国内外标准兼容下的个人信息合规体系构建指引报告(2021)
AI智能总结
版权声明 《国内外标准兼容下的个人信息合规体系构建指引报告(2021)》(以下简称“本报告”)的版权共同属于北京市环球律师事务所和微软公司(Microsoft Corporation),并受法律保护。 您可以转载、摘编非商业化地使用本报告中的文字或者观点,并请应注明来源:《国内外标准兼容下的个人信息合规体系构建指引报告(2021)》,但不得对本报告进行改编、汇编、编译、翻译、出版。违反上述声明者,将追究其相关法律责任。 编撰团队 北京市环球律师事务所 孟洁、张淑怡、王程、许国盛、董杰睿 微软公司 李思宏、王劲松 联系人: 孟洁 电话:010-65846768 邮箱:mengjie@glo.com.cn 导读 什么是ISO/IEC 27701标准?以及该标准有哪些内容? 国 际 标 准 化 组 织 (International Organization forStandardization,ISO),于2019年8月5日发布了ISO/IEC27701:2019(简称《ISO/IEC27701》),作为用于隐私信息管理的《ISO/IEC27001》和《ISO/IEC27002》的扩展,在组织范围内增强保护隐私信息的力度。其保护对象为个人可识别信息(Personally Identifiable Information,PII),规制对象为PII控制者与PII处理者。 《ISO/IEC27701》由正文和附件共同组成,其中正文分为八个部分,附件分为七个部分。 一、正文部分 第一部分为标准范围介绍。《ISO/IEC27701》对《ISO/IEC27001》和《ISO/IEC27002》进行了扩展,建立、实施、维护和持续改进隐私信息管理系统(PIMS),并在组织范围内进行隐私管理,为PII控制者和PII处理者在处理PII过程中应承 担的责任和义务提供了指引。《ISO/IEC27701》适用于作为在信息安全管理系统(ISMS)中处理PII的PII控制者和PII处理者的所有类型和规模的组织,包括国有和私营公司、政府实体和非营利组织。 第二、三、四部分,分别介绍了《ISO/IEC27701》参考的国际标准文件、使用的术语、定义和缩略词,以及该标准的行文结构。 第五部分介绍了《ISO/IEC27001》中关于PIMS的规定以及该标准对PIMS的附加规定。从以下七个方面对PII控制者和PII处理者进行规范和指导,包括:组织的背景、领导、风险处置的预先计划、支持手段、操作方法、绩效评估、改进措施。 第六部分介绍了《ISO/IEC27002》中关于PIMS的规定以及该标准对PIMS的附加规定。从以下十四个方面对PII控制者和PII处理者进行规范和指导,包括:信息安全政策、信息安全负责组织、人力资源安全、资产管理、访问控制、加密措 施、物理与环境安全、操作安全、通信安全、系统获取、开发与维护、供应商关系、信息安全事故管理、信息安全方面业务的连续性管理和合规要求。 第七部分介绍了《ISO/IEC27002》中对于PII控制者的相关规定以及该标准对于PII控制者的附加规定。从以下四个方面对PII控制者的权利义务进行进一步规范和指导,包括:PII收集和处理条件、对PII信息主体的义务、设计隐私和默认隐私、PII的共享、传输和公开披露。 第八部分介绍了《ISO/IEC27002》中对于PII处理者的相关规定以及该标准对PII处理者的附加规定。从以下四个方面对PII处理者的权利义务进行进一步规范和指导,包括:PII收集和处理的条件、对PII信息主体的义务、隐私设计和默认隐私、PII的共享、传输和披露。 二、附表部分 附件A列出了PII控制者在实现PIMS时所需采取的控制目标和控制措施,包括PII控制者委托PII处理者,或与另一 个PII控制者共同控制PII的情形。 附件B列出了PII处理者在实现PIMS时所需采取的控制目标和控制措施,包括聘请分包商处理PII的情形。 附件C将《ISO/IEC27701》与GDPR(第5至49条)进行比较和映射,以体现遵守《ISO/IEC27701》标准的要求和控制措施与履行GDPR要求义务的相关性。 附件D将《ISO/IEC27701》与《ISO/IEC29100》进行比较和映射,以指示遵守《ISO/IEC27701》标准的要求和控制措施与《ISO/IEC29100》中规定的隐私保护基本原则的相关性。 附件E将《ISO/IEC27701》与《ISO/IEC27018》和《ISO/IEC29151》进行比较和映射,以体现《ISO/IEC27701》标准规定的要求和控制措施与《ISO/IEC27018》和《ISO/IEC29151》的规定保持一致。 附件F列出了《ISO/IEC27701》使用的术语,并指出其他司法管辖区所使用的具有相同或相似含义的替代术语。 附件G介绍了《ISO/IEC27701》对《ISO/IEC27001》和 《ISO/IEC27002》规制范围的扩展,以及扩展条款的对应方法和应用样例。 从上述解读和与以往发布的国际标准的比较可以看出,《ISO/IEC27701》在《ISO/IEC27001》和《ISO/IEC27002》的基础上对PII控制者和PII处理者进行了更高标准的安全管理,使得隐私信息管理系统的规范更加全面,能够实际应用于不同规模、不同文化环境组织的PII保护。 本报告通过对比《GB/T 35273》(2020版本)与《ISO/IEC27701》,梳理出两项标准的关系及在个人信息全生命周期角度控制措施以及企业内部架构角度的建议要求,旨在协助企业了解组织安全管理的底线与需求,指导企业对个人信息安全落地软着陆。本报告将不仅有利于企业完成在中国大陆的数据合规工作,也将为未来项目出海、适用其他法域规定打下良好的基础,更有助于进一步切实落地各国的具体要求,构建更加完备的一体化隐私与信息安全保护体系。 目录 一、概述..............................................................................................12 二、组织控制措施的对比分析.............................................................15 1.适用范围.......................................................................................................................................151.1适用的情形与主体.............................................................................................................151.2适用的地域范围..................................................................................................................162.信息类别.......................................................................................................................................162.1个人信息................................................................................................................................172.2个人敏感信息/特殊类别的个人信息...........................................................................183.规制对象.................................................................................................................203.1个人信息控制者..................................................................................................................203.2共同控制者...........................................................................................................................213.3个人信息处理者..................................................................................................................234.个人信息的收集........................................................................................................................234.1合法性要求...........................................................................................................................254.2最小必要性要求..................................................................................................................264.3多项业务功能的自主选择...............................................................................................274.4充分、透明告知要求........................................................................................294.5收集个人信息时的授权同意与例外............................................................................324.6个人信息保护政策的要求...............................................................................................405.个人信息的保存........................................................................................................................415.1保存时间最小化.....................................................................................................
