔记本电脑上网为孙辈寻找玩具消费者支持计划警惕网络安全隐私声明检查客户档案返回自定义信息5.5与不同的消费者群体沟通消费者支持计划警惕网络安全隐私声明检查客户档案返回自定义信息5.5与不同的消费者群体沟通5.6准备数据泄露沟通网站发布网络安全警报但未侵犯隐私请求隐私信息5.4回应消费者询问和投诉5.4回应消费者询问和投诉图2在线零售消费者沟通示意图图3在线零售概述示意图理结构来处理隐私合规和消费者沟通问题，从事整个数据处理生态系统的员工建立隐私涉及法规和隐私增强技术的知识。公司还创ISO31700-1零售商消费者订购上网为孙辈寻找玩具4.7发展隐私知识、技能和能力4.8确保了解隐私控制管理隐私法规知识管理隐私工程知识建立隐私管辖计划参考采购计划（主要说明）ISO31700-1零售商消费者订购上网为孙辈寻找玩具4.7发展隐私知识、技能和能力4.8确保了解隐私控制管理隐私法规知识管理隐私工程知识建立隐私管辖计划参考采购计划（主要说明）平板和笔记本电脑管理隐私合规性管理隐私合规性管理消费者沟通4.5分配相关角色和权限4.5分配相关角色和权限4.6建立多功能职责7.8准备违规管理建立消费者支持计划设计功能以支持与消费者在隐私方面的互动计划与消费者在隐私方建立消费者支持计划设计功能以支持与消费者在隐私方面的互动计划与消费者在隐私方面的互动4.2加强消费者隐私权的设计能力4.3开发确定消费者隐私偏好的能力4.4设计用于保护隐私的人机交互界面（HCI）4.9文件化信息管理5.4回应消费者询问和投诉5.4回应消费者询问和投诉5.5与不同消费群体沟通5.6准备数据泄露通信7.8准备违规管理图4在线零售基本要求示意图///图5在线零售风险管理示意图案例31700-01f零售商消费者订购建立治理结构建立隐私管辖计划建立消费者支持计划（基本要求说明）消费者隐私风险分析服务（关于风险管理的说明）定期隐私风险评估零售商消费者订购建立治理结构建立隐私管辖计划建立消费者支持计划（基本要求说明）消费者隐私风险分析服务（关于风险管理的说明）定期隐私风险评估（关于风险管理的说明）平板和笔记本电脑隐私控制实施和操作 关于访问控制监测机制的策略设计相关组织措施定义7.3设计隐私控制7.4实施隐私控制7.7管理隐私控制的操作7.9对范围内的产品在个人身份信息生命周期中所依赖的流程和产品进行隐私控制上网为孙辈寻找玩具采购计划（主要说明）图6在线零售开发、部署和操作示意图关于个人身份信息生命周期结束描述对个人身份信息生命周期结束的参考参考图7在线零售个人身份信息生命周期结束示意图隐私保护目标简述通过生物识别验证，确保手机健康信息访问的安全生态系统和利利益相关系统描述GB/ZXXXXX—XXXX/ISO/TR3个人身份信息收个人身份信息收提供关于个人健康的信息(例如，健身、饮食、健康关于消费品和服中心询问消费者是否有接受信息并成为忠实会员的健身中心建议使用需额外支付订阅费的智能健康应通过密码和生物识别认证保护，这时消费者接受建GB/ZXXXXX—XXXX/ISO/TR3订阅预订单订阅预订单联系方式、地址提供信用卡信息提供信用卡信息是否接受信息与会员项目？拒绝添加智能健康应用接受安装应用程序获取生物识别应用程序（例如指纹）提供个人身份信息提供实际数据访问有关健康的统计信息风险管理要求风险管理提供帮助的出可收集健身活动和身体数据信息并帮助消费者为确保健康应用程序提供商具有处理数据的经验健身公司和健康应用程序提供商协作完成隐私控未经授权访问的风险评估可通过智能手机识别认健身公司消费者数据处理岗ISO31700-1健身公司消费者数据处理岗ISO31700-1健康应用提供商服务的隐私风险分析6.3评估第三方的隐私能力6.4建立并记录隐私控制要求风险管理要求服务的隐私风险分析6.3评估第三方的隐私能力6.4建立并记录隐私控制要求6.2评估隐私风险6.2评估隐私风险检查健康应用提供者保护隐私的能力检查健康应用提供者保护隐私的能力在智能手机中关于数据存储隐私保护的解决方案在智能手机中关于数据存储隐私保护的解决方案参考订阅（主要叙述7.3.1）6.5监测并更新风险评估定期评估隐私风险6.5监测并更新风险评估定期评估数据处理和存储系统的影响定期评估数据处理和存储系统的影响评估消费者支持项目GB/ZXXXXX—XXXX/ISO/TR3消费者沟通愿意加入会员的消费者与消费者咨询服务部门沟通消费者健身公司数据保护商消费者健身公司数据保护商ISO31700-1安排负责沟通的人员5.2提供隐私信息消费者沟通需求安排负责沟通的人员5.2提供隐私信息5.3隐私信息提供者的责任5.3隐私信息提供者的责任创建关于生物识别隐私信息创建关于生物识别隐私信息5.4回应消费者需求和投诉订阅查询5.4回应消费者需求和投诉当选择健康应用时，关于隐私保护的信息当选择健康应用时，关于隐私保护的信息参考订阅（主要叙述7.3.1）5.6准备数据泄露的沟通消费者支持项目5.6准备数据泄露的沟通在健康应用程序竞争中的隐私漏洞在健康应用程序竞争中的隐私漏洞5.5与不同消费者群体沟通信息活动5.5与不同消费者群体沟通GB/ZXXXXX—XXXX/ISO/TR3在通过Wi-Fi接收到有效的控制指令时，可以远程开锁和关）：用途四：更新智能锁状态记录：当用户进入和关闭门时，门——恶意监控家庭Wi-Fi，获取智能锁的访问控制或使用信GB/ZXXXXX—XXXX/ISO/TR3基本使用：现有的智能锁注册户主使用远程控制设施从外锁锁图11智能锁基本配置示意图GB/ZXXXXX—XXXX/ISO/TR3户主入户其他户主智能锁锁需要开门端提供智能钥匙智能钥匙验证钥匙的隐私日志的所有者访问）保留进入家庭（仅由智能密钥进入开关门开锁门关闭门关闭检查是否有通知其他房客的规定户主入户其他户主智能锁锁需要开门端提供智能钥匙智能钥匙验证钥匙的隐私日志的所有者访问）保留进入家庭（仅由智能密钥进入开关门开锁门关闭门关闭检查是否有通知其他房客的规定智能手机【达到报警条件】 通知其他租户【为满足报警条件】图12智能锁托管配置示意图GB/ZXXXXX—XXXX/ISO/TR3户主入户父母智能锁锁保留进入家庭的隐私日志（仅由智能密钥的所有者访问）【父母智能钥匙】【孩子智能钥匙】家庭进入日志（父母双方均可访问）户主入户父母智能锁锁保留进入家庭的隐私日志（仅由智能密钥的所有者访问）【父母智能钥匙】【孩子智能钥匙】家庭进入日志（父母双方均可访问）智能手机需要开门端提供智能钥匙智能钥匙验证钥匙开锁进入开关门【是否为儿童智能钥匙】【是否为儿童智能钥匙】通知家长图13智能锁家庭配置示意图智能锁公司根据不同的产品选项确定相关的沟通需求。它指定一个客户有兴趣选择家庭选项。经过与客户服务人员的交流，该客户决客户对侵犯隐私权提出诉讼。智能锁公司数据泄露沟通团队意识到客户使用了家庭选项并分配了错误的智能钥匙。它向家庭选项程序的所有消费者发送通知，然后它更改它的系统，以便它的用户始终GB/ZXXXXX—XXXX/ISO/TR3消费者智能锁6.2进行隐私风险评估6.2进行隐私风险评估6.2进行隐私风险评估6.3评估第三方的隐私能力6.4建立并记录隐私控制要求6.6考虑网络安全弹性设计的隐私风险智能锁家庭选项的隐私风险分析【风险管理要求】智能锁基本服务的隐私风险分析智能锁托管选项的隐私风险分析消费者智能锁6.2进行隐私风险评估6.2进行隐私风险评估6.2进行隐私风险评估6.3评估第三方的隐私能力6.4建立并记录隐私控制要求6.6考虑网络安全弹性设计的隐私风险智能锁家庭选项的隐私风险分析【风险管理要求】智能锁基本服务的隐私风险分析智能锁托管选项的隐私风险分析检查存储系统供应商的三个选项三个选项的隐私保护文件方案检查网络安全弹性管理的隐私风险例如，用于责任管理的智能锁操作安全日志智能手机【一种购买选项】监督和更新风险评估【定期隐私风险评估】监督和更新风险评估定期评估每个产品对消费者支持计划的影响图14智能锁风险管理示意图案例31700-03f智能锁公司隐私专家团队对其产品线的每个选项进行消费者服务智能锁供应商出于责任原因可能希望保留这些信息。因此产生对用户支持的需求，以及对数据存储保护的需求。为此，智能锁公司评估提定期进行私隐风险评估。重新评估每个产品选项对隐私的影响。图15智能锁消费者通信示意图功能达成一致。由公司的隐私功能团队对产品合规的所有者发送通知，更改其系统以部署警告功能（通知子密钥的用代表客户ISO31700-1智能锁公司操作智能锁产品7.2将隐私控制的设计和操作整合到产品开发和管理生命周期中创建隐私通信程序以防泄露创建一个工程指导文件以强调隐私在培养项目中创建【建立隐私程序】5.6准备数据泄露信息初始的家庭内部学习智能锁为家庭选项设计隐私控制和测试系统商定智能锁功能商定隐私功能7.4实施隐私控制7.6管理隐私控制变迁7.3设计隐私控制7.4实施隐私控制7.5设计隐私控制测试对家庭选项实施隐私控制验证隐私合规性【设计家庭锁选项】7.3设计隐私控制理解智能锁需要理解隐私要求合规性验证合乎当地法规7.7管理隐私控制的操作【在市场上部署家庭智能锁选项】7.8做好违规管理准备7.9操作过程和范围内依赖PII生命周产品的隐私控制代表客户ISO31700-1智能锁公司操作智能锁产品7.2将隐私控制的设计和操作整合到产品开发和管理生命周期中创建隐私通信程序以防泄露创建一个工程指导文件以强调隐私在培养项目中创建【建立隐私程序】5.6准备数据泄露信息初始的家庭内部学习智能锁为家庭选项设计隐私控制和测试系统商定智能锁功能商定隐私功能7.4实施隐私控制7.6管理隐私控制变迁7.3设计隐私控制7.4实施隐私控制7.5设计隐私控制测试对家庭选项实施隐私控制验证隐私合规性【设计家庭锁选项】7.3设计隐私控制理解智能锁需要理解隐私要求合规性验证合乎当地法规7.7管理隐私控制的操作【在市场上部署家庭智能锁选项】7.8做好违规管理准备7.9操作过程和范围内依赖PII生命周产品的隐私控制进行通信部署警告功能确保所有服务者（市场、销售、维护都了解隐私控制【消费者支持计划】隐私官员投诉隐私侵犯声明在错误钥匙评估下的压力图16智能锁开发、部署和运行示意图GB/ZXXXXX—XXXX/ISO/TR3Bibliography[1]ISO31700-1,Privacy-by-designfo[2]IEC62559-2,Edition1.02015-04usecaseMusecases,actorlist