ISO/IEC27701標準的發布，填補了目前隱私信息管理體系的空白，將隱私保護的原則、理念和方法，融入到信息安全保護體系中，并且對PII控制者和PII處理者進行了較為詳細且落地性強的規定，給企業在隱私保護和信息安全方面給出了指導建議。

一、隱私保護的重要性被不斷強調，ISO/IEC27701標準也隨之出臺威脅重重，數據濫用、數據竊取、隱私泄露以及“大數據殺熟”等數據安全問題呈現爆發趨勢。在此背景下，全球各個國家紛紛頒布相關法律法規，對數據安全與隱私保護相關問題進行嚴格的規范與引導。

如歐盟保護個人數據的《General Data Protection Regulation》(GDPR)；美國的《California Consumer Privacy Act》(CCPA)等。為了應對越來越多的個人數據泄露或濫用的情況，國際范圍迎來了隱私保護立法和建立標準熱潮。

1.GDPR

歐盟于2018年5月25日正式實施了《通用數據保護條例》 (《General Data Protection Regulation》,簡稱《GDPR》)，是一項保護歐盟公民個人隱私和數據的法律，其適用范圍包括歐盟成員國境內企業的個人數據、也包括歐盟境外企業處理歐盟公民的個人數據。

2.CCPA

美國已有多個州先在數據安全與隱私保護進行了立法，其中最著名的要數2018年6月加州通過《加州消費者隱私法案》（ 《California Consumer Privacy Act》, 簡稱《CCPA》）。該法案被稱為美國“最嚴厲和最全面的個人隱私保護法案”，將于2020年1月1日生效。

3.網絡安全法

我國于2017年6月1日正式實施《中華人民共和國網絡安全法》（通常簡稱《網安法》）?！毒W安法》是我國首部全面規范網絡空間安全管理方面問題的基礎性法律，包含的內容十分豐富，一共包括7章79條，包含網絡運行安全、關鍵信息基礎設施的運行安全、網絡信息安全等內容。值得關注的是，《網安法》在數據（包括個人信息）安全與保護上也有諸多規定，例如第四十至四十五條。ISO標準委員會以ISO27001為基準，以ISO27552為藍本，建立了ISO27701標準。

二、IS027701認證的主要目標是什么?

通過PIMS的擴展以及與隱私相關的控制來增強現有的信息安全管理體系(ISMS)，簡化復雜的重疊隱私法的管理，創建一個以證據為基礎的隱私計劃，并通過公認的認證形式表明該計劃的合規性，并作為潛在的GDPR合規性的基礎?，F在發布的ISO27701認證標準還實現了其他一些目的。一方面，它充當PIMS與ISMS或ISO27001之間關系和連接的概述。它還詳述了所需的功能，并列出了PIMS數據處理器和控制器的隱私控制。在更大范圍內，ISO27701認證將信息隱私要求映射到相關的ISO標準和GDPR。

三、ISO27701認證的好處?

ISO/IEC27701該標準為企業和其他組織提供了一個國際通用的隱私信息管理工具，對于降低企業隱私合規難度，便利企業提供合規證明，增強社會各方對企業的信任程度具有重要意義。實施隱私信息管理，至少獲得如下收益:

1)合規。通過明確對PII處理者的隱私保護要求，可以明確隱私保護管理合規目標，減輕組織合規負擔的同時降低組織合規風險，ISO27701標準附錄D中明確表示，單個隱私控制點可以滿足GDPR中的多項要求。滿足了ISO27701標準也就意味著基本滿足GDPR的要求，而GDPR是眾多隱私保護法規中最為嚴格的，也就意味著滿足了即將頒布的《隱私保護法》的系列要求。

2)完善數據安全能力和風險管理。實現持續的完善產品的非功能性要求，進而展示出產品在處理個人隱私安全、安全治理的績效，通過流程分析，在流程的輸入、輸出、控制過程中，識別、分析、驗證隱私保護需求、傳遞隱私保護價值，減少甚至消除隱私泄露的風險，如:體現為采用隱私控制技術(如日志脫敏、數據庫加密)、產品架構(如加密芯片)、技術路徑(如完整性校驗)等。

3)PIMS認證可以傳遞信任?？蛻艋蚝献骰锇?，尤其是政府組織、金融機構作為承擔隱私風險的機構，通常會要求PII處理者提供相關證據(如PIA分析報告)，從而證明PII處理者的產品能符合適用的隱私管理體系要求。通過得到授權的第三方機構對PII處理者進行基于國際標準的審核，可以極大地降低合規溝通成本，這種合規透明度的提高對于組織戰略和業務決策至關重要，同時PIMS認證也有助于向公眾傳達組織的可信度。

四、如何實施ISO27001認證?

要求供應商代表他們處理和維護PII的客戶應考慮合同規定這些供應商不僅要遵守ISO27001.而且要符合IS027701，或者在適用于數據敏感性的情況下獲得ISO27701標準的認證。即使客戶不要求供應商通過獨立的第三方認證也符合新標準ISO27701認證，他們仍可能希望更新合同以確保供應商可以符合ISO27701認證的要求。由于ISO27701認證仍然非常對于新合同，賣方應遵守本新標準的規定合理的時間延遲，以便將其包括在這些合同中。

已通過ISO27001認證并希望實施ISO27701要求的組織應考慮采取以下步驟:

1)對現有ISMS進行符合ISO27701認證要求的差距評估，并就如何解決這些差距制定行動計劃。

2)對組織收集的PII進行數據映射，以了解收集的II的范圍以及如何使用和與處理器共享。

3)根據與組織環境相關的內部或外部因素(例如適用的隱私法規，法規，司法決定或合同要求)確定組織作為控制者和/或處理者的角色。

4)查看并更新隱私策略，以確保它們包含必需的信息。

5)制定適用于組織角色的政策和程序。

6)通過設計和默認原則開始規劃和實施隱私。

在世界各地，立法者和監管者都在引入新的法律來規范數據的使用，尤其是PII。最近，GDPR的出現使許多企業(包括客戶和供應商)爭相達成合規性。不斷變化的法律環境給所有企業帶來了挑戰，尤其是必須遵守多個司法管轄區法規的企業。新的ISO27701認證標準不會嘗試單獨和本地處理每項新法律，而是提供一種統一的方式來決定，計劃，實施和記錄組織在全球范圍內的數據隱私方法。

無論組織的規模大小，是PII的控制者還是處理者，企業都應考慮為自己的組織或向供應商要求獲得ISO27701認證。對于處理敏感或大量P1I的處理器，子處理器和聯合控制器尤其如此。

科泰集團（5511mu.com） 成立13年來，致力于提供高新技術企業認定、名優高新技術產品認定、省市工程技術研究中心認定、省市企業技術中心認定、省市工業設計中心認定、省市重點實驗室認定、專精特新中小企業、專精特新“小巨人”、專利軟著申請、研發費用加計扣除、兩化融合貫標認證、科技型中小企業評價入庫、專利獎、科學技術獎、科技成果評價、科技成果轉化、ISO體系認證等服務。關注【科小泰】公眾號，及時獲取最新科技項目資訊！