全国咨询电话:4008508660
全国咨询电话:40085086602019-09-02
ISO/IEC 27701保护的对象是什么?
作为一套隐私信息管理体系(Privacy Information Management System,PIMS)标准,ISO/IEC 27701保护的是自然人的隐私信息,在一系列国际标准(如:ISO/IEC 27001、ISO/IEC 29100、ISO/IEC 27701等)中,又被称为个人可识别信息(Personally Identifiable Information,PII)。
按照ISO标准中的定义,“PII”就是任何可用于与相关自然人建立关联关系的信息,或能够直接或间接地关联到自然人的信息。
以上定义稍显晦涩,读者也可参考GB/T 35273-2017《个人信息安全规范》中对“个人信息”所下的定义进行理解。
以电子或者其他方式记录的,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。包含了两类信息:
一是识别(即从信息到个人),由信息本身的特殊性,即可识别出特定自然人,例如:每位公民的身份证号、经过实名认证的手机号等。
二是关联(即从个人到信息),已知的特定自然人在其活动中产生的信息,例如:个人位置信息、个人通话记录、个人浏览记录等。
关于哪些信息属于PII,ISO/IEC 29100:2011《隐私框架》和GB/T 35273-2017《个人信息安全规范》和给出了可参考的示例。
作为PII的天然所有者,PII主体(PII Principle),也就是PII关联的自然人,是隐私权的享有者。作为处理PII的组织,要通过保护PII来实现对PII主体隐私权的尊重。在欧盟GDPR中,PII主体对应数据主体(Data Subject),二者含义相同。
03
—
哪些组织需要履行保护个人隐私信息的职责?
根据上图,如果只是从单一的数据处理场景来看,对组织的角色并不难界定。然而现在各行各业都在发展“生态圈”,“生态圈”越普及,则不同组织间合作处理个人信息的场景也越趋复杂,很多企业事实上在不同的业务场景下同时扮演了多个角色,所以一个组织到底是Controller还是Processor,应当取决于具体的业务场景。ISO/IEC 27701标准的最大亮点之一,就是通过对“客户”的定义,解释清楚了在不同的业务场景下,不同组织之间的合作关系与责任边界。
基于组织的角色,“客户”一词可被理解为:
a) 与PII控制者签订合同的组织(例如PII控制者的客户):
这可以是一个组织作为联合控制者的场景;
与一个组织构成“企业对消费者”关系的个人,即“PII主体”。
b) 与PII处理者(例如PII处理者的客户)签订合同的PII控制者;
c) 与PII分包处理者(例如PII分包处理者的客户)签订合同的PII处理者。
其中:
如果是第6章(同时适用于所有Controller和Processor)提到的“客户”,相关条款适用于a)、b)、c)的场景。
如果是第7章和附录A(适用于所有Controller)中提到“客户”,相关条款适用于a)的场景。
如果是第8章和附录B(适用于所有Processor)中提到“客户”,相关条款适用于b)和c)的场景。
标准中的上述定义可以帮助企业更好的理解不同组织间的关系:
作为PII控制者时,就应当对PII主体负责,承担隐私保护的责任。
PII处理者受PII控制者委托而处理PII,控制者要确保隐私保护要求传达给处理者,处理者因此要向控制者负责(类似关系也存在于PII处理者与PII分包处理者之间)。
而PII联合控制者之间务必要基于PII采集范围和处理目的来决定各方的共担责任,以及非共担责任的边界。这一点也是当今互联网生态圈世界里最为纷繁复杂的一面,尤其在最近热议的“SDK乱象”话题中,如何处理好各控制者之间的责任边界,并向PII主体作出透明化展示和承诺,就是一个需要进一步澄清甚至需要标准化的问题。
04
—
如何理解ISO/IEC 27701:2019在标准界的地位?
ISO国际标准有一个“标准家族”的概念,比如:在ISO/IEC 27000的标准家族中,ISO/IEC 27000《概述与术语》就属于第一层的术语类标准(Terminology),ISO/IEC 27001《信息安全管理体系 要求》属于第二层的通用类要求标准(General requirements),ISO/IEC 27002《信息安全管理体系实用规则》属于第三层的通用类指南标准(General guidelines)、ISO/IEC 27018《PII处理者在公有云中保护PII的实践指南》属于第四层的专业类指南(Sector-specific guidelines)。
此次发布的ISO/IEC 27701属于“另类”,其同时包含了第二层和第三层的要求。
不同于ISO/IEC27018、ISO/IEC 29151的控制措施全都属于“指南should”,ISO/IEC 27701同时扩展了ISO/IEC 27001和ISO/IEC 27002中有关信息安全的控制要求,变成了“要求shall + 指南should”模式,成为第一部扩充了信息安全管理体系(ISMS)的隐私保护“认证”性质的标准,而同时又整合了“指南”性质的条款,让其具有“双重身份”。
05
—
如何体现ISO/IEC 27701:2019的认证价值?
1)在隐私合规治理和体系架构层面,ISO/IEC27701:2019国际标准的优势在于:
在利益相关方之间提供隐私保护与合规的透明度;
展现企业的数据隐私道德;
有助于增强组织与组织之间、组织与个人之间的信任;
提供更具协作性的方法,帮助组织贯彻隐私保护的责任;
通过更有效的业务协议,明确组织与组织之间、组织与个人之间的责任模型;
通过更清晰的角色和职责,落实组织内部的隐私信息管理工作;
通过与ISO/IEC 27001 相结合,减少管理体系实施的复杂性。
2)在体系实施的实战层面,ISO/IEC 27701:2019标准的价值在于“集大成”,该标准直接沿用或优化了大量ISO/IEC27018、ISO/IEC 29151条款,又加入了来自GDPR的元素,在ISO/IEC 27701:2019附录中还将本标准与GDPR、ISO/IEC 29100、ISO/IEC 27018及ISO/IEC 29151进行了映射。
然而ISO/IEC 27701:2019并没有尝试去完全覆盖任何一部已有的标准,ISO/IEC 27018、ISO/IEC 29151作为隐私管理方面指南性标准,各有侧重,在某些条款上,与ISO/IEC 27701标准的指南部分形成了互补。针对提供公有云业务的互联网企业仍可以继续参照ISO/IEC 27018进行体系实施,而另一些期望获得更多实施指南的企业则可以继续参照ISO/IEC 29151进行体系实施。
3)在法律符合性层面,ISO/IEC 27701:2019是一部兼顾不同国家地区法规要求的标准,因此不同于英国标准BS 10012:2017的是,ISO/IEC 27701:2019无法完全符合GDPR作为欧盟法规的细节性要求(例如:发现Data Breach之后72小时上报监管机构、DPIA评估之后无法有效降低高风险时应在处理前向监管机构咨询等),但在隐私原则、数据主体权利方面,与GDPR几乎是吻合的。
对于面向欧盟客户(不论是To B还是To C)开展个人数据处理业务的组织,如果希望更好的证明自身对标GDPR的符合程度,ISO/IEC 27701和BS 10012“双证模式”是个不错的选择;对于其他面向非欧盟客户开展个人数据处理业务的组织,认证ISO/IEC 27701是很好的选择。
06
—
如何看待ISO/IEC 27701:2019与其他个人信息保护标准的关系?
目前主流的个人隐私信息保护标准,及其与信息安全管理体系、隐私框架标准之间关系如下图所示:
建立了映射关系,但这种映射关系并未形成有针对性的强关联,因此未在图中加以关联。
注2:尽管ISO/IEC 27701、ISO/IEC 27018、ISO/IEC 29151均强调应当满足适用司法管辖区的法律法规要求,但并未像BS 10012那样将具体的法规要求显性的写入标准,因此未在图中加以关联。
ISO27701是ISO/IEC 27001和ISO/IEC 27002在隐私保护方面的扩展,并提供了相关的附加指南,概述如下:
1)ISO/IEC 27701对ISO/IEC 27001正文部分(要求)的扩展(即第5章)集中在“理解组织及其情境”、“理解相关方的需求和期望”以及“应对风险和机会的措施”,通过这种方式,将隐私信息管理体系的情境分析以及隐私影响评估活动,与ISO/IEC 27001构建的信息安全管理体系PDCA框架进行了结合。
