关于ISO27701隐私信息管理的十问十答

一、隐私保护的重要性被不断强调,我国有与此相关的法律法规吗?
《中国人民共和国刑法》第二百五十三条之一:违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
2017年6月1日起正式实施的《中华人民共和国网络安全法》(通常简称《网安法》),是我国首部全面规范网络空间安全管理方面问题的基础性法律,一共有7章79条,包含了网络运行安全、关键信息基础设施的运行安全、网络信息安全等内容。《网安法》的第四十至四十五条中,明确了在数据(包括个人信息)安全与保护上的诸多规定。
此外,我国还先后出台了《信息安全技术个人信息安全规范》、《App违法违规收集使用个人信息自评估指南》、《互联网个人信息安全保护指南》等规范和指南,明确规定了个人信息收集、存储和使用等方面的诸多要求。《个人信息和重要数据出境安全评估办法(征求意见稿)》《信息安全技术数据出境安全评估指南(草案)》《个人信息保护法(草案)》也在意见收集过程中,并将陆续颁布。
二、隐私保护有哪些相关的主体角色?
ISO 29100中定义了以下角色:
PII主体:与个人身份信息(PII)相关的自然人
PII控制者:有权决定个人信息处理目的、方式等的组织或个人。
PII处理者:按照PII控制者的要求处理个人身份信息等的组织或个人。
三、ISO组织有哪些关于隐私保护的标准?
ISO 27001 信息安全管理体系要求
ISO 27002 信息安全控制实用规则
ISO 27018 公有云中PII处理者的PII保护实用规则
ISO 29100 隐私框架
ISO 29134 隐私影响评估指南
ISO29151 PII保护实用规则
ISO 27701 扩展的ISO/IEC 27001和ISO/IEC 27002-隐私信息管理要求和指南
四、ISO 27701标准的结构
ISO 27701是ISO 27001和ISO 27002在隐私信息管理方面的扩展,并在隐私保护方面提供了必要的额外要求。ISO/IEC 27701标准的正文由8个条款组成,其中:
条款1-4,给出了标准的范围,术语、定义等。条款5介绍了ISO 27001中延伸出的关于PIMS的扩展要求以及本标准对PIMS的附加要求。条款6介绍了ISO 27002中对PIMS的扩展及附加要求。上述条款对PII的控制者和处理者均适用。条款7给出了针对PII控制者的ISO 27002扩展指南。条款8给出了针对PII处理者的ISO 27002扩展指南。这两章从PII的收集和处理,对PII主体的义务,Privacy by design & Privacy by default,PII的共享、传输和披露四个方面做出了相应规定。
附录A是针对PII控制者的PIMS特定的控制目标和控制措施。附录B是针对PII处理者的PIMS特定的控制目标和控制措施。附录C给出了标准与ISO/IEC 29100的映射。附录D是与GDPR的映射。附录E是与ISO/IEC 27018和ISO/IEC 29151的映射。附录F则是如何在处理PII时将ISO/IEC 27001和ISO/IEC 27002扩展到隐私保护。
总体而言,标准通过第5章和第6章将ISO 27002与附加的PIMS控制项构成了完整的信息安全和隐私管理体系。第7章和第8章从数据生命周期的角度新增分别针对PII控制者和处理者的控制要求。
五、ISO27701的适用范围
本标准可供PII控制者(包括联合PII控制者)和PII处理者(包括使用分包的PII处理者和作为分包商处理PII的PII处理者)使用。
六、 ISO 27701 VS ISO 27001 & 27002
本标准基于ISO 27001和ISO 27002,在应用本标准时,应将原ISO 27001及ISO 27002中的“信息安全”替换为“信息安全和隐私”。本标准中仅列出替换后仍需说明的额外PIMS相关要求。
ISO 27002 中共14个控制域,每个控制项中包含控制措施、实施指南和其他信息。将所有“信息安全”替换为“信息安全和隐私”后,除了“业务连续性管理的信息安全方面”的控制域,ISO 27701对ISO 27002中控制域中的实施指南和其他信息均有额外的补充,但控制措施均延续ISO 27002的控制措施(仅将“信息安全”替换为“信息安全和隐私”)

七、ISO 27701与各标准之间的关系

a) ISO 27701是ISO 27001和ISO 27002在隐私方面的扩展。
b) ISO 27002为ISO 27001提供风险处置具体的控制目标和控制措施。
c) ISO 29100、ISO 27018、ISO 29151均为隐私方面的标准,有不同的侧重点,与ISO 27701互为补充。
d) ISO 27001帮助企业建立ISMS,通过有效的风险管理来保护和管理组织的所有信息,从数据安全方面满足GDPR的部分要求。
e) ISO 27701加入了隐私保护的额外要求,更全面地覆盖了GDPR的要求。

八、 ISO 27701 VS ISO 29151&27018

ISO/IEC 29151为PII控制者处理PII提供了额外的控制和指导。ISO/IEC 27018为充当PII处理者并提供公共云服务的组织提供了进一步的信息。
ISO 27701在ISO 27001和ISO 27002的基础上,遵循PDCA的理念,从管理体系的角度分别对个人可识别信息控制者和个人可识别信息处理者进行规范和指导。另外,ISO 27701更全面地覆盖了GDPR的要求。
ISO 27701的附录E给出了ISO 27701与ISO/IEC 27018和ISO/IEC 29151之间的指示性映射,用以说明ISO 27701的要求和控制措施如何与ISO/ IEC 27018和/或ISO/IEC 29151的规定保持一致。
九、ISO 27701 VS GDPR

ISO 27701的认证能在极大程度上表明组织符合GDPR的要求。根据附录D ISO 27701与GDPR适用条款(Article 4-42, 44-49)之间的映射关系,通过对比GDPR的原条款,发现ISO 27701覆盖了绝大部分GDPR的要求,仅个别GDPR的条款未被ISO 27701覆盖,条款涉及的主要内容如下:
Article 14个人数据还未从数据主体处获得时(数据控制者)应提供的信息 (5)(a):数据控制者应当向数据主体提供所规定提供给数据主体的信息,除非数据主体已获知相关信息
Article 23限制:欧盟或成员国法律可以通过立法手段限制本法第12条至第22条和第34条规定的权利义务范围
Article 35数据保护影响评估 (6):此段针对监管机构,规定了在给出数据保护影响评估相关清单时需应用一致性机制的场景
Article 36事先咨询 (4):数据保护影响评估表明在数据控制者缺乏减轻风险的措施会导致高风险时,数据控制者应当在处理前向监管机构咨询
尽管根据ISO 27701和GDPR的映射来看,GDPR的内容基本均在ISO 27701中有所体现,但仍不能认为ISO 27701可以作为表明完全符合GDPR的全球性认证。主要是由于通用性的国际标准无法完全符合某个国家或地区具体的法律法规。由于ISO 27701为国际通用地标准,某些要求仅通用性地指出应遵守某些适用地法律法规,未包含具体地规定,而GDPR则明确指出具体地要求。

十、实施ISO 27701对组织来说有哪些必要性?
ISO 27701的目标是通过对于隐私保护的控制实现对ISMS进行补充,有效的协助组织对隐私风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平,帮助组织建立PIMS,实现有效的隐私管理,从而使组织获益。
通过明确对PII控制者和处理者的隐私保护要求,可以使组织明确隐私保护管理合规目标,减轻组织合规负担的同时降低组织合规风险,ISO27701标准附录D中明确表示,单个隐私控制点可以满足GDPR中的多项要求。
实现持续的个人隐私安全合规对于任何组织都是一个安全治理的课题,ISO27701通过建立PIMS,可以确保组织高级管理层、组织所有者以及关键相关方的利益满足隐私保护要求,从而使组织实现长期、有效的个人隐私安全合规。
PIMS认证可以向客户或合作伙伴传达隐私合规价值。PII控制者通常会要求PII处理者提供相关证据,从而证明PII处理者的隐私管理体系符合适用的隐私管理要求。通过得到授权的第三方机构对PII处理者进行基于国际标准的审核,可以极大地降低合规沟通成本,这种合规透明度的提高对于组织战略和业务决策至关重要,同时PIMS认证也有助于向公众传达组织的可信度。