ISO27701隐私信息管理标准全面解读

ISO27701隐私信息管理标准全面解读
ISO/IEC 27701标准的发布,填补了目前隐私信息管理体系的空白,将隐私保护的原则、理念和方法,融入到信息安全保护体系中,并且对PII控制者和PII处理者进行了较为详细且落地性强的规定,给企业在隐私保护和信息安全方面给出了指导建议。
一、 隐私保护的重要性被不断强调,ISO/IEC 27701标准也随之出台
威胁重重,数据滥用、数据窃取、隐私泄露以及“大数据杀熟”等数据安全问题呈现爆发趋势。在此背景下,全球各个国家纷纷颁布相关法律法规,对数据安全与隐私保护相关问题进行严格的规范与引导。
如欧盟保护个人数据的《General Data Protection Regulation》 (GDPR);美国的 《California Consumer Privacy Act》(CCPA)等。
为了应对越来越多的个人数据泄露或滥用的情况,国际范围迎来了隐私保护立法和建立标准热潮。

1. GDPR
欧盟于2018年5月25日正式实施了《通用数据保护条例》 (《General Data Protection Regulation》,简称《GDPR》),是一项保护欧盟公民个人隐私和数据的法律,其适用范围包括欧盟成员国境内企业的个人数据、也包括欧盟境外企业处理欧盟公民的个人数据。
2. CCPA
美国已有多个州先在数据安全与隐私保护进行了立法,其中最著名的要数2018年6月加州通过《加州消费者隐私法案》( 《California Consumer Privacy Act》, 简称《CCPA》)。该法案被称为美国“最严厉和最全面的个人隐私保护法案”,将于2020年1月1日生效。
3. 网络安全法
我国于2017年6月1日正式实施《中华人民共和国网络安全法》(通常简称《网安法》)。《网安法》是我国首部全面规范网络空间安全管理方面问题的基础性法律,包含的内容十分丰富,一共包括7章79条,包含网络运行安全、关键信息基础设施的运行安全、网络信息安全等内容。值得关注的是,《网安法》在数据(包括个人信息)安全与保护上也有诸多规定,例如第四十至四十五条。
ISO标准委员会以ISO 27001为基准,以ISO 27552为蓝本,建立了ISO 27701标准。
二、ISO/IEC 27701标准介绍
1. 关键术语解释
PII:个人可识别身份信息,指 a) 任何可以识别PII主体的信息或 b) 直接或间接与PII主体相关的信息PIMS:Privacy Information Management System,隐私信息管理体系Customer:PII控制者的customer:与PII控制者有合约关系的组织,可以是共同控制者PII处理者的customer:与PII处理者有合约关系的PII控制者与PII处理的分包商有合约关系的PII处理者2. ISO 27701结构组成
ISO 27701是ISO 27001和ISO 27002在隐私信息管理方面的扩展,并在隐私保护方面提供了必要的额外要求。ISO/IEC 27701标准的正文由8个条款组成,其中:
条款1-4,给出了标准的范围,术语、定义等。
条款5介绍了ISO 27001中延伸出的关于PIMS的扩展要求以及本标准对PIMS的附加要求。
条款6介绍了ISO 27002中对PIMS的扩展及附加要求。上述条款对PII的控制者和处理者均适用。
条款7给出了针对PII控制者的ISO 27002扩展指南。
条款8给出了针对PII处理者的ISO 27002扩展指南。这两章从PII的收集和处理,对PII主体的义务,Privacy by design & Privacy by default,PII的共享、传输和披露四个方面做出了相应规定。
附录A是针对PII控制者的PIMS特定的控制目标和控制措施。
附录B是针对PII处理者的PIMS特定的控制目标和控制措施。
附录C给出了标准与ISO/IEC 29100的映射。
附录D是与GDPR的映射。
附录E是与ISO/IEC 27018和ISO/IEC 29151的映射。
附录F则是如何在处理PII时将ISO/IEC 27001和ISO/IEC 27002扩展到隐私保护。
总体而言,标准通过第5章和第6章将ISO 27002与附加的PIMS控制项构成了完整的信息安全和隐私管理体系。第7章和第8章从数据生命周期的角度新增分别针对PII控制者和处理者的控制要求。
3. ISO 27701与各标准之间的关系

a) ISO 27701是ISO 27001和ISO 27002在隐私方面的扩展。
b) ISO 27002为ISO 27001提供风险处置具体的控制目标和控制措施。
c) ISO 29100、ISO 27018、ISO 29151均为隐私方面的标准,有不同的侧重点,与ISO 27701互为补充。
d) ISO 27001帮助企业建立ISMS,通过有效的风险管理来保护和管理组织的所有信息,从数据安全方面满足GDPR的部分要求。
e) ISO 27701加入了隐私保护的额外要求,更全面地覆盖了GDPR的要求。
4. ISO 27701 VS ISO 27001 & 27002
本标准基于ISO 27001和ISO 27002,在应用本标准时,应将原ISO 27001及ISO 27002中的“信息安全”替换为“信息安全和隐私”。本标准中仅列出替换后仍需说明的额外PIMS相关要求。

ISO 27002 中共14个控制域,每个控制项中包含控制措施、实施指南和其他信息。将所有“信息安全”替换为“信息安全和隐私”后,除了“业务连续性管理的信息安全方面”的控制域,ISO 27701对ISO 27002中控制域中的实施指南和其他信息均有额外的补充,但控制措施均延续ISO 27002的控制措施(仅将“信息安全”替换为“信息安全和隐私”)

5. ISO 27701 VS GDPR
ISO 27701的认证能在极大程度上表明组织符合GDPR的要求。根据附录D ISO 27701与GDPR适用条款(Article 4-42, 44-49)之间的映射关系,通过对比GDPR的原条款,发现ISO 27701覆盖了绝大部分GDPR的要求,仅个别GDPR的条款未被ISO 27701覆盖,条款涉及的主要内容如下:
Article 14个人数据还未从数据主体处获得时(数据控制者)应提供的信息 (5)(a):数据控制者应当向数据主体提供所规定提供给数据主体的信息,除非数据主体已获知相关信息
Article 23限制:欧盟或成员国法律可以通过立法手段限制本法第12条至第22条和第34条规定的权利义务范围
Article 35数据保护影响评估 (6):此段针对监管机构,规定了在给出数据保护影响评估相关清单时需应用一致性机制的场景
Article 36事先咨询 (4):数据保护影响评估表明在数据控制者缺乏减轻风险的措施会导致高风险时,数据控制者应当在处理前向监管机构咨询

尽管根据ISO 27701和GDPR的映射来看,GDPR的内容基本均在ISO 27701中有所体现,但仍不能认为ISO 27701可以作为表明完全符合GDPR的全球性认证。主要是由于通用性的国际标准无法完全符合某个国家或地区具体的法律法规。由于ISO 27701为国际通用地标准,某些要求仅通用性地指出应遵守某些适用地法律法规,未包含具体地规定,而GDPR则明确指出具体地要求
例1:对于儿童个人数据收集方面的规定
GDPR:明确指出对于不满16周岁的儿童,处理行为只有或至少在获得了该儿童的监护人的同意或授权时才是合法的,年龄界限可依据特定目的调整,但不得低于13周岁。
ISO 27701:对某些类型的数据收集(例如用于科学研究)和某些类型的PII主体(例如儿童)可能有额外的要求。组织应考虑此类要求并记录同意的机制如何满足这些要求。
例2:向监管机构报告个人数据泄露
GDPR:数据控制者应当自发现之时起72小时内,按照第55条的规定将个人数据泄露的情况报告监管机构。
ISO 27701:一些司法管辖区对违规响应实施了具体规定,包括通知。在这些司法管辖区运营的组织应确保他们能够证明遵守这些法规。
此外,个别术语的定义和具体要求的颗粒度也有所不同。
6. ISO 27701 VS ISO 29151

ISO 27701分别对个人可识别信息控制者和个人可识别信息处理者进行规范和指导并基于ISO 27001和ISO 27002的各个领域,从管理体系的角度并遵循PDCA的理念,而ISO 29151则是个人身份信息保护的实践指南,它主要是基于ISO 27002的各个域中加入了PII的事实指南,并引入了ISO 29100十一大隐私保护原则,可以说ISO 27701和ISO 29151都是ISO 29100的细化体现,ISO 27701满足了ISO 29151的要求,并且从体系角度给予了充分的展示与要求。
三、ISO/IEC 27701标准重点解读
ISO 27701嵌套在ISO 27000系列中,并要求符合ISO 27001标准。ISO 27701扩展了ISO 27001的要求,在原有管理、实施、操作、监控、审查和不断改进ISMS的流程基础上,着重考虑了对于企业所持有PII的隐私保护。同时ISO 27701对ISO 27002实施指南中的隐私性进行了解释和扩展,除业务连续性以外的所有控制域均增加了关于PII隐私的实施指南。ISO 27701分别从PII控制者和PII处理者的角度,补充说明了收集和处理PII的条件、对PII主体的隐私保护义务、Privacy by design and privacy by default以及PII共享、转移和披露的相关要求。

ISO 27701在对ISO 27001/27002的扩展要求中,除将“信息安全”替换为“信息安全和隐私”外,同时扩展了相关控制域中的控制项。
ISO 27701 5.4规划中指出,组织应在PIMS范围内应用信息安全风险评估流程来识别有可能会造成机密性、完整性和可用性丧失的相关风险;组织应在PIMS范围内应用隐私风险评估流程来识别与PII处理相关的风险;组织应在整个风险评估过程中确保信息安全与PII保护之间的关系得到适当管理。组织可以根据自身PIMS情况,对信息安全和隐私保护进行统一流程的综合评估,也可以根据实际需要采用独立的流程进行分别评估。
ISO 27002 6.3信息安全组织中指出,组织应指定一个联系人处理客户的相关PII事务;当组织是PII控制者时,需为PII主体指定PII联系人负责相关流程;同时组织应指定一名或多名负责制定、实施、维护和监督组织范围内治理以及隐私计划的人员,以确保处理PII相关事务时的合规性。负责人应酌情考虑a) 独立并直接向组织的适当管理层报告,以确保有效管理隐私风险;b) 参与管理与处理PII有关的所有问题;c) 成为数据保护立法,监管和实践方面的专家;d) 充当监管机构的联络点;e) 告知顶级管理层和组织员工在处理PII方面的义务;f) 就组织进行的隐私影响评估提供建议。要求组织需要根据自身角色配置响应的PII管理专职人员。
ISO 27701中第7章和第8章分别对PII控制者和处理者的评估增加了额外指导,包括收集和处理PII的条件等控制域。增加该章节可以明确标准对于PII控制者和处理者收集和处理PII的条件的限定范围,目的是使组织可以根据适用的司法管辖区的法律依据,以明确定义的、合法目的,确定并记录PII处理是合法的,且具有法律依据。标准明确需要通过识别和记录PII处理目的、确定合法依据、确定何时以及如何获得许可、获取并记录许可、隐私影响评估、与PII处理者签署合同、明确联合PII控制者、维护与处理PII有关的记录8个方面对PII控制者进行管理和评估,通过客户协议、组织目的、营销和广告使用、侵权指令、客户义务、与处理PII有关的记录6个方面对PII处理者进行管理和评估。该额外指导内容要求组织在明确自身身份的基础上,开展对收集与处理PII的条件相关的管理建设。
ISO 27701的目标是通过对于隐私保护的控制实现对ISMS进行补充,使企业建立PIMS,实现有效的隐私管理,从而使企业获益。
声明:以上部分内容来自ATLAS Academy
四、ISO/IEC 27701认证收益
ISO/IEC 27701该标准为企业和其他组织提供了一个国际通用的隐私信息管理工具,对于降低企业隐私合规难度,便利企业提供合规证明,增强社会各方对企业的信任程度具有重要意义。实施隐私信息管理,至少获得如下收益:
1)合规。通过明确对PII处理者的隐私保护要求,可以明确隐私保护管理合规目标,减轻组织合规负担的同时降低组织合规风险,ISO27701标准附录D中明确表示,单个隐私控制点可以满足GDPR中的多项要求。满足了 ISO27701 标准也就意味着基本满足 GDPR 的要求,而 GDPR 是众多隐私保护法规中最为严格的,也就意味着满足了即将颁布的《隐私保护法》的系列要求。
2)完善数据安全能力和风险管理。实现持续的完善产品的非功能性要求,进而展示出产品在处理个人隐私安全、安全治理的绩效,通过流程分析,在流程的输入、输出、控制过程中,识别、分析、验证隐私保护需求、传递隐私保护价值,减少甚至消除隐私泄露的风险,如:体现为采用隐私控制技术(如日志脱敏、数据库加密)、产品架构(如加密芯片)、技术路径(如完整性校验)等。
3)PIMS认证可以传递信任。客户或合作伙伴,尤其是政府组织、金融机构作为承担隐私风险的机构,通常会要求PII处理者提供相关证据(如PIA分析报告),从而证明PII处理者的产品能符合适用的隐私管理体系要求。通过得到授权的第三方机构对PII处理者进行基于国际标准的审核,可以极大地降低合规沟通成本,这种合规透明度的提高对于组织战略和业务决策至关重要,同时PIMS认证也有助于向公众传达组织的可信度。