2019 年 8 月 6 日，國際標準化組織 (ISO) 和國際電工委員會 (IEC) 發(fā)布了 ISO/IEC 27701 (ISO 27701)——ISO/IEC 27001 和 ISO/IEC 27002 的隱私擴展，旨在幫助組織機構保護和控制所處理的個人信息。與現(xiàn)有 ISO 標準 ISO 27701 補充類似，該新 ISO 標準可能成為組織機構保護個人可識別信息 (PII) 的事實標準，且可能用于證明包括《通用數(shù)據(jù)保護條例》(EU) 2016/679 (GDPR) 在內(nèi)的全球隱私合規(guī)。

對安全合規(guī)而言，該新標準相當于錦上添花。著名的 ISO 27001 筑基，新 ISO 27701 則建立在此基礎上，提供全面的信息安全控制和個人信息保護。

      ISO27701隱私信息管理體系是什么？

      ISO 27701 源自 ISO/IEC 27552，為建立、實現(xiàn)、維護和持續(xù)改進隱私信息管理系統(tǒng) (PIMS) 提供具體要求和指南，令 PIMS 作為 ISO 27001 中定義的靈活信息安全管理系統(tǒng) (ISMS) 的擴展，在信息安全的基礎上將處理 PII 所需的隱私保護納入考慮。與 ISO 27001 標準類似， ISO 27701 不期望組織機構在所有情況下采納每一條控制。相反，該標準要求組織機構理解自身 PII 處理的具體上下文，以適合其處理活動的方式調(diào)整特定控制集和與之相關的實現(xiàn)。

      為更好地理解新標準，需要弄清兩個關鍵術語：控制者和處理者。這兩個術語在很多隱私法律和規(guī)定中都能見到，包括 GDPR。通常，“控制者” 是指示為什么要收集和處理 PII 的實體，“處理者” 是代表該控制者負責處理此數(shù)據(jù)的另一個法律實體（非員工）。

新發(fā)布的標準適用于 PII 控制者（及聯(lián)合控制者）和處理者（包括下級處理者），無論其運營的行業(yè)和司法轄區(qū)，也包括到 GDPR 和 SO/IEC 29100、ISO/IEC 27018 及 ISO/IEC 29151 安全框架的映射。預計 ISO 27701 要求還將映射到其他隱私法律，如《2018 加州消費者隱私法案》(CCPA)、《金融服務現(xiàn)代化法案》(GLBA) 和《健康保險流通與責任法案》(HIPAA) 等，通過提供通用的合規(guī)標準幫助組織機構更好地符合這些監(jiān)管要求。

      下面我們就就來看看適用于控制者和處理者的關鍵 ISO 27701 要求。

       適用于控制者和處理者的要求

• 保密性：經(jīng)授權訪問 PII 的個人必須履行保密協(xié)議。
• 分析風險：必須進行隱私風險評估以識別 PII 處理風險。
• 監(jiān)管：組織機構必須指定負責開發(fā)、實現(xiàn)、維護和監(jiān)視其治理及隱私項目的個人。
• 培訓：可以訪問 PII 的人員需經(jīng)過隱私意識培訓。
• 內(nèi)部過程：組織機構必須為應對 PII 泄露事件而采納各種策略和規(guī)程，比如事件響應計劃。
• 記錄保存：ISO 27701 要求組織機構保留所有 PII 處理活動的記錄，包括 PII 在司法轄區(qū)間轉(zhuǎn)移和向第三方披露等。

        特定于控制者的要求

• 隱私通告：組織機構必須提供包含 PII 收集、使用和處理相關具體信息的隱私政策。
• 處理者合同要求：組織機構必須與其處理者簽訂書面合同，約定具體事項，比如保護 PII、限制處理操作僅可在 PII 特定用途范圍內(nèi)，以及提供 PII 泄露通報。
• 個人權益：ISO 27701 要求組織機構實現(xiàn)各種機制，賦予個人訪問、修改和刪除其 PII，以及反對或限制 PII 處理等權益。
• 設計隱私與默認隱私：組織機構必須采取措施實現(xiàn)設計隱私和默認隱私原則。

         特定于處理者的要求

• 處理限制：組織機構必須僅按控制者或處理者（取決于客戶的角色）的說明處理 PII。
• 輔助個人權益：ISO 27701 要求處理者實現(xiàn)幫助客戶遵從個人權益的種種措施。
• 轉(zhuǎn)移與披露：處理者必須于 PII 在司法轄區(qū)間轉(zhuǎn)移或任何預期變化發(fā)生前通告客戶。
• 分包商：ISO 27701 要求處理者僅可雇傭一家分包商按照客戶合同的條款處理 PII。

        ISO27701隱私信息管理體系的好處

       ISO 27701 合規(guī)首先要求 ISO 27001 合規(guī)。二者互為補充。遵從 ISO 27701 要求的組織機構會留下其 PII 處理方式的書面證據(jù)，可用于推動與商業(yè)合作伙伴就 PII 處理問題簽訂協(xié)議，明確該組織機構與其他利益相關者間的 PII 處理方式。盡管 GDPR 尚未確立官方認證方法，近期報告表明，ISO 27701 或可在近期改變這一現(xiàn)狀。

       該做什么？

      客戶若想雇傭供應商代表自己處理和維護 PII，應考慮以合同的形式要求這些供應商不僅遵從 ISO 27001，還要遵從 ISO 27701，或者在數(shù)據(jù)敏感度適用的情況下取得符合該標準的認證。即使客戶不要求供應商經(jīng)過獨立第三方的新標準合規(guī)認證，可能也想要更新合同，確保供應商能夠符合 ISO 27701 的要求。鑒于 ISO 27701 才剛發(fā)布，合同中也可寫入供應商符合新標準要求的合理時延。

已經(jīng)通過 ISO 27001 認證，希望實現(xiàn) ISO 27701 要求的組織機構，可以考慮采取下列步驟：

1. 按照 ISO 27701 的要求對現(xiàn)有 ISMS 執(zhí)行漏洞評估，生成如何解決這些漏洞的行動計劃。

2. 對組織機構收集的 PII 執(zhí)行數(shù)據(jù)映射，了解所收集 PII 的范圍，弄清處理者共享和使用 PII 的方式。

3. 依據(jù)上下文相關的內(nèi)部或外部因素，比如適用的隱私立法、規(guī)定、司法判決或合同要求等，確定組織機構作為控制者和/或處理者的角色。

4. 審核并更新隱私政策，確保含有所要求的信息。

5. 制定適用于該組織機構角色的策略和規(guī)程。

6. 開始規(guī)劃和實現(xiàn)設計隱私與默認隱私原則。