原标题：全球隐私信息管理体系标准ISO/IEC 27701:2019解读

　　随着信息技术的不断发展，人们对信息安全的关注日益提升，全球多个国家和地区相继出台了一系列隐私保护的法律法规，例如欧盟的GDPR，中国的网络安全法，以及香港的个人隐私条例等，当前几乎所有的组织都有处理个人信息 (PII) 的情况。

　　面对愈加严格的监管趋势和众多且复杂的法律法规，企业如何有效的管理和保护用户个人信息及隐私？

　　ISO/IEC 27001作为国际上公认的信息安全管理体系标准，在隐私保护方面提供了部分所需的信息安全控制措施，但如何从PII控制者和PII处理者二者不同的角度来实现和满足不同国家和地区的隐私保护法律法规的要求，并没有提供足够的操作指引。

　　因此，新标准ISO/IEC 27701隐私信息管理体系应势而生。助力企业为GDPR合规展现、保护用户隐私和个人信息合规管理提供了更多相关指南。

　　2019年8月6日，国际标准化组织ISO和国际电工委员会IEC正式对外发布ISO/IEC 27701隐私信息管理体系标准。

　　这标志着信息安全、隐私与个人信息保护，在国际间法律与法规的合规展现有了一致性的标准。

　　ISO/IEC 27701作为ISO/IEC 27001与ISO/IEC 27002在管理上的延伸标准，其目标是通过新增的要求来增强现有信息安全管理体系（ISMS）,以便建立、实施、维护和不断改进隐私信息管理体系（PIMS），标准概述了适用于个人身份信息（PII）控制者和PII处理者的框架，用于隐私控制管理，以降低对个人隐私的各种风险。

　　威胁重重，数据滥用、数据窃取、隐私泄露以及“大数据杀熟”等数据安全问题呈现爆发趋势。

　　在此背景下，全球各个国家纷纷颁布相关法律法规，对数据安全与隐私保护相关问题进行严格的规范与引导。

　　欧盟于2018年5月25日正式实施了《通用数据保护条例》 (《General Data Protection Regulation》,简称《GDPR》)，是一项保护欧盟公民个人隐私和数据的法律，氟胶O型圈其适用范围包括欧盟成员国境内企业的个人数据、也包括欧盟境外企业处理欧盟公民的个人数据。

　　美国已有多个州先在数据安全与隐私保护进行了立法，其中的要数2018年6月加州通过《加州消费者隐私法案》（ 《California Consumer Privacy Act》, 简称《CCPA》）。该法案被称为美国“严厉和全面的个人隐私保护法案”，将于2020年1月1日生效。

　　我国于2017年6月1日正式实施《中华人民共和国网络安全法》（通常简称《网安法》）。《网安法》是我国首部全面规范网络空间安全管理方面问题的基础性法律，包含的内容十分丰富，一共包括7章79条，包含网络运行安全、关键信息基础设施的运行安全、网络信息安全等内容。值得关注的是，《网安法》在数据（包括个人信息）安全与保护上也有诸多规定，例如第四十至四十五条。

　　ISO 27701是ISO 27001和ISO 27002在隐私方面的扩展，并为隐私保护提供了除ISO 27001和ISO 27002之外的额外的指导。全文共分为8个章节及6个附录，主要的要求和指导内容集中在第5-8章。

　　其中第5章介绍了ISO 27001中延伸出的关于PIMS的扩展要求以及本标准对PIMS的附加要求，第6章则介绍了ISO 27002中对PIMS的扩展及附加要求，这两章的内容对PII控制者和处理者均适用，行文结构和控制域与原标准一致，包含ISO 27002共14个控制域、114个控制项。

　　第7章为专门针对PII控制者的额外指导内容，共31个控制项，第8章则为针对PII处理者的额外指导内容，共18个控制项，这两章均从PII的收集和处理，对PII主体的义务，Privacy by design & Privacy by default，PII的共享、传输和披露四个方面作出相应规定。

　　总体而言，本标准通过第5章和第6章将ISO 27002与附加的PIMS控制项通过ISO 27001中PDCA的方式导入体系，形成完整的信息安全和隐私管理体系。此外，第7章和第8章从数据生命周期的角度新增分别针对PII控制者和处理者的控制要求。同时，附录中还将本标准与GDPR、ISO 29100、ISO 27018及ISO 29151进行了映射。

　　b)、ISO 27002为ISO 27001提供风险处置具体的控制目标和控制措施。

　　d)、ISO 27001帮助企业建立ISMS，通过有效的风险管理来保护和管理组织的所有信息，氟胶O型圈硅胶O型圈从数据安全方面满足GDPR的部分要求。

　　e)、ISO 27701加入了隐私保护的额外要求，更全面地覆盖了GDPR的要求。

　　本标准基于ISO 27001和ISO 27002，在应用本标准时，应将原ISO 27001及ISO 27002中的“信息安全”替换为“信息安全和隐私”。本标准中仅列出替换后仍需说明的额外PIMS相关要求。

　　ISO 27002 中共14个控制域，每个控制项中包含控制措施、实施指南和其他信息。将所有“信息安全”替换为“信息安全和隐私”后，除了“业务连续性管理的信息安全方面”的控制域，ISO 27701对ISO 27002中控制域中的实施指南和其他信息均有额外的补充，但控制措施均延续ISO 27002的控制措施（仅将“信息安全”替换为“信息安全和隐私”）

　　ISO 27701的认证能在极大程度上表明组织符合GDPR的要求。根据附录D ISO 27701与GDPR适用条款（Article 4-42, 44-49)之间的映射关系，通过对比GDPR的原条款，发现ISO 27701覆盖了绝大部分GDPR的要求，仅个别GDPR的条款未被ISO 27701覆盖，条款涉及的主要内容如下：

　　Ø Article 14个人数据还未从数据主体处获得时（数据控制者）应提供的信息 (5)(a)：数据控制者应当向数据主体提供所规定提供给数据主体的信息，除非数据主体已获知相关信息

　　Ø Article 23限制：欧盟或成员国法律可以通过立法手段限制本法2条至第22条和第34条规定的权利义务范围

　　Ø Article 35数据保护影响评估 (6)：此段针对监管机构，规定了在给出数据保护影响评估相关清单时需应用一致性机制的场景

　　Ø Article 36事先咨询 (4)：数据保护影响评估表明在数据控制者缺乏减轻风险的措施会导致高风险时，数据控制者应当在处理前向监管机构咨询

　　尽管根据ISO 27701和GDPR的映射来看，GDPR的内容基本均在ISO 27701中有所体现，但仍不能认为ISO 27701可以作为表明完全符合GDPR的全球性认证。主要是由于通用性的国际标准无法完全符合某个国家或地区具体的法律法规。由于ISO 27701为国际通用地标准，某些要求仅通用性地指出应遵守某些适用地法律法规，未包含具体地规定，而GDPR则明确指出具体地要求

　　GDPR：明确指出对于不满16周岁的，处理行为只有或至少在获得了该的监护人的同意或授权时才是合法的，年龄界限可依据特定目的调整，但不得低于13周岁。

　　ISO 27701：对某些类型的数据收集（例如用于科学研究）和某些类型的PII主体（例如）可能有额外的要求。组织应考虑此类要求并记录同意的机制如何满足这些要求。

　　GDPR：数据控制者应当自发现之时起72小时内，按照第55条的规定将个人数据泄露的情况报告监管机构。

　　ISO 27701：一些司法管辖区对违规响应实施了具体规定，包括通知。在这些司法管辖区运营的组织应确保他们能够证明遵守这些法规。

　　ISO 27701分别对个人可识别信息控制者和个人可识别信息处理者进行规范和指导并基于ISO 27001和ISO 27002的各个领域，从管理体系的角度并遵循PDCA的理念，而ISO 29151则是个人身份信息保护的实践指南，它主要是基于ISO 27002的各个域中加入了PII的事实指南，氟胶O型圈并引入了ISO 29100十一大隐私保护原则，可以说ISO 27701和ISO 29151都是ISO 29100的细化体现，ISO 27701满足了ISO 29151的要求，并且从体系角度给予了充分的展示与要求。

　　ISO 27701嵌套在ISO 27000系列中，并要求符合ISO 27001标准。ISO 27701扩展了ISO 27001的要求，在原有管理、实施、操作、监控、审查和不断改进ISMS的流程基础上，着重考虑了对于企业所持有PII的隐私保护。同时ISO 27701对ISO 27002实施指南中的隐私性进行了解释和扩展，除业务连续性以外的所有控制域均增加了关于PII隐私的实施指南。ISO 27701分别从PII控制者和PII处理者的角度，补充说明了收集和处理PII的条件、对PII主体的隐私保护义务、Privacy by design and privacy by default以及PII共享、转移和披露的相关要求。

　　ISO 27701 5.4规划中指出，组织应在PIMS范围内应用信息安全风险评估流程来识别有可能会造成机密性、完整性和可用性丧失的相关风险；组织应在PIMS范围内应用隐私风险评估流程来识别与PII处理相关的风险；组织应在整个风险评估过程中确保信息安全与PII保护之间的关系得到适当管理。组织可以根据自身PIMS情况，对信息安全和隐私保护进行统程的综合评估，也可以根据实际需要采用独立的流程进行分别评估。

　　ISO 27002 6.3信息安全组织中指出，组织应指定一个联系人处理客户的相关PII事务；当组织是PII控制者时，需为PII主体指定PII联系人负责相关流程；同时组织应指定一名或多名负责制定、实施、维护和监督组织范围内治理以及隐私计划的人员，以确保处理PII相关事务时的合规性。负责人应酌情考虑a) 独立并直接向组织的适当管理层报告，以确保有效管理隐私风险；b) 参与管理与处理PII有关的所有问题；c) 成为数据保护立法，监管和实践方面的专家；d) 充当监管机构的联络点；e) 告知管理层和组织员工在处理PII方面的义务；f) 就组织进行的隐私影响评估提供建议。要求组织需要根据自身角色配置响应的PII管理专职人员。

　　增加该章节可以明确标准对于PII控制者和处理者收集和处理PII的条件的限定范围，目的是使组织可以根据适用的司法管辖区的法律依据，以明确定义的、合法目的，确定并记录PII处理是合法的，且具有法律依据。标准明确需要通过识别和记录PII处理目的、确定合法依据、确定何时以及如何获得许可、获取并记录许可、隐私影响评估、与PII处理者签署合同、明确联合PII控制者、维护与处理PII有关的记录8个方面对PII控制者进行管理和评估，通过客户协议、组织目的、营销和广告使用、侵权指令、客户义务、硅胶O型圈与处理PII有关的记录6个方面对PII处理者进行管理和评估。该额外指导内容要求组织在明确自身身份的基础上，开展对收集与处理PII的条件相关的管理建设。

　　1、通过明确对PII控制者和处理者的隐私保护要求，可以使企业明确隐私保护管理合规目标，减轻企业合规负担的同时降低企业合规风险，ISO 27701标准附件D中明确表示，单个隐私控制点可以满足GDPR中的多项要求。

　　2、实现持续的个人隐私安全合规对于任何企业都是一个安全治理的课题，ISO 27701通过建立PIMS，可以确保组织高级管理层、企业所有者以及关键相关方的利益满足隐私保护要求，从而使组织实现长期、持久的个人隐私安全合规。

　　3、PIMS认证可以向企业客户或合作伙伴传达隐私合规价值。PII控制者通常会要求PII处理者提供相关证据，从而证明PII处理者的隐私管理体系符合适用的隐私管理要求。通过得到授权的第三方机构对PII处理者进行审计验证，基于国际标准的统一证据框架可以极大地降低合规沟通成本，这种合规透明度的提高对于企业战略和业务决策至关重要，同时PIMS认证也有助于向公众传达企业的可信度。

　　伴随着数字时代的到来，数字化信息处理日趋普遍。对于PII处理而言，人们在享受数字化所带来的诸多便利同时，也面临着由PII数字化所带来的风险。信息数字化在企业发展过程中对节约企业成本和达到有效管理起到了积极的作用，另一方面，伴随着全球信息化和网络进程的发展，与此相关的个人隐私保护和信息安全问题也日趋严重。

　　《ISO/IEC 27701，安全技术-扩展的ISO/IEC 27001和ISO/IEC 27002-隐私信息管理要求和指南》的发布，填补了目前隐私信息管理体系的空白，将隐私保护的原则、理念和方法，融入到信息安全保护体系中，并且对PII控制者和PII处理者进行了较为详细且落地性强的规定，细化了隐私信息管理的要求，给企业在隐私保护和信息安全方面给出了指导建议。作为一个国际通用的隐私信息管理工具，能够有效的协助企业对对隐私风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平，并建立隐私保护体系，从管理与技术等多方面出发，从而使企业满足国内外的监管合规要求。同时，隐私信息管理体系的建设，一定程度上也是企业隐私保护能力的一种体现，能够增强企业与消费者、合作伙伴甚至是监管部门的相互信任。

　　作为国内的管理咨询和培训机构，硅胶O型圈企航顾问在IT信息安全领域解决方案范围广泛，致力于为各行业机构提供全方位管理咨询和培训服务，包括：
以上信息由宁波加耐斯密封工业有限公司整理编辑，了解更多O型圈,氟胶O型圈,硅胶O型圈,丁腈橡胶O型圈信息请访问http://www.wos-seal.com