如《针对隐私信息管理的国际标准ISO/IEC 27701的简要解读（三）》所述， ISO/IEC 27701:2019（以下简称“ISO/IEC 27701”）作为用于隐私信息管理的ISO/IEC 27001和 ISO/IEC 27002的扩展，旨在增强各组织保护隐私信息的力度，但该标准对于企业在中国的合规实践并不像欧盟《通用数据保护条例》能直接给出与国内标准的相关条文对应关系那么明显。

2019年6月21日，信安标委发布了最新版本《信息安全技术个人信息安全规范》的征求意见稿（以下简称“《个人信息安全规范（征求意见稿）》”），尽管《个人信息安全规范（征求意见稿）》仅是国家推荐标准，但在我国尚未出台《个人信息保护法》，且其他法律（包括《中华人民共和国网络安全法》）缺乏具体可操作的个人信息保护规则的情况下，《个人信息安全规范（征求意见稿）》已成为企业个人信息保护合规工作落地可参考的重要标尺。

故本文以我国国家标准《个人信息安全规范（征求意见稿）》为ISO/IEC 27701的对比项，解读ISO/IEC 27701对于企业在中国数据安全合规方面的意义。

一、《个人信息安全规范（征求意见稿）》与ISO/IEC 27701的对比

1. 个人信息与个人敏感信息

（1）个人信息

就个人信息的定义而言，《个人信息安全规范（征求意见稿）》和ISO/IEC 27701均对个人信息下了定义，但采用了不同的表述，前者使用“personal information”，后者则使用“personal identifiableinformation”，但两者的定义在本质上是不偏离的，核心概念均为“识别”加“关联”到特定自然人，即由信息本身的特殊性识别出特定自然人和已知的特定自然人在其活动中产生的信息进行关联。但《个人信息安全规范（征求意见稿）》对个人信息的范围，在一定程度上，还会稍大一些，即它不仅涵盖了“识别”与“关联”的关系（从信息到人），而且将反映特定自然人的活动情况（从人到信息）也纳入到了个人信息的范围。

（2）个人敏感信息

《个人信息安全规范（征求意见稿）》对个人敏感信息做出了特别定义，即一旦被泄露、非法提供或滥用，可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等后果的个人信息，并在附表B中通过举例的方式为企业在数据合规过程中提出更具实践性的指导。

ISO/IEC 27701采用的术语是“特殊类型的信息”，但考虑到各个国别不同的文化环境对于何为特殊类型信息的理解是不同的， ISO/IEC 27701并未对其下明确的定义，但提示某些类别的PII如儿童信息、健康信息属于特殊类别的PII，并对于该类信息应当基于更高的保护，明确要求组织在构建PIMS时应当结合标准所适用的所属国家数据保护法，结合当地法域中的相关规定做落地性的理解与操作。

2. 适用对象

《个人信息安全规范（征求意见稿）》的规制对象主要为个人信息控制者，虽然对委托处理行为也有相关段落的规定，但并没有明确提出个人信息处理者的概念；而ISO/IEC 27701则明确且详细规定了PII控制者和PII处理者的义务，并强调PII控制者与共同控制者、PII控制者与PII处理者、PII处理者与PII处理的分包商之间应当订立合同，保障对于涉及的数据采取了足够的安全和隐私保护措施，从而对个人信息在不同角色的控制或处理活动提供了全方位的保护。

就个人信息控制者的定义而言，《个人信息安全规范（征求意见稿）》和ISO/IEC 27701对此定义规定得颇为相似，即个人信息控制者是指能够决定处理个人信息的目的和方法的控制者。但不同之处在于，ISO/IEC 27701将出于个人目的使用数据的自然人排除在外，而《个人信息安全规范（征求意见稿）》则没有此限制。

3. 规范体系

从对个人信息处理的整个生命周期情况而言，《个人信息安全规范（征求意见稿）》和ISO/IEC 27701均对个人信息的收集、保存、使用、委托处理、共享转让、公开披露进行了规定。除此之外，还通过对信息主体的权利、个人信息安全事件的处置和组织内部管理进行了规制，加强从组织与管理上对个人信息的安全与保护。但两份标准规定的颗粒度并不完全相同，具体分析如下：

（1）个人信息收集

从个人信息的「收集」来看，《个人信息安全规范（征求意见稿）》和ISO/IEC 27701均对个人信息收集的合法性、最小必要性、不强迫接受多项业务功能、收集个人信息时的授权同意与例外做出规定，但《个人信息安全规范（征求意见稿）》对于组织不得强迫用户接受多项业务功能规定更为细致，包括不得捆绑产品或服务、不得频繁征求同意等，并对隐私政策应当写入的细节做出规定并提供相应的模板。作为对此条的细化，国内目前还通过App治理专项工作小组制定《App违法违规收集使用个人信息自评估指南》（正面清单）与《App违法违规收集使用个人信息行为认定方法（征求意见稿）》（负面清单），对App收集用户个人信息的违法违规行为做了梳理与告诫，对企业如何正确制定隐私政策做出了细致的指引。

（2）个人信息的保存

从个人信息的「保存」来看，《个人信息安全规范（征求意见稿）》和ISO/IEC 27701均对个人信息保存时间进行了规定，但《个人信息安全规范（征求意见稿）》对收集个人信息后推荐做去标识化处理、个人敏感信息的传输和存储和个人信息控制者停止运营后如何停止收集个人信息并删除个人信息或者做个人信息的匿名化处理都做出较为详细的规定。

（3）个人信息的使用

从个人信息的「使用」来看，《个人信息安全规范（征求意见稿）》和ISO/IEC 27701规定的差异较大，两者虽均对个人信息的访问控制、个人信息的展示、使用目的限制、用户画像的使用限制、自动化决策进行了规定，但《个人信息安全规范（征求意见稿）》对个人信息展示限制、用户画像的使用限制、个性化展示和基于不同业务目的所收集的个人信息的汇聚融合做出较为详细的规定，相较ISO/IEC 27701更为全面，对于企业的实际操作性和实践性更强。

（4）信息主体的权利

从信息主体的权利来看，《个人信息安全规范（征求意见稿）》和ISO/IEC 27701均对查询权、更正权、删除权、注销权、获取信息副本权和响应个人信息主体请求做出规定，但ISO/IEC 27701对于查询权、更正权、获取信息副本权和响应个人信息主体请求权利的规定更为细致、要求更高，例如，针对查询权，《个人信息安全规范（征求意见稿）》规定组织应当向信息主体提供访问特定信息的方法，这些信息包括：

1）其所持有的关于该主体的个人信息或类型；

2）上述个人信息的来源、所用于的目的；

3）已经获得上述个人信息的第三方身份或类型。在个人信息主体提出查询非其主动提供的个人信息时，个人信息控制者可在综合考虑不响应请求可能对个人信息主体合法权益带来的风险和损害，以及技术可行性、实现请求的成本等因素后，作出是否响应的决定，并给出解释说明。

而ISO/IEC 27701要求组织向PII主体提供的信息更多除上述信息外，组织还应额外提供：

1）PII控制者或其代表人的联系方式；

2）PII处理的法律基础；

3）PII的传输；

4）PII接收方的信息或PII接受方类别的信息

5）PII存储期间的信息；等

此外，ISO/IEC27701还对组织回应信息主体请求的形式做了要求，包括组织应当向PII主体提供清晰、易获取的与PII控制者和PII处理过程相关的信息，组织应当向PII主体提供及时、准确、完整、透明、易获得的信息，使用清晰、平实的表达，使目标读者易于理解，例如使用图标、图像能够帮助PII主体通过可视化的方式了解信息处理过程。通过对内容和形式上的要求，ISO/IEC 27701尽可能的保证PII主体的权利不仅能够实施，且可以有意义地实施。

（5）个人信息的共享、转让和公开披露

从个人信息的委托处理、共享、转让和公开披露来看，《个人信息安全规范（征求意见稿）》和ISO/IEC 27701均对委托处理、共享转让、公开披露和跨境传输做出了规定，但两者对各个部分规制的颗粒度并不相同。《个人信息安全规范（征求意见稿）》对于共享转让和公开披露的要求更高，特别是《个人信息安全规范（征求意见稿）》额外考虑了组织收购、兼并、重组、破产时对个人信息转让的情况，这一点是ISO/IEC 27701没有涉及到的。但是ISO/IEC 27701在个人信息的委托处理与跨境传输机制上规定得更加丰满，比如《个人信息安全规范（征求意见稿）》并没有要求个人信息控制者对委托行为请求书面授权，仅要求信息控制者在做出委托行为时，不得超出已征得个人信息授权同意的范围。

而根据ISO/IEC 27701的规定，在两种情况下，组织的委托处理需要获得客户的书面授权：

1）如果组织将PII的部分或全部处理分包给另一个组织，则在分包商处理PII之前，向客户进行披露并获得客户的书面授权，既可以在PII处理者和客户签订的合同中约定适当授权条款，或者可以采用特定的“一次性”协议。

2）在委托处理部分PII或全部PII的组织发生变更时，需要在新的分包商处理PII之前，获得客户对于变更的书面授权。可以在PII处理者和客户签订的协议中约定适当条款，也可以采用特定的“一次性”协议的形式。

通过对于“授权”的要求，进一步提升了PII主体的知情权：其个人信息的全生命周期的收集和处理均可掌握。

（6）信息安全事件的报告和通知

从个人信息安全事件的处置来看，《个人信息安全规范（征求意见稿）》和ISO/IEC 27701均对个人信息安全事件应急处置和报告、告知信息主体进行了规定，但整体来看ISO/IEC 27701的要求更高，对于组织报告监管机构和信息主体的时间、记录义务和告知的内容更为细致，适用ISO/IEC 27701的相关指南有助于中国企业进一步提高合规基线，更好的处理安全事件的管理与预警。ISO/IEC 27701对此块规定的详细内容，我们会在后期的解读中进行介绍与阐述。

（7）组织的管理要求

从组织的管理要求来看，《个人信息安全规范（征求意见稿）》和ISO/IEC 27701的规制范围是相似的，但两份规定就单个要求的颗粒度差异较大。《个人信息安全规范（征求意见稿）》仅对从业人员达到200人或处理超过100万人的个人信息的组织推荐要求设立个人信息保护负责人，且对于个人信息保护负责人的职责要求较为全面；而ISO/IEC 27701没有限制应当设置信息保护负责人的组织类型，虽然仅对设置的信息保护负责人的职责做出了较低水平的规定，但ISO/IEC 27701特别要求负责人独立并直接向组织的适当管理层报告，以确保有效管理隐私风险；并要求负责人成为数据保护法律、法规和实践方面的专家。

此外，针对个人信息处理活动的记录义务，《个人信息安全规范（征求意见稿）》规定，组织“宜”建立、维护和更新所收集、使用的个人信息处理活动记录，即推荐组织进行记录但没有强制要求。

而ISO/IEC 27701 则对此作了明确规定，为履行处理PII的义务，组织“应当”明确并安全保留必要的记录，并进一步要求组织应当记录的内容包括

1）处理的类型；

2）处理的目的；

3）对PII和PII主体类别的描述（如儿童）；

4）已经或者将要披露的PII的接收方类别，包括第三国的接收方或国际组织；

5）技术和组织安全措施的一般说明；以及

6）隐私影响评估报告。

ISO/IEC 27701要求的个人信息处理活动的记录义务实际上对组织和信息主体均有助益。一方面，不仅有利于信息主体的访问权等权利的实现，另一方面有助于帮助企业证明合规。ISO/IEC 27701在此方面的强制性规定。

二、结论

总体而言，《个人信息安全规范（征求意见稿）》和ISO/IEC 27701在适用范围、信息类别、规制对象、信息主体权利、个人信息整个生命周期（收集、保存、使用、委托处理、共享转让、公开披露）等方面所做规定的差异性并不太大，但《个人信息安全规范（征求意见稿）》作为中国的国内标准，在个人信息的定义和类别、个人信息的使用及其限制方面的规定更为全面细致，例如对于个人信息和个人敏感信息均有定义，并在附表中给出两类信息的样例，对隐私政策的内容进行要求，并给出相应的模板，特别是对于个人信息的使用部分的考虑了个性化推送、用户画像、不同业务收集数据融合ISO/IEC 27701未能考虑的部分。然而，ISO/IEC 27701在信息主体的权利、组织的内控措施方面所做出的示范性要求全面且细致的，就信息主体的权利而言，不仅对于信息主体权利的内容作了更加全面的规定，例如ISO/IEC 27701对数据主体行使访问权时能够访问的数据相较《个人信息安全规范（征求意见稿）》更为全面，且对于组织满足数据权利的形式作了规定，例如传达的信息应当通俗易懂、准确等；就组织的内控措施而言，27701不仅对信息安全的保护措施作了规定，还对隐私安全的保护措施作了规定，从而为构建起更为全面的信息安全和隐私保护体系，因此我们觉得值得推荐给国内的企业。

在隐私问题愈来愈严重和收到民众重视，且我国的国家标准的制定同样参考ISO国际标准的情况下，ISO/IEC 27701的能够为企业构建符合多法域数据保护规定、证明企业合规性以及预测未来合规趋势提供助力。如果企业在国际化路线的布局上，可以将ISO/IEC 27701标准与我们国家《信息安全规范（征求意见稿）》的相关标准结合参考，将会更加有利于企业将隐私保护法律要求真正付诸企业实践。