個人身份信息保護行為準(zhǔn)則認(rèn)證簡介

1、背景介紹

近年，隨著互聯(lián)網(wǎng)經(jīng)濟、互聯(lián)網(wǎng)社交的普及，越來越多的系統(tǒng)和平臺收集個人信息并對個人信息進行存儲、處理，甚至交換。個人信息的非法收集、泄露、濫用等已經(jīng)成為社會性關(guān)注的焦點問題，個人權(quán)益嚴(yán)重受損情況屢見不鮮，甚至出現(xiàn)了很多與個人信息濫用有關(guān)的違法犯罪活動。

因此，如何在個人信息安全保護和大數(shù)據(jù)利用之間達成平衡，這已成為新經(jīng)濟時代重要的命題。在信息化、互聯(lián)網(wǎng)、大數(shù)據(jù)時代背景下的個人信息和隱私權(quán)保護面臨了諸多困難和挑戰(zhàn)。種種合規(guī)性的需求，促進了個人隱私標(biāo)準(zhǔn)的發(fā)展。

ISO/IEC 29151標(biāo)準(zhǔn)，是國際通行的個人身份信息保護指南，充分控制個人身份信息（PII）相關(guān)的風(fēng)險，適用于任何對隱私保護有需求的組織，對開展個人身份信息保護提供了一個廣泛的指南。

2、標(biāo)準(zhǔn)簡介

ISO/IEC 29151:2017是通用的個人隱私保護標(biāo)準(zhǔn)，基于ISO/IEC 27002的各個域中加入了PII的事實指南，同時引入了ISO/IEC 29100十一大隱私保護原則。標(biāo)準(zhǔn)涵蓋26個控制域，181條控制措施，充分控制個人身份信息(PII)相關(guān)的風(fēng)險和滿足影響評估所確定的要求。主體部分在ISO/IEC 27002的24個控制域基礎(chǔ)上附加36項保護PII的實施指南；附錄部分新增12個控制域，包含30項保護PII的實施指南。

3、實施意義

本標(biāo)準(zhǔn)針對我國IT技術(shù)高速發(fā)展中個人信息安全面臨的安全問題，以保護個人信息為核心，規(guī)范個人信息收集、存儲、處理、使用和披露等各個環(huán)節(jié)中數(shù)據(jù)操作的相關(guān)行為，進一步加強對個人可識別身份信息風(fēng)險，進行準(zhǔn)確評估并采取有效的控制措施，提高業(yè)務(wù)流程的安全性和可靠性，降低IT運營過程中的個人可識別身份信息風(fēng)險，旨在遏制個人信息濫用亂象，最大程度地保障用戶合法權(quán)益和社會公共利益。

4、認(rèn)證依據(jù)

ISO/IEC 29151:2017

5、ISO/IEC 27701與 ISO/IEC 29151標(biāo)準(zhǔn)的區(qū)別和聯(lián)系

ISO/IEC 27701基于ISO/IEC 27001和ISO/IEC 27002的各個領(lǐng)域，分別對個人可識別信息控制者和個人可識別信息處理者進行規(guī)范和指導(dǎo)，ISO/IEC 29151則是個人身份信息保護的實踐指南，它主要是基于ISO/IEC 27002的各個域中加入了PII的事實指南，并引入了ISO/IEC 29100十一大隱私保護原則，可以說ISO/IEC 27701和ISO/IEC 29151都是ISO/IEC 29100的細(xì)化體現(xiàn)，ISO/IEC 27701滿足了ISO/IEC 29151的要求，并且從體系角度給予了充分的展示與要求。

區(qū)別一：結(jié)構(gòu)不同

ISO/IEC 27701是ISO/IEC 27001和ISO/IEC 27002在隱私方面的擴展，并為隱私保護提供了除ISO/IEC 27001和ISO/IEC 27002之外的額外指導(dǎo)。

ISO/IEC 29151描述了可被普遍接受的個人可識別身份信息（PII）安全控制措施和風(fēng)險處理指南，該標(biāo)準(zhǔn)基于ISO/IEC 27002的基本結(jié)構(gòu)，將ISO/IEC 29100中的隱私原則予以對應(yīng)，形成使用且針對性強的PII保護措施，供組織使用。

區(qū)別二：側(cè)重點不同

ISO/IEC 27701是ISO/IEC 27001和ISO/IEC 27002的延伸，側(cè)重于隱私信息安全管理。

ISO/IEC 29151是個人信息保護的行為準(zhǔn)則、是個人身份信息保護的實踐指南，側(cè)重于隱私技術(shù)。

區(qū)別三：組織如何選擇

ISO/IEC 27701是基于ISO/IEC 27000信息安全管理體系標(biāo)準(zhǔn)族，適用于所有類型和規(guī)模的組織，包括公共和私營公司、政府機構(gòu)和非盈利組織，他們是在ISMS中處理PII的控制者或處理者。ISO/IEC 29151是基于ISO/IEC 29100信息技術(shù)—安全技術(shù)—保密框架標(biāo)準(zhǔn)族，適用于所有類型和規(guī)模的作為PII控制者的組織，包括處理PII的公共和私營公司、政府機構(gòu)和非盈利組織。

兩者存在的差異使得ISO/IEC 27701認(rèn)證和ISO/IEC 29151認(rèn)證不可相互替換，組織可根據(jù)實際情況進行選擇。

ISO/IEC 27701和ISO/IEC 29151均作為隱私方面的標(biāo)準(zhǔn)相互補充，此外，ISO/IEC 27701附錄中與ISO/IEC 29151進行了映射，并且加上如何應(yīng)用此標(biāo)準(zhǔn)的說明，對于想要整合多項標(biāo)準(zhǔn)的組織而言有著非常好的參考意義。

適用范圍

適用于所有類型和規(guī)模的作為PII控制者的組織，包括處理PII的公共和私營公司、政府機構(gòu)和非盈利組織。