大数据时代,人们在网络上留下的个人印记越来越多,这给人们的生活带来极大便利的同时,也增加了用户个人隐私信息泄露的风险。在这种背景下,个人隐私信息的保护就显得至关重要,这就要求涉及个人隐私信息采集处理的组织加强组织内的隐私信息保护管理体系建设。
组织实施隐私信息保护管理体系具有重大的意义。站在消费者的角度考虑,隐私保护管理体系的建立一方面可以切实保护用户隐私;另一方面也可以让用户看到企业的数据道德。站在社会和监管的角度考虑,建立隐私保护管理体系既是企业承担安全合规责任的要求;也是企业树立良好的自身形象所需。对于组织内部而言,隐私保护管理体系的建设能够帮助企业树立全员安全责任意识,落实合规流程技术。最后,隐私保护管理体系的建设降低了企业与关联方的数据之间的流动风险,更有利于构建合作责任模型。
ISO 27701是ISO 27001(信息安全管理体系)和ISO 27002(信息安全控制实践指南)在隐私信息管理的一个扩展标准,为组织在保护个人隐私信息方面提供指导,适用于个人身份信息(PII)控制者和PII处理者的框架,用于隐私控制管理,以降低对个人隐私的各种风险。
符合ISO 27701认证首先要求符合ISO 27001的要求。他们旨在相互补充。遵循ISO 27701认证要求的组织将创建有关其如何处理PII的书面证据,可用于促进与PII的处理相关的业务伙伴的协议,并阐明组织与其他利益相关者的PII的处理。尽管GDPR尚无认可的认证方法,但根据最近的报道,ISO 27701认证可能会在不久的将来改变这一现状。
