2022/12/30
隨著社交媒體APP和物聯(lián)網(wǎng)設(shè)備在生活中的廣泛應(yīng)用,以及全球隱私法律法規(guī)的激增,諸如:《歐盟通用數(shù)據(jù)保護(hù)條例》(GDPR)、《加州消費(fèi)者隱私法》(CCPA)和《中國網(wǎng)絡(luò)安全法》(China network security Law),隱私保護(hù)問題已然成為了當(dāng)前社會(huì)的焦點(diǎn),這意味著組織現(xiàn)在面臨著來自客戶、最終用戶、投資者和監(jiān)管機(jī)構(gòu)的多重壓力,企業(yè)如何管理個(gè)人可識(shí)別信息(PII)或個(gè)人數(shù)據(jù),如何確保隱私合規(guī),都成為擺在企業(yè)面前亟待解決的新問題和新挑戰(zhàn)。
ISO/IEC27701隱私信息管理體系標(biāo)準(zhǔn)作為ISO/IEC27001與ISO/IEC27002在管理上的延伸標(biāo)準(zhǔn),其目標(biāo)是通過新增的要求來增強(qiáng)現(xiàn)有信息安全管理體系(ISMS),以便建立、實(shí)施、維護(hù)和不斷改進(jìn)隱私信息管理體系(PIMS),標(biāo)準(zhǔn)概述了適用于個(gè)人身份信息(PII)控制者和PII處理者的框架,用于隱私控制管理,以降低對(duì)個(gè)人隱私的各種風(fēng)險(xiǎn)。
一、什么是ISO/IEC 27701?
ISO/IEC 27701是對(duì)ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的隱私擴(kuò)展,全稱《安全技術(shù)—擴(kuò)展ISO/IEC 27001和ISO/IEC 27002的隱私信息管理—要求與指南》。它是ISO標(biāo)準(zhǔn)委員會(huì)以ISO 27001為基準(zhǔn),以ISO 27552為藍(lán)本,建立發(fā)布的隱私信息管理體系標(biāo)準(zhǔn),為保護(hù)個(gè)人隱私提供指導(dǎo)。
ISO/IEC 27701標(biāo)準(zhǔn)的發(fā)布,填補(bǔ)了隱私信息管理體系的空白,將隱私保護(hù)的原則、理念和方法,融入到信息安全保護(hù)體系中,并且對(duì)PII控制者和PII處理者進(jìn)行了較為詳細(xì)且落地性強(qiáng)的規(guī)定,給企業(yè)在隱私保護(hù)和信息安全方面給出了指導(dǎo)建議。
二、ISO/IEC27701產(chǎn)生的背景
數(shù)據(jù)濫用、數(shù)據(jù)竊取、隱私泄露以及“大數(shù)據(jù)殺熟”等數(shù)據(jù)安全問題呈現(xiàn)爆發(fā)趨勢。在此背景下,全球各個(gè)國家紛紛頒布相關(guān)法律法規(guī),對(duì)數(shù)據(jù)安全與隱私保護(hù)相關(guān)問題進(jìn)行嚴(yán)格的規(guī)范與引導(dǎo)。
1、2018年歐盟GDPR《General Data Protection Regulation》生效。2021年,歐盟在GDPR中采信由監(jiān)管機(jī)構(gòu)認(rèn)可或國家認(rèn)可機(jī)構(gòu)認(rèn)可的第三方認(rèn)證機(jī)構(gòu)頒發(fā)的認(rèn)證證書
2、2017年6月1日,《中華人民共和國網(wǎng)絡(luò)安全法》(通常簡稱《網(wǎng)安法》)頒布實(shí)施,2021年11月1日,我國的《個(gè)人信息保護(hù)法》生效
3、美國《隱私權(quán)法》、《電子通訊隱私法》、《金融服務(wù)現(xiàn)代化法案》、《兒童在線隱私權(quán)保護(hù)法案》、《健康保險(xiǎn)攜帶和責(zé)任法》和《有效保護(hù)隱私權(quán)的自律規(guī)范》等
4、日本《個(gè)人信息保護(hù)法》等
5、加拿大《隱私法》、《個(gè)人信息保護(hù)與電子文件法》等
6、國際:OECD《關(guān)于保護(hù)隱私和個(gè)人數(shù)據(jù)國際流通的指南》和《APEC隱私保護(hù)框架》等
7、……
為規(guī)范組織內(nèi)部個(gè)人隱私信息安全管理,滿足各國相關(guān)隱私保護(hù)法律法規(guī)的要求,國際標(biāo)準(zhǔn)化組織(ISO)以ISO 27001為基準(zhǔn),以ISO 27552為藍(lán)本,建立了ISO 27701標(biāo)準(zhǔn)。
三、ISO/IEC27701的核心術(shù)語
1、PII:Personally Identifiable Information個(gè)人可識(shí)別信息 ,也譯作個(gè)人身份信息
(1)可用于識(shí)別此類信息相關(guān)的 PII 主體的任何信息
(2)直接或間接鏈接到 PII 主體的信息
2、PII控制者:確定處理個(gè)人可識(shí)別信息(PII)的目的和手段隱私利益相關(guān)者,但不包括出于個(gè)人目的使用數(shù)據(jù)的自然人
3、PII處理者:代表并按照 PII 控制者的說明處理PII的隱私利益相關(guān)者
4、PIMS:Privacy Information Management System隱私信息管理體系
5、Customer:
(1)PII控制者的customer:與PII控制者有合約關(guān)系的組織,可以是共同控制者
(2)PII處理者的customer:與PII處理者有合約關(guān)系的PII控制者
(3)與PII處理的分包商有合約關(guān)系的PII處理者
四、ISO/IEC27701標(biāo)準(zhǔn)的結(jié)構(gòu)
ISO/IEC 27701是ISO/IEC 27001和ISO/IEC 27002在隱私方面的擴(kuò)展,并為隱私保護(hù)提供了除ISO/IEC 27001和ISO/IEC 27002之外的額外的指導(dǎo)。全文共分為8個(gè)章節(jié)及6個(gè)附錄,主要的要求和指導(dǎo)內(nèi)容集中在第5-8章。
1、條款1-4,給出了標(biāo)準(zhǔn)的范圍,術(shù)語、定義等。
2、條款5介紹了ISO/IEC 27001中延伸出的關(guān)于PIMS的擴(kuò)展要求以及本標(biāo)準(zhǔn)對(duì)PIMS的附加要求。
3、條款6介紹了ISO/IEC 27002中對(duì)PIMS的擴(kuò)展及附加要求。上述條款對(duì)PII的控制者和處理者均適用。
4、條款7給出了針對(duì)PII控制者的ISO/IEC 27002擴(kuò)展指南。
5、條款8給出了針對(duì)PII處理者的ISO/IEC 27002擴(kuò)展指南。這兩章從PII的收集和處理,對(duì)PII主體的義務(wù),Privacy by design & Privacy by default,PII的共享、傳輸和披露四個(gè)方面做出了相應(yīng)規(guī)定。
6、附錄A是針對(duì)PII控制者的PIMS特定的控制目標(biāo)和控制措施。
7、附錄B是針對(duì)PII處理者的PIMS特定的控制目標(biāo)和控制措施。
8、附錄C給出了標(biāo)準(zhǔn)與ISO/IEC 29100的映射。
9、附錄D是與GDPR的映射。
10、附錄E是與ISO/IEC 27018和ISO/IEC 29151的映射。
11、附錄F則是如何在處理PII時(shí)將ISO/IEC 27001和ISO/IEC 27002擴(kuò)展到隱私保護(hù)。
總體而言,ISO/IEC 27701標(biāo)準(zhǔn)通過第5章和第6章將ISO/IEC 27002與附加的PIMS控制項(xiàng)通過ISO/IEC 27001中PDCA的方式導(dǎo)入體系,形成完整的信息安全和隱私管理體系。此外,第7章和第8章從數(shù)據(jù)生命周期的角度新增分別針對(duì)PII控制者和處理者的控制要求。同時(shí),附錄中還將本標(biāo)準(zhǔn)與GDPR、ISO/IEC 29100、ISO/IEC 27018及ISO/IEC 29151進(jìn)行了映射。
【上表:信息安全標(biāo)準(zhǔn)適用范圍】
五、ISO/IEC27701標(biāo)準(zhǔn)重點(diǎn)解讀
ISO/IEC 27701嵌套在ISO/IEC 27000系列中,并要求符合ISO/IEC 27001標(biāo)準(zhǔn)。ISO/IEC 27701擴(kuò)展了ISO/IEC 27001的要求,在原有管理、實(shí)施、操作、監(jiān)控、審查和不斷改進(jìn)ISMS的流程基礎(chǔ)上,著重考慮了對(duì)于企業(yè)所持有PII的隱私保護(hù)。同時(shí)ISO/IEC 27701對(duì)ISO/IEC 27002實(shí)施指南中的隱私性進(jìn)行了解釋和擴(kuò)展,除業(yè)務(wù)連續(xù)性以外的所有控制域均增加了關(guān)于PII隱私的實(shí)施指南。
ISO/IEC 27701分別從PII控制者和PII處理者的角度,補(bǔ)充說明了收集和處理PII的條件、對(duì)PII主體的隱私保護(hù)義務(wù)、Privacy by design and privacy by default以及PII共享、轉(zhuǎn)移和披露的相關(guān)要求。
1、條款5“與 ISO/IEC 27001 相關(guān)的PIMS特定要求”
涵蓋了對(duì) ISO/IEC 27001:2013 條款4~10附加的要求,均為認(rèn)證要求。例如,如本標(biāo)準(zhǔn)中條款5.7.2 的表述:ISO/IEC 27001:2013,9.2 中所述要求以及5.1 中所述的解釋均適用。
該標(biāo)準(zhǔn)不增加任何新的內(nèi)部審核要求,只要組織理解這是ISO/IEC 27001:2013 對(duì)處理個(gè)人可識(shí)別信息(PII)所可能增加風(fēng)險(xiǎn)的“信息安全”要求。
ISO/IEC 27701:2019對(duì)ISO/IEC 27001的以下條款增加了附加的要求:
2、條款6“與ISO/IEC 27002相關(guān)的PIMS特定指南”
涵蓋了與ISO/IEC 27002有關(guān)的其他PIMS相關(guān)指南。例如,標(biāo)準(zhǔn)條款6.9.4.4(與 ISO/IEC 27001:2013 的12.4.4 時(shí)鐘同步相對(duì)應(yīng))不包含任何附加要求,因?yàn)闀r(shí)鐘同步與隱私風(fēng)險(xiǎn)沒有相關(guān)性。
另一方面,標(biāo)準(zhǔn)條款6.9.3.1 (與 ISO/IC 27001:2013 的12.3.1 信息備份相對(duì)應(yīng))則增加較多的隱私管理指南,因?yàn)樾畔浞菘赡艽嬖陔[私風(fēng)險(xiǎn),例如數(shù)據(jù)保留期、跨境數(shù)據(jù)傳輸?shù)取?/span>
下表總結(jié)了 ISO/IEC 27002 各個(gè)領(lǐng)域中的控制點(diǎn)的數(shù)量。在 ISO/IEC 27002 中,共對(duì)32項(xiàng)新的控制點(diǎn)進(jìn)行了修訂。與ISO/IEC 27002一樣,條款6中的指南為非認(rèn)證條款。
3、條款7“對(duì)PII控制者附加的ISO/IEC 27002指南”
為 PII 控制者提供指南。對(duì)于 PII 控制者所需的所有控制點(diǎn)都列在標(biāo)準(zhǔn)的附錄A 中。這些控制點(diǎn)是規(guī)范性的,這意味著如果組織作為控制者,則應(yīng)實(shí)施這些控制(參見如下認(rèn)證中的 PII 控制者與PII 處理者)。條款7中所提供的指南有助于組織實(shí)施這些控制。然而,這些指南為非認(rèn)證性的。
4、條款8“對(duì)PII處理者附加的ISO/IEC 27002指南”
為 PII 處理者提供指南。本標(biāo)準(zhǔn)附錄 B 列出了 PII 處理者的控制點(diǎn)。與附錄 A 相似,如果組織作為處理者,這些控制點(diǎn)是規(guī)范性的。條款8的指南是非認(rèn)證性的。
六、建立ISO/IEC27701的收益
ISO/IEC 27701該標(biāo)準(zhǔn)為企業(yè)和其他組織提供了一個(gè)國際通用的隱私信息管理工具,對(duì)于降低企業(yè)隱私合規(guī)難度,便利企業(yè)提供合規(guī)證明,增強(qiáng)社會(huì)各方對(duì)企業(yè)的信任程度具有重要意義。實(shí)施隱私信息管理,至少獲得如下收益:
1、合規(guī)。通過明確對(duì)PII處理者的隱私保護(hù)要求,可以明確隱私保護(hù)管理合規(guī)目標(biāo),減輕組織合規(guī)負(fù)擔(dān)的同時(shí)降低組織合規(guī)風(fēng)險(xiǎn),ISO27701標(biāo)準(zhǔn)附錄D中明確表示,單個(gè)隱私控制點(diǎn)可以滿足GDPR中的多項(xiàng)要求。滿足了 ISO27701 標(biāo)準(zhǔn)也就意味著基本滿足 GDPR 的要求,而 GDPR 是眾多隱私保護(hù)法規(guī)中最為嚴(yán)格的,也就意味著滿足了即將頒布的《隱私保護(hù)法》的系列要求。
2、完善數(shù)據(jù)安全能力和風(fēng)險(xiǎn)管理。實(shí)現(xiàn)持續(xù)的完善產(chǎn)品的非功能性要求,進(jìn)而展示出產(chǎn)品在處理個(gè)人隱私安全、安全治理的績效,通過流程分析,在流程的輸入、輸出、控制過程中,識(shí)別、分析、驗(yàn)證隱私保護(hù)需求、傳遞隱私保護(hù)價(jià)值,減少甚至消除隱私泄露的風(fēng)險(xiǎn),如:體現(xiàn)為采用隱私控制技術(shù)(如日志脫敏、數(shù)據(jù)庫加密)、產(chǎn)品架構(gòu)(如加密芯片)、技術(shù)路徑(如完整性校驗(yàn))等。
3、PIMS認(rèn)證可以傳遞信任??蛻艋蚝献骰锇?,尤其是政府組織、金融機(jī)構(gòu)作為承擔(dān)隱私風(fēng)險(xiǎn)的機(jī)構(gòu),通常會(huì)要求PII處理者提供相關(guān)證據(jù)(如PIA分析報(bào)告),從而證明PII處理者的產(chǎn)品能符合適用的隱私管理體系要求。通過得到授權(quán)的第三方機(jī)構(gòu)對(duì)PII處理者進(jìn)行基于國際標(biāo)準(zhǔn)的審核,可以極大地降低合規(guī)溝通成本,這種合規(guī)透明度的提高對(duì)于組織戰(zhàn)略和業(yè)務(wù)決策至關(guān)重要,同時(shí)PIMS認(rèn)證也有助于向公眾傳達(dá)組織的可信度。
七、關(guān)于企航顧問
企航顧問在ICT(信息與通訊技術(shù))領(lǐng)域提供的服務(wù)項(xiàng)目有:
1、ISO/IEC 20000 : 信息技術(shù)服務(wù)管理體系
2、ISO/IEC 27001 : 信息安全管理體系
3、ISO/IEC 27701 : 隱私信息管理體系
4、ISO/IEC 27017 : 云服務(wù)信息安全規(guī)范
5、ISO/IEC 27018 : 公共云個(gè)人信息(PII)處理者的信息安全控制規(guī)范
6、ISO/IEC 29151 : 個(gè)人信息保護(hù)的行為準(zhǔn)則
7、ISO 22301 : 業(yè)務(wù)連續(xù)性管理體系
8、TISAX :可信信息安全評(píng)估及交換機(jī)制
9、ISO/SAE 21434 : 汽車網(wǎng)絡(luò)安全
10、TL 9000 : 通訊行業(yè)質(zhì)量管理體系
11、……
微信平臺(tái)
線上課程