个人信息合规管理体系（基于ISO27701的分析）

2024-06-21 18:34:06

来源：合规小叨客

作者：Sh.MH,X.M,S.WQ,M.AT,L.ShF

（中兴通讯）全球法律政策研究院

一、概述

（一）研究范围与意义

（二）研究方法

二、基于ISO27701的个人信息管理体系（PIMS）的分析

（一）个人信息管理体系（PIMS）的特定要求

（二）个人信息管理体系（PIMS）的特定指南

（三）个人信息管理体系（PIMS）下针对控制者的控制目标和措施

（四）个人信息管理体系（PIMS）下针对处理者的控制目标和措施

三、基于ISO27701的个人信息管理体系（PIMS）在企业的应用

（一）在数据保护合规管理体系的应用

（二）在业务场景的应用--以人力资源场景为例

（三）在商业增信的应用

四、结语

一、概述

（一）研究范围与意义

1、与隐私和个人数据保护相关的法律及标准

欧盟《通用数据保护条例》（General Data Protection Regulation，以下简称“GDPR”）是迄今为止影响力最广、严格程度最高的数据保护法。截止目前，全球已有100多个国家/地区制定了隐私和数据保护立法。2020年初，在国际隐私专家协会发布的《全球立法预测白皮书》中预计各国监管和执法力度将有所加强。如比利时数据保护机构未来5年的战略草案将电信、媒体、直接营销和公共部门列为优先领域。泰国《个人数据保护法》原定于2020年5月生效，因疫情推迟至2022年生效。美国《加利福尼亚消费者隐私法案》已于2020年1月生效，其他州已经纷纷开始进行立法讨论，产生了区域示范性效应。巴西的《通用数据保护条例》于2021年5月生效。2020年至2021年数据保护立法逐渐全球遍地开花。

对在中国境内进行的数据处理活动而言，涉及个人信息保护的现行有效法律主要有《中华人民共和国网络安全法》、《消费者权益保护法》、《中华人民共和国刑法》（第253条之一“侵犯公民个人信息罪”）以及于2021年1月1日的《民法典》（第四编第六章隐私权和个人信息保护）。需要注意的是《数据安全法》已发布并定于2021年9月1日正式施行，《个人信息保护法（草案）》已进行二审，2021年很有可能成为中国个人数据保护立法元年。

综上所述，进行数据保护立法是全球趋势，对于企业而言，数据保护合规避无可避。特别是对于跨国企业，需要面临不同法域的数据保护规定，如何对这些规定进行研究总结，形成一套体系化的、可落地的数据保护合规体系是最大的难点。

2、ISO27701的介绍与研究价值[1]

2019年8月6日，国际标准化组织(the International Organization for Standardization,“ISO”)和国际电工委员会(the International Electrotechnical Commission，“IEC”)发布Security techniques-Extension to ISO/IEC 27001 and ISO/IEC27002 for privacy information management-Requirements and guidelines，即《安全技术-ISO/IEC27001与ISO/IEC27002隐私信息管理的扩展-要求与指南》，在ISO标准族系中的标号是ISO/IEC 27701:2019，因此简称为ISO27701,中文一般称为《隐私信息管理系统》。ISO27701在27001 ISMS体系基础上，扩展了对隐私和个人信息保护的要求，成为了第一部全球通用的数据保护标准。它对建立、实施、维护和改进隐私信息管理体系做出规定，从PII（Personal Identification Information，以下简称PII）控制者和处理者等不同维度给出了控制目标和控制措施，为各类组织提供了国际通用的隐私信息管理框架和隐私合规最佳实践。

因其提供了通用性，ISO 27701并不对标特定的法律法规要求，而是定义了能够支撑实现这些要求的体系及运行机制。以数据泄露事件响应为例，GDPR中规定了报告的义务，包括时限、内容和对象等要求[2]。27701在其6.13.1中规定了如何管理这类事件，包括了责任与规程、汇报、评估和决策、复盘学习、证据收集等，但没有就报告时限做出明确规定，而是把这个作为体系环境评估时的输入由组织自行确定，从而提供了更广泛的通用性。

目前，美国和英国等国家认可机构已颁发对ISO/IEC 27701认证机构的认可。中国2020年也启动了对ISO/IEC 27701标准的国标转化筹备工作。因为国际环境的影响，目前选择认证的组织多数是亚太地区的企业，尤其以国内居多，如华为终端云服务、阿里云、爱奇艺等均在近期完成了ISO27701认证。

因此进行ISO27701的对标研究，有助于加深相关企业对于该标准的理解、推进差距分析，最终提升数据保护水平并通过认证。

（二）研究方法

1、基于PDCA循环的逻辑

PDCA循环是美国质量管理专家休哈特博士首先提出的，由戴明采纳、宣传，获得普及，所以又称戴明环。PDCA循环的含义是将质量管理分为四个阶段，即Plan(计划)、Do(执行)、Check(检查) 和 Action(处理)。全面质量管理的思想基础和方法依据就是PDCA循环。

ISO作为企业管理标准，其制定的过程也遵循了PDCA循环。特别是在ISO27701的第五部分（详见下图所示），因此对于ISO27701的研究也应按照PDCA循环进行。

表1：ISO27701 PDCA循环逻辑图

2、立足“控制者”和“处理者”的角色分析

ISO27701相比于其他标准也有特殊之处，即作为数据保护的标准，遵循着数据保护的固有视角，即以控制者和处理者的角色来区分其义务，通过对“客户”的定义，说明在不同的业务场景下，不同组织之间的合作关系与责任边界。因此在进行研究时也应该按照不同场景下企业所扮演的不同角色进行分析。

二、基于ISO27701的个人信息管理体系（PIMS）的分析[3]

基于ISO27701的个人信息管理体系由三部分组成：特定要求、特定指南、附加指南（控制者和处理者）。特定要求是搭建个人信息管理体系的方法论，特定指南是构建个人信息管理体系的措施和工具，附加指南是针对控制者和处理者的场景化指引。具体如下图所示：

表2：PIMS内容构成图

（一）个人信息管理体系（PIMS）的特定要求[4]

1、总则

总则中概括的指出在ISO27001里提及的“信息安全”方面的要求全部扩展至可能受个人信息处理而受影响的隐私方面。

2、组织情境

组织情境，即指一个组织在开展个人信息管理前需要理解组织本身在个人信息处理活动中所扮演的角色以及识别与组织进行个人信息管理相关的内外部因素。首先进行组织的角色理解以及内外部因素的识别。角色即PII控制者和PII处理者，内外部因素主要包括适用的隐私法/监管条例/司法判例/行政决定/合同要求以及适用的组织情境、治理、策略和规程。再者要理解相关方的需求和期望。在信息交互如此迅速的时代，个人信息处理并非依靠孤立的组织完成，而是包括与其相关的其他方，包括客户、供应商、分包商和其他PII控制者、处理者甚至监管机构。第三，确定信息安全管理体系的范围。最后是按照PDCA的要求建立、实施、维护和持续改进信息管理体系（PIMS）。

3、领导力

领导力包括领导力和承诺、方针及组织角色、责任和权限，适用ISO27001的要求，无扩充。

4、策划

策划包含两个层面，一是进行评估风险，二是针对评估出的风险进行相应风险处置。组织可以实施整合的信息安全和隐私风险评估过程，或者分别实施，以识别PIMS范围内与PII处理相关的风险，并且要进一步识别出风险一旦发生对组织和PII主体的潜在影响。最后根据识别出的风险及影响和ISO27001第6.1.3b）条确定必要的控制措施，此类控制措施还应与ISO27701的附录A和/或附录B以及ISO27001的附录A中的控制措施进行对照，以验证没有遗漏任何必要的控制措施。

5、支持

支持包括能力、意识、沟通和文件化信息四个部分，适用ISO27001的要求，无扩充。

6、运行

运行包括运行的规划和控制、信息安全风险评估及信息安全风险处置三个部分，适用ISO27001的要求，无扩充。

7、绩效评价

绩效评价包括监视、测量、分析和评价；内部审核和管理评审，适用ISO27001的要求，无扩充。

8、改进

改进包括不符合和纠正措施、持续改进两个部分，适用ISO27001的要求，无扩充。

（二）个人信息管理体系（PIMS）的特定指南[5]

1、概述

ISO27701中关于PIMS具体控制措施的描述实际上是从ISO27002的信息安全要求中扩展出来的，因此本部分仅重点描述ISO27701中相比于ISO27702中附加的实施指南。

2、信息安全策略

无论是通过制定单独的隐私政策，或是通过增强信息安全策略，组织（无论是控制者还是处理者）宜编写一份声明，说明支持并恪守适用的PII保护相关法律法规，并遵守组织与其合作伙伴、分包商及适用的第三方（客户、供应商等）之间商定的合同条款，这些条款宜明确分配它们之间的责任。

3、信息安全组织

组织宜指定一个联络点，就PII处理相关事宜，供客户使用。当组织作为PII控制者时，为PII主体指定一个有关处理其PII的联络点。

组织宜任命一名或多名人员，负责建立、实施、维护和监视整个组织范围的治理和隐私方案，以确保遵守与PII处理有关的所有适用的法律法规。在某些司法管辖区，此类人员被称为数据保护官（DPO）。组织宜确保移动设备的使用不会导致PII受到危害。

4、人力资源安全

组织宜采取措施（包括对报告事件的意识认知），以确保相关员工认识到违反隐私或安全（特别是涉及处理PII问题的）规则和规程，可能带给组织的后果（如法律后果、业务和品牌损失、声誉损害），带给员工的后果（如违纪后果）和带给PII主体的后果（如身体、物质和情感上的后果）。

5、资产管理

组织的信息分级方法宜明确地将PII作为其实施方案的一部分。在总体分级体系中考虑PII，对于理解组织处理PII的过程（如类别、特殊类型PII）、PII存储位置以及PII可能流经的系统而言，是不可或缺的。

组织宜确保组织控制下的人员了解PII的定义以及如何识别PII信息。

如可行，组织宜使用允许对PII加密存储的可移动物理介质和设备。未加密的介质应仅在不可避免的情况下使用，使用未加密介质和设备时，组织应实施规程和补偿控制措施（如防拆封包装）以减轻PII的风险。当处置存储PII的移动介质时，宜通过实施文件化的安全处置规程，以确保之前存储的PII不可访问。

6、访问控制

对于管理或操作处理 PII 的系统和服务用户，其账号的注册和注销规程应解决对这些用户的访问控制受到损害的情形，比如口令或其他用户注册数据的破坏或泄露。

对于处理PII的系统和服务，组织不应向用户重新发布任何已取消激活或已过期的用户ID。如组织将PII处理作为其提供的服务，客户有权负责用户身份管理的部分或所有方面，该等场景应包括在文件化信息中。对于包含PII的信息系统，组织宜为被授予访问权的用户创建并维护准确的、最新的用户属性记录。实施唯一的用户访问ID制度，使系统能识别关于PII处理的主体和具体操作。

如果客户要求，组织宜为客户控制下的用户账户提供安全登录程序的能力。

7、密码

某些司法管辖区可能要求适用密码来保护特定类型的PII，如健康数据、居民登记号、护照号和驾照号等。组织宜向客户提供有关信息，说明组织使用密码技术来保护其处理的PII的情况。组织还宜向客户提供有关组织提供的帮助客户应用加密保护的能力的相关信息。

8、物理和环境安全

每当组织重新分配存储空间时，以前存储在该存储空间上的任何PII都不应再被访问。如无法彻底删除PII，应采取合适的技术措施来避免被其他用户访问该等PII的风险。为了安全处置或再利用，可能存有PII的存储介质的设备宜被视为确实存有PII来处置。组织宜将包含PII的硬拷贝的创建限制在满足已确定的处理目的所需的最小需求范围。

9、运行安全

组织宜制定一项策略，以满足备份、恢复和复原PII的要求（可以是总体信息备份策略的一部分）和删除备份信息中包含的PII的任何进一步的要求（如合同或法律的要求）。

组织宜确保已将有关备份服务的限制通知到客户，相关具体责任可以由客户承担。当组织明确向客户提供备份和恢复服务，组织宜向客户提供关于其在 PII 备份和恢复方面的能力的明确信息。适用法律法规有具体要求的，应当遵守。组织应具备相关过程以确保/识别恢复后的PII是否准确和完整，以及进一步对不准确数据进行处理。ISO27701也对PII恢复日志和使用分包商存储/处理PII备份做出具体要求。

组织宜制定一个过程，使用连续、自动化的监控和告警过程，或以手动方式评审事态日志，此类评审宜按照文件化规定的周期进行，以识别违规行为并提出补救措施。ISO27701对事态日志的内容、服务商及PII 处理者就日志信息的操作进行了规定。

10、通信安全

组织宜考虑规程，以确保在适用时，与PII处理相关的要求在整个系统内外得到执行。

组织宜确保在其控制下有机会访问PII的个人遵守保密义务。保密协议无论是合同的一部分还是单独签署的，都宜具体规定保密义务的时间长度。

11、系统的获取、开发与维护

在通过不受信任的数据传输网络传输PII时，组织宜确保PII被加密传输。不受信任的网络包括公共互联网和组织运营之外的其他设施。

系统开发与设计策略宜包括根据面向PII主体的责任以及任何适用的法律法规及组织的处理类型，为组织处理PII的需求提供指导，并说明了隐私设计和隐私默认策略的具体考虑方面。涉及PII处理的系统和组件，应按照隐私设计和隐私默认原则进行设计。如可行，隐私设计与隐私默认原则宜同样运用于外包开发的信息系统。

PII不宜用于测试目的，宜使用假的或合成的PII。

12、供应商关系

组织为履行其信息安全和PII保护的义务，宜在其与供应商的协议中明确是否处理了PII，以及供应商所需满足的最低要求的技术和组织措施。供应商协议宜考虑到PII处理的类型，明确组织与合作伙伴、供应商及其适用第三方之间的责任分配。该等协议宜提供一种机制，确保组织支持和管理对所有适用法律法规的符合性，并进行合规审计。

13、信息安全事件管理

作为整个信息安全事件管理过程的一部分，组织宜建立责任和规程，以识别和记录PII违规行为。此外，组织宜考虑适用的法律法规的要求，就PII违规行行为向必要的相关方发出通知（包括通知的时间），以及向监管机构披露，如适用司法辖区法规已有规定，则应遵守。

涉及PII的事件宜作为组织的信息安全事件管理过程的一部分，触发组织的评审，以确定是否发生涉及PII且需要做出响应的违规行为。当发生PII违规时，响应规程应包括相关通知和记录，如适用司法辖区法规已有规定，则应遵守。作为PII处理者，应按照合同中关于PII违规通知的规定或适用法律法规要求采取行动，并进行通报/记录。

14、业务连续性管理的信息安全方面

无附加要求。

15、符合性

组织宜识别与处理PII有关的任何潜在的法律制裁（可能因某些义务被遗漏而导致），包括直接被地方监管机构开出大笔罚款。在某些司法管辖区，像ISO27701这样的国际标准可被用作组织与客户签订合同的基础，以概述各自的安全、隐私和PII保护责任，如果违反这些责任，合同条款可以为合同制裁提供依据。组织宜应将其隐私政策和相关规程的副本按要求保留一段时间。

如果一个组织作为PII处理者，且单个客户审计不可行或可能增加安全风险，则该组织宜在签订合同前及合同期内向客户提供独立证据，证明信息安全是根据组织的策略和规程来实施和运行的。

此外，ISO27701列举了组织宜评审与处理PII相关的工具和组件的方法。

（三）个人信息管理体系（PIMS）下针对控制者的控制目标和措施[6]

1、概述

控制者和处理者是数据处理活动中的责任承担方，GDPR在第5条第2款的责任原则中将数据处理原则的符合性证明责任赋予给控制者，ISO27701进一步根据控制者和处理者的不同角色，设置了不同的控制目标和措施。

不论是控制者还是处理者，具体控制措施都是以“收集和处理的条件”、“对PII主体的责任”、“隐私设计和隐私默认”和“PII共享、传输和披露”四个维度展开。

2、具体控制目标及措施

（1）收集和处理的条件

目标：确定并以文件化形式证明处理活动符合适用的司法管辖区法律，有被明确规定且合法的目的。

表3：控制者-收集和处理的条件

（2）对PII主体的责任

目标：确保PII主体提供有关其PII处理的适当信息，并履行与PII处理相关的任何其他适用的责任。

表4：控制者-对PII主体的责任

（3）隐私设计和隐私默认

目标：确保设计流程和系统，使收集和处理（包括使用、披露、保留、传输和处置）限于所必需的确定目的。

表5：控制者-隐私设计和隐私默认

（4）PII共享、传输和披露

目标：针对PII共享、披露、传输到其他司法管辖区或第三方，决定是否符合适用的法律责任，并记录何时执行了上述动作。

表6：控制者-PII共享、传输和披露

（四）个人信息管理体系（PIMS）下针对处理者的控制目标和措施[7]