引言
從預約掛號到網上銀行業務服務的數字化、全球化以及個性化導致個人信息比以往更多地被收集和處理。隨著新的服務機會涌現以及新市場參與者的出現,這一趨勢在持續不斷的增長。
如今,多種多樣的平臺已成為人們日常生活不可或缺的一部分,個人信息在這些平臺中也被廣泛的收集。例如,移動應用、會員計劃、設備互聯位置廣告。這意味著我們經常在未經深思熟慮的情況下提供我們的數據,從而導致與以往相比,有更多數據被隨意傳播。無論是約會網站、電信服務提供商還是公共服務組織,我們幾乎每天都看到有關個人信息被泄露的新聞事件。這使得對個人信息濫用問題的關注不斷增強,也意味著組織對此決不能掉以輕心。
對這些問題充分的認識,已經引發了個人和政府部門在對個人數據收集、使用和保護方式上越來越多的關注;為此,一些政府部門擬定或者實施了新的法規,旨在提供與個人數據處理相關的指南和要求。
在歐洲,《通用數據保護條例》(GDPR)的推出協調了各類數據隱私法律,充分反映了我們現在所生活的數字世界的現實狀況。
許多其他國家/地區(例如,韓國、澳大利亞和中國)也在制定數據保護法規。由于預期監管環境將日益加強以及需要一套通用的概念來處理個人數據保護,國際標準化組織(ISO)和國際電工委員會(IEC)已經主動創建標準來提供此類指南。這些標準有助于提供框架,以幫助組織在不斷變化的監管態勢下,證明對個人數據的保護以及對不同法規的遵從。對于組織增強其對隱私和相關義務的承諾的可信度,認證也是非常有用的方式。
管理個人信息
鑒于我們運營所處的環境在不斷變化,針對組織應當如何管理和處理數據,以減少個人信息風險的相關指南重大意義。因此,以新國際標準的形式提供的有關組織應當如何管理個人信息,并幫助其證明對全球最新隱私法規的遵從的指南具有非常強大的影響力。這是面向信息管理的ISO/IEC 27701應運而生的原因所在。
什么是ISO/IEC 27701?
現已發布的這一新的國際標準正式名稱為ISO/IEC27701(安全技術—對ISO/IEC27001和ISO/IEC27002的擴展以適用于隱私信息管理—要求與指南)。由于許多組織已經實施了基于ISO/IEC27001的信息安全管理體系(ISMS),并且使用來自ISO/IEC27002的指南,在此基礎之上,隱私保護指南的提供則非常順理成章。
ISO/IEC27701是在隱私保護方面對ISO/IEC27001和ISO/IEC27002的擴展,針對保護可能受到個人信息收集和處理影響的隱私提供了更多相關指南。設計的目的在于借助更多的要求增強現有ISMS,以建立、實施、維 護和持續改進隱私信息管理體系(PIMS)。標準草案概述了適用于個人身份信息(PII)控制者和PII處理者的框架,以有效管理隱私控制,降低個人隱私權面臨的風險(參見表一)。這些附加要求和指南的編寫,對于任何規模和文化環境的組織都具有實用性和可用性。
ISO/IEC27701的發布計劃
圖一顯示了以作為國際標準發布為目標的ISO/IEC 27701預期發展路線圖。
標準的正式發布,目的在于使組織能夠獲得針對ISO/IEC27701的認證,以此作為ISO/IEC27001管理體系的擴展。換而言之,計劃尋求通過ISO/IEC27701認證的組織還需要通過ISO/IEC27001認證,以對信息安全和隱私管理的承諾。
ISO/IEC 27701適用性
針對個人信息保護的要求和指南,因組織的環境以及適用國家法律和法規而異。ISO/IEC27001要求充分理解 并考慮這種環境因素。ISO/IEC27701則更加具體。它包括與下列內容的對應:
•ISO/IEC29100中定義的隱私框架和原則;以及
•側重于PII的ISO/IEC27018和ISO/IEC29151。
不過,所有這些對應都需要考慮到本地法律和法規。另外值得注意的是,ISO/IEC27701適用于所有作為PII處理者、控制者或者二者兼備的組織;ISO/IEC27018專門適用于公有云服務提供商。
ISO/IEC27701可被PII控制者(包括那些PII聯合控制者)和PII處理者(包括那些外包PII處理服務的處理者)使用。
遵循ISO/IEC27701要求的組織通常會輸出一些書面的證據以證明其處理個人信息的方式。這些證據有助于組織證明其與商業伙伴簽訂的個人數據處理活動相關的協議的符合性。還可能有助于促進與其他利益相關方的關系。如果需要,將ISO/IEC27701與ISO/IEC27001一并使 用可提供對此證據的獨立性的認證,盡管遵循這些標準 不能作為法律法規的合規性證據。
ISO/IEC 27701的優勢
•在利益相關方之間提供透明度
•有助于增強信任
•提供更具協作性的方法
•更有效的業務協議
•更清晰的角色和職責
•通過與ISO/IEC 27001相結合減少復雜性
如需驗證是否一致地實施了標準所規定的適當運營控制,并執行相關隱私法規的合規要求,必須采取措施:
1.建立相關監管要求與標準控制項之間的對應關系;
2.列舉標準控制項尚未完全涉及的具體監管要求,以及 滿足這些要求所需要的條件;
3.在審核周期中,將上述內容融入風險評估流程。
以ISO/IEC27701中的數據泄露管理的控制項和GDPR的泄露通知要求(條款33)為例,標準中的安全事件管理的控制項與GDPR的數據泄露要求直接對應。
不過,標準不包含GDPR中所規定的72小時通知要求。如組織需證明其已經實施并履行GDPR的要求,他們必須向審核員證明,組織有在數據泄露確認后72小時內通知數據主體和隱私監管機構的統一流程,也有流程確定泄露事件是否涉及歐洲公民或者泄露數據處理是否在歐 洲發生,且在上述情況下將在要求的時限內觸發通知。
映射標準與法規的對應關系并識別特殊的監管要求及其適用條件,是控制者和處理者能夠通過ISO/IEC 27701證明其符合眾多隱私法規的必要機制。
數據隱私法律
隨著組織數據安全和降低數據泄露風險所面臨的挑戰日益增多,隱私法律也要不斷更新迭代以跟上持續變化的業務態勢。值得注意的是,歐盟GDPR已經引起了廣泛的關注。GDPR旨在維護個人有權保護與其相關的個人信息基本權利和自由。
在數據處理活動以及個人信息在歐盟成員國間自由流動方面,這些權利同樣必須被維護。數據處理應當維護個人數據歸屬的自然人的利益。世界各地都有類似的法律來保護個人信息和公民權利,這也包括一些行業特定法規,例如,醫療健康、零售和銀行業。
醫療健康行業
作為一個會收集最敏感個人信息的行業,醫療健康行業特定數據保護法律具有重大意義。例如,《法國公共衛生法》(條款L.1111-8)要求托管某些類型健康/醫療數據的服務提供商必須獲得針對此類活動的認證。美國《健康保險攜帶和責任法案》(Health Insurance Portability and Accountability Act)規定了患者的敏感數據保護的標準,并且要求美國的健康計劃、醫療健康結算機構和醫療健康提供商、或者作為可接觸個人健康信息的供應商或分包商的任何組織和個人須遵守此標準。
歐洲數字單一市場政策也同樣值得關注。這是2015年公布的一項政策,涵蓋數字營銷、電子商務和電信領域。其目的在于為個人和企業提供更多機會,打破現有壁壘。它有三大核心支柱:
•訪問在線產品和服務
•為數字網絡與服務的持續增長和繁榮提供條件
•歐洲數字經濟的增長
該項政策為跨境數據處理和商務提供了便利。不過,歐盟成員國的數據隱私法律的差異被認為是歐洲數字單一市場成功的一大障礙。因此,GDPR的推出是非常積極的變化,它有助于協調整個歐盟在數據隱私保護方面的法律法規。
認證機制以幫助證明數據保護法律的合規性
GDPR鼓勵制定數據保護認證機制和數據保護標志與標識,來幫助證明控制者和處理者遵守相關的數據處理操作法規(GDPR (EU) 2016/679,條款42)。此外,此類認證和標志還可用于證明組織已經采取正確的措施以符合GDPR的方式處理個人信息。
一致的認證機制可以將所有重要的“責任”因素納入考慮 范圍,促進風險降低并改進個人信息的自由流動。這有助于組織提供有用的服務,同時,如圖二所示,可增強流程透明度并向客戶證明在個人信息保護方面的誠信度。
它還凸顯了數據處理對于供應鏈管理的重要性,因為控制者要在數據的整個生命周期對其完全負責。以由航空公司和銀行聯合推出的信用卡之類的產品為例,來自雙方的客戶信息需要被交換,以識別哪些客戶可能選擇此類產品,客戶個人信息交換可能引發風險。
各方如何驗證另一方將充分保護客戶數據?隨著更多的商業伙伴的加入,這種風險會不斷加劇。例如,與營銷公司簽約來針對目標客戶進行營銷,以及在社交媒體平臺上購買廣告。云服務也可能被營銷公司用于存儲和處理與這類營銷活動相關的數據。認證可作為獨立的驗證結論,將證明組織用于評估在整個供應鏈中組織間交換個人信息的風險的流程和控制的有效性。
不過,如圖二(a)所示,如果一個組織使用了一套認證機制,而另一個組織使用了另一套認證機制,這可能無法為業務合作伙伴提供必要的保障或者信任,以證明其客戶的個人信息被適當處理。鑒于業務全球化的性質,需 要一致和統一的認證機制來證明組織遵守了相關法規,有效保護個人信息并且為業務增長提供助力(如圖二(b)所示)。在所有領域和行業之間采用一致的為GDPR所認同的認證機制對緩解風險,及打破商務合作伙伴之間的貿易壁壘十分必要。
近期,歐盟網絡與信息安全局發布了針對GDPR認證的建議。ENISA指出認證、標志和標識對于使數據控制者實現并證明其處理操作符合GDPR要求起著重要作用。
ENISA建議在歐盟委員會(European Commission)和歐洲數據保護委員會(European Data Protection Board)指引和支持下的國家認證機構和監管機構應采用一致的方法以建立和應用GDPR認證機制 。他們還建議這種方法應當可擴展并且使用經實踐驗證和廣泛采用的準則。整個歐洲對認證機制的一致性和兼容性性高度重視,可信度和透明度要作為認證機制的重 要特征。
ISO/IEC 27701是一個有潛力的認證機制
ISO/IEC 27701能夠滿足上述所有建議,并且預期可被用作認證機制的基礎(如條款42規定)。如果采用了這種認證機制,組織能夠提供其合法處理其客戶的個人信息的必要證據,這也包括了跨境數據轉移的情況。ISO/IEC 27701適用于所有規模和不同企業文化的組織。它適用于對于員工和客戶PII的收集與處理。這套基于信息安全技術控制措施并拓展了隱私要求相關的技術措施,有助于證明組織對于數據隱私法律(例如,GDPR)的合規性。
因此,證明符合ISO/IEC27701所規定的控制措施,并生成其所要求的能夠作為組織證明其處理PII方式的文檔,能夠:
•通過減少重復認證以降低認證工作量
•通過證明對數據隱私法律的合規性,增強組織和客戶 間的信任
•提供證據以使數據保護官能夠為最高管理層和董事會 成員展現其在隱私法規符合性方面的成績
•通過歐盟數字單一市場和跨境數據轉移,創造業務機會
而且,ISO/IEC 27701的應用也將進一步強化組織現有ISMS,創建PIMS以在整個組織內實現有效隱私管理。通過現有的健全的ISO/IEC 27001(被公認為成功 的信息安全標準)認證審核員網絡,ISO/IEC 27701能夠被很好整合到現有審核過程中。
ISO/IEC 27701通過公認的共識驅動型流程進行開發;這是開發標準的關鍵任務之一。目前,標準已經引入了各個行業以及監管機構的意見和建議;這也包括由來自所有歐盟國家的數據保護機構(DPA)組成的歐洲數據保護委員(原條款29工作組)的參與和審查。DPA以認可機構將需要確保基于ISO/IEC 27701的認證機制, 能夠充分幫助所有行業以及所有規模的組織證明對隱私法規的符合性。此外,認證機制也需要關注控制者和處 理者的需求,ISO/IEC 27701中也包含了大量與其相關的控制措施。
利益相關方參與的重要性
如前所述,ISO/IEC 27701是 對ISO/IEC 27001的擴展,并且是在ISO管理體系通用標準框架(通常稱為“AnnexSL”)中制定的,允許組織更高效地實施多種管理體系。圖三顯示了各利益相關方的責任及其角色的重要性。
由于已熟悉了現有的ISO/IEC 27001 ISMS,一旦采用了ISO/IEC 27701,所有這些利益相關方也更容易掌握新標準。它們擁有共同的個人信息管理的目標,并且需要一種公認的方法來證明個人信息得以認真的對待,這就是ISO/IEC 27701的意義所在。
結論
總之,有效管理個人信息以順應不斷變化的監管態勢是復雜的,但是又不容忽視。保護每個人的個人信息是基本人權之一。在與個人生活相關的業務和數據變得日益全球化的情況下,全球各地區都頒布相關法律以保護這些權利。
歐盟GDPR的頒布旨在確保以合法的方式收集和處理PII,它支持歐盟數字單一市場所需要的跨境數據轉移。歐盟GDPR認為要增強對組織處理個人數據方式的信任,并通過提供組織間的保障創造業務機會。證明合規的認證機制仍然有很長的路要走,如果要在歐盟成員國以及歐洲之外的國家/地區間一致地實施認證以支持全球商務和業務,尤為如此。
ISO/IEC 27701的引入是對現有標準組合的必要補充。實施ISO/IEC 27701規定的控制措施使組織能夠保留其處理個人信息的方式的證據。如果個人信息處理具有彼此相關性,此類證據可被用于促進與業務合作伙伴達成協議,而如果具有廣泛認可的認證機制,此類證據能夠幫助證明其對數據保護法律(例如,GDPR)的符合。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
