引言

從預約掛號到網(wǎng)上銀行業(yè)務服務的數(shù)字化、全球化以及個性化導致個人信息比以往更多地被收集和處理。隨著新的服務機會涌現(xiàn)以及新市場參與者的出現(xiàn)，這一趨勢在持續(xù)不斷的增長。

如今，多種多樣的平臺已成為人們日常生活不可或缺的一部分，個人信息在這些平臺中也被廣泛的收集。例如，移動應用、會員計劃、設備互聯(lián)位置廣告。這意味著我們經(jīng)常在未經(jīng)深思熟慮的情況下提供我們的數(shù)據(jù)，從而導致與以往相比，有更多數(shù)據(jù)被隨意傳播。無論是約會網(wǎng)站、電信服務提供商還是公共服務組織，我們幾乎每天都看到有關個人信息被泄露的新聞事件。這使得對個人信息濫用問題的關注不斷增強，也意味著組織對此決不能掉以輕心。

對這些問題充分的認識，已經(jīng)引發(fā)了個人和政府部門在對個人數(shù)據(jù)收集、使用和保護方式上越來越多的關注；為此，一些政府部門擬定或者實施了新的法規(guī)，旨在提供與個人數(shù)據(jù)處理相關的指南和要求。

在歐洲，《通用數(shù)據(jù)保護條例》(GDPR)的推出協(xié)調了各類數(shù)據(jù)隱私法律，充分反映了我們現(xiàn)在所生活的數(shù)字世界的現(xiàn)實狀況。

許多其他國家/地區(qū)（例如，韓國、澳大利亞和中國）也在制定數(shù)據(jù)保護法規(guī)。由于預期監(jiān)管環(huán)境將日益加強以及需要一套通用的概念來處理個人數(shù)據(jù)保護，國際標準化組織(ISO)和國際電工委員會(IEC)已經(jīng)主動創(chuàng)建標準來提供此類指南。這些標準有助于提供框架，以幫助組織在不斷變化的監(jiān)管態(tài)勢下，證明對個人數(shù)據(jù)的保護以及對不同法規(guī)的遵從。對于組織增強其對隱私和相關義務的承諾的可信度，認證也是非常有用的方式。

管理個人信息

鑒于我們運營所處的環(huán)境在不斷變化，針對組織應當如何管理和處理數(shù)據(jù)，以減少個人信息風險的相關指南重大意義。因此，以新國際標準的形式提供的有關組織應當如何管理個人信息，并幫助其證明對全球最新隱私法規(guī)的遵從的指南具有非常強大的影響力。這是面向信息管理的ISO/IEC 27701應運而生的原因所在。

什么是ISO/IEC 27701？

現(xiàn)已發(fā)布的這一新的國際標準正式名稱為ISO/IEC27701（安全技術—對ISO/IEC27001和ISO/IEC27002的擴展以適用于隱私信息管理—要求與指南）。由于許多組織已經(jīng)實施了基于ISO/IEC27001的信息安全管理體系(ISMS)，并且使用來自ISO/IEC27002的指南，在此基礎之上，隱私保護指南的提供則非常順理成章。

ISO/IEC27701是在隱私保護方面對ISO/IEC27001和ISO/IEC27002的擴展，針對保護可能受到個人信息收集和處理影響的隱私提供了更多相關指南。設計的目的在于借助更多的要求增強現(xiàn)有ISMS，以建立、實施、維 護和持續(xù)改進隱私信息管理體系(PIMS)。標準草案概述了適用于個人身份信息(PII)控制者和PII處理者的框架，以有效管理隱私控制，降低個人隱私權面臨的風險（參見表一）。這些附加要求和指南的編寫，對于任何規(guī)模和文化環(huán)境的組織都具有實用性和可用性。

ISO/IEC27701的發(fā)布計劃

圖一顯示了以作為國際標準發(fā)布為目標的ISO/IEC 27701預期發(fā)展路線圖。

標準的正式發(fā)布，目的在于使組織能夠獲得針對ISO/IEC27701的認證，以此作為ISO/IEC27001管理體系的擴展。換而言之，計劃尋求通過ISO/IEC27701認證的組織還需要通過ISO/IEC27001認證，以對信息安全和隱私管理的承諾。

ISO/IEC 27701適用性

針對個人信息保護的要求和指南，因組織的環(huán)境以及適用國家法律和法規(guī)而異。ISO/IEC27001要求充分理解 并考慮這種環(huán)境因素。ISO/IEC27701則更加具體。它包括與下列內容的對應：

•ISO/IEC29100中定義的隱私框架和原則；以及

•側重于PII的ISO/IEC27018和ISO/IEC29151。

不過，所有這些對應都需要考慮到本地法律和法規(guī)。另外值得注意的是，ISO/IEC27701適用于所有作為PII處理者、控制者或者二者兼?zhèn)涞慕M織；ISO/IEC27018專門適用于公有云服務提供商。

ISO/IEC27701可被PII控制者（包括那些PII聯(lián)合控制者）和PII處理者（包括那些外包PII處理服務的處理者）使用。

遵循ISO/IEC27701要求的組織通常會輸出一些書面的證據(jù)以證明其處理個人信息的方式。這些證據(jù)有助于組織證明其與商業(yè)伙伴簽訂的個人數(shù)據(jù)處理活動相關的協(xié)議的符合性。還可能有助于促進與其他利益相關方的關系。如果需要，將ISO/IEC27701與ISO/IEC27001一并使 用可提供對此證據(jù)的獨立性的認證，盡管遵循這些標準 不能作為法律法規(guī)的合規(guī)性證據(jù)。

ISO/IEC 27701的優(yōu)勢

•在利益相關方之間提供透明度

•有助于增強信任

•提供更具協(xié)作性的方法

•更有效的業(yè)務協(xié)議

•更清晰的角色和職責

•通過與ISO/IEC 27001相結合減少復雜性

如需驗證是否一致地實施了標準所規(guī)定的適當運營控制，并執(zhí)行相關隱私法規(guī)的合規(guī)要求，必須采取措施：

1.建立相關監(jiān)管要求與標準控制項之間的對應關系；

2.列舉標準控制項尚未完全涉及的具體監(jiān)管要求，以及 滿足這些要求所需要的條件；

3.在審核周期中，將上述內容融入風險評估流程。

以ISO/IEC27701中的數(shù)據(jù)泄露管理的控制項和GDPR的泄露通知要求（條款33）為例，標準中的安全事件管理的控制項與GDPR的數(shù)據(jù)泄露要求直接對應。

不過，標準不包含GDPR中所規(guī)定的72小時通知要求。如組織需證明其已經(jīng)實施并履行GDPR的要求，他們必須向審核員證明，組織有在數(shù)據(jù)泄露確認后72小時內通知數(shù)據(jù)主體和隱私監(jiān)管機構的統(tǒng)一流程，也有流程確定泄露事件是否涉及歐洲公民或者泄露數(shù)據(jù)處理是否在歐 洲發(fā)生，且在上述情況下將在要求的時限內觸發(fā)通知。

映射標準與法規(guī)的對應關系并識別特殊的監(jiān)管要求及其適用條件，是控制者和處理者能夠通過ISO/IEC 27701證明其符合眾多隱私法規(guī)的必要機制。

數(shù)據(jù)隱私法律

隨著組織數(shù)據(jù)安全和降低數(shù)據(jù)泄露風險所面臨的挑戰(zhàn)日益增多，隱私法律也要不斷更新迭代以跟上持續(xù)變化的業(yè)務態(tài)勢。值得注意的是，歐盟GDPR已經(jīng)引起了廣泛的關注。GDPR旨在維護個人有權保護與其相關的個人信息基本權利和自由。

在數(shù)據(jù)處理活動以及個人信息在歐盟成員國間自由流動方面，這些權利同樣必須被維護。數(shù)據(jù)處理應當維護個人數(shù)據(jù)歸屬的自然人的利益。世界各地都有類似的法律來保護個人信息和公民權利，這也包括一些行業(yè)特定法規(guī)，例如，醫(yī)療健康、零售和銀行業(yè)。

醫(yī)療健康行業(yè)

作為一個會收集最敏感個人信息的行業(yè)，醫(yī)療健康行業(yè)特定數(shù)據(jù)保護法律具有重大意義。例如，《法國公共衛(wèi)生法》（條款L.1111-8）要求托管某些類型健康/醫(yī)療數(shù)據(jù)的服務提供商必須獲得針對此類活動的認證。美國《健康保險攜帶和責任法案》(Health Insurance Portability and Accountability Act)規(guī)定了患者的敏感數(shù)據(jù)保護的標準，并且要求美國的健康計劃、醫(yī)療健康結算機構和醫(yī)療健康提供商、或者作為可接觸個人健康信息的供應商或分包商的任何組織和個人須遵守此標準。

歐洲數(shù)字單一市場政策也同樣值得關注。這是2015年公布的一項政策，涵蓋數(shù)字營銷、電子商務和電信領域。其目的在于為個人和企業(yè)提供更多機會，打破現(xiàn)有壁壘。它有三大核心支柱：

•訪問在線產(chǎn)品和服務

•為數(shù)字網(wǎng)絡與服務的持續(xù)增長和繁榮提供條件

•歐洲數(shù)字經(jīng)濟的增長

該項政策為跨境數(shù)據(jù)處理和商務提供了便利。不過，歐盟成員國的數(shù)據(jù)隱私法律的差異被認為是歐洲數(shù)字單一市場成功的一大障礙。因此，GDPR的推出是非常積極的變化，它有助于協(xié)調整個歐盟在數(shù)據(jù)隱私保護方面的法律法規(guī)。

認證機制以幫助證明數(shù)據(jù)保護法律的合規(guī)性

GDPR鼓勵制定數(shù)據(jù)保護認證機制和數(shù)據(jù)保護標志與標識，來幫助證明控制者和處理者遵守相關的數(shù)據(jù)處理操作法規(guī)（GDPR (EU) 2016/679，條款42）。此外，此類認證和標志還可用于證明組織已經(jīng)采取正確的措施以符合GDPR的方式處理個人信息。

一致的認證機制可以將所有重要的“責任”因素納入考慮 范圍，促進風險降低并改進個人信息的自由流動。這有助于組織提供有用的服務，同時，如圖二所示，可增強流程透明度并向客戶證明在個人信息保護方面的誠信度。

它還凸顯了數(shù)據(jù)處理對于供應鏈管理的重要性，因為控制者要在數(shù)據(jù)的整個生命周期對其完全負責。以由航空公司和銀行聯(lián)合推出的信用卡之類的產(chǎn)品為例，來自雙方的客戶信息需要被交換，以識別哪些客戶可能選擇此類產(chǎn)品，客戶個人信息交換可能引發(fā)風險。

各方如何驗證另一方將充分保護客戶數(shù)據(jù)？隨著更多的商業(yè)伙伴的加入，這種風險會不斷加劇。例如，與營銷公司簽約來針對目標客戶進行營銷，以及在社交媒體平臺上購買廣告。云服務也可能被營銷公司用于存儲和處理與這類營銷活動相關的數(shù)據(jù)。認證可作為獨立的驗證結論，將證明組織用于評估在整個供應鏈中組織間交換個人信息的風險的流程和控制的有效性。

不過，如圖二(a)所示，如果一個組織使用了一套認證機制，而另一個組織使用了另一套認證機制，這可能無法為業(yè)務合作伙伴提供必要的保障或者信任，以證明其客戶的個人信息被適當處理。鑒于業(yè)務全球化的性質，需 要一致和統(tǒng)一的認證機制來證明組織遵守了相關法規(guī)，有效保護個人信息并且為業(yè)務增長提供助力（如圖二(b)所示）。在所有領域和行業(yè)之間采用一致的為GDPR所認同的認證機制對緩解風險，及打破商務合作伙伴之間的貿(mào)易壁壘十分必要。

近期，歐盟網(wǎng)絡與信息安全局發(fā)布了針對GDPR認證的建議。ENISA指出認證、標志和標識對于使數(shù)據(jù)控制者實現(xiàn)并證明其處理操作符合GDPR要求起著重要作用。

ENISA建議在歐盟委員會(European Commission)和歐洲數(shù)據(jù)保護委員會(European Data Protection Board)指引和支持下的國家認證機構和監(jiān)管機構應采用一致的方法以建立和應用GDPR認證機制 。他們還建議這種方法應當可擴展并且使用經(jīng)實踐驗證和廣泛采用的準則。整個歐洲對認證機制的一致性和兼容性性高度重視，可信度和透明度要作為認證機制的重 要特征。

ISO/IEC 27701是一個有潛力的認證機制

ISO/IEC 27701能夠滿足上述所有建議，并且預期可被用作認證機制的基礎（如條款42規(guī)定）。如果采用了這種認證機制，組織能夠提供其合法處理其客戶的個人信息的必要證據(jù)，這也包括了跨境數(shù)據(jù)轉移的情況。ISO/IEC 27701適用于所有規(guī)模和不同企業(yè)文化的組織。它適用于對于員工和客戶PII的收集與處理。這套基于信息安全技術控制措施并拓展了隱私要求相關的技術措施，有助于證明組織對于數(shù)據(jù)隱私法律（例如，GDPR）的合規(guī)性。

因此，證明符合ISO/IEC27701所規(guī)定的控制措施，并生成其所要求的能夠作為組織證明其處理PII方式的文檔，能夠：

•通過減少重復認證以降低認證工作量

•通過證明對數(shù)據(jù)隱私法律的合規(guī)性，增強組織和客戶 間的信任

•提供證據(jù)以使數(shù)據(jù)保護官能夠為最高管理層和董事會 成員展現(xiàn)其在隱私法規(guī)符合性方面的成績

•通過歐盟數(shù)字單一市場和跨境數(shù)據(jù)轉移，創(chuàng)造業(yè)務機會

而且，ISO/IEC 27701的應用也將進一步強化組織現(xiàn)有ISMS，創(chuàng)建PIMS以在整個組織內實現(xiàn)有效隱私管理。通過現(xiàn)有的健全的ISO/IEC 27001（被公認為成功 的信息安全標準）認證審核員網(wǎng)絡，ISO/IEC 27701能夠被很好整合到現(xiàn)有審核過程中。

ISO/IEC 27701通過公認的共識驅動型流程進行開發(fā)；這是開發(fā)標準的關鍵任務之一。目前，標準已經(jīng)引入了各個行業(yè)以及監(jiān)管機構的意見和建議；這也包括由來自所有歐盟國家的數(shù)據(jù)保護機構(DPA)組成的歐洲數(shù)據(jù)保護委員（原條款29工作組）的參與和審查。DPA以認可機構將需要確?；贗SO/IEC 27701的認證機制， 能夠充分幫助所有行業(yè)以及所有規(guī)模的組織證明對隱私法規(guī)的符合性。此外，認證機制也需要關注控制者和處 理者的需求，ISO/IEC 27701中也包含了大量與其相關的控制措施。

利益相關方參與的重要性

如前所述，ISO/IEC 27701是 對ISO/IEC 27001的擴展，并且是在ISO管理體系通用標準框架（通常稱為“AnnexSL”）中制定的，允許組織更高效地實施多種管理體系。圖三顯示了各利益相關方的責任及其角色的重要性。

由于已熟悉了現(xiàn)有的ISO/IEC 27001 ISMS，一旦采用了ISO/IEC 27701，所有這些利益相關方也更容易掌握新標準。它們擁有共同的個人信息管理的目標，并且需要一種公認的方法來證明個人信息得以認真的對待，這就是ISO/IEC 27701的意義所在。

結論

總之，有效管理個人信息以順應不斷變化的監(jiān)管態(tài)勢是復雜的，但是又不容忽視。保護每個人的個人信息是基本人權之一。在與個人生活相關的業(yè)務和數(shù)據(jù)變得日益全球化的情況下，全球各地區(qū)都頒布相關法律以保護這些權利。

歐盟GDPR的頒布旨在確保以合法的方式收集和處理PII，它支持歐盟數(shù)字單一市場所需要的跨境數(shù)據(jù)轉移。歐盟GDPR認為要增強對組織處理個人數(shù)據(jù)方式的信任，并通過提供組織間的保障創(chuàng)造業(yè)務機會。證明合規(guī)的認證機制仍然有很長的路要走，如果要在歐盟成員國以及歐洲之外的國家/地區(qū)間一致地實施認證以支持全球商務和業(yè)務，尤為如此。

ISO/IEC 27701的引入是對現(xiàn)有標準組合的必要補充。實施ISO/IEC 27701規(guī)定的控制措施使組織能夠保留其處理個人信息的方式的證據(jù)。如果個人信息處理具有彼此相關性，此類證據(jù)可被用于促進與業(yè)務合作伙伴達成協(xié)議，而如果具有廣泛認可的認證機制，此類證據(jù)能夠幫助證明其對數(shù)據(jù)保護法律（例如，GDPR）的符合。

中企檢測認證網(wǎng)提供iso體系認證機構查詢，檢驗檢測、認證認可、資質資格、計量校準、知識產(chǎn)權貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關檢驗、檢測、認證、計量、校準機構，儀器設備、耗材、配件、試劑、標準品供應商，法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權、版權法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構、網(wǎng)絡信息技術檢測、環(huán)境檢測、管理體系認證、服務體系認證、產(chǎn)品認證、版權登記、專利申請、知識產(chǎn)權、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權、版權、商標、專利的轉讓代理查詢法律法規(guī)，咨詢輔導等知識。

本文內容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質量認證中心

免責聲明：本文部分內容根據(jù)網(wǎng)絡信息整理，文章版權歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內容、版權和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202008/ccaa_5923.html