近年来,随着人们对隐私保护关注度的日益提升,全球各司法辖区陆续出台了一系列与此相关的法律法规。为帮助企业及其他组织满足这些隐私保护要求,国际标准化组织(“IOS”)和国际电工委员会(“IEC”)于2019年8月5日联合发布了第一部针对隐私信息管理的国际标准—ISO/IEC27701安全技术—对用于隐私管理的IOS/IEC 27001和ISO/IEC27002的扩展—要求和指南(Security techniques -- Extension toISO/IEC 27001 and ISO/IEC 27002 for privacy information management --Requirements and guideline)。

ISO/IEC 27701是ISO/IEC 27001和ISO/IEC27002的扩展内容,详细规定了建立、实施、维护和不断改进隐私信息管理系统(“PIMS”),也就是个人信息保护系统,的各项要求。作为一项自愿适用、不具强制性的国际标准,ISO/IEC 27001可被用于个人可识别信息(“PII”),即可用于识别特定主体的信息的处理,为PII控制者和PII处理者提供指引。

本文将简要介绍ISO/IEC 27701的制定背景、适用主体、与其他管理体系的兼容性、与本国立法规则的衔接以及适用该标准后生成的书面证明,解读ISO/IEC27701包括正文和附件在内的主体框架,并分析ISO/IEC 27701的启示和其为企业提供的指引。

一、 ISO/IEC 27701的制定背景和适用

ISO/IEC 27701的序言和介绍对该标准的制定背景、适用主体、与其他管理系统的兼容性、与本国立法规则的衔接以及适用该标准后生成的书面证明作了简要介绍。

关于制定背景,概述写道“几乎每个组织都在处理PII,且经处理的PII的数量和种类以及各组织就PII处理开展合作的情况都变得越来越多。在处理PII的过程中保护隐私既是社会需求,也是全球专门立法或制定规则的主题。”在此背景下,由来自世界各地数据保护机构、安全机构、学术界和工业界的专家组成的、隶属于ISO和IEC联合成立的ISO/IEC JTC 1(技术委员会)之下的SC27(信息安全、网络安全与隐私保护小组委员会)起草了这部标准。

关于适用主体,概述写道“本标准可以被PII控制者(包括共同PII控制者)和PII处理者(包括委托处理PII的主体和被委托处理PII的主体)所使用”。也就是说,ISO/IEC27001的适用主体就是PII控制者和PII处理者。

关于适用过程中与其他管理系统的兼容性,概述写道 “ISO/IEC 27001创设的信息安全系统(“ISMS”)允许在不开发新的管理系统的前提下增加针对特定领域的具体要求。”“ISO管理系统标准,包括特定领域的标准,都可以单独或结合使用。”“本标准适用于ISO建立的框架,以改善其管理系统标准的一致性。”也就是说,依据ISO/IEC 27701建立的PISM隐私信息管理系统可以与依据ISO其他管理系统标准建立起的系统(包括依据ISO/IEC27001建立的ISMS信息安全系统)兼容。

关于适用过程中与本国立法规则的衔接,概述写道“不同背景的组织的PII保护要求和指南不同,尤其是存在国内立法和/或规则的情况下。ISO/IEC 27001要求理解并将此种不同考虑在内。尽管ISO/IEC27701反映了(1)ISO/IEC 29100中定义的隐私框架和原则;(2)ISO/IEC 27018;(3)ISO/IEC 29151;及(4)欧盟数据保护条例(“GDPR”),但(在具体适用时)还是需要结合国内立法和/或规则进行理解。”

关于适用该标准生成的书面证明,概述写道“如满足本标准的要求,组织将生成有关如何处理PII的书面证明。这些证明可被用来促进在PII处理方面存在关联关系的商业伙伴之间的合作,也可以促进与其他利益相关方之间的关系。如同时使用ISO/IEC 27001和本标准,组织可以在需要的时候就这些书面证明进行独立认证。”也就是说,适用该标准能够使企业对外提供如何处理PII的书面证明,并得到ISO的独立认证。

综上,ISO/IEC 27001适用于PII控制者和PII使用者,其创设的PISM隐私信息管理系统可以与依据ISO管理系统标准创设的其他系统兼容,企业和其他组织在具体适用过程中需要结合国内立法和/或规则进行理解、适用。如满足该标准的要求,企业和其他组织将能够出具有关其如何处理PII的、经ISO认证的书面证明。

二、 ISO/IEC 27701的主体框架

ISO/IEC 27701的主体部分由正文和附件组成,正文分为八个部分,附件共有七个。正文第一和第二部分已全文公开,第三部分仅部分公开,第四至第八部分及附件仅公开了目录。下文将据此简要介绍包含正文和附件在内的ISO/IEC27701的主体框架。

第一部分介绍了ISO/IEC 27701的范围,即“为便于组织进行隐私管理,本标准以扩展ISO/IEC 27001和ISO/IEC 27002的形式、详细规定了建立、实施、维持和持续改进PISM隐私信息管理系统的要求和指引”;“本标准详细规定了与PIMS相关的要求,并为履行PII处理职责的PII控制者和PII处理者提供了指引”;“本标准适用于所有类型和规模的、在ISMS信息安全管理系统中处理PII的、作为PII控制者和/或PII处理者的组织,包括国有和私营公司、政府实体和非营利组织。”也就是说,该标准适用于使用ISMS系统处理PII的所有类型、规模的、作为PII控制者和PII处理者的组织。

第二部分介绍了ISO/IEC 27701参考的国际标准。这些标准共有四部,包括ISO/IEC 27000、ISO/IEC 27001:2013、ISO/IEC27002:2013和ISO/IEC2910,内容涉及信息安全管理系统综述及词汇、信息安全管理系统要求、信息安全控制实践汇编和隐私框架。这些标准中的部分或全部内容构成了ISO/IEC27701中的要求。

第三部分介绍了ISO/IEC 27701使用的术语、定义和缩略词。除特别定义了PIMS、共同PII控制者等缩略词及术语外,ISO/IEC 27001规定,“ISO/IEC 27000和ISO/IEC 29100中的术语和定义同样适用于该标准。”

第四部分概述了ISO/IEC 27701的整体内容,包括ISO/IEC 27701的结构、ISO/IEC 27001:2013 要求的适用、ISO/IEC 27002:2013指南的适用及客户。

第五部分介绍了ISO/IEC 27001中关于PIMS的规定以及ISO/IEC27701对PIMS的附加规定。该部分从七个方面对PII控制者和PII处理者进行了规范和指导,即:组织的背景、领导、风险处置的预先计划、支持手段、操作方法、绩效评估、改进措施。

第六部分介绍了ISO/IEC 27002中关于PIMS的规定以及ISO/IEC277001对PIMS的附加规定。该部分从十四个方面对PII控制者和PII处理者进行了规范和指导,即:安全政策、信息安全负责组织、人力资源安全、资产管理、访问控制、加密措施、物理与环境安全、操作安全、通信安全、系统获取、开发与维护、供应商关系、信息安全事故管理、信息安全方面业务的连续性管理和合规要求。

第七部分和第八部分分别介绍了ISO/IEC 27002中针对PII控制者和PII处理者的相关规定以及ISO/IEC 27701针对PII控制者和PII处理者的附加规定。两部分都从四个方面分别对PII控制者和PII处理者的权利义务进行了进一步的规范和指导,即:PII收集和处理的条件、对PII信息主体的义务、设计隐私和默示隐私、PII的共享、传输和公开披露。

附录A和附录B分别列出了PII控制者和PII处理者在实现PIMS时所需采取的控制目标和控制措施,前者包括PII控制者委托PII处理者或与他人共同控制PII的情形,后者包括委托分包商处理PII的情形。

附录C至附录E分别列出了ISO/IEC 27001与ISO/IEC 29100、欧盟通用数据保护条例(“GDPR”)、与ISO/IEC 27018及ISO/IEC 29151的对应关系,以体现ISO/IEC 27001中的隐私要求与三部标准、一部条例中的隐私保护规定的相关性和对应性。附录F则介绍了如何在ISO/IEC 27001和ISO/IEC 27002的基础上适用ISO/IEC 27701,并列举了提高隐私保护安全标准的例子。

综上,ISO/IEC 27001在ISO/IEC 27001和ISO/IEC27002的基础上专门针对隐私信息管理对PII控制者和PII处理者提出了更高的隐私保护要求,使得PISM规范更加全面、具体、完善,能够适应不同规模、不同背景的组织,以在PII处理过程中有效保护个人隐私。

三、 ISO/IEC 27701的启示及为企业提供的指引

鉴于ISO/IEC 27701在制定过程中参考了全球各主要司法辖区有关隐私保护的立法和规则,并特别融合了隐私保护程度较高的GDPR中的部分内容;且在正文部分从各个角度对PII控制者和PII处理者应当如何处理PII信息作出了非常详细且具有操作性的规定,极大地细化了隐私信息管理的要求,因此,笔者认为,ISO/IEC27701的出台体现了隐私保护国际化和精细化的趋势。

此外,尽管ISO/IEC 27701只是自愿性而非强制性的国际标准,但该标准为企业和其他组织提供了一个国际通用的隐私信息管理工具,对于降低企业隐私合规难度,便利企业提供合规证明,增强社会各方对企业的信任程度具有重要意义。

(一) 降低隐私保护合规难度

遵守法律法规、协议、内部隐私政策规定的、种类繁多且未加以有效整合的隐私要求对企业来说是一项非常繁琐的工作。尤其是当收集、处理个人可识别信息发生在隐私要求各不相同的多个司法辖区时,企业更是要确保符合所有这些辖区的隐私要求,并时刻关注相应的政策变化,在不堪重负的同时也极易因疏忽出现违规风险。

而ISO/IEC 27701对各主要司法辖区内的隐私保护立法及规则进行了有效整合,并着重参考了隐私保护程度较高的GDPR,从而为企业提供了国际认可的、标准较高、操作性较强的PII处理指引,极大地降低了企业的合规难度。正如微软副总裁兼隐私与法规事务副总法律顾问JulieBrill所说:“ISO/IEC技术委员会制定的这一隐私标准是突破性的。该标准使得所有规模、所有司法辖区及行业的组织都能够有效保护和控制他们处理的个人信息。”需要特别提醒的是,在具体适用ISO/IEC 27701时,还需结合国内立法和规则进行解释。

(二) 便利企业提供合规证明

依据ISO/IEC 27701介绍的内容,如满足ISO/IEC 27701的要求,适用该标准的企业可以生成有关如何处理PII的书面证明,且可以要求ISO就相关证明进行独立认证。据此,笔者认为,ISO/IEC 27701的出台能够便利企业提供合规证明,提高隐私合规透明度,并促进企业与利益相关方之间的关系。

具体而言,PIMS使得公司内部负责隐私或数据管理的人员能够向高管、股东、甚至监管、调查机构出具依国际标准设立的系统生成的、且经国际权威机构ISO认证的书面证据,证明其遵守了所有的隐私要求。此外,在委托他方处理PII、达成涉及数据共享协议的并购、共同控制等协议等商业合作场景下,向合作方提供此种书面证据还能够使各方就隐私合规进行的沟通更为简单、顺畅。

(三) 增强社会各方的信任

随着人们对隐私保护关注度的日益提升,采用国际通行的标准还有利于对外展现企业对隐私保护的重视程度,消除监管机构、合作伙伴、客户、员工的顾虑,增强社会各方对组织的信任。正如Matthiem Grall所说“组织需要取得监管机构、合作伙伴、客户及员工的信任,此项标准将有力地促进这种信任。”(大成数据保护团队,感谢Shirley、Edith、Jet的贡献。)

声明:本文来自个人信息与数据保护实务评论,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。