ISO-IEC 27701.2-2024DIS 信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)- 隱私信息信息管理體系 - 要求和指南(雷澤佳譯2024)_第1頁
ISO-IEC 27701.2-2024DIS 信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)- 隱私信息信息管理體系 - 要求和指南(雷澤佳譯2024)_第2頁
ISO-IEC 27701.2-2024DIS 信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)- 隱私信息信息管理體系 - 要求和指南(雷澤佳譯2024)_第3頁
ISO-IEC 27701.2-2024DIS 信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)- 隱私信息信息管理體系 - 要求和指南(雷澤佳譯2024)_第4頁
ISO-IEC 27701.2-2024DIS 信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)- 隱私信息信息管理體系 - 要求和指南(雷澤佳譯2024)_第5頁
已閱讀5頁,還剩67頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

II信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)—隱私信息管理體系-要求和指南范圍本標(biāo)準(zhǔn)規(guī)定了建立、實施、保持和持續(xù)改進(jìn)隱私信息管理體系(PIMS)的要求。本標(biāo)準(zhǔn)提供了實施本標(biāo)準(zhǔn)中要求的指南。本標(biāo)準(zhǔn)旨在對個人可識別信息(PII)處理負(fù)有責(zé)任和職責(zé)的PII控制者和PII處理者提供指導(dǎo)。本標(biāo)準(zhǔn)適用于所有類型和規(guī)模的組織,包括公共和私營公司、政府實體和非營利組織。規(guī)范性引用文件下列文件對于本標(biāo)準(zhǔn)的應(yīng)用是必不可少的。凡是注日期的引用文件,僅注日期的版本適用于本標(biāo)準(zhǔn)。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本標(biāo)準(zhǔn)。ISO/IEC29100,信息技術(shù)--安全技術(shù)--隱私框架術(shù)語和定義本標(biāo)準(zhǔn)采用ISO/IEC29100中所確立的術(shù)語和定義及以下術(shù)語和定義。ISO和IEC設(shè)有用于標(biāo)準(zhǔn)化的術(shù)語數(shù)據(jù)庫,地址如下:ISO在線瀏覽平臺:/obpIEC電力維基百科:/組織organization為實現(xiàn)其目標(biāo)(3.6),由職責(zé)、權(quán)限和相互關(guān)系構(gòu)成自身功能的一個人或一組人。組織的概念包括但不限于個體經(jīng)營者、公司、法人、商行、企事業(yè)單位、行政機(jī)構(gòu)、合營公司、慈善機(jī)構(gòu)或研究機(jī)構(gòu),或上述組織的部分或組合,無論是否具有法人資格、公有的或私有的。如果組織是較大實體的一部分,則“組織”一詞僅指屬于隱私信息管理體系(3.4)范圍內(nèi)的較大實體的那一部分。相關(guān)方(推薦術(shù)語)/利益相關(guān)者(允許使用的術(shù)語)相關(guān)方interestedparty(preferredterm)stakeholder(admittedterm)可能影響決策或活動、受決策或活動影響,或自認(rèn)為受決策或活動影響的個人或組織(3.1)。最高管理者topmanagement在最高層指揮和控制組織(3.1)的一個人或一組人。最高管理者在組織內(nèi)有授權(quán)并提供資源的權(quán)力。如果管理體系(3.4)的范圍僅覆蓋組織的一部分,則最高管理者是指指揮和控制該部分組織的一個人或一組人。管理體系managementsystem組織(3.1)建立方針(3.5)和目標(biāo)(3.6)以及實現(xiàn)這些目標(biāo)的過程(3.4.1)的相互關(guān)聯(lián)或相互作用的一組要素。一個管理體系可以針對單一的領(lǐng)域或幾個領(lǐng)域。管理體系的要素包括組織的結(jié)構(gòu)、崗位和職責(zé)、策劃和運行。方針policy由組織(3.1)的最高管理者(3.1.1)正式發(fā)布的組織(3.2.1)的宗旨和方向。目標(biāo)objective要實現(xiàn)的結(jié)果目標(biāo)可以是戰(zhàn)略性的、戰(zhàn)術(shù)性的或操作層面的。目標(biāo)可以涉及不同的領(lǐng)域(如:財務(wù)的、職業(yè)健康與安全的和環(huán)境的目標(biāo)),它們可以是整個組織的,也可以特定于某個項目、產(chǎn)品或過程(3.8)。可以采用其他的方式表述目標(biāo),例如:采用預(yù)期的結(jié)果、活動的目的或運行準(zhǔn)則,或使用其它有類似含義的詞(如:目的、終點或指標(biāo))。在隱私信息管理體系(3.22)環(huán)境中,組織(3.1)制定的隱私信息目標(biāo)與隱私信息方針(3.5)保持一致,以實現(xiàn)特定的結(jié)果。風(fēng)險risk不確定性的影響。影響是指偏離預(yù)期,可以是正面的或負(fù)面的。不確定性是指對某一事件、其后果或可能性缺乏信息、理解或知識的狀態(tài),即使是部分缺乏。通常,風(fēng)險是通過有關(guān)事件ISO導(dǎo)則73中的定義)和后果(如ISO導(dǎo)則73中的定義),或兩者的組合來描述其特性的。通常,風(fēng)險是以某個事件的后果(包括情況的變化)及其發(fā)生的可能性(ISO導(dǎo)則73中的定義)的組合來表述的。過程process利用輸入實現(xiàn)結(jié)果的相互關(guān)聯(lián)或相互作用的一組活動。過程的結(jié)果稱為輸出,還是稱為產(chǎn)品或服務(wù),隨相關(guān)語境而定。能力competence應(yīng)用知識和技能實現(xiàn)預(yù)期結(jié)果的本領(lǐng)。成文信息documentedinformation組織(3.1)需要控制并保持的信息及其載體。成文信息可以任何格式和載體存在,并可來自任何來源。成文信息可涉及:管理體系(3.4),包括相關(guān)過程(3.8);為組織運行而產(chǎn)生的信息(一組文件);實現(xiàn)結(jié)果的證據(jù)(記錄)。績效performance可測量的結(jié)果??冃Э赡苌婕岸康幕蚨ㄐ缘慕Y(jié)果??冃Э赡苌婕肮芾砘顒?、過程(3.8)產(chǎn)品、服務(wù)、系統(tǒng)或組織(3.1)。持續(xù)改進(jìn)continualimprovement提高績效(3.11)的循環(huán)活動。有效性effectiveness完成策劃的活動并得到策劃的結(jié)果的程度要求requirement明示的、通常隱含的或必須履行的需求或期望?!巴ǔk[含”是指組織(3.1)和相關(guān)方(3.2)的慣例或一般做法,所考慮的需求或期望是不言而喻的。規(guī)定要求是經(jīng)明示的要求,如:在成文信息(3.10)中闡明。符合滿足要求(3.14)。不符合未滿足要求(3.14)。糾正措施correctiveaction為消除不合格(3.16)的原因并防止再發(fā)生所采取的措施審核audit為獲得客觀證據(jù)并對其進(jìn)行客觀的評價,以確定滿足審核準(zhǔn)則的程度所進(jìn)行的系統(tǒng)的和獨立的過程(3.8)。審核可以是內(nèi)部(第一方)審核,或外部(第二方或第三方)審核,也可以是多體系審核或聯(lián)合審核。內(nèi)部審核由組織(3.1)自己或外部以組織的名義進(jìn)行。“審核證據(jù)”和“審核準(zhǔn)則”在ISO19011中定義。測量measurement確定數(shù)值的過程(3.8)。監(jiān)視monitoring確定體系、過程(3.8)或活動的狀態(tài)。確定狀態(tài)可能需要檢查、監(jiān)督或密切觀察。PII聯(lián)合控制者jointPIIcontroller與其他一個或更多PII控制者聯(lián)合決定處理PII的目的和手段的PII控制者。顧客customer能夠或?qū)嶋H接受為其提供的或按其要求提供的產(chǎn)品或服務(wù)的個人或組織(3.1)。示例:消費者、委托人、最終使用者、零售商、內(nèi)部過程(3.8)的產(chǎn)品或服務(wù)的接收人、受益者和采購方。顧客可以是組織內(nèi)部的或外部的。顧客可以是與PII控制者有合同的組織(3.1),或是與PII處理者有合同的PII控制者,或是與分包商有PII處理合同的PII處理者(有關(guān)詳細(xì)信息,見4.2)。隱私信息管理體系privacyinformationmanagementsystemPIMS關(guān)于受PII處理潛在影響的隱私保護(hù)的信息安全管理體系(3.4)。信息安全方案informationsecurityprogramme旨在管理組織(3.1)資產(chǎn)所面臨的風(fēng)險(3.7),以確保信息的保密性、完整性和可用性的一組方針(3.5)目標(biāo)(3.6)和過程(3.8)。信息安全方案可以是例如基于ISO/IEC27001的信息安全管理體系。適用性聲明statementofapplicability所有必要控制以及包含或刪減控制的理由的文件。組織可能不需要附錄A中列出的所有控制,甚至可能超出附錄A中的列表,增加組織自身確定的額外控制。組織環(huán)境理解組織及其環(huán)境組織應(yīng)確定與其宗旨相關(guān),并影響其實現(xiàn)隱私信息管理體系預(yù)期結(jié)果能力的外部和內(nèi)部因素。組織應(yīng)確定氣候變化是否是一個相關(guān)因素。組織應(yīng)確定其作為一個PII控制者(包括作為PII聯(lián)合控制者)和/或PII處理者的角色。組織應(yīng)確定與其環(huán)境相關(guān)的外部和內(nèi)部因素,這些因素影響其實現(xiàn)隱私信息管理體系預(yù)期結(jié)果的能力。外部和內(nèi)部因素可能包括但不限于:適用的隱私法律;適用的法規(guī);適用的司法判決;適用的組織環(huán)境、治理、策略和程序;適用的行政決定;適用的合同要求。當(dāng)組織同時作為兩種角色(即PII控制者和PII處理者)時,應(yīng)分別確定其角色,對應(yīng)其每一種角色分別應(yīng)用一組控制。組織角色在每一種PII處理場景中可能不同,因其取決于誰決定處理的目的和手段。理解相關(guān)方的需求和期望組織應(yīng)確定:與隱私信息管理體系相關(guān)的相關(guān)方;這些相關(guān)方的相關(guān)要求;其中哪些要求將通過隱私信息管理體系來解決。相關(guān)方可能有與氣候變化相關(guān)的要求。組織識別的相關(guān)方應(yīng)包含那些與組織處理PII相關(guān)的具有利益或責(zé)任的相關(guān)方,包括PII主體。其他相關(guān)方可包括顧客(見4.2)監(jiān)管機(jī)構(gòu)、其他PII控制者、PII處理者及其分包方。根據(jù)組織的角色,“客戶”可以理解為以下任一情況:與PII控制者簽署合同的組織(例如,PII控制者的顧客,也適用于組織是一個聯(lián)合控制者的情況);與PII處理者有合同關(guān)系的PII控制者(例如,PII處理者的客戶);或與處理PII的分包方簽署合同的PII處理者(即,PII處理分包方的顧客者)。在本標(biāo)準(zhǔn)中,與組織存在商業(yè)對消費者(B2C)關(guān)系的個人被稱為“PII主體”。與處理PII相關(guān)的要求可由法律法規(guī)要求、合同義務(wù)、自行提出的組織目標(biāo)確定。IS0/IEC29100中規(guī)定的隱私原則為處理PII提供了指南。作為正式組織義務(wù)符合性的一個要素,一些相關(guān)方可期望組織符合特定標(biāo)準(zhǔn),例如本標(biāo)準(zhǔn)規(guī)定的管理體系和/或任何相關(guān)的規(guī)范。這些相關(guān)方可要求關(guān)于這些標(biāo)準(zhǔn)的符合性的獨立審核。確定隱私管理體系的范圍組織應(yīng)確定隱私信息管理體系的邊界和適用性,以建立其范圍。在確定這一范圍時,組織應(yīng)考慮:4.1中提及的外部和內(nèi)部因素;4.2中提及的要求。組織的隱私信息管理體系范圍應(yīng)可獲取,并作為成文信息加以保持。當(dāng)確定隱私信息管理體系范圍時,組織應(yīng)將PII處理包括在內(nèi)。隱私管理體系組織應(yīng)按照本標(biāo)準(zhǔn)的要求,建立、實施、保持并持續(xù)改進(jìn)隱私信息管理體系,包括所需的過程及其相互作用。領(lǐng)導(dǎo)作用領(lǐng)導(dǎo)作用和承諾最高管理者應(yīng)通過以下活動,證實對隱私信息管理體系的領(lǐng)導(dǎo)作用和承諾:確保建立隱私方針(見5.2)和隱私目標(biāo)(見6.2),并與組織戰(zhàn)略方向相一致;確保將隱私信息管理體系要求融入組織的過程中;確保隱私信息管理體系所需的資源是可獲得的;溝通有效的隱私信息管理及符合隱私信息管理體系要求的重要性;確保隱私信息管理體系實現(xiàn)其預(yù)期結(jié)果;指導(dǎo)和支持相關(guān)人員為隱私信息管理體系的有效性做出貢獻(xiàn);促進(jìn)持續(xù)改進(jìn);支持其他相關(guān)管理者在其職責(zé)范圍內(nèi)發(fā)揮領(lǐng)導(dǎo)作用。注:本標(biāo)準(zhǔn)中提及的“業(yè)務(wù)”一詞可廣義地理解為涉及組織存在的目的核心活動。隱私方針最高管理者應(yīng)制定隱私方針,隱私方針應(yīng):與組織宗旨相適應(yīng);為設(shè)定隱私目標(biāo)提供框架;包括滿足適用要求的承諾;包括對隱私信息管理體系持續(xù)改進(jìn)的承諾。隱私方針應(yīng):作為成文信息可獲??;在組織內(nèi)部進(jìn)行溝通;適宜時,可為相關(guān)方所獲取。角色、職責(zé)和權(quán)限最高管理者應(yīng)確保相關(guān)角色、職責(zé)和權(quán)限在組織內(nèi)得到分配和溝通。最高管理者應(yīng)分配職責(zé)和權(quán)限,以:確保隱私信息管理體系符合本標(biāo)準(zhǔn)的要求;向最高管理者報告隱私信息管理體系績效。策劃應(yīng)對風(fēng)險和機(jī)遇的措施總則當(dāng)策劃隱私信息管理體系時,組織應(yīng)考慮4.1中提及的因素和4.2中提及的要求,并確定需要應(yīng)對的風(fēng)險和機(jī)遇,以:確保隱私信息管理體系能夠?qū)崿F(xiàn)其預(yù)期結(jié)果;預(yù)防或減少不良影響;實現(xiàn)持續(xù)改進(jìn)。組織應(yīng)策劃:應(yīng)對這些風(fēng)險和機(jī)遇的措施;如何:將這些措施整合到隱私信息管理體系過程中,并予以實現(xiàn);評價這些措施的有效性。隱私風(fēng)險評估組織應(yīng)規(guī)定并應(yīng)用隱私風(fēng)險評估過程,以:建立并保持隱私風(fēng)險準(zhǔn)則,包括:風(fēng)險接受準(zhǔn)則;實施隱私風(fēng)險評估的準(zhǔn)則;確保反復(fù)的隱私風(fēng)險評估產(chǎn)生一致的、有效的和可比較的結(jié)果;識別隱私風(fēng)險:與隱私信息管理體系范圍內(nèi)的隱私保護(hù)和信息安全風(fēng)險相關(guān);確定風(fēng)險責(zé)任人;分析隱私風(fēng)險:評估6.1.2c)1)中所識別的風(fēng)險發(fā)生后,對組織和PII主體可能產(chǎn)生的潛在后果;評估6.1.2c)1)中所識別的風(fēng)險實際發(fā)生的可能性;確定風(fēng)險等級;評價隱私風(fēng)險。將風(fēng)險分析結(jié)果與6.1.2a)中建立的風(fēng)險準(zhǔn)則進(jìn)行比較;為風(fēng)險應(yīng)對對已分析風(fēng)險進(jìn)行優(yōu)先排序。組織應(yīng)保留有關(guān)隱私風(fēng)險評估過程的成文信息。注:有關(guān)隱私風(fēng)險評估過程的更多信息,請參見ISO/IEC27557。隱私風(fēng)險應(yīng)對組織應(yīng)規(guī)定并應(yīng)用隱私風(fēng)險應(yīng)對過程,以應(yīng)對與PII處理相關(guān)的風(fēng)險,包括對PII主體的風(fēng)險以及對PII安全的威脅,具體通過以下方式:在考慮風(fēng)險評估結(jié)果的基礎(chǔ)上,選擇適合的隱私風(fēng)險應(yīng)對方案;確定實現(xiàn)所選擇的隱私風(fēng)險應(yīng)對方案所必需的所有控制;當(dāng)需要時,組織可設(shè)計控制,或識別來自任何來源的控制。識別并將組織實施的信息安全方案形成文件,包括適當(dāng)?shù)陌踩刂?;ISO/IEC27002提供了可能的信息安全控制清單。如果信息安全方案基于ISO/IEC27001,則本標(biāo)準(zhǔn)的用戶應(yīng)參考ISO/IEC27002,以確保沒有遺漏必要的信息安全控制。將6.1.3b)確定的控制與附錄A中的控制進(jìn)行比較,并驗證沒有忽略必要的控制;附錄A包含了可能的信息安全控制的清單。本標(biāo)準(zhǔn)使用者可在附錄A的指導(dǎo)下,確保沒有遺漏必要的控制。附錄A所列的信息安全控制并不是完備的,可能需要額外的隱私控制。組織在考慮Pll處理的安全性時,可以采用整合的方式處理安全性和隱私性問題,例如將安全性和隱私性風(fēng)險評估結(jié)合起來,或?qū)⑵渥鳛橛兄丿B領(lǐng)域的獨立實體。制定一個適用性聲明,其中包含:必要的控制(見6.1.3b)、c)和d));選擇該控制的合理性說明;必要的控制是否得到實施;對附錄A控制刪減的合理性說明。并非附錄A中列出的所有控制都必須包含。刪減任何控制的理由可以包括:風(fēng)險評估認(rèn)為這些控制并非必要,或者適用法律法規(guī)(包括適用于PII主體的法律法規(guī))未要求實施這些控制(或存在例外情況)。制定隱私風(fēng)險應(yīng)對計劃;獲得隱私風(fēng)險負(fù)責(zé)人的批準(zhǔn)隱私風(fēng)險應(yīng)對計劃,并接受剩余隱私風(fēng)險;獲得風(fēng)險責(zé)任人對隱私風(fēng)險應(yīng)對計劃以及對隱私殘余風(fēng)險的接受的批準(zhǔn);在實施b)和c)中確定的控制時,考慮附錄B中的指導(dǎo)。組織應(yīng)保留有關(guān)信息隱私風(fēng)險應(yīng)對過程的成文信息。隱私目標(biāo)及其實現(xiàn)的策劃組織應(yīng)在相關(guān)職能和層次上建立隱私目標(biāo)。隱私目標(biāo)應(yīng):與隱私方針保持一致(見5.2);可測量(如可行);考慮適用的隱私要求;予以監(jiān)視;予以溝通;適時更新;作為成文信息可獲取。組織應(yīng)保留有關(guān)隱私目標(biāo)的成文信息。在策劃如何實現(xiàn)隱私目標(biāo)時,組織應(yīng)確定:要做什么;需要什么資源;由誰負(fù)責(zé);何時完成;如何評價結(jié)果。變更的策劃當(dāng)組織確定需要對隱私管理體系進(jìn)行變更時,變更應(yīng)按所策劃的方式實施。支持資源組織應(yīng)確定并提供建立、實施、保持和持續(xù)改進(jìn)隱私管理體系所需的資源。能力組織應(yīng):確定在組織控制下從事會影響組織隱私信息績效的工作人員的必要能力;基于適當(dāng)?shù)慕逃?、培?xùn)或經(jīng)驗,確保這些人員是勝任的;適用時,采取措施以獲得所需的能力,并評價所采取措施的有效性;保留適當(dāng)?shù)某晌男畔ⅲ鳛槿藛T能力的證據(jù)。注:適當(dāng)措施可包括對在職人員進(jìn)行培訓(xùn)、輔導(dǎo)或重新分配工作,或者聘用、外包勝任的人員。意識在組織控制下工作的人員應(yīng)知曉:隱私方針(見5.2);他們對隱私管理體系有效性的貢獻(xiàn),包括改進(jìn)隱私信息績效帶來的益處;不符合隱私信息管理體系要求帶來的后果。溝通組織應(yīng)確定與隱私管理體系相關(guān)的內(nèi)部和外部的溝通需求,包括:溝通什么;何時溝通;與誰溝通;如何溝通。成文信息總則組織的隱私管理體系應(yīng)包括:本標(biāo)準(zhǔn)要求的成文信息;組織所確定的、為確保隱私管理體系有效性所需的成文信息。注:對于不同組織,質(zhì)量管理體系成文信息的多少與詳略程度可以不同,取決于:組織的規(guī)模,以及活動、過程、產(chǎn)品和服務(wù)的類型;過程及其相互作用的復(fù)雜程度;人員的能力。創(chuàng)建和更新在創(chuàng)建和更新成文信息時,組織應(yīng)確保適當(dāng)?shù)模簶?biāo)識和說明(如標(biāo)題、日期、作者或索引編號);格式(如語言、軟件版本、圖表)和載體(例如紙質(zhì)的、電子的);評審和批準(zhǔn),以保持適宜性和充分性。成文信息的控制應(yīng)控制隱私管理體系和本標(biāo)準(zhǔn)所要求的成文信息,以確保:在需要的場合和時機(jī),均可獲得并適用;予以妥善保護(hù)(如防止泄密、不當(dāng)使用或缺失)。為控制成文信息,適用時,組織應(yīng)進(jìn)行以下活動:分發(fā),訪問,檢索和使用;存儲和保護(hù),包括保持可讀性;更改控制(例如版本控制);保留和處理。對于組織確定的策劃和運行隱私管理體系所必需的來自外部的成文信息,組織應(yīng)進(jìn)行適當(dāng)識別,并予以控制。注:對成文信息的“訪問”可能意味著僅允許查閱,或者意味著允許查閱并授權(quán)修改。運行運行的策劃和控制組織應(yīng)策劃、實施和控制滿足要求所需的過程,并通過以下方式實施第6章中確定的措施:為過程建立準(zhǔn)則;根據(jù)準(zhǔn)則實施過程控制。成文信息應(yīng)在必要的范圍內(nèi)可用,以確信這些過程已按策劃執(zhí)行。組織應(yīng)控制策劃的變更,評審非預(yù)期變更的后果,必要時,采取措施減輕不利影響。組織應(yīng)確保與隱私管理體系相關(guān)的、由外部提供的過程、產(chǎn)品或服務(wù)受控。隱私風(fēng)險評估組織應(yīng)考慮6.1.2a)所建立的準(zhǔn)則,按策劃時間間隔,或當(dāng)重大變更提出或發(fā)生時,實施隱私風(fēng)險評估。組織應(yīng)保留隱私風(fēng)險評估結(jié)果的成文信息。隱私風(fēng)險應(yīng)對組織應(yīng)實施隱私風(fēng)險應(yīng)對計劃。組織應(yīng)保留隱私風(fēng)險應(yīng)對結(jié)果的成文信息??冃гu價監(jiān)視、測量、分析和評價組織應(yīng)確定:需要監(jiān)視和測量什么;需要用什么方法進(jìn)行監(jiān)視、測量、分析和評價,以確保結(jié)果有效;何時實施監(jiān)視和測量;何時對監(jiān)視和測量的結(jié)果進(jìn)行分析和評價。應(yīng)保留適當(dāng)?shù)某晌男畔?,以作為結(jié)果的證據(jù)。組織應(yīng)評價隱私績效和隱私信息管理體系的有效性。內(nèi)部審核總則組織應(yīng)按照策劃的時間間隔進(jìn)行內(nèi)部審核,以提供有關(guān)隱私信息管理體系的下列信息:a)是否符合;組織自身的隱私信息管理體系要求;本標(biāo)準(zhǔn)的要求。b)是否得到有效的實施和保持。內(nèi)部審核方案組織應(yīng)策劃、制定、實施和保持(一個或多個)審核方案,審核方案包括審核頻次、方法、職責(zé)、策劃要求和報告。當(dāng)制定內(nèi)部審核方案時,應(yīng)考慮相關(guān)過程的重要性和以往審核的結(jié)果。組織應(yīng):規(guī)定每次審核的審核準(zhǔn)則和范圍;選擇審核員并實施審核,確保審核過程的客觀性和公正性;確保將審核結(jié)果報告至相關(guān)管理者;保留成文信息,作為實施審核方案以及審核結(jié)果的證據(jù)。管理評審總則最高管理者應(yīng)按照策劃的時間間隔對組織的隱私信息管理體系進(jìn)行評審,以確保其持續(xù)的適宜性、充分性和有效性。管理評審輸入管理評審應(yīng)考慮:以往管理評審所采取措施的狀況;與隱私信息管理體系相關(guān)的外部和內(nèi)部因素的變化;與隱私信息管理體系相關(guān)的相關(guān)方需求和期望的變化;有關(guān)信息安全績效的反饋,包括以下方面的趨勢:不符合和糾正措施;監(jiān)視和測量結(jié)果;審核結(jié)果。持續(xù)改進(jìn)的機(jī)會。管理評審輸出管理評審輸出應(yīng)包括與持續(xù)改進(jìn)機(jī)會相關(guān)的決定以及變更隱私信息管理體系的任何需求。成文信息應(yīng)保留并可獲取,作為管理評審結(jié)果的證據(jù)。改進(jìn)持續(xù)改進(jìn)組織應(yīng)持續(xù)改進(jìn)隱私信息管理體系的適宜性、充分性和有效性。不符合及糾正措施當(dāng)發(fā)生不符合時,組織應(yīng):對不符合做出反應(yīng),適用時:采取措施以控制和糾正不符合;處置后果;通過下列活動,評價是否需要采取措施,以消除產(chǎn)生不合格的原因,避免其再次發(fā)生或者在其他場合發(fā)生:評審不符合;確定不符合的原因;確定是否存在或可能發(fā)生類似的不符合;實施所需的措施;評審所采取的糾正措施的有效性;需要時變更質(zhì)量管理體系;糾正措施應(yīng)與不符合所產(chǎn)生的影響相適應(yīng)。應(yīng)保留成文信息,作為下列事項的證據(jù):不符合的性質(zhì)以及隨后所采取的措施;糾正措施的結(jié)果。關(guān)于附錄的進(jìn)一步信息附錄A列出了組織作為PII控制者(無論其是否聘用PII處理者,以及是否與其他PII控制者聯(lián)合行動),或作為PII處理者(無論其是否將PII的處理分包給獨立的PII處理者,包括作為PII處理者的分包商處理PII的情況),或同時作為PII控制者和處理者時,隱私信息管理體系的參考控制目標(biāo)和控制。附錄B列出了實施附錄A中列出的控制的隱私信息管理體系實施指南。附錄C包含了與ISO/IEC29100的對應(yīng)關(guān)系。附錄D包含了本標(biāo)準(zhǔn)中控制與歐盟《通用數(shù)據(jù)保護(hù)條例》的對應(yīng)關(guān)系。附錄E包含了與ISO/IEC27018和ISO/IEC29151的對應(yīng)關(guān)系。附錄F展示了本版ISO/IEC27701中的控制與2019年版的對應(yīng)關(guān)系。(規(guī)范性附錄)PII控制者的控制目標(biāo)和控制措施本附件旨在為擔(dān)任PII控制者或PII處理者,或同時擔(dān)任兩者的組織提供使用指南。在隱私信息管理體系的實施中,并非本附錄中列出的所有控制目標(biāo)和控制措施都需要包含在內(nèi)。對于刪減的任何控制目標(biāo),應(yīng)在適用性聲明中給出合理性說明(見6.1.3f))。刪減的合理性說明可以包括:通過風(fēng)險評估認(rèn)為這些控制不是必要的,或者根據(jù)適用的法律法規(guī)(或法律法規(guī)下的例外情況)不需要這些控制。表A.1針對PII控制者,表A.2針對PII處理者,表A.3則涉及PII控制者和PII處理者共同的安全控制。注:表A.1、A.2和A.3中“控制參考”下的引用是指附件B中的相應(yīng)條款編號(例如,關(guān)于控制A.1.2.2的指南可在B.1.2.2中找到)。表A.1:PII控制者的控制目標(biāo)和控制措施控制參考控制標(biāo)題控制內(nèi)容A.1.2.2識別目的并形成文件組織應(yīng)識別擬處理PII的特定目的并形成文件。A.1.2.3識別合法性基礎(chǔ)組織應(yīng)針對已識別的PII處理目的,確定相關(guān)合法性依據(jù)并形成文件、遵守相關(guān)合法基礎(chǔ)。A.1.2.4確定何時以及如何獲得同意組織應(yīng)針對是否、何時和如何獲得PII主體對處理PII的同意確定過程并形成文件,該過程應(yīng)能夠證實。A.1.2.5獲取并記錄同意組織應(yīng)按形成文件的過程獲得和記錄PII主體的同意。A.1.2.6隱私影響評估當(dāng)策劃新的PII處理或?qū)ΜF(xiàn)有PII處理進(jìn)行變更時,組織應(yīng)評估進(jìn)行隱私影響評估的需求并在適當(dāng)時實施。A.1.2.7與PII處理者的合同組織應(yīng)與任何其使用的PII處理者簽署書面合同,就確保他們與PII處理者的合同明確附件A(見表A.2)中適當(dāng)控制的實施。A.1.2.8PII聯(lián)合控制者組織應(yīng)與任何聯(lián)合PII控制者確定處理PII(包括PII保護(hù)和安全要求)的各自角色和職責(zé)。A.1.2.9與處理PII相關(guān)的記錄組織應(yīng)確定并安全地維護(hù)必要的記錄,以支持其處理PII的義務(wù)。。A.1.3.2確定并履行對于PlI主體的義務(wù)組織應(yīng)確定并記錄其對PII主體與處理其PII相關(guān)的法律法規(guī)和業(yè)務(wù)義務(wù),并提供履行這些義務(wù)的方法。A.1.3.3確定PII主體所需的信息組織應(yīng)確定并記錄要提供給PII主體的有關(guān)其PII處理的信息和提供此類信息的時機(jī)。A.1.3.4向PII主體提供信息關(guān)于識別PII控制者和對PII處理的描述,組織應(yīng)向PII主體提供明確的和易于獲取的信息。A.1.3.5提供修改或撤回同意的機(jī)制組織應(yīng)為PII主體提供修改或撤回同意的機(jī)制。A.1.3.6提供反對PII處理的機(jī)制組織應(yīng)為PII主體提供反對處理其PII的機(jī)制。A.1.3.7訪問、糾正和/或擦除組織應(yīng)實施策略、程序或機(jī)制已履行其對于PII主體訪問、糾正和/或擦除其PII的義務(wù)。A.1.3.8PII控制者告知第三方的義務(wù)組織應(yīng)將與其共享PII相關(guān)的任何修改,撤回或反對告知已與之共享PII的第三方,并實施適當(dāng)?shù)牟呗?、程序或機(jī)制進(jìn)行告知。A.1.3.9提供被處理PII副本組織應(yīng)能夠在PII主體請求時向其提供所處理的PII副本。A.1.3.10處理請求組織應(yīng)定義處理和響應(yīng)PII主體的合法請求的策略和程序并形成文件。A.1.3.11自動化決策組織應(yīng)識別和說明由組織僅基于自動處理PII做出與PII主體相關(guān)的決策所產(chǎn)生的對PII主體的義務(wù),包括法律義務(wù)。A.1.4.2有限收集組織應(yīng)將PII的收集限制在與識別的目的相關(guān)、適當(dāng)和必要的最低限度。A.1.4.3有限處理組織應(yīng)將PII的處理限制在對于已識別的目的充分、相關(guān)和必要的程度。A.1.4.4準(zhǔn)確性和質(zhì)量組織應(yīng)確保在PII的整個生命周期內(nèi)PII為達(dá)到處理目的所必需的準(zhǔn)確、完整和最新,并形成文件。A.1.4.5PII最小化目標(biāo)組織應(yīng)定義數(shù)據(jù)最小化目標(biāo)以及用于滿足這些目標(biāo)的機(jī)制(如去標(biāo)識化),并形成文件。A.1.4.6PII去標(biāo)識化和處理結(jié)束時的刪除組織應(yīng)刪除PII或?qū)⑵涑尸F(xiàn)為不允許識別或重新識別PII主體的形式,只要原始PII不再需要用于識別的目的。A.1.4.7臨時文件組織應(yīng)確保作為處理PII的結(jié)果創(chuàng)建的臨時文件在文件規(guī)定的時限內(nèi)按形成文件的程序得到處理(如擦除或銷毀)。A.1.4.8保留組織保留PII不應(yīng)超過PII處理目的所需的時間。A.1.4.9處置組織應(yīng)有形成文件的策略、程序或機(jī)制處置PII。A.1.4.10PII傳輸控制組織應(yīng)對通過數(shù)據(jù)傳輸網(wǎng)絡(luò)傳輸(例如發(fā)送到另一個組織)的PII進(jìn)行適當(dāng)?shù)目刂?,以確保數(shù)據(jù)到達(dá)其預(yù)期目的地。PII共享、轉(zhuǎn)移和披露目標(biāo):確定PII共享、向其他司法轄區(qū)或第三方傳輸和/或披露時是否遵從適用義務(wù),并形成文件。A.1.5.2識別跨司法轄區(qū)轉(zhuǎn)移Pll的依據(jù)組織應(yīng)識別在不同司法轄區(qū)傳輸PII的相關(guān)依據(jù)并形成文件。A.1.5.3可向其轉(zhuǎn)移PII數(shù)據(jù)的國家和國際組織組織應(yīng)規(guī)定PII可能被傳輸?shù)膰液蛧H組織并形成文件。A.1.5.4PII轉(zhuǎn)移記錄組織應(yīng)記錄PII轉(zhuǎn)移到第三方或從第三方轉(zhuǎn)移,并確保與這些相關(guān)的合作,以支持未來與其對PII主體的義務(wù)相關(guān)的請求。A.1.5.5向第三方披露PlI的記錄組織應(yīng)記錄PII向第三方的披露,包括披露了什么PII,披露給了誰,以及披露的時間。表A.2:PII處理者的控制目標(biāo)和控制措施控制參考控制標(biāo)題控制內(nèi)容A.2.2.2顧客協(xié)議相關(guān)時,組織應(yīng)確保處理PII的合同說明組織在協(xié)助客戶履行義務(wù)方面的作用(考慮到處理的性質(zhì)和組織可獲得的信息)A.2.2.3組織的目的組織應(yīng)確保代表顧客處理的PII僅為顧客書面指令中闡述的目的處理。A.2.2.4營銷與廣告用途組織不應(yīng)在獲得適當(dāng)?shù)腜II主體同意之前將其按合同處理的PII用于市場營銷和廣告的目的。組織不應(yīng)將提供此類同意作為獲得服務(wù)的條件。A.2.2.5侵權(quán)指令如果組織認(rèn)為一項處理指令違反適用的法律和/法規(guī),組織應(yīng)告知顧客。A.2.2.6顧客義務(wù)組織應(yīng)向顧客提供適當(dāng)?shù)男畔ⅲ诡櫩湍軌蜃C實其履行了義務(wù)。A.2.2.7與處理PII相關(guān)的記錄組織應(yīng)為代表顧客執(zhí)行的PII處理確定和保持關(guān)于支持證實其義務(wù)的符合性的必要的記錄(按適用合同中的規(guī)定)。A.2.3.2履行對PII主體的義務(wù)控制組織應(yīng)向顧客提供遵從其與PII主體相關(guān)的義務(wù)的方法。A.2.4.2臨時文件控制組織應(yīng)確保作為PII處理結(jié)果創(chuàng)建的臨時文件按形成文件的程序在書面規(guī)定的時限內(nèi)預(yù)計處置(如擦除或銷毀)。A.2.4.3歸還、轉(zhuǎn)移或處置PlI組織應(yīng)提供以安全方式歸還、轉(zhuǎn)移和/或處置PII的能力。應(yīng)使其顧客可獲得組織的策略。A.2.4.4II傳輸控制組織應(yīng)對在數(shù)據(jù)傳輸網(wǎng)絡(luò)中傳輸?shù)腜II實行適當(dāng)?shù)目刂埔源_保數(shù)據(jù)到達(dá)預(yù)期的目的地。PII共享、轉(zhuǎn)移和披露目標(biāo):確定PII共享、向其他司法轄區(qū)或第三方轉(zhuǎn)移和/或披露是否符合使用義務(wù),并形成文件。A.2.5.2跨司法轄區(qū)轉(zhuǎn)移PII的依據(jù)組織應(yīng)及時告知顧客PII在司法管轄區(qū)之間傳輸?shù)囊罁?jù)以及這方面的任何預(yù)期變更,以便顧客有能力反對此類變更或終止合同。A.2.5.3可向其轉(zhuǎn)移PlI的國家和國際組織組織應(yīng)規(guī)定PII可能轉(zhuǎn)移的國家和國際組織并形成文件。A.2.5.4向第三方披露PII的記錄組織應(yīng)記錄向第三方進(jìn)行的PII披露,包括:向誰、何時、披露了什么PII。A.2.5.5lI披露請求的通知組織應(yīng)將任何具有法律約束力的PII披露請求通知客戶。A.2.5.6具有法律約束力的PII披露組織應(yīng)拒絕任何不具有法律約束力的PII披露請求,在進(jìn)行任何PII披露之前咨詢相應(yīng)顧客,接受任何合同商定的相應(yīng)顧客已授權(quán)的PII披露。A.2.5.7披露用于處理PII的分包方組織應(yīng)在任何使用分包方處理PII之前向顧客披露。A.2.5.8使用分包方處理PII組織應(yīng)僅按顧客合同使用分包方處理PII。A.2.5.9變更處理PII的分包方在具有通用的書面授權(quán)時,組織就告知顧客有關(guān)添加或更換分包方以處理PII的任何預(yù)期更改,從而使客戶有機(jī)會反對此類更改。表A.3:PII控制者和處理者的控制目標(biāo)和控制措施控制參考控制標(biāo)題控制內(nèi)容A.3.3信息安全策略應(yīng)規(guī)定、與PII處理相關(guān)的信息安全策略,由管理層批準(zhǔn)、發(fā)布并傳達(dá)給相關(guān)人員和相關(guān)方并獲得其認(rèn)可,同時應(yīng)按策劃間隔和在發(fā)生重大變化時進(jìn)行評審。A.3.4信息安全角色與職責(zé)應(yīng)根據(jù)組織需求規(guī)定并分配與PII處理相關(guān)的信息安全角色與職責(zé)。A.3.5信息分類應(yīng)根據(jù)組織的信息安全需求,考慮PII,基于保密性、完整性、可用性和相關(guān)方要求對信息進(jìn)行分類。A.3.6信息標(biāo)記應(yīng)根據(jù)組織采用的信息分類方案,制定并實施一套慮PII的適當(dāng)?shù)男畔?biāo)記程序。A.3.7信息傳遞組織內(nèi)部以及組織與其他方之間所有類型的信息傳遞設(shè)施都應(yīng)當(dāng)有與PII處理相關(guān)的信息傳遞的規(guī)則、程序或協(xié)議。A.3.8身份管理應(yīng)管理與PII處理相關(guān)的身份的整個生命周期。A.3.9訪問權(quán)限應(yīng)根據(jù)組織關(guān)于訪問控制的特定主題策略和規(guī)則來提供、評審、修改和刪除對與PII處理相關(guān)的PII和其他相關(guān)的訪問權(quán)限。A.3.10在供方協(xié)議中強(qiáng)調(diào)信息安全應(yīng)建立與PII處理相關(guān)的信息安全要求,并根據(jù)供方關(guān)系的類型與每個供方達(dá)成一致。A.3.11信息安全事件管理策劃和準(zhǔn)備組織應(yīng)通過規(guī)定、建立和溝通信息安全事件管理過程、角色和職責(zé),以策劃和準(zhǔn)備好管理與PII處理相關(guān)的信息安全事件。A.3.12信息安全事件響應(yīng)應(yīng)根據(jù)成文程序?qū)εcPII處理相關(guān)的信息安全事件進(jìn)行響應(yīng)。A.3.13法律法規(guī)、監(jiān)管和合同要求應(yīng)當(dāng)識別、記錄和更新與PII處理相關(guān)的信息安全的法律法規(guī)、監(jiān)管和合同要求以及組織滿足這些要求的方法。A.3.14記錄保護(hù)應(yīng)防止與PII處理相關(guān)的記錄丟失、毀壞、偽造、未經(jīng)授權(quán)的訪問和未經(jīng)授權(quán)的發(fā)布。A.3.15信息安全獨立評審組織管理與PII處理相關(guān)的信息安全的方法及其實施(包括人員、流程和技術(shù)),應(yīng)在策劃的時間間隔或發(fā)生重大變化時進(jìn)行獨立評審。A.3.16遵守信息安全策略、規(guī)則和標(biāo)準(zhǔn)應(yīng)定期評審組織的信息安全策略、與PII處理相關(guān)的主題策略、規(guī)則和標(biāo)準(zhǔn)遵守情況。A.3.17信息安全意識、教育和培訓(xùn)組織的人員和相關(guān)方,應(yīng)按其工作職能并與PII處理相關(guān),接受關(guān)于組織的信息安全策略、主題策略和程序的適當(dāng)?shù)?、定期更新的信息安全意識、教育和培訓(xùn)。A.3.18保密或不披露協(xié)議反映組織PII保護(hù)需求的保密或不披露協(xié)議應(yīng)當(dāng)由員工和其他相關(guān)方識別、形成文件、定期評審和簽署。A.3.19桌面清理和屏幕清理應(yīng)規(guī)定并適當(dāng)強(qiáng)制針對紙張和可移動存儲介質(zhì)的桌面清理規(guī)則,以及信息處理設(shè)施的屏幕清理規(guī)則。A.3.20存儲介質(zhì)應(yīng)根據(jù)組織的分類方案和處理要求,在采購、使用、運輸和作廢的整個生命周期中對含有PII的存儲介質(zhì)進(jìn)行管理。A.3.21設(shè)備的安全處置或再利用應(yīng)驗證包含PII的存儲介質(zhì)的設(shè)備,以確保任何敏感數(shù)據(jù)和許可軟件在處置或再利用之前已被刪除或安全覆蓋。A.3.22用戶終端設(shè)備存儲在用戶終端設(shè)備上、由用戶終端設(shè)備處理或可通過用戶終端設(shè)備訪問的PII應(yīng)受到保護(hù)。A.3.23安全身份認(rèn)證應(yīng)基于信息訪問限制,實施與PII處理相關(guān)的安全身份認(rèn)證技術(shù)和程序。A.3.24信息備份應(yīng)維護(hù)和定期測試與PII處理相關(guān)的信息、軟件和系統(tǒng)的備份副本。A.3.25日志應(yīng)生成、存儲、保護(hù)和分析記錄PII處理相關(guān)活動、異常、故障和其他相關(guān)事態(tài)的日志。A.3.26密碼技術(shù)的使用應(yīng)規(guī)定和實施與PII處理相關(guān)的有效使用加密技術(shù)的規(guī)則,包括加密密鑰管理。A.3.27安全開發(fā)生命周期應(yīng)該建立和應(yīng)用與PII處理相關(guān)的軟件和系統(tǒng)安全開發(fā)的規(guī)則。A.3.28應(yīng)用服務(wù)安全要求在開發(fā)或采購應(yīng)用服務(wù)時,應(yīng)識別、詳述和審批與PII處理相關(guān)的信息安全要求。A.3.29安全系統(tǒng)架構(gòu)和工程原則應(yīng)建立、記錄、保持與PII處理相關(guān)的安全系統(tǒng)工程的原則,并將其應(yīng)用于任何信息系統(tǒng)開發(fā)活動。A.3.30外包開發(fā)組織應(yīng)指導(dǎo)、監(jiān)視和評審與外包的PII處理系統(tǒng)開發(fā)相關(guān)的活動。A.3.31測試信息應(yīng)適當(dāng)選擇、保護(hù)和管理與PII處理相關(guān)的測試信息。(規(guī)范性附錄)PII控制者和處理者實施指南PII控制者實施指南總則本條款中的增補(bǔ)內(nèi)容為PII控制者提供了隱私信息管理體系指南。本條款中記錄的實施指南與表A.1中列出的控制措施相關(guān)。收集和處理的條件目標(biāo)按適用司法轄區(qū)的合法性依據(jù),以及明確規(guī)定的和合法的目的,確定處理合法并形成文件。確定并記錄目的控制組織應(yīng)識別擬處理PII的特定目的并形成文件。實施指南組織應(yīng)確保PII主體理解其PII擬被處理的目的。將此目的明確形成文件并與PII主體溝通是組織的責(zé)任。沒有明確陳述的處理目的同意和選擇不能適當(dāng)給予。處理PII的目的(一個或多個)的文件應(yīng)足夠清晰和詳細(xì),要求提供給PII主體的信息應(yīng)能用(見B.1.3.3)。這包括為獲得同意所必需的信息(見B.1.2.4),以及策略和程序的記錄(見B.1.2.9).其他信息在部署云計算服務(wù)時,IS0/IEC19944中的分類法對于描述PII處理目的提供術(shù)語可能有幫助。識別合法性基礎(chǔ)控制組織應(yīng)針對已識別的PII處理目的,確定相關(guān)合法性依據(jù)并形成文件、遵守相關(guān)合法基礎(chǔ)。實施指南一些司法轄區(qū)要求組織能夠證實其在處理PII前其合法性已正確建立。處理PII的合法性依據(jù)可包括:PII主體的同意;履行合同;遵守法律義務(wù);保護(hù)PII主體的重要利益;為公眾利益而執(zhí)行的任務(wù);PII控制者的合法利益。組織應(yīng)針對每一PII處理活動將此依據(jù)形成文件(見B.1.2.9)組織的合法權(quán)益可包括,例如:信息安全目標(biāo),應(yīng)與隱私保護(hù)有關(guān)的對PII主體的義務(wù)取得平衡。每當(dāng)根據(jù)PII的性質(zhì)(例如健康信息)或相關(guān)PII主體(例如與兒童相關(guān)的PII)定義了特殊類別的PII時,組織應(yīng)將這些類別的PII納入其分類方案中。無論何時規(guī)定PII的特殊分類,無論是按PII的性質(zhì)(如健康信息)或按PII主體的關(guān)注度(例如與兒童相關(guān)的PII),組織將在其分類方案中包含這些類別。這些類別中的PII分類可因不同司法轄區(qū)而不同,可因不同行業(yè)采用的監(jiān)管制度不同而變化,因此組織需要了解適用于PII的分類得到執(zhí)行。使用特殊分類的PII還可采用更為嚴(yán)格的控制。PII處理目的的變更和延伸可能要求升級和/或修訂合法性依據(jù)。這還會要求獲得PII主體的額外同意。確定何時以及如何獲得同意控制組織應(yīng)針對是否、何時和如何獲得PII主體對處理PII的同意確定過程并形成文件,該過程應(yīng)能夠證實。實施指南除非有其他合法理由,否則處理PII可能需要獲得同意。組織應(yīng)明確何時需要獲得同意以及獲得同意的要求并形成文件。將處理目的與有關(guān)是否以及如何獲得同意的信息相關(guān)聯(lián)可能很有用。在一些司法轄區(qū)對于如何收集和記錄同意有具體要求(如不與其他協(xié)議捆綁)。除此之外,特定類型的數(shù)據(jù)收集(例如用于科學(xué)研究)和特定類型的PII主體,如兒童,可能需要附加的要求。組織應(yīng)考慮此類要求并將如何使同意滿足這些要求的機(jī)制形成文件。獲取并記錄同意控制組織應(yīng)按形成文件的過程獲得和記錄PII主體的同意。實施指南組織應(yīng)獲得和記錄PII主體的同意,使用的方式應(yīng)可按需求提供同意的詳細(xì)信息(例如,同意的時間,PII主體的身份,以及同意的陳述)。在同意過程之前提供給PII主體的信息應(yīng)遵循B.1.3.4的指南。同意應(yīng):自由給予;與具體處理目的關(guān)聯(lián);清晰明確無歧義。隱私影響評估 控制當(dāng)策劃新的PII處理或?qū)ΜF(xiàn)有PII處理進(jìn)行變更時,組織應(yīng)評估進(jìn)行隱私影響評估的需求并在適當(dāng)時實施。實施指南PII處理產(chǎn)生對PII主體的風(fēng)險。這些風(fēng)險應(yīng)通過隱私影響評估予以評估。一些司法轄區(qū)規(guī)定了強(qiáng)制進(jìn)行隱私影響評估的情形。評估準(zhǔn)則可以包括對PII主體、大規(guī)模處理特殊類別的PII(如健康相關(guān)信息,種族或民族出身,政治觀點,宗教或哲學(xué)信仰,工會會員資格,基因數(shù)據(jù)或生物特征數(shù)據(jù))或大規(guī)模系統(tǒng)性監(jiān)測公共區(qū)域產(chǎn)生法律影響的自動化決策。組織應(yīng)確定完成隱私影響評估所必需的要素。這些可包括處理的PII的類型清單,何處存儲PII,何處可轉(zhuǎn)移PII。在這種情況下,數(shù)據(jù)流圖和數(shù)據(jù)圖也很有幫助(有關(guān)可以為隱私影響或其他風(fēng)險評估提供信息輸入的PII處理記錄的詳細(xì)信息,請參見B.1.2.9)。其他信息與PII處理相關(guān)的影響評估指南可見IS0/IEC29134。與PII處理者的合同 控制組織應(yīng)與任何其使用的PII處理者簽署書面合同,就確保他們與PII處理者的合同明確附件A(見表A.2)中適當(dāng)控制的實施。實施指南組織和任何代表其處理PII的處理者之間的合同應(yīng)考慮信息安全風(fēng)險評估過程(見6.1.2)和由PII處理者處理的PII的范圍,要求PII處理者實施附錄A(見表A.2)規(guī)定的適當(dāng)控制措施。默認(rèn)情況下,應(yīng)假定附錄A(見表A.2)中規(guī)定的所有控制措施都相關(guān)。如果組織決定不要求PII處理者實施附件A(見表A.2)中某個控制措施,應(yīng)說明刪減的合理性(見6.1.3)。合同可對每一方的職責(zé)給予不同定義,但是,為了與本標(biāo)準(zhǔn)一致,應(yīng)在形成文件的信息中考慮和包含所有的控制措施。PII聯(lián)合控制者控制組織應(yīng)與任何聯(lián)合PII控制者確定處理PII(包括PII保護(hù)和安全要求)的各自角色和職責(zé)。實施指南PII處理的角色和職責(zé)應(yīng)以透明的方式確定。這些角色和職責(zé)應(yīng)記錄在合同或任何類似的約束性文件中,其中包含聯(lián)合處理PII的條款和條件。在一些司法轄區(qū),此類協(xié)議稱為數(shù)據(jù)共享協(xié)議。聯(lián)合PII控制者協(xié)議可包括(該清單并非明確詳盡的全部內(nèi)容清單):PII共享的目的/聯(lián)合PII控制者關(guān)系;作為聯(lián)合PII控制者關(guān)系一部分的組織(PII控制者)的身份;按照協(xié)議擬共享和/或轉(zhuǎn)移和處理的PII類別;處理操作(例如轉(zhuǎn)移、使用)的概述;各自角色和職責(zé)的描述;負(fù)責(zé)實施PII保護(hù)的技術(shù)和組織安全措施的職責(zé);發(fā)生PII違規(guī)事件時的職責(zé)界定(例如,由誰通知、何時通知、相互通報);PII的保留或處置條款;未遵守協(xié)議的責(zé)任;如何履行對PII主體的義務(wù);如何向PII主體提供涵蓋聯(lián)合PII控制者之間協(xié)議要點的信息;PII主體如何獲取其有權(quán)接收的其他信息;為PII主體提供的聯(lián)絡(luò)點。與處理PII相關(guān)的記錄組織應(yīng)確定并安全地維護(hù)必要的記錄,以支持其處理PII的義務(wù)。實施指南維護(hù)PII處理記錄信息的一種方法是編制一份組織執(zhí)行PII處理活動的清單。此類清單可包括:處理類型;處理目的;PII類別和PII主體(如兒童)的描述;已經(jīng)或?qū)⒁蚱渑禤II的接收者的類別,包括第三方國家或國際組織接收者;技術(shù)和組織安全措施的一般描述;隱私影響評估報告。該清單應(yīng)指定一個負(fù)責(zé)人,以確保其準(zhǔn)確性和完整性。對于PII主體的義務(wù)目標(biāo)確保向PII主體提供有關(guān)其PII處理的適當(dāng)信息,并履行對PII主體與處理其PII相關(guān)的任何其他適用義務(wù)。確定并履行對于PlI主體的義務(wù)控制組織應(yīng)確定并記錄其對PII主體與處理其PII相關(guān)的法律法規(guī)和業(yè)務(wù)義務(wù),并提供履行這些義務(wù)的方法。實施指南對于PII主體的義務(wù)和支持性方法因司法轄區(qū)而不同。組織應(yīng)確保提供適當(dāng)?shù)氖侄?,以可訪問和及時的方式履行對PII主體的義務(wù)。應(yīng)向PII主體提供明確的文件,說明履行對他們的義務(wù)的程度和方式,以及他們可以解決其請求的最新聯(lián)絡(luò)點。應(yīng)以與用于收集PII和同意的方式類似的方式提供聯(lián)系點(例如,如果通過電子郵件或網(wǎng)站收集PII,則聯(lián)系點應(yīng)通過電子郵件或網(wǎng)站提供,而不是電話或傳真等替代方式)。確定PII主體所需的信息控制組織應(yīng)確定并記錄要提供給PII主體的有關(guān)其PII處理的信息和提供此類信息的時機(jī)。實施指南組織應(yīng)確定何時將信息提供給PII主體(例如,在處理之前,在被請求后的特定時間等)以及擬提供信息類型的法律法規(guī)和/業(yè)務(wù)要求。根據(jù)要求,信息可以采用通知的形式。可提供給PII主體的信息的類型示例包括:關(guān)于處理目的的信息(見B.1.2.2);PII控制者或其代表的聯(lián)系方式;關(guān)于處理的合法性依據(jù)的信息(見B.1.2.3);關(guān)于何處獲取PII的信息,如果不能直接從PII主體獲??;關(guān)于提供PII是否是法定或合同要求的信息,以及適當(dāng)時,未提供PII可能產(chǎn)生的后果;B.1.3.2中確定的對PII主體的義務(wù)相關(guān)信息,以及PII主體如何從中受益,特別是關(guān)于訪問、修改、更正、請求刪除、接收其PII副本以及反對處理的信息;關(guān)于PII主體如何撤回同意的信息(見B.1.3.5);關(guān)于PII轉(zhuǎn)移的信息;關(guān)于PII接收者或接收者類別的信息;關(guān)于PII保留期限的信息;關(guān)于使用基于PII自動處理的自動化決策的信息;關(guān)于提出投訴的權(quán)利以及如何提出此類投訴的信息;關(guān)于提供信息的頻率(例如,“即時”通知、組織定義的頻率)的信息。關(guān)于提供信息的頻率的信息(如“及時”通知、組織規(guī)定的頻率等)。如果處理PII的目的變更或延伸,組織應(yīng)提供更新后的信息。向PII主體提供信息控制關(guān)于識別PII控制者和對PII處理的描述,組織應(yīng)向PII主體提供明確的和易于獲取的信息。實施指南組織應(yīng)以及時、簡潔、完整、透明、易懂且易于獲取的形式,使用適合目標(biāo)受眾的清晰明了的語言,向PII主體提供B.1.3.3中詳細(xì)列出的信息。組織應(yīng)使用適合目標(biāo)受眾的清晰明了的語言,以及時、簡潔、完整、透明、易懂和易于訪問的形式向PII主體提供B.1.3.3中詳述的信息。適用時,該信息應(yīng)在收集PII時提供。信息應(yīng)永久可訪問。注:通過提供預(yù)期處理的可視化概覽,圖標(biāo)和圖像可以對PII主體有所幫助。提供修改或撤回同意的機(jī)制控制組織應(yīng)為PII主體提供修改或撤回同意的機(jī)制。實施指南組織應(yīng)告知PII主體有關(guān)其可在任意時間撤銷同意的權(quán)利(這可因司法轄區(qū)而不同),并提供操作的機(jī)制。用于撤銷同意的機(jī)制取決于系統(tǒng);可能時,該機(jī)制應(yīng)與用來獲得同意的機(jī)制一致。例如,如果同意是通過Email或網(wǎng)站獲得的,撤銷同意的機(jī)制應(yīng)相同,而不是電話或傳真這樣的替代方案。修改同意可包括對PII的處理施加限制,包括限制PII控制者在有些情況下刪除PII。一些司法轄區(qū)對PII主體何時以及如何修改或撤銷同意有限制性要求。組織應(yīng)按記錄同意相似的方式記錄任何撤銷或變更同意的請求。任何同意的變更都應(yīng)通過適當(dāng)?shù)南到y(tǒng)傳達(dá)給授權(quán)用戶和相關(guān)第三方。組織應(yīng)規(guī)定響應(yīng)時間,并按規(guī)定的時間處理請求。其他信息當(dāng)特定PII處理的同意撤銷時,所有在撤銷同意之前已執(zhí)行的PII處理通常認(rèn)為是適當(dāng)?shù)?,但此類處理的結(jié)果不應(yīng)再用于新的處理。例如,如果一個PII主體撤銷其對于畫像的同意,不應(yīng)再使用或咨詢其畫像。提供反對PII處理的機(jī)制控制組織應(yīng)為PII主體提供反對處理其PII的機(jī)制。實施指南一些司法管轄區(qū)賦予PII主體對其PII處理提出異議的權(quán)利。受此類司法管轄區(qū)法律或法規(guī)約束的組織應(yīng)確保保留PII主體行使此權(quán)利的記錄。組織應(yīng)記錄與PII主體對處理提出異議相關(guān)的法律和監(jiān)管要求(例如,對出于直接營銷目的處理PII提出的異議)。組織應(yīng)向主體提供在這些情況下提出異議的能力的相關(guān)信息。提出異議的機(jī)制可能各不相同,但應(yīng)與所提供的服務(wù)類型相一致(如,在線服務(wù)應(yīng)在線提供此能力)。訪問、糾正和/或擦除控制組織應(yīng)實施策略、程序或機(jī)制已履行其對于PII主體訪問、糾正和/或擦除其PII的義務(wù)。實施指南組織應(yīng)實施相關(guān)策略、程序或機(jī)制,以便在PII主體提出請求時,能夠使其在不無故拖延的情況下訪問、糾正和/或擦除其PII。組織應(yīng)規(guī)定響應(yīng)時間,并按此時間處理請求。任何糾正或擦除應(yīng)在系統(tǒng)中傳達(dá)/或告知授權(quán)用戶,并傳遞至已向其轉(zhuǎn)移了PII的第三方(見B.1.3.8)。注:B.1.5.4中規(guī)定的控制所生成的成文信息可在此方面提供幫助。組織應(yīng)實施策略、程序或機(jī)制,以便在PII主體對數(shù)據(jù)的準(zhǔn)確性或更正存在爭議時使用。這些策略、程序或機(jī)制應(yīng)包括告知PII主體進(jìn)行了哪些更改,以及無法進(jìn)行更正的原因(如適用)。一些司轄區(qū)對于何時和如何PII主體可請求更正或擦除其PII有限制。組織應(yīng)確定這些限制是否適用,并及時了解這些限制。PII控制者告知第三方的義務(wù)控制組織應(yīng)將與其共享PII相關(guān)的任何修改,撤回或反對告知已與之共享PII的第三方,并實施適當(dāng)?shù)牟呗?、程序或機(jī)制進(jìn)行告知。實施指南組織應(yīng)采取適當(dāng)步驟,考慮到現(xiàn)有技術(shù),將任何對共享的PII的同意修改、撤回或異議通知第三方。組織應(yīng)采取適當(dāng)?shù)牟襟E,考慮可用的技術(shù),將與共享PII相關(guān)的任何修改或撤回同意或反對告知已與之共享PII的第三方。法律要求可能適用。組織應(yīng)確定和保持與第三方的積極溝通渠道??蓪⑾嚓P(guān)職責(zé)分配給負(fù)責(zé)其運行和維護(hù)的具體人員。在通知第三方時,組織應(yīng)監(jiān)視他們對收到信息的確認(rèn)。由于對PII主體的義務(wù)而導(dǎo)致的變更可包括修改或撤銷同意,請求更改、擦除或限制處理,或PII主體請求的對PII處理的異議。提供被處理PII副本控制組織應(yīng)能夠在PII主體請求時向其提供所處理的PII副本。實施指南組織應(yīng)提供一份其所處理的PII副本,該副本應(yīng)是結(jié)構(gòu)化的、常用形式的、PII主體可訪問的格式。一些司法管轄區(qū)定義了組織應(yīng)以允許移植到PII主體或PII控制者接收方(通常是結(jié)構(gòu)化、常用和機(jī)器可讀)的格式提供所處理的PII副本的情況。組織應(yīng)確保向一個PII主體提供的任何PII副本僅與該PII主體相關(guān)。如果請求的PII已根據(jù)保留和處理政策(如B.1.4.8所述)被刪除,則PII控制者應(yīng)告知PII主體其所請求的PII已被刪除。當(dāng)組織不再能夠識別PII主體(如由于去標(biāo)識化過程),組織不應(yīng)僅為了實施該控制措施尋求(再)識別PII主體。然而,在一些司法轄區(qū),合法請求可能要求向PII主體請求額外信息,以實現(xiàn)重新識別和隨后的披露。技術(shù)可行時,按PII主體的請求從一個組織向另一個組織轉(zhuǎn)移PII副本也是可能的。處理請求控制組織應(yīng)定義處理和響應(yīng)PII主體的合法請求的策略和程序并形成文件。實施指南合法請求可包括請求一份所處理的PII副本,或提出投訴。一些司法轄區(qū)允許組織在某些情形下收取一定費用(如過多或重復(fù)的請求)。請求應(yīng)在適當(dāng)?shù)囊?guī)定的響應(yīng)時間內(nèi)處理。一些司法轄區(qū)根據(jù)請求的復(fù)雜性和數(shù)量定義響應(yīng)時間,以及有延遲時告知PII主體的要求。應(yīng)在隱私策略中規(guī)定適當(dāng)?shù)捻憫?yīng)時間。自動化決策控制組織應(yīng)識別和說明由組織僅基于自動處理PII做出與PII主體相關(guān)的決策所產(chǎn)生的對PII主體的義務(wù),包括法律義務(wù)。實施指南一些司法轄區(qū)針對僅給予自動化處理PII做出的決策對PII主體有重大影響的情況,規(guī)定了對PII主體的特定義務(wù),例如通知存在自動化決策、允許PII主體對此類決策提出異議,或獲得人為干預(yù)。注:在一些司法轄區(qū),有些PII處理不可完全自動化。在這些司法轄區(qū)運營的組織應(yīng)考慮遵守這些義務(wù)。隱私設(shè)計和默認(rèn)隱私目標(biāo)確保過程和系統(tǒng)的設(shè)計使得收集和處理(包括使用、披露、保留、傳輸和處置)僅限于識別的目的所必需。有限收集控制組織應(yīng)將PII的收集限制在與識別的目的相關(guān)、適當(dāng)和必要的最低限度。實施指南組織應(yīng)僅收集與既定目的相稱、相關(guān)且必要的PII(個人可識別信息)。這包括限制組織間接收集(例如,通過網(wǎng)頁日志、系統(tǒng)日志)的PII數(shù)量。組織應(yīng)將PII的收集限制在對于已識別的目的充分、相關(guān)和必要的程度。這包括限制組織間接收集(如通過網(wǎng)站日志、系統(tǒng)日志等)的PII數(shù)量。默認(rèn)隱私指當(dāng)存在任何PII的收集和處理選擇時,每一項應(yīng)默認(rèn)關(guān)閉,且僅在PII主體明確選擇時開啟。有限處理控制組織應(yīng)將PII的處理限制在對于已識別的目的充分、相關(guān)和必要的程度。實施指南限制PII的處理應(yīng)通過信息安全和隱私方針(見5.2)以及采用和遵守的形成文件的程序來管理。對PII的處理,包括:披露;PII的存儲期限;誰能夠訪問其PII。應(yīng)默認(rèn)限制在對于已識別的最小必要的程度。準(zhǔn)確性和質(zhì)量控制組織應(yīng)確保在PII的整個生命周期內(nèi)PII為達(dá)到處理目的所必需的準(zhǔn)確、完整和最新,并形成文件。實施指南組織應(yīng)實施策略、程序或機(jī)制,使其處理的PII的不準(zhǔn)確性最小化。應(yīng)具備策略、程序或機(jī)制響應(yīng)PII不準(zhǔn)確的情況。這些策略、程序或機(jī)制應(yīng)包含在形成文件的信息中(如通過技術(shù)系統(tǒng)配置,等)并在PII整個生命周期中應(yīng)用。其他信息有關(guān)PII處理生命周期的更多信息,請參見ISO/IEC29101:2018,6.2。PII最小化目標(biāo)控制組織應(yīng)定義數(shù)據(jù)最小化目標(biāo)以及用于滿足這些目標(biāo)的機(jī)制(如去標(biāo)識化),并形成文件。實施指南組織應(yīng)確定特定PII以及收集和處理的PII數(shù)量相對于識別的目的如何受到限制。這可包括使用去標(biāo)識化技術(shù)或其他最小化技術(shù)。已識別的目的(見B.1.2.2)可能要求處理尚未去標(biāo)識化的PII,對此組織應(yīng)能夠描述此類處理。在其他情況下,已識別的目的不要求處理原始PII,且對于已去標(biāo)識化的PII的處理對于已識別的目的可能已經(jīng)足夠。這種情況下,組織應(yīng)定義PII需要關(guān)聯(lián)到PII主體的程度并形成文件,以及設(shè)計的處理PII的機(jī)制和技術(shù),使去標(biāo)識化和/或最小化目標(biāo)可實現(xiàn)。用于最小化PII的機(jī)制取決于處理類型和處理所用系統(tǒng)。組織應(yīng)將用于實施數(shù)據(jù)最小化的任何機(jī)制(技術(shù)系統(tǒng)配置,等)形成文件。當(dāng)處理去標(biāo)識化數(shù)據(jù)對于目的足夠時,組織應(yīng)記錄旨在及時實施組織設(shè)定的去標(biāo)識化目標(biāo)的任何機(jī)制(技術(shù)系統(tǒng)配置,等)。例如,移除與PII主體關(guān)聯(lián)的屬性可足以允許組織實現(xiàn)其識別的目的。在其他情況下,其他去標(biāo)識化技術(shù),例如泛化(e.g.取整)或隨機(jī)化技術(shù)(例如噪聲添加)可用于實現(xiàn)充分水平的去標(biāo)識化。有關(guān)去標(biāo)識化技術(shù)的更多信息,請參見ISO/IEC20889。關(guān)于云計算,ISO/IEC19444提供了數(shù)據(jù)識別限定符的定義,數(shù)據(jù)識別限定符可用于對數(shù)據(jù)識別PII主體或?qū)II主體與PII中的一組特征關(guān)聯(lián)的程度進(jìn)行分類。PII去標(biāo)識化和處理結(jié)束時的刪除控制組織應(yīng)刪除PII或?qū)⑵涑尸F(xiàn)為不允許識別或重新識別PII主體的形式,只要原始PII不再需要用于識別的目的。實施指南當(dāng)預(yù)計不會進(jìn)行進(jìn)一步處理PII時,組織應(yīng)具有擦除PII的機(jī)制,或者,只要生成的去標(biāo)識化數(shù)據(jù)不能合理地允許重新識別PII主體,就可以使用一些去標(biāo)識化技術(shù)。臨時文件控制控制組織應(yīng)確保作為處理PII的結(jié)果創(chuàng)建的臨時文件在文件規(guī)定的時限內(nèi)按形成文件的程序得到處理(如擦除或銷毀)。實施指南組織應(yīng)進(jìn)行定期檢查,使不用的臨時文件在所識別的時限內(nèi)刪除。其他信息信息系統(tǒng)可在其正常運行中創(chuàng)建臨時文件。此類文件特定于系統(tǒng)或應(yīng)用程序,但可以包括與數(shù)據(jù)庫更新和其他應(yīng)用程序軟件的操作相關(guān)的文件系統(tǒng)回滾日志和臨時文件。臨時文件在相關(guān)信息處理任務(wù)完成后不再需要,但有些情況下不能刪除。這些文件繼續(xù)使用的時長并不總是很確定,不過“垃圾收集”程序應(yīng)確定相關(guān)文件并確定自上次使用它們以來的時間。保留控制組織保留PII不應(yīng)超過PII處理目的所需的時間。實施指南組織應(yīng)考慮保留PII不超過必要的時間的要求,為其保留的信息開發(fā)和維護(hù)保存計劃。此類計劃應(yīng)考慮法律法規(guī)和業(yè)務(wù)要求。當(dāng)這些要求相互沖突時,需在適當(dāng)?shù)姆桨钢羞M(jìn)行業(yè)務(wù)決策(基于風(fēng)險評估)。處置控制組織應(yīng)有形成文件的策略、程序或機(jī)制處置PII。實施指南PII處置技術(shù)的選擇取決于多種因素,處置技術(shù)的特性和結(jié)果(例如產(chǎn)生的物理介質(zhì)的顆粒度或恢復(fù)電子介質(zhì)上已經(jīng)刪除信息的能力)各不相同。選擇適當(dāng)處置技術(shù)時考慮的因素包括但不限于,擬處置的PII的性質(zhì)和范圍,是否有元數(shù)據(jù)關(guān)聯(lián)PII,以及存儲PII的物理介質(zhì)的特性。PII傳輸控制控制組織應(yīng)對通過數(shù)據(jù)傳輸網(wǎng)絡(luò)傳輸(例如發(fā)送到另一個組織)的PII進(jìn)行適當(dāng)?shù)目刂?,以確保數(shù)據(jù)到達(dá)其預(yù)期目的地。實施指南PII傳輸需要受控,通常是通過確保僅授權(quán)人員具有傳輸系統(tǒng)的訪問權(quán)限,并遵從適當(dāng)?shù)倪^程(包括保留審計日志)以確保被傳輸?shù)腜II無受損并傳輸?shù)秸_的接收者。PII共享、轉(zhuǎn)移和披露目標(biāo)確定PII共享、向其他司法轄區(qū)或第三方傳輸和/或披露時是否遵從適用義務(wù),并形成文件。識別跨司法轄區(qū)轉(zhuǎn)移Pll的依據(jù)控制組織應(yīng)識別在不同司法轄區(qū)傳輸PII的相關(guān)依據(jù)并形成文件。實施指南PII傳輸可能受法律和/或法規(guī)的約束,具體取決于數(shù)據(jù)要傳輸?shù)降乃痉ㄝ爡^(qū)或國際組織(以及數(shù)據(jù)的來源地)。組織應(yīng)將此類要求作為傳輸依據(jù)予以遵守并記錄。一些司法轄區(qū)可能要求制定監(jiān)管機(jī)構(gòu)評審信息傳輸協(xié)議。在此類司法轄區(qū)運營的組織應(yīng)了解任何此類要求。注:當(dāng)傳輸發(fā)生在特定司法轄區(qū),適用法律法規(guī)對于發(fā)送者和接收者同樣適用??上蚱滢D(zhuǎn)移PII數(shù)據(jù)的國家和國際組織控制組織應(yīng)規(guī)定PII可能被傳輸?shù)膰液蛧H組織并形成文件。實施指南正常運行中可能向其傳輸PII的國家和國際組織的身份應(yīng)對顧客可用。因使用分包PII處理產(chǎn)生的國家身份應(yīng)包含在內(nèi)。所包含的國家應(yīng)與B.1.5.2相關(guān)聯(lián)加以考慮。在正常運行之外,可能會出現(xiàn)應(yīng)執(zhí)法機(jī)構(gòu)要求而進(jìn)行的轉(zhuǎn)移案件,其國家身份無法事先指定,或適用司法管轄區(qū)禁止以保護(hù)執(zhí)法調(diào)查的機(jī)密性(見B.1.5.2、B.2.5.5和B.2.5.6)。PII轉(zhuǎn)移記錄控制組織應(yīng)記錄PII轉(zhuǎn)移到第三方或從第三方轉(zhuǎn)移,并確保與這些相關(guān)的合作,以支持未來與其對PII主體的義務(wù)相關(guān)的請求。實施指南記錄可以包括從第三方轉(zhuǎn)移已因PII控制者管理其義務(wù)而被修改的PII或轉(zhuǎn)移給第三方以執(zhí)行PII主體的合法請求,包括擦除PII的請求(例如在撤銷同意后)。組織應(yīng)定義這些記錄保留期的策略。對于這些轉(zhuǎn)移記錄,組織應(yīng)應(yīng)用數(shù)據(jù)最小化原則,嚴(yán)格限于僅保存需要的信息。向第三方披露PlI的記錄控制組織應(yīng)記錄PII向第三方的披露,包括披露了什么PII,披露給了誰,以及披露的時間。實施指南PII可在正常運行期間披露。這些披露應(yīng)予以記錄。任何增加的向第三方的披露,例如來自合法調(diào)查或外部審計的那些披露也應(yīng)予以記錄。記錄應(yīng)包括披露的來源和進(jìn)行披露的授權(quán)的來源。PII處理者的實施指南總則本條款中的增補(bǔ)內(nèi)容為PII處理者提供了隱私信息管理體系指南。本條款中記錄的實施指南與表A.2中列出的控制項相關(guān)。收集和處理的條件目標(biāo)根據(jù)適用的司法管轄區(qū)的合法性依據(jù),并具有明確定義和合法的目的,確定PII處理的合法性并予以記錄。顧客協(xié)議控制相關(guān)時,組織應(yīng)確保處理PII的合同說明組織在協(xié)助客戶履行義務(wù)方面的作用(考慮到處理的性質(zhì)和組織可獲得的信息)實施指南組織和顧客之間的合同應(yīng)包含以下任何相關(guān)的內(nèi)容,并取決于顧客的角色(PII控制者或PII處理者)(該清單并非明確詳盡的全部內(nèi)容清單):設(shè)計隱私和默認(rèn)隱私(見B.1.4和B.2.4);實現(xiàn)安全處理;向監(jiān)管機(jī)構(gòu)報告涉及PII的違規(guī)事件;通知顧客和PII主體涉及PII的違規(guī)事件;進(jìn)行隱私影響評估(PIA);如果需要事先與相關(guān)PII保護(hù)機(jī)構(gòu)協(xié)商,則PII處理者提供協(xié)助的保證。一些司法轄區(qū)要求合同包含處理的標(biāo)的物和持續(xù)時間、處理的性質(zhì)和目的、PII的類型和PII主體的類別。組織的目的控制組織應(yīng)確保代表顧客處理的PII僅為顧客書面指令中闡述的目的處理。實施指南組織與顧客之間的合同應(yīng)包含,但不限于,服務(wù)擬實現(xiàn)的目標(biāo)和時間框架。為實現(xiàn)顧客的目的,可能存在技術(shù)原因,為什么組織適合確定處理PII的方法,與客戶的一般說明一致,但沒有客戶的明確說明。例如,為了高效地利用網(wǎng)絡(luò)或處理容量,可能根據(jù)一定的PII主體的特征分配特定的處理資源是必要的。組織應(yīng)允許顧客驗證其與目的規(guī)范和限制原則的符合性。這也確保了組織或任何其分包方?jīng)]有為顧客書面指令表述的之外的目的處理PII。營銷與廣告用途控制組織不應(yīng)在獲得適當(dāng)?shù)腜II主體同意之前將其按合同處理的PII用于市場營銷和廣告的目的。組織不應(yīng)將提供此類同意作為獲得服務(wù)的條件。實施指南PII處理者對顧客合同要求的符合性應(yīng)形成文件,特別是策劃市場營銷和/或廣告時。組織不應(yīng)堅持在未公平獲得PII主體明確同意的情況下包含營銷和/或廣告。注:該控制措施是8.2.2通用控制措施的附加措施,并不替代或超越B.2.2.3。侵權(quán)指令控制如果組織認(rèn)為一項處理指令違反適用的法律和/法規(guī),組織應(yīng)告知顧客。實施指南組織驗證指令是否違反法律法規(guī)的能力取決于技術(shù)環(huán)境、指令本身,以及組織與顧客之間的合同。顧客義務(wù)控制組織應(yīng)向顧客提供適當(dāng)?shù)男畔?,使顧客能夠證實其履行了義務(wù)。實施指南顧客需要的信息可以包括組織是否允許并有助于客戶進(jìn)行的審核或其他授權(quán)或客戶同意的審核。與處理PII相關(guān)的記錄控制組織應(yīng)為代表顧客執(zhí)行的PII處理確定和保持關(guān)于支持證實其義務(wù)的符合性的必要的記錄(按適用合同中的規(guī)定)。實施指南一些司法轄區(qū)可能要求組織記錄如下的信息:代表每一顧客所執(zhí)行的處理的分類;向第三方或國際組織的PII轉(zhuǎn)移;技術(shù)的和組織的安全措施的一般描述。對于PII主體的義務(wù)目標(biāo)確保為PII主體提供了關(guān)于處理其PII的適當(dāng)?shù)男畔ⅲ男腥魏闻c處理其PII相關(guān)的對于PII主體的適用義務(wù)。履行對PII主體的義務(wù)控制控制組織應(yīng)向顧客提供遵從其與PII主體相關(guān)的義務(wù)的方法。實施指南PII控制者的義務(wù)可由法律法規(guī)或合同規(guī)定。這些義務(wù)可包括客戶利用組織的服務(wù)來履行這些義務(wù)的事項。例如,這可包括及時糾正或擦除PII。當(dāng)顧客依賴組織的信息或技術(shù)方法以利于履行對PII主體的義務(wù),相關(guān)信息或技術(shù)方法應(yīng)在合同中予以規(guī)定。隱私設(shè)計和默認(rèn)隱私目標(biāo)確保過程和系統(tǒng)的設(shè)計使得PII的收集和處理(包括適用、披露、保留、傳輸和處置)限制在已識別的目的所必要的程度。臨時文件控制控制組織應(yīng)確保作為PII處理結(jié)果創(chuàng)建的臨時文件按形成文件的程序在書面規(guī)定的時限內(nèi)預(yù)計處置(如擦除或銷毀)。實施指南組織應(yīng)進(jìn)行定期的驗證,不用的臨時文件在規(guī)定的時限內(nèi)刪除。其他信息信息系統(tǒng)可在其正常運行進(jìn)程中創(chuàng)建臨時文件。此類文件對系統(tǒng)或應(yīng)用是特定的,但可能包含與數(shù)據(jù)庫升級和其他應(yīng)用軟件運行關(guān)聯(lián)的文檔系統(tǒng)回滾日志和臨時文件。臨時文件在相關(guān)信息處理任務(wù)完成后不再需要,但有些情況下它們不能被刪除。這些文件保持在用的時長不是總能確定的,但是一個“垃圾收集”程序應(yīng)識別相關(guān)文件并確定自上次使用以來已有多長時間。歸還、轉(zhuǎn)移或處置PlI 控制組織應(yīng)提供以安全方式歸還、轉(zhuǎn)移和/或處置PII的能力。應(yīng)使其顧客可獲得組織的策略。實施指南在有些時間點,PII可能需要以某種方式進(jìn)行處置。這可能涉及將PII歸還顧客、轉(zhuǎn)移至另一個組織或PII控制者(例如,由于合并)、刪除或銷毀、去標(biāo)識化或歸檔。歸還傳輸和/或處置PII的能力應(yīng)以安全的方式管理。組織應(yīng)提供必要的保證,使顧客能夠確保根據(jù)合同處理的PII(由組織及其任何分包商)在不再為顧客已明確的目的所需時,能夠從存儲的任何地方(包括用于備份和業(yè)務(wù)連續(xù)性的地方)被擦除。組織應(yīng)針對PII處置開發(fā)和實施策略,并在顧客請求時使顧客可獲得該策略。策略應(yīng)涵蓋合同終止后、PII處置前的PII保存期,以保護(hù)顧客免于因合同意外失效而丟失PII。注:本控制和指南在保留原則(見B.1.4.8)下也同樣適用。II傳輸控制控制組織應(yīng)對在數(shù)據(jù)傳輸網(wǎng)絡(luò)中傳輸?shù)腜II實行適當(dāng)?shù)目刂埔源_保數(shù)據(jù)到達(dá)預(yù)期的目的地。實施指南PII的傳輸需受控,通常通過確保只有經(jīng)過授權(quán)的人員才能訪問傳輸系統(tǒng),并遵循適當(dāng)?shù)倪^程(包括保留審計數(shù)據(jù))以確保PII無受損并傳輸?shù)秸_的接收者。傳輸控制要求可包含在PII處理者與顧客的合同中。若沒有與傳輸相關(guān)的合同要求,組織也可在傳輸前征求客戶的意見。PII共享、轉(zhuǎn)移和披露目標(biāo)確定PII共享、向其他司法轄區(qū)或第三方轉(zhuǎn)移和/或披露是否符合使用義務(wù),并形成文件??缢痉ㄝ爡^(qū)轉(zhuǎn)移PII的依據(jù)控制組織應(yīng)及時告知顧客PII在司法管轄區(qū)之間傳輸?shù)囊罁?jù)以及這方面的任何預(yù)期變更,以便顧客有能力反對此類變更或終止合同。實施指南PII在司法轄區(qū)之間轉(zhuǎn)移可能受法律法規(guī)的約束,這取決于擬向其傳輸PII的司法轄區(qū)或組織(以及源自哪里)。作為傳輸?shù)囊罁?jù),組織應(yīng)將此類要求形成文件。組織應(yīng)告知顧客任何PII的轉(zhuǎn)移,包括向以下相關(guān)方的轉(zhuǎn)移:供方;其他相關(guān)方;其他國家或國際組織。發(fā)生變更時,組織應(yīng)按商定的時間框架事先告知顧客,告知時顧客能夠反對此類變更或終止合同。組織與顧客之間的合同可規(guī)定關(guān)于組織可不告知顧客自行實施變更的條款。在這些情況下,應(yīng)設(shè)定限制條件(如組織可不告知顧客而變更供方,但不能將PII轉(zhuǎn)移至其他國家)。在PII跨國轉(zhuǎn)移時,如“范式合同條款”“約束性公司規(guī)則”或“隱私跨境規(guī)則”形式的協(xié)議,涉及的國家以及此類協(xié)議應(yīng)用的場景應(yīng)予以識別??上蚱滢D(zhuǎn)移PlI的國家和國際組織控制組織應(yīng)規(guī)定PII可能轉(zhuǎn)移的國家和國際組織并形成文件。實施指南在正常運行中可能向哪些國家和國際組織傳輸個人可識別信息(PII)的情況應(yīng)向客戶公開。使用分包的PII處理服務(wù)時所涉及的國家也應(yīng)包括在內(nèi)。在考慮所包括的國家時,應(yīng)參照B.2.5.2的要求。正常運行之外,有些情況下可能按執(zhí)法機(jī)構(gòu)要求轉(zhuǎn)移數(shù)據(jù),此時國家不能事先指定,或由于使用司法轄區(qū)為保護(hù)執(zhí)法調(diào)查的保密性所禁止(見B.1.5.2、B.2.5.5和B.2.5.6)。向第三方披露PII的記錄控制組織應(yīng)記錄向第三方進(jìn)行的PII披露,包括:向誰、何時、披露了什么PII。實施指南PII可能在正常運行進(jìn)程期間披露。這些披露應(yīng)予以記錄。任何對第三方的額外的披露,如由于合法調(diào)查或外部審計而產(chǎn)生的披露,也應(yīng)予以記錄。記錄應(yīng)包括披露的來源和進(jìn)行披露的授權(quán)的來源。PII披露請求的通知控制組織應(yīng)將任何具有法律約束力的PII披露請求通知客戶。實施指南組織可能會收到具有法律約束力的披露PII的請求(如來自執(zhí)法機(jī)構(gòu))。此時,組織應(yīng)按照商定的程序(可包含在顧客合同中)在商定的時間框架內(nèi)通知顧客任何此類請求。有些情況下,具有法律約束力的請求包含組織不可將事態(tài)通知任何人的要求(可能禁止披露的一個例子是根據(jù)刑法禁止,以保護(hù)執(zhí)法調(diào)查的保密性)。具有法律約束力的PII披露控制組織應(yīng)拒絕任何不具有法律約束力的PII披露請求,在進(jìn)行任何PII披露之前咨詢相應(yīng)顧客,接受任何合同商定的相應(yīng)顧客已授權(quán)的PII披露。實施指南與實施本控制措施相關(guān)的細(xì)節(jié)可包含在顧客合同中。此類請求可能源自多種來源,包括法庭、特別法庭、行政機(jī)構(gòu)。這可能在任何司法轄區(qū)發(fā)生。披露用于處理PII的分包方控制組織應(yīng)在任何使用分包方處理PII之前向顧客披露。實施指南關(guān)于使用分包方處理PII的條款應(yīng)包含在顧客合同中。所披露的信息應(yīng)涵蓋使用分包方的事實和相關(guān)分包方的名稱。披露的信息還應(yīng)包括分包方可轉(zhuǎn)移數(shù)據(jù)的國家和國際組織(見B.2.5.3),以及分包方為履行或超越組織義務(wù)所必需使用的方法(見B.2.5.8)。當(dāng)對公眾披露的分包方信息被評估以增加超越可接受限度的風(fēng)險,應(yīng)按不泄露協(xié)議和/或按顧客請求進(jìn)行披露。顧客應(yīng)了解到上述信息是可獲得的。這并不涉及PII可轉(zhuǎn)移的國家清單。該清單應(yīng)在所有情況下向顧客披露,采取的方式應(yīng)允許他們告知適當(dāng)?shù)腜II主體。使用分包方處理PII控制組織應(yīng)僅按顧客合同使用分包方處理PII。實施指南當(dāng)組織將PII處理分包部分或全部給另一個組織,在分包方處理PII之前要求獲得顧客的書面授權(quán)。這可以是以顧客合同中適當(dāng)條款的形式,或可以是一份特定的“一次性”協(xié)議。組織應(yīng)與任何用來代表其處理PII的分包方簽署書面合同,且應(yīng)確保其與分包方的合同明確附錄A(見表A.2)中適用控制措施的實施??紤]信息安全風(fēng)險評估過程(見6.1.2)和由PII處理者處理的PII的范圍,組織與任何代表其處理PII的分包方之間的合同應(yīng)要求分包方實施附錄B中規(guī)定的適用控制措施。默認(rèn)情況下,應(yīng)假定附錄B中規(guī)定的所有控制措施都相關(guān)。如果組織決定不要求分包方實施某個附錄A(見表A.2)中的控制措施,組織應(yīng)就除外給出合理性說明。合同定義的各方職責(zé)可不相同,為與本標(biāo)準(zhǔn)一致,所有的控制措施應(yīng)考慮包含在形成文件的信息中。變更處理PII的分包方控制在具有通用的書面授權(quán)時,組織就告知顧客有關(guān)添加或更換分包方以處理PII的任何預(yù)期更改,從而使客戶有機(jī)會反對此類更改。實施指南當(dāng)組織變更其分包部分或全部PII處理的分包方組織時,在使用新的分包方處理PII之前,要求得到顧客的書面授權(quán)。這可以是顧客合同中的適當(dāng)條款,或可以是特定的“一次性”協(xié)議。PII控制者和處理者的實施指南目標(biāo)確保PII息處理的安全性。總則本條款的增補(bǔ)內(nèi)容構(gòu)成了針對PII控制者和處理者的隱私信息管理體系指南。本條款中記錄的實施指南與表A.3中列出的控制相關(guān)。除非表A.3中的特定條款另有規(guī)定,或由組織根據(jù)適用的司法管轄區(qū)確定,否則對PII控制者和處理者適用相同的指南。信息安全策略控制應(yīng)規(guī)定、與PII處理相關(guān)的信息安全策略,由管理層批準(zhǔn)、發(fā)布并傳達(dá)給相關(guān)人員和相關(guān)方并獲得其認(rèn)可,同時應(yīng)按策劃間隔和在發(fā)生重大變化時進(jìn)行評審。實施指南無論是分別制定隱私策略,或通過增強(qiáng)信息安全策略,組織應(yīng)生成一份關(guān)于支持并承諾實現(xiàn)適用PII保護(hù)法律法規(guī)要求、符合組織與其伙伴、分包方及其適用的第三方(顧客、供方,等)的合同條款的符合性的說明,其中應(yīng)明確界定各方的責(zé)任。任何處理PII的組織,無論其是PII控制者或PII處理者,應(yīng)在開發(fā)和維護(hù)信息安全策略時考慮適用的PII保護(hù)法律法規(guī)。信息安全角色與職責(zé)控制應(yīng)根據(jù)組織需求規(guī)定并分配與PII處理相關(guān)的信息安全角色與職責(zé)。實施指南組織應(yīng)為顧客就處理PII事宜指定一個聯(lián)絡(luò)點。如組織是PII控制者,為PII主體就處理其PII事宜指定一個聯(lián)絡(luò)點(參見B.1.3.4)。組織應(yīng)指派一名或多名人員負(fù)責(zé)開發(fā)、實施、維護(hù)和監(jiān)視組織范圍的治理和隱私方案,以確保符合所有有關(guān)PII處理的適用法律法規(guī)要求。適當(dāng)時,該負(fù)責(zé)人應(yīng):保持獨立性立并直接向組織適當(dāng)層級的管理層報告,以確保有效管理隱私風(fēng)險;參與管理所有與PII處理相關(guān)的事項;是數(shù)據(jù)保護(hù)法律法規(guī)和實踐方面的專家;擔(dān)當(dāng)監(jiān)管機(jī)構(gòu)的聯(lián)絡(luò)點;向組織的最高管理層和員工通報其有關(guān)PII處理的義務(wù);就組織進(jìn)行的隱私影響評估提供建議。注:在有些司法轄區(qū),該人員稱之為數(shù)據(jù)保護(hù)官,當(dāng)要求配備這樣的職位時,同時規(guī)定其職位角色。該職位可由員工擔(dān)任,也可外包。信息分類控制應(yīng)根據(jù)組織的信息安全需求,考慮PII,基于保密性、完整性、可用性和相關(guān)方要求對信息進(jìn)行分類。實施指南組織的信息分類方案應(yīng)明確將PII作為其實施方案的一部分。在整體分類方案中考慮PII是理解組織處理哪些PII(例如類型、特殊類別)、這些PII存儲在哪里以及它可以通過哪些系統(tǒng)流動的關(guān)鍵。信息標(biāo)記控制應(yīng)根據(jù)組織采用的信息分類方案,制定并實施一套慮PII的適

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論