? ? ? ?數(shù)據(jù)濫用、數(shù)據(jù)竊取、隱私泄露以及“大數(shù)據(jù)殺熟”等數(shù)據(jù)安全問題呈現(xiàn)爆發(fā)趨勢。在此背景下，全球各個(gè)國家紛紛頒布相關(guān)法律法規(guī)，對(duì)數(shù)據(jù)安全與隱私保護(hù)相關(guān)問題進(jìn)行嚴(yán)格的規(guī)范與引導(dǎo)。

ISO/IEC 27701:2019標(biāo)準(zhǔn)的發(fā)布，將隱私保護(hù)的原則、理念和方法，融入到信息安全保護(hù)體系中，并且對(duì)PII控制者和PII處理者進(jìn)行了較為詳細(xì)且落地性強(qiáng)的規(guī)定，給企業(yè)在隱私保護(hù)和信息安全方面給出了指導(dǎo)建議

一、?隱私保護(hù)各國立法

1. GDPR

歐盟于2018年5月25日正式實(shí)施了《通用數(shù)據(jù)保護(hù)條例》 (《General Data Protection Regulation》,簡稱《GDPR》)，是一項(xiàng)保護(hù)歐盟公民個(gè)人隱私和數(shù)據(jù)的法律，其適用范圍包括歐盟成員國境內(nèi)企業(yè)的個(gè)人數(shù)據(jù)、也包括歐盟境外企業(yè)處理歐盟公民的個(gè)人數(shù)據(jù)。

? ?

2. CCPA

美國已有多個(gè)州先在數(shù)據(jù)安全與隱私保護(hù)進(jìn)行了立法，其中最著名的要數(shù)2018年6月加州通過《加州消費(fèi)者隱私法案》（ 《California Consumer Privacy Act》, 簡稱《CCPA》）。該法案被稱為美國“最嚴(yán)厲和最全面的個(gè)人隱私保護(hù)法案”，將于2020年1月1日生效。

3.?《中華人民共和國網(wǎng)絡(luò)安全法》

? ?我國于2017年6月1日正式實(shí)施《中華人民共和國網(wǎng)絡(luò)安全法》（通常簡稱《網(wǎng)安法》）。《網(wǎng)安法》是我國首部全面規(guī)范網(wǎng)絡(luò)空間安全管理方面問題的基礎(chǔ)性法律，包含的內(nèi)容十分豐富，一共包括7章79條，包含網(wǎng)絡(luò)運(yùn)行安全、關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全、網(wǎng)絡(luò)信息安全等內(nèi)容。

二、ISO/IEC 27701標(biāo)準(zhǔn)介紹

1.?關(guān)鍵術(shù)語解釋

PII：個(gè)人可識(shí)別身份信息，指 a) 任何可以識(shí)別PII主體的信息或 b) 直接或間接與PII主體相關(guān)的信息PIMS：Privacy Information Management System，隱私信息管理體系Customer：PII控制者的customer：與PII控制者有合約關(guān)系的組織，可以是共同控制者PII處理者的customer：與PII處理者有合約關(guān)系的PII控制者與PII處理的分包商有合約關(guān)系的PII處理者

2. ISO 27701結(jié)構(gòu)組成

ISO 27701是ISO 27001和ISO 27002在隱私信息管理方面的擴(kuò)展，并在隱私保護(hù)方面提供了必要的額外要求。ISO/IEC 27701標(biāo)準(zhǔn)的正文由8個(gè)條款組成，其中：

條款1-4，給出了標(biāo)準(zhǔn)的范圍，術(shù)語、定義等。

條款5介紹了ISO 27001中延伸出的關(guān)于PIMS的擴(kuò)展要求以及本標(biāo)準(zhǔn)對(duì)PIMS的附加要求。

條款6介紹了ISO 27002中對(duì)PIMS的擴(kuò)展及附加要求。上述條款對(duì)PII的控制者和處理者均適用。

條款7給出了針對(duì)PII控制者的ISO 27002擴(kuò)展指南。

條款8給出了針對(duì)PII處理者的ISO 27002擴(kuò)展指南。這兩章從PII的收集和處理，對(duì)PII主體的義務(wù)，Privacy by design & Privacy by default，PII的共享、傳輸和披露四個(gè)方面做出了相應(yīng)規(guī)定。

附錄A是針對(duì)PII控制者的PIMS特定的控制目標(biāo)和控制措施。

附錄B是針對(duì)PII處理者的PIMS特定的控制目標(biāo)和控制措施。

附錄C給出了標(biāo)準(zhǔn)與ISO/IEC 29100的映射。

附錄D是與GDPR的映射。

附錄E是與ISO/IEC 27018和ISO/IEC 29151的映射。

附錄F則是如何在處理PII時(shí)將ISO/IEC 27001和ISO/IEC 27002擴(kuò)展到隱私保護(hù)。

總體而言，標(biāo)準(zhǔn)通過第5章和第6章將ISO 27002與附加的PIMS控制項(xiàng)構(gòu)成了完整的信息安全和隱私管理體系。第7章和第8章從數(shù)據(jù)生命周期的角度新增分別針對(duì)PII控制者和處理者的控制要求。

三、ISO/IEC 27701標(biāo)準(zhǔn)重點(diǎn)解讀

3.1）ISO 27701嵌套在ISO 27000系列中，并要求符合ISO 27001標(biāo)準(zhǔn)。

ISO 27701擴(kuò)展了ISO 27001的要求，在原有信息安全的流程基礎(chǔ)上，著重考慮了對(duì)于企業(yè)所持有PII的隱私保護(hù)。同時(shí)ISO 27701對(duì)ISO 27002實(shí)施指南中的隱私性進(jìn)行了解釋和擴(kuò)展，除業(yè)務(wù)連續(xù)性以外的所有控制域均增加了關(guān)于PII隱私的實(shí)施指南。ISO 27701分別從PII控制者和PII處理者的角度，補(bǔ)充說明了收集和處理PII的條件、對(duì)PII主體的隱私保護(hù)義務(wù)、

3.2）ISO 27701在對(duì)ISO 27001/27002的擴(kuò)展要求中，除將“信息安全”替換為“信息安全和隱私”外，同時(shí)擴(kuò)展了相關(guān)控制域中的控制項(xiàng)。

3.3?原有的以業(yè)務(wù)和資產(chǎn)為主線的信息安全風(fēng)險(xiǎn)評(píng)價(jià)中增加隱私生命周期處理風(fēng)險(xiǎn)。

? ? 組織應(yīng)在整個(gè)風(fēng)險(xiǎn)評(píng)估過程中確保信息安全與PII保護(hù)之間的關(guān)系得到適當(dāng)管理。組織可以根據(jù)自身PIMS情況，對(duì)信息安全和隱私保護(hù)進(jìn)行統(tǒng)一流程的綜合評(píng)估，也可以根據(jù)實(shí)際需要采用獨(dú)立的流程進(jìn)行分別評(píng)估。

? ?ISO 27701的目標(biāo)是通過對(duì)于隱私保護(hù)的控制實(shí)現(xiàn)對(duì)ISMS進(jìn)行補(bǔ)充，使企業(yè)建立PIMS，實(shí)現(xiàn)有效的隱私管理，從而使企業(yè)獲益。??

四、ISO/IEC 27701認(rèn)證收益

ISO/IEC 27701該標(biāo)準(zhǔn)為企業(yè)和其他組織提供了一個(gè)國際通用的隱私信息管理工具，對(duì)于降低企業(yè)隱私合規(guī)難度，便利企業(yè)提供合規(guī)證明，增強(qiáng)社會(huì)各方對(duì)企業(yè)的信任程度具有重要意義。實(shí)施隱私信息管理，至少獲得如下收益：

1）滿足合規(guī)要求。通過明確對(duì)PII處理者的隱私保護(hù)要求，可以明確隱私保護(hù)管理合規(guī)目標(biāo)，減輕組織合規(guī)負(fù)擔(dān)的同時(shí)降低組織合規(guī)風(fēng)險(xiǎn)，ISO27701標(biāo)準(zhǔn)附錄D中明確表示，單個(gè)隱私控制點(diǎn)可以滿足GDPR中的多項(xiàng)要求。滿足了 ISO27701 標(biāo)準(zhǔn)也就意味著基本滿足 GDPR 的要求，而 GDPR 是眾多隱私保護(hù)法規(guī)中最為嚴(yán)格的，也就意味著滿足了即將頒布的《隱私保護(hù)法》的系列要求。

2）完善數(shù)據(jù)安全能力和風(fēng)險(xiǎn)管理。實(shí)現(xiàn)持續(xù)的完善產(chǎn)品的非功能性要求，進(jìn)而展示出產(chǎn)品在處理個(gè)人隱私安全、安全治理的績效，通過流程分析，在流程的輸入、輸出、控制過程中，識(shí)別、分析、驗(yàn)證隱私保護(hù)需求、傳遞隱私保護(hù)價(jià)值，減少甚至消除隱私泄露的風(fēng)險(xiǎn)，如：體現(xiàn)為采用隱私控制技術(shù)（如日志脫敏、數(shù)據(jù)庫加密）、產(chǎn)品架構(gòu)（如加密芯片）、技術(shù)路徑（如完整性校驗(yàn)）等。

3）PIMS認(rèn)證可以傳遞信任。客戶或合作伙伴，尤其是政府組織、金融機(jī)構(gòu)作為承擔(dān)隱私風(fēng)險(xiǎn)的機(jī)構(gòu)，通常會(huì)要求PII處理者提供相關(guān)證據(jù)（如PIA分析報(bào)告），從而證明PII處理者的產(chǎn)品能符合適用的隱私管理體系要求。通過得到授權(quán)的第三方機(jī)構(gòu)對(duì)PII處理者進(jìn)行基于國際標(biāo)準(zhǔn)的審核，可以極大地降低合規(guī)溝通成本，這種合規(guī)透明度的提高對(duì)于組織戰(zhàn)略和業(yè)務(wù)決策至關(guān)重要，同時(shí)PIMS認(rèn)證也有助于向公眾傳達(dá)組織的可信度。

? ? 深圳中標(biāo)國際標(biāo)準(zhǔn)咨詢有限公司m.wqjxjyw.cn?為組織提供信息安全和隱私保護(hù)整體方案解決、