隨著信息技術(shù)的不斷發(fā)展，人們對(duì)信息安全的關(guān)注日益提升，全球多個(gè)國(guó)家和地區(qū)相繼出臺(tái)了一系列隱私保護(hù)的法律法規(guī)，例如歐盟的GDPR，中國(guó)的網(wǎng)絡(luò)安全法，以及香港的個(gè)人隱私條例等，當(dāng)前幾乎所有的組織都有處理個(gè)人信息 (PII) 的情況。

TRAFFIC SAFETY

2019年8月6日，國(guó)際標(biāo)準(zhǔn)化組織ISO和國(guó)際電工委員會(huì)IEC正式對(duì)外發(fā)布ISO/IEC 27701隱私信息管理體系標(biāo)準(zhǔn)。這標(biāo)志著信息安全、隱私與個(gè)人信息保護(hù)，在國(guó)際間法律與法規(guī)的合規(guī)展現(xiàn)有了一致性的標(biāo)準(zhǔn)。

ISO/IEC 27701作為ISO/IEC 27001與ISO/IEC 27002在管理上的延伸標(biāo)準(zhǔn)，其目標(biāo)是通過(guò)新增的要求來(lái)增強(qiáng)現(xiàn)有信息安全管理體系（ISMS）,以便建立、實(shí)施、維護(hù)和不斷改進(jìn)隱私信息管理體系（PIMS），標(biāo)準(zhǔn)概述了適用于個(gè)人身份信息（PII）控制者和PII處理者的框架，用于隱私控制管理，以降低對(duì)個(gè)人隱私的各種風(fēng)

ISO/IEC 27701標(biāo)準(zhǔn)介紹
01關(guān)鍵術(shù)語(yǔ)解釋
PII：個(gè)人可識(shí)別身份信息，指 a) 任何可以識(shí)別PII主體的信息或 b) 直接或間接與PII主體相關(guān)的信息

PIMS：Privacy Information Management System，隱私信息管理體系

02ISO 27701結(jié)構(gòu)組成
ISO 27701是ISO 27001和ISO 27002在隱私方面的擴(kuò)展，并為隱私保護(hù)提供了除ISO 27001和ISO 27002之外的額外的指導(dǎo)。全文共分為8個(gè)章節(jié)及6個(gè)附錄，主要的要求和指導(dǎo)內(nèi)容集中在第5-8章。

其中第5章介紹了ISO 27001中延伸出的關(guān)于PIMS的擴(kuò)展要求以及本標(biāo)準(zhǔn)對(duì)PIMS的附加要求，第6章則介紹了ISO 27002中對(duì)PIMS的擴(kuò)展及附加要求，這兩章的內(nèi)容對(duì)PII控制者和處理者均適用，結(jié)構(gòu)和控制域與原標(biāo)準(zhǔn)一致，包含ISO 27002共14個(gè)控制域、114個(gè)控制項(xiàng)。

第7章為專門針對(duì)PII控制者的額外指導(dǎo)內(nèi)容，共31個(gè)控制項(xiàng)，第8章則為針對(duì)PII處理者的額外指導(dǎo)內(nèi)容，共18個(gè)控制項(xiàng)，這兩章均從PII的收集和處理，對(duì)PII主體的義務(wù)，Privacy by design & Privacy by default，PII的共享、傳輸和披露四個(gè)方面作出相應(yīng)規(guī)定。

總體而言，本標(biāo)準(zhǔn)通過(guò)第5章和第6章將ISO 27002與附加的PIMS控制項(xiàng)通過(guò)ISO 27001中PDCA的方式導(dǎo)入體系，形成完整的信息安全和隱私管理體系。此外，第7章和第8章從數(shù)據(jù)生命周期的角度新增分別針對(duì)PII控制者和處理者的控制要求。

ISO 27701擴(kuò)展了ISO 27001的要求，在原有管理、實(shí)施、操作、監(jiān)控、審查和不斷改進(jìn)ISMS的流程基礎(chǔ)上，著重考慮了對(duì)于企業(yè)所持有PII的隱私保護(hù)。同時(shí)ISO 27701對(duì)ISO 27002實(shí)施指南中的隱私性進(jìn)行了解釋和擴(kuò)展，除業(yè)務(wù)連續(xù)性以外的所有控制域均增加了關(guān)于PII隱私的實(shí)施指南。ISO 27701分別從PII控制者和PII處理者的角度，補(bǔ)充說(shuō)明了收集和處理PII的條件、對(duì)PII主體的隱私保護(hù)義務(wù)、Privacy by design and privacy by default以及PII共享、轉(zhuǎn)移和披露的相關(guān)要求。

伴隨著數(shù)字時(shí)代的到來(lái)，數(shù)字化信息處理日趨普遍。對(duì)于PII處理而言，人們?cè)谙硎軘?shù)字化所帶來(lái)的諸多便利同時(shí)，也面臨著由PII數(shù)字化所帶來(lái)的風(fēng)險(xiǎn)。PIMS作為一個(gè)國(guó)際通用的隱私信息管理工具，能夠有效的協(xié)助企業(yè)對(duì)對(duì)隱私風(fēng)險(xiǎn)進(jìn)行識(shí)別、分析、采取措施將風(fēng)險(xiǎn)降到可接受水平并維持該水平，并建立隱私保護(hù)體系，從管理與技術(shù)等多方面出發(fā)，從而使企業(yè)滿足國(guó)內(nèi)外的監(jiān)管合規(guī)要求。同時(shí)，隱私信息管理體系的建設(shè)，一定程度上也是企業(yè)隱私保護(hù)能力的一種體現(xiàn)，能夠增強(qiáng)企業(yè)與消費(fèi)者、合作伙伴甚至是監(jiān)管部門的相互信任。