首页
下载应用
提交文章
关于我们
🔥 热搜 🔥
1
上海
2
习近平
3
新疆
4
鄂州父女瓜
5
乌鲁木齐
6
疫情
7
H工口小学生赛高
8
习明泽
9
芊川一笑图包
10
印尼排华
分类
社会
娱乐
国际
人权
科技
经济
其它
首页
下载应用
提交文章
关于我们
🔥
热搜
🔥
1
百度
2
今日热点
3
微信公众平台
4
贴吧
5
opgg
6
dnf私服
7
百度贴吧
8
知乎
9
dnf公益服
10
百度傻逼
分类
社会
娱乐
国际
人权
科技
经济
其它
高三女生醉酒后被强奸致死?检方回应
常德悲剧:让谴责无差别杀戮之声更加响亮一点
2024【公共营养师】培训报名通道已开启,不限学历,23岁及以上可报!还能领2000补贴
【惊】"以为要写遗书"! 飞温哥华航班遇炸弹气旋 华人崩溃大哭 连空姐都吐了; 客机颠簸盘旋3小时
女人最偏爱的十种男人
生成图片,分享到微信朋友圈
查看原文
其他
针对隐私信息管理的国际标准ISO 27701的简要解读(一)
Original
孟洁律师团队
M姐 数据合规评论
2020-03-20
为加强隐私信息管理,满足法律法规要求,ISO/IEC JTC1/SC 27技术委员会近期发布了ISO 27701(安全技术-用于隐私信息管理的ISO / IEC 27001和ISO / IEC 27002的扩展-要求和指南,Security techniques —Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management— Requirements and guidelines)。ISO 27701是ISO 27001和 ISO 27002的扩展内容,对建立、实施、维护和持续改进隐私信息管理系统(PIMS)的各项要求做出了规定,是首部针对隐私信息管理的国际标准。该标准概述了适用于个人可识别信息控制者和处理者的框架,以降低侵犯个人隐私权的各种风险。
(一)个人可识别信息和个人可识别信息控制者
ISO 27701沿用ISO.IEC 29100中个人可识别信息(personally identifiable information)的定义,个人可识别信息既包括与信息主体相关的可用于识别特定主体的任何信息,也包括直接或间接与个人可识别信息主体关联的任何信息。其中特殊类别的个人可识别信息为健康信息或与儿童信息等与
信息性质或信息主体身份相关的个人可识别信息,各组织都应在分类方案中包含上述特殊信息。
ISO 27701将个人可识别信息控制者定义为,通过确定的目的和方法处理个人可识别信息的隐私利益相关者,
而不是出于个人目的使用数据的自然人。即使个人可识别信息控制者有时会指示其他人(例如个人可识别信息处理者)代表其处理个人可识别信息,而处理信息引发的责任仍由个人可识别信息控制者承担。
共同个人可识别信息控制者,则由共同确定处理个人可识别信息目的和方法的两个或多个个人信息控制者组成。
(二)个人可识别信息控制者的义务
收集个人可识别信息
ISO 27701要求组织确保方便并及时地履行对个人可识别信息主体的义务。应向信息主体提供明确的文件,在文件中明确说明收集的程度和方式,以及组织可以处理信息主体请求的最新联络方式。如果组织未直接从个人可识别信息主体处收集信息,信息提供方应告知提供信息的来源。
标准要求组织将信息收集限制在为实现特定目的相关联、合比例以及必要的最小范围内。
存储个人可识别信息
ISO 27701对组织存储个人可识别信息的期限进行限制。组织存储个人可识别信息的期限不应超过处理目的所必需的时间。
组织应制定并维持其保存信息的保存时间表,考虑到保存个人可识别信息的时间不应超过必要的时间。该时间表应该考虑到法律、监管和商业要求。当这些要求发生冲突时,则有必要做出商业决定(基于风险评估)并记录在适当的时间表中。
标准也要求组织应定义和记录数据最小化目标以及满足该目标的措施,包括使用去标识化机制等方式。
一旦组织不再需要原始数据,组织应立即删除个人可识别信息或对信息进行匿名化处理。
处理个人可识别信息
除非有其他合法理由,ISO 27701要求组织在处理个人可识别信息时需要征得同意。组织应明确记录何时需要征得同意以及征得同意的要求。未经相关信息主体事先同意,组织不得为营销和广告等目的使用个人可识别信息。
组织在处理个人可识别信息时,必须依据:
1. 信息主体的同意;
2. 合同的履行;
3. 法律义务的遵守;
4. 保护信息主体的关键利益;
5. 为公共利益而执行的任务;
6. 个人可识别信息控制者的正当利益。
(注:组织的正当利益可能包括,例如,信息安全目标,前提是该目标应与对个人可识别信息
信息主体的隐私保护义务相平衡。)
(三)个人可识别信息主体权利的保障
个人可识别信息主体撤回同意
组织应当向人可识别信息主体提供修改或撤回同意的机制。组织应当告知信息主体,他们有权随时撤回同意,并应提供相应机制实现该权利。
个人可识别信息主体应有访问、更正和删除权,并且
组织应执行政策、程序和
/或机制,履行对个人可识别信息主体的义务,使信息主体可以访问、更正和/或删除其个人可识别信息。
个人可识别信息主体的注销权
组织应管理处理数据的系统,并保障用户注册和注销的程序。组织应当制定措施以应对用户访问控制被损害以致密码或其他用户资料受损或被泄露的情形。
向个人可识别信息主体提供副本
组织应响应个人可识别信息主体要求信息副本的要求,并提供正在处理的个人可识别信息副本。
ISO 27701旨在通过与时俱进的标准增强现有的安全管理体系。我们将继续跟进解读ISO 27701在中国企业实践的发展和影响。
Modified on
您可能也对以下帖子感兴趣
{{{title}}}
文章有问题?点此查看未经处理的缓存