引言
從預(yù)約掛號到網(wǎng)上銀行業(yè)務(wù)服務(wù)的數(shù)字化、全球化以及個性化導(dǎo)致個人信息比以往更多地被收集和處理。隨著新的服務(wù)機會涌現(xiàn)以及新市場參與者的出現(xiàn),這一趨勢在持續(xù)不斷的增長。
如今,多種多樣的平臺已成為人們?nèi)粘I畈豢苫蛉钡囊徊糠郑瑐€人信息在這些平臺中也被廣泛的收集。例如,移動應(yīng)用、會員計劃、設(shè)備互聯(lián)位置廣告。這意味著我們經(jīng)常在未經(jīng)深思熟慮的情況下提供我們的數(shù)據(jù),從而導(dǎo)致與以往相比,有更多數(shù)據(jù)被隨意傳播。無論是約會網(wǎng)站、電信服務(wù)提供商還是公共服務(wù)組織,我們幾乎每天都看到有關(guān)個人信息被泄露的新聞事件。這使得對個人信息濫用問題的關(guān)注不斷增強,也意味著組織對此決不能掉以輕心。
對這些問題充分的認識,已經(jīng)引發(fā)了個人和政府部門在對個人數(shù)據(jù)收集、使用和保護方式上越來越多的關(guān)注;為此,一些政府部門擬定或者實施了新的法規(guī),旨在提供與個人數(shù)據(jù)處理相關(guān)的指南和要求。
在歐洲,《通用數(shù)據(jù)保護條例》(GDPR)的推出協(xié)調(diào)了各類數(shù)據(jù)隱私法律,充分反映了我們現(xiàn)在所生活的數(shù)字世界的現(xiàn)實狀況。
許多其他國家/地區(qū)(例如,韓國、澳大利亞和中國)也在制定數(shù)據(jù)保護法規(guī)。由于預(yù)期監(jiān)管環(huán)境將日益加強以及需要一套通用的概念來處理個人數(shù)據(jù)保護,國際標(biāo)準(zhǔn)化組織(ISO)和國際電工委員會(IEC)已經(jīng)主動創(chuàng)建標(biāo)準(zhǔn)來提供此類指南。這些標(biāo)準(zhǔn)有助于提供框架,以幫助組織在不斷變化的監(jiān)管態(tài)勢下,證明對個人數(shù)據(jù)的保護以及對不同法規(guī)的遵從。對于組織增強其對隱私和相關(guān)義務(wù)的承諾的可信度,認證也是非常有用的方式。
管理個人信息
鑒于我們運營所處的環(huán)境在不斷變化,針對組織應(yīng)當(dāng)如何管理和處理數(shù)據(jù),以減少個人信息風(fēng)險的相關(guān)指南重大意義。因此,以新國際標(biāo)準(zhǔn)的形式提供的有關(guān)組織應(yīng)當(dāng)如何管理個人信息,并幫助其證明對全球最新隱私法規(guī)的遵從的指南具有非常強大的影響力。這是面向信息管理的ISO/IEC 27701應(yīng)運而生的原因所在。
什么是ISO/IEC 27701?
現(xiàn)已發(fā)布的這一新的國際標(biāo)準(zhǔn)正式名稱為ISO/IEC27701(安全技術(shù)—對ISO/IEC27001和ISO/IEC27002的擴展以適用于隱私信息管理—要求與指南)。由于許多組織已經(jīng)實施了基于ISO/IEC27001的信息安全管理體系(ISMS),并且使用來自ISO/IEC27002的指南,在此基礎(chǔ)之上,隱私保護指南的提供則非常順理成章。
ISO/IEC27701是在隱私保護方面對ISO/IEC27001和ISO/IEC27002的擴展,針對保護可能受到個人信息收集和處理影響的隱私提供了更多相關(guān)指南。設(shè)計的目的在于借助更多的要求增強現(xiàn)有ISMS,以建立、實施、維 護和持續(xù)改進隱私信息管理體系(PIMS)。標(biāo)準(zhǔn)草案概述了適用于個人身份信息(PII)控制者和PII處理者的框架,以有效管理隱私控制,降低個人隱私權(quán)面臨的風(fēng)險(參見表一)。這些附加要求和指南的編寫,對于任何規(guī)模和文化環(huán)境的組織都具有實用性和可用性。
ISO/IEC27701的發(fā)布計劃
圖一顯示了以作為國際標(biāo)準(zhǔn)發(fā)布為目標(biāo)的ISO/IEC 27701預(yù)期發(fā)展路線圖。
標(biāo)準(zhǔn)的正式發(fā)布,目的在于使組織能夠獲得針對ISO/IEC27701的認證,以此作為ISO/IEC27001管理體系的擴展。換而言之,計劃尋求通過ISO/IEC27701認證的組織還需要通過ISO/IEC27001認證,以對信息安全和隱私管理的承諾。
ISO/IEC 27701適用性
針對個人信息保護的要求和指南,因組織的環(huán)境以及適用國家法律和法規(guī)而異。ISO/IEC27001要求充分理解 并考慮這種環(huán)境因素。ISO/IEC27701則更加具體。它包括與下列內(nèi)容的對應(yīng):
•ISO/IEC29100中定義的隱私框架和原則;以及
•側(cè)重于PII的ISO/IEC27018和ISO/IEC29151。
不過,所有這些對應(yīng)都需要考慮到本地法律和法規(guī)。另外值得注意的是,ISO/IEC27701適用于所有作為PII處理者、控制者或者二者兼?zhèn)涞慕M織;ISO/IEC27018專門適用于公有云服務(wù)提供商。
ISO/IEC27701可被PII控制者(包括那些PII聯(lián)合控制者)和PII處理者(包括那些外包PII處理服務(wù)的處理者)使用。
遵循ISO/IEC27701要求的組織通常會輸出一些書面的證據(jù)以證明其處理個人信息的方式。這些證據(jù)有助于組織證明其與商業(yè)伙伴簽訂的個人數(shù)據(jù)處理活動相關(guān)的協(xié)議的符合性。還可能有助于促進與其他利益相關(guān)方的關(guān)系。如果需要,將ISO/IEC27701與ISO/IEC27001一并使 用可提供對此證據(jù)的獨立性的認證,盡管遵循這些標(biāo)準(zhǔn) 不能作為法律法規(guī)的合規(guī)性證據(jù)。
ISO/IEC 27701的優(yōu)勢
•在利益相關(guān)方之間提供透明度
•有助于增強信任
•提供更具協(xié)作性的方法
•更有效的業(yè)務(wù)協(xié)議
•更清晰的角色和職責(zé)
•通過與ISO/IEC 27001相結(jié)合減少復(fù)雜性
如需驗證是否一致地實施了標(biāo)準(zhǔn)所規(guī)定的適當(dāng)運營控制,并執(zhí)行相關(guān)隱私法規(guī)的合規(guī)要求,必須采取措施:
1.建立相關(guān)監(jiān)管要求與標(biāo)準(zhǔn)控制項之間的對應(yīng)關(guān)系;
2.列舉標(biāo)準(zhǔn)控制項尚未完全涉及的具體監(jiān)管要求,以及 滿足這些要求所需要的條件;
3.在審核周期中,將上述內(nèi)容融入風(fēng)險評估流程。
以ISO/IEC27701中的數(shù)據(jù)泄露管理的控制項和GDPR的泄露通知要求(條款33)為例,標(biāo)準(zhǔn)中的安全事件管理的控制項與GDPR的數(shù)據(jù)泄露要求直接對應(yīng)。
不過,標(biāo)準(zhǔn)不包含GDPR中所規(guī)定的72小時通知要求。如組織需證明其已經(jīng)實施并履行GDPR的要求,他們必須向?qū)徍藛T證明,組織有在數(shù)據(jù)泄露確認后72小時內(nèi)通知數(shù)據(jù)主體和隱私監(jiān)管機構(gòu)的統(tǒng)一流程,也有流程確定泄露事件是否涉及歐洲公民或者泄露數(shù)據(jù)處理是否在歐 洲發(fā)生,且在上述情況下將在要求的時限內(nèi)觸發(fā)通知。
映射標(biāo)準(zhǔn)與法規(guī)的對應(yīng)關(guān)系并識別特殊的監(jiān)管要求及其適用條件,是控制者和處理者能夠通過ISO/IEC 27701證明其符合眾多隱私法規(guī)的必要機制。
數(shù)據(jù)隱私法律
隨著組織數(shù)據(jù)安全和降低數(shù)據(jù)泄露風(fēng)險所面臨的挑戰(zhàn)日益增多,隱私法律也要不斷更新迭代以跟上持續(xù)變化的業(yè)務(wù)態(tài)勢。值得注意的是,歐盟GDPR已經(jīng)引起了廣泛的關(guān)注。GDPR旨在維護個人有權(quán)保護與其相關(guān)的個人信息基本權(quán)利和自由。
在數(shù)據(jù)處理活動以及個人信息在歐盟成員國間自由流動方面,這些權(quán)利同樣必須被維護。數(shù)據(jù)處理應(yīng)當(dāng)維護個人數(shù)據(jù)歸屬的自然人的利益。世界各地都有類似的法律來保護個人信息和公民權(quán)利,這也包括一些行業(yè)特定法規(guī),例如,醫(yī)療健康、零售和銀行業(yè)。
醫(yī)療健康行業(yè)
作為一個會收集最敏感個人信息的行業(yè),醫(yī)療健康行業(yè)特定數(shù)據(jù)保護法律具有重大意義。例如,《法國公共衛(wèi)生法》(條款L.1111-8)要求托管某些類型健康/醫(yī)療數(shù)據(jù)的服務(wù)提供商必須獲得針對此類活動的認證。美國《健康保險攜帶和責(zé)任法案》(Health Insurance Portability and Accountability Act)規(guī)定了患者的敏感數(shù)據(jù)保護的標(biāo)準(zhǔn),并且要求美國的健康計劃、醫(yī)療健康結(jié)算機構(gòu)和醫(yī)療健康提供商、或者作為可接觸個人健康信息的供應(yīng)商或分包商的任何組織和個人須遵守此標(biāo)準(zhǔn)。
歐洲數(shù)字單一市場政策也同樣值得關(guān)注。這是2015年公布的一項政策,涵蓋數(shù)字營銷、電子商務(wù)和電信領(lǐng)域。其目的在于為個人和企業(yè)提供更多機會,打破現(xiàn)有壁壘。它有三大核心支柱:
•訪問在線產(chǎn)品和服務(wù)
•為數(shù)字網(wǎng)絡(luò)與服務(wù)的持續(xù)增長和繁榮提供條件
•歐洲數(shù)字經(jīng)濟的增長
該項政策為跨境數(shù)據(jù)處理和商務(wù)提供了便利。不過,歐盟成員國的數(shù)據(jù)隱私法律的差異被認為是歐洲數(shù)字單一市場成功的一大障礙。因此,GDPR的推出是非常積極的變化,它有助于協(xié)調(diào)整個歐盟在數(shù)據(jù)隱私保護方面的法律法規(guī)。
認證機制以幫助證明數(shù)據(jù)保護法律的合規(guī)性
GDPR鼓勵制定數(shù)據(jù)保護認證機制和數(shù)據(jù)保護標(biāo)志與標(biāo)識,來幫助證明控制者和處理者遵守相關(guān)的數(shù)據(jù)處理操作法規(guī)(GDPR (EU) 2016/679,條款42)。此外,此類認證和標(biāo)志還可用于證明組織已經(jīng)采取正確的措施以符合GDPR的方式處理個人信息。
一致的認證機制可以將所有重要的“責(zé)任”因素納入考慮 范圍,促進風(fēng)險降低并改進個人信息的自由流動。這有助于組織提供有用的服務(wù),同時,如圖二所示,可增強流程透明度并向客戶證明在個人信息保護方面的誠信度。
它還凸顯了數(shù)據(jù)處理對于供應(yīng)鏈管理的重要性,因為控制者要在數(shù)據(jù)的整個生命周期對其完全負責(zé)。以由航空公司和銀行聯(lián)合推出的信用卡之類的產(chǎn)品為例,來自雙方的客戶信息需要被交換,以識別哪些客戶可能選擇此類產(chǎn)品,客戶個人信息交換可能引發(fā)風(fēng)險。
各方如何驗證另一方將充分保護客戶數(shù)據(jù)?隨著更多的商業(yè)伙伴的加入,這種風(fēng)險會不斷加劇。例如,與營銷公司簽約來針對目標(biāo)客戶進行營銷,以及在社交媒體平臺上購買廣告。云服務(wù)也可能被營銷公司用于存儲和處理與這類營銷活動相關(guān)的數(shù)據(jù)。認證可作為獨立的驗證結(jié)論,將證明組織用于評估在整個供應(yīng)鏈中組織間交換個人信息的風(fēng)險的流程和控制的有效性。
不過,如圖二(a)所示,如果一個組織使用了一套認證機制,而另一個組織使用了另一套認證機制,這可能無法為業(yè)務(wù)合作伙伴提供必要的保障或者信任,以證明其客戶的個人信息被適當(dāng)處理。鑒于業(yè)務(wù)全球化的性質(zhì),需 要一致和統(tǒng)一的認證機制來證明組織遵守了相關(guān)法規(guī),有效保護個人信息并且為業(yè)務(wù)增長提供助力(如圖二(b)所示)。在所有領(lǐng)域和行業(yè)之間采用一致的為GDPR所認同的認證機制對緩解風(fēng)險,及打破商務(wù)合作伙伴之間的貿(mào)易壁壘十分必要。
近期,歐盟網(wǎng)絡(luò)與信息安全局發(fā)布了針對GDPR認證的建議。ENISA指出認證、標(biāo)志和標(biāo)識對于使數(shù)據(jù)控制者實現(xiàn)并證明其處理操作符合GDPR要求起著重要作用。
ENISA建議在歐盟委員會(European Commission)和歐洲數(shù)據(jù)保護委員會(European Data Protection Board)指引和支持下的國家認證機構(gòu)和監(jiān)管機構(gòu)應(yīng)采用一致的方法以建立和應(yīng)用GDPR認證機制 。他們還建議這種方法應(yīng)當(dāng)可擴展并且使用經(jīng)實踐驗證和廣泛采用的準(zhǔn)則。整個歐洲對認證機制的一致性和兼容性性高度重視,可信度和透明度要作為認證機制的重 要特征。
ISO/IEC 27701是一個有潛力的認證機制
ISO/IEC 27701能夠滿足上述所有建議,并且預(yù)期可被用作認證機制的基礎(chǔ)(如條款42規(guī)定)。如果采用了這種認證機制,組織能夠提供其合法處理其客戶的個人信息的必要證據(jù),這也包括了跨境數(shù)據(jù)轉(zhuǎn)移的情況。ISO/IEC 27701適用于所有規(guī)模和不同企業(yè)文化的組織。它適用于對于員工和客戶PII的收集與處理。這套基于信息安全技術(shù)控制措施并拓展了隱私要求相關(guān)的技術(shù)措施,有助于證明組織對于數(shù)據(jù)隱私法律(例如,GDPR)的合規(guī)性。
因此,證明符合ISO/IEC27701所規(guī)定的控制措施,并生成其所要求的能夠作為組織證明其處理PII方式的文檔,能夠:
•通過減少重復(fù)認證以降低認證工作量
•通過證明對數(shù)據(jù)隱私法律的合規(guī)性,增強組織和客戶 間的信任
•提供證據(jù)以使數(shù)據(jù)保護官能夠為最高管理層和董事會 成員展現(xiàn)其在隱私法規(guī)符合性方面的成績
•通過歐盟數(shù)字單一市場和跨境數(shù)據(jù)轉(zhuǎn)移,創(chuàng)造業(yè)務(wù)機會
而且,ISO/IEC 27701的應(yīng)用也將進一步強化組織現(xiàn)有ISMS,創(chuàng)建PIMS以在整個組織內(nèi)實現(xiàn)有效隱私管理。通過現(xiàn)有的健全的ISO/IEC 27001(被公認為成功 的信息安全標(biāo)準(zhǔn))認證審核員網(wǎng)絡(luò),ISO/IEC 27701能夠被很好整合到現(xiàn)有審核過程中。
ISO/IEC 27701通過公認的共識驅(qū)動型流程進行開發(fā);這是開發(fā)標(biāo)準(zhǔn)的關(guān)鍵任務(wù)之一。目前,標(biāo)準(zhǔn)已經(jīng)引入了各個行業(yè)以及監(jiān)管機構(gòu)的意見和建議;這也包括由來自所有歐盟國家的數(shù)據(jù)保護機構(gòu)(DPA)組成的歐洲數(shù)據(jù)保護委員(原條款29工作組)的參與和審查。DPA以認可機構(gòu)將需要確保基于ISO/IEC 27701的認證機制, 能夠充分幫助所有行業(yè)以及所有規(guī)模的組織證明對隱私法規(guī)的符合性。此外,認證機制也需要關(guān)注控制者和處 理者的需求,ISO/IEC 27701中也包含了大量與其相關(guān)的控制措施。
利益相關(guān)方參與的重要性
如前所述,ISO/IEC 27701是 對ISO/IEC 27001的擴展,并且是在ISO管理體系通用標(biāo)準(zhǔn)框架(通常稱為“AnnexSL”)中制定的,允許組織更高效地實施多種管理體系。圖三顯示了各利益相關(guān)方的責(zé)任及其角色的重要性。
由于已熟悉了現(xiàn)有的ISO/IEC 27001 ISMS,一旦采用了ISO/IEC 27701,所有這些利益相關(guān)方也更容易掌握新標(biāo)準(zhǔn)。它們擁有共同的個人信息管理的目標(biāo),并且需要一種公認的方法來證明個人信息得以認真的對待,這就是ISO/IEC 27701的意義所在。
結(jié)論
總之,有效管理個人信息以順應(yīng)不斷變化的監(jiān)管態(tài)勢是復(fù)雜的,但是又不容忽視。保護每個人的個人信息是基本人權(quán)之一。在與個人生活相關(guān)的業(yè)務(wù)和數(shù)據(jù)變得日益全球化的情況下,全球各地區(qū)都頒布相關(guān)法律以保護這些權(quán)利。
歐盟GDPR的頒布旨在確保以合法的方式收集和處理PII,它支持歐盟數(shù)字單一市場所需要的跨境數(shù)據(jù)轉(zhuǎn)移。歐盟GDPR認為要增強對組織處理個人數(shù)據(jù)方式的信任,并通過提供組織間的保障創(chuàng)造業(yè)務(wù)機會。證明合規(guī)的認證機制仍然有很長的路要走,如果要在歐盟成員國以及歐洲之外的國家/地區(qū)間一致地實施認證以支持全球商務(wù)和業(yè)務(wù),尤為如此。
ISO/IEC 27701的引入是對現(xiàn)有標(biāo)準(zhǔn)組合的必要補充。實施ISO/IEC 27701規(guī)定的控制措施使組織能夠保留其處理個人信息的方式的證據(jù)。如果個人信息處理具有彼此相關(guān)性,此類證據(jù)可被用于促進與業(yè)務(wù)合作伙伴達成協(xié)議,而如果具有廣泛認可的認證機制,此類證據(jù)能夠幫助證明其對數(shù)據(jù)保護法律(例如,GDPR)的符合。
中企檢測認證網(wǎng)提供iso體系認證機構(gòu)查詢,檢驗檢測、認證認可、資質(zhì)資格、計量校準(zhǔn)、知識產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認證、計量、校準(zhǔn)機構(gòu),儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商,法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了,如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標(biāo)、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊,包括商標(biāo)注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認證、服務(wù)體系認證、產(chǎn)品認證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認證標(biāo)準(zhǔn)等信息,中企檢測認證網(wǎng)為檢測認證商標(biāo)專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī),咨詢輔導(dǎo)等知識。
本文內(nèi)容整合網(wǎng)站:百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心
免責(zé)聲明:本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理,文章版權(quán)歸原作者所有。向原作者致敬!發(fā)布旨在積善利他,如涉及作品內(nèi)容、版權(quán)和其它問題,請跟我們聯(lián)系刪除并致歉!
