ISO27701隐私管理体系认证与我国隐私管理体系的合规要求
发布时间: 2023-01-01 17:28 点击:
伴随着全球化进程的不断加深,以及数据高价值利用和自由流动需求的爆发性增长,尽管不同法域之间,甚至同一法域内制定了多项针对数据处理活动的认证制度,但是对于企业和组织,特别是跨国企业和组织而言,如何利用一套认证制度来使其达到“全球通行”,或者至少在最大范围内证明其数据处理活动的合规性?这就需要有一套能够起到全球统一协调作用的个人隐私保护体系或法律规则,为企业在不同法域的数据合规工作进行方向性的指导。
2019年8月,国际标准化组织(ISO)与国际电工委员会(IEC)正式发布《ISO/IEC27701》,首次提出隐私信息管理体系(PIMS)的理念,为在组织内启动、实施、保持和改进信息安全管理措施提供了实施指南。值得注意的是,欧盟数据保护委员会(European Data Protection Board, “EDPB”)积极参与了《ISO/IEC27701》的落地,在《ISO/IEC27701》附录D中提供了《ISO/IEC27701》与欧盟《通用数据保护条例》(General Data Protection Regulation, “GDPR”)的条文比对,展示了《ISO/IEC27701》与GDPR在合规措施方面的总体相似性和细节差异。国际上普遍认为,《ISO/IEC27701》与GDPR合规思路最为接近,在满足GDPR合规基础上落地《ISO/IEC27701》是易于实践的。
鉴于国内外法规及标准的不断丰富,我们和微软公司合作曾于GitHub上公开推出过开源数据保护映射项目(https://www.dpmap.org),将ISO/IEC27701、GB/T35273-2020等个人信息保护法律法规、标准政策进行条文对比,旨在促进和构建全球隐私社区协作和共识,以便详细分析各种隐私监管要求之间的联系。从宏观来看,ISO/IEC27701、GB/T35273-2020和《个保法》对于隐私信息管理体系的构建主要可以划分为“个人信息全生命周期控制措施”和“企业内部隐私和信息合规体系”两个维度。
就个人信息处理的整个生命周期控制措施而言,ISO/IEC27701、GB/T35273-2020和《个保法》均针对个人信息的收集、存储、使用、委托处理、对外提供、公开披露、跨境传输作出了规定;就个人信息主体权利实现、个人信息安全事件处置措施,前述法律和标准的整体思路一致,但颗粒度和侧重点并不完全相同。
就企业内部隐私和信息合规体系而言,ISO/IEC27701相较GB/T35273-2020提出了更加细致的组织管理要求,建立了完整的事前、事中、事后合规闭环机制,即PIMS要求组织进行前期规划,明确信息安全管理体系的目的、理解相关方的需求与期待,以及确定信息安全管理体系的范围。在确定规划后,PIMS对如何运行、控制、管理个人信息、应对安全风险,提供了一套战略性建议。执行过后,PIMS还总结了如何监控、度量隐私信息管理体系的有效性、合规性等方法,并提出了相应的纠正和改进措施。
中國中鴻實業有限公司 www.cnqr.org
1998年至今 ISO认证/企业资质服务 直办非中介 全国接单 远程或就近安排审核
1.年薪10万诚聘专兼职ISO审核员(全国/符合条件可免费定向培养);诚聘专职ISO认证咨询老师/专职市场专员;
2.全国诚招ISO认证代理人(个人级/企业级),转发信息即佣金,免费培训;
3.本年度ISO内审员免费培训开始了,每月免费名额有限,从速预计。