ISO 27701隱私信息管理體系

備注：本文檔僅用于學(xué)習知識傳播，如有侵權請聯(lián)系我們刪除!

一、ISO27701認證簡(jiǎn)介

ISO/IEC 27701是國際標準化組織發(fā)布的隱私信息管理體系標準，全稱(chēng)《安全技術(shù)—擴展ISO/IEC 27001和ISO/IEC 27002的隱私信息管理—要求與指南》。

該標準基于PII相關(guān)組織和利益相關(guān)方要求；明確隱私影響評估的要求；針對組織作為PII控制者/PII處理者等組織角色，形成PIMS（隱私信息管理體系）。

二、ISO27701認證適用范圍

該標準適用于所有類(lèi)型和規模的組織，包括公共和私營(yíng)公司、政府機構和非盈利組織。

三、ISO27701認證相關(guān)法律法規清單

國內與隱私保護相關(guān)的法律法規包括：《中華人民共和國網(wǎng)絡(luò )安全法》、《中華人民共和國數據安全法》和《中華人民共和國個(gè)人信息保護法》等。

國際上與隱私保護相關(guān)的法律法規包括a美國：《隱私權法》、《電子通訊隱私法》、《金融服務(wù)現代化法案》、《兒童在線(xiàn)隱私權保護法案》、《健康保險攜帶和責任法》和《有效保護隱私權的自律規范》等；b歐盟:GDPR、《關(guān)于在個(gè)人數據處理過(guò)程中保護當事人及此類(lèi)數據自由流通的指令》等；c日本：《個(gè)人信息保護法》等；d加拿大：《隱私法》和《個(gè)人信息保護與電子文件法》等；e國際交流：OECD《關(guān)于保護隱私和個(gè)人數據國際流通的指南》和《APEC隱私保護框架》等。

四、ISO27701:2019認證標準要求包括：

1.收集與處理

識別處理目的與處理的法律依據；明確獲取同意的方式、時(shí)間，并留存相應記錄；進(jìn)行隱私影響評估。

2.廣告營(yíng)銷(xiāo)

在未事先征得個(gè)人信息主體同意的前提下，不會(huì )將個(gè)人信息用于廣告營(yíng)銷(xiāo)。

3.處理義務(wù)

確定并記錄對個(gè)人信息主體所履行的法定義務(wù)和商業(yè)道德義務(wù)，并提供履行這些義務(wù)的方法；積極響應用戶(hù)的修改權、撤回同意權、拒絕權、刪除權、訪(fǎng)問(wèn)權等個(gè)人信息權利并留存相應記錄。

4.默認的隱私保護

確保流程和系統的設計能夠使個(gè)人信息的收集和處理（包括使用、披露、存儲、傳輸和刪除）僅限于最小必要范圍，并留存相關(guān)記錄。

5.共享轉移

識別是否存在共享、轉移、披露、跨境傳輸個(gè)人信息的情形，并記錄具體行為。

6.合同約定

簽署的書(shū)面合同應約定個(gè)人信息保護的相關(guān)措施，例如操作權限控制、個(gè)人信息泄露報告等。

7.員工培訓

可訪(fǎng)問(wèn)個(gè)人信息的員工應簽署保密協(xié)議，并參與隱私保護與數據安全培訓。

8.整體規劃

識別相關(guān)方的需求及期待，并明確管理體系的范圍；確定內部的人員責任及相應的目標與規劃；明確具體的運行計劃和控制措施，評估并處置風(fēng)險；內部定期評審并持續完善管理體系。