ISO27701隐私信息管理体系

一、ISO27701认证简介

ISO/IEC 27701是国际标准化组织发布的隐私信息管理体系标准，全称《安全技术—扩展ISO/IEC 27001和ISO/IEC 27002的隐私信息管理—要求与指南》。

该标准基于PII相关组织和利益相关方要求；明确隐私影响评估的要求；针对组织作为PII控制者/PII处理者等组织角色，形成PIMS（隐私信息管理体系）。

二、ISO27701认证适用范围

该标准适用于所有类型和规模的组织，包括公共和私营公司、政府机构和非盈利组织。

三、ISO27701认证相关法律法规清单

国内与隐私保护相关的法律法规包括：《中华人民共和国网络安全法》、《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》等。

国际上与隐私保护相关的法律法规包括a美国：《隐私权法》、《电子通讯隐私法》、《金融服务现代化法案》、《儿童在线隐私权保护法案》、《健康保险携带和责任法》和《有效保护隐私权的自律规范》等；b欧盟:GDPR、《关于在个人数据处理过程中保护当事人及此类数据自由流通的指令》等；c日本：《个人信息保护法》等；d加拿大：《隐私法》和《个人信息保护与电子文件法》等；e国际交流：OECD《关于保护隐私和个人数据国际流通的指南》和《APEC隐私保护框架》等。

四、ISO27701:2019认证标准要求包括：

1.收集与处理

识别处理目的与处理的法律依据；明确获取同意的方式、时间，并留存相应记录；进行隐私影响评估。

2.广告营销

在未事先征得个人信息主体同意的前提下，不会将个人信息用于广告营销。

3.处理义务

确定并记录对个人信息主体所履行的法定义务和商业道德义务，并提供履行这些义务的方法；积极响应用户的修改权、撤回同意权、拒绝权、删除权、访问权等个人信息权利并留存相应记录。

4.默认的隐私保护

确保流程和系统的设计能够使个人信息的收集和处理（包括使用、披露、存储、传输和删除）**于*小必要范围，并留存相关记录。

5.共享转移

识别是否存在共享、转移、披露、跨境传输个人信息的情形，并记录具体行为。

6.合同约定

签署的书面合同应约定个人信息保护的相关措施，例如操作权限控制、个人信息泄露报告等。

7.员工培训

可访问个人信息的员工应签署保密协议，并参与隐私保护与数据安全培训。

8.整体规划

识别相关方的需求及期待，并明确管理体系的范围；确定内部的人员责任及相应的目标与规划；明确具体的运行计划和控制措施，评估并处置风险；内部定期评审并持续完善管理体系。

备注：本文档仅用于学习知识传播，如有侵权请联系我们删除!