ISO-IEC 27701.2-2024DIS 信息安全、网络安全和隐私保护- 隐私信息信息管理体系 - 要求和指南（雷泽佳译2024）

II信息安全、网络安全和隐私保护—隐私信息管理体系-要求和指南范围本标准规定了建立、实施、保持和持续改进隐私信息管理体系（PIMS）的要求。本标准提供了实施本标准中要求的指南。本标准旨在对个人可识别信息（PII）处理负有责任和职责的PII控制者和PII处理者提供指导。本标准适用于所有类型和规模的组织，包括公共和私营公司、政府实体和非营利组织。规范性引用文件下列文件对于本标准的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本标准。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本标准。ISO/IEC29100，信息技术--安全技术--隐私框架术语和定义本标准采用ISO/IEC29100中所确立的术语和定义及以下术语和定义。ISO和IEC设有用于标准化的术语数据库，地址如下：ISO在线浏览平台：/obpIEC电力维基百科：/组织organization为实现其目标（3.6），由职责、权限和相互关系构成自身功能的一个人或一组人。组织的概念包括但不限于个体经营者、公司、法人、商行、企事业单位、行政机构、合营公司、慈善机构或研究机构，或上述组织的部分或组合，无论是否具有法人资格、公有的或私有的。如果组织是较大实体的一部分，则“组织”一词仅指属于隐私信息管理体系（3.4）范围内的较大实体的那一部分。相关方（推荐术语）/利益相关者（允许使用的术语）相关方interestedparty(preferredterm)stakeholder(admittedterm)可能影响决策或活动、受决策或活动影响，或自认为受决策或活动影响的个人或组织（3.1）。最高管理者topmanagement在最高层指挥和控制组织（3.1）的一个人或一组人。最高管理者在组织内有授权并提供资源的权力。如果管理体系（3.4）的范围仅覆盖组织的一部分，则最高管理者是指指挥和控制该部分组织的一个人或一组人。管理体系managementsystem组织（3.1）建立方针（3.5）和目标（3.6）以及实现这些目标的过程（3.4.1）的相互关联或相互作用的一组要素。一个管理体系可以针对单一的领域或几个领域。管理体系的要素包括组织的结构、岗位和职责、策划和运行。方针policy由组织（3.1）的最高管理者（3.1.1）正式发布的组织（3.2.1）的宗旨和方向。目标objective要实现的结果目标可以是战略性的、战术性的或操作层面的。目标可以涉及不同的领域（如：财务的、职业健康与安全的和环境的目标），它们可以是整个组织的，也可以特定于某个项目、产品或过程（3.8）。可以采用其他的方式表述目标，例如：采用预期的结果、活动的目的或运行准则，或使用其它有类似含义的词（如：目的、终点或指标）。在隐私信息管理体系（3.22）环境中，组织（3.1）制定的隐私信息目标与隐私信息方针（3.5）保持一致，以实现特定的结果。风险risk不确定性的影响。影响是指偏离预期，可以是正面的或负面的。不确定性是指对某一事件、其后果或可能性缺乏信息、理解或知识的状态，即使是部分缺乏。通常，风险是通过有关事件ISO导则73中的定义）和后果（如ISO导则73中的定义），或两者的组合来描述其特性的。通常，风险是以某个事件的后果（包括情况的变化）及其发生的可能性（ISO导则73中的定义）的组合来表述的。过程process利用输入实现结果的相互关联或相互作用的一组活动。过程的结果称为输出，还是称为产品或服务，随相关语境而定。能力competence应用知识和技能实现预期结果的本领。成文信息documentedinformation组织（3.1）需要控制并保持的信息及其载体。成文信息可以任何格式和载体存在，并可来自任何来源。成文信息可涉及：管理体系（3.4），包括相关过程（3.8）；为组织运行而产生的信息（一组文件）；实现结果的证据（记录）。绩效performance可测量的结果。绩效可能涉及定量的或定性的结果。绩效可能涉及管理活动、过程（3.8）产品、服务、系统或组织（3.1）。持续改进continualimprovement提高绩效（3.11）的循环活动。有效性effectiveness完成策划的活动并得到策划的结果的程度要求requirement明示的、通常隐含的或必须履行的需求或期望。“通常隐含”是指组织（3.1）和相关方（3.2）的惯例或一般做法，所考虑的需求或期望是不言而喻的。规定要求是经明示的要求，如：在成文信息（3.10）中阐明。符合满足要求（3.14）。不符合未满足要求（3.14）。纠正措施correctiveaction为消除不合格（3.16）的原因并防止再发生所采取的措施审核audit为获得客观证据并对其进行客观的评价，以确定满足审核准则的程度所进行的系统的和独立的过程（3.8）。审核可以是内部（第一方）审核，或外部（第二方或第三方）审核，也可以是多体系审核或联合审核。内部审核由组织（3.1）自己或外部以组织的名义进行。“审核证据”和“审核准则”在ISO19011中定义。测量measurement确定数值的过程（3.8）。监视monitoring确定体系、过程（3.8）或活动的状态。确定状态可能需要检查、监督或密切观察。PII联合控制者jointPIIcontroller与其他一个或更多PII控制者联合决定处理PII的目的和手段的PII控制者。顾客customer能够或实际接受为其提供的或按其要求提供的产品或服务的个人或组织（3.1）。示例：消费者、委托人、最终使用者、零售商、内部过程（3.8）的产品或服务的接收人、受益者和采购方。顾客可以是组织内部的或外部的。顾客可以是与PII控制者有合同的组织（3.1），或是与PII处理者有合同的PII控制者，或是与分包商有PII处理合同的PII处理者（有关详细信息，见4.2）。隐私信息管理体系privacyinformationmanagementsystemPIMS关于受PII处理潜在影响的隐私保护的信息安全管理体系（3.4）。信息安全方案informationsecurityprogramme旨在管理组织（3.1）资产所面临的风险（3.7），以确保信息的保密性、完整性和可用性的一组方针（3.5）目标（3.6）和过程（3.8）。信息安全方案可以是例如基于ISO/IEC27001的信息安全管理体系。适用性声明statementofapplicability所有必要控制以及包含或删减控制的理由的文件。组织可能不需要附录A中列出的所有控制，甚至可能超出附录A中的列表，增加组织自身确定的额外控制。组织环境理解组织及其环境组织应确定与其宗旨相关，并影响其实现隐私信息管理体系预期结果能力的外部和内部因素。组织应确定气候变化是否是一个相关因素。组织应确定其作为一个PII控制者（包括作为PII联合控制者）和/或PII处理者的角色。组织应确定与其环境相关的外部和内部因素，这些因素影响其实现隐私信息管理体系预期结果的能力。外部和内部因素可能包括但不限于：适用的隐私法律；适用的法规；适用的司法判决；适用的组织环境、治理、策略和程序；适用的行政决定；适用的合同要求。当组织同时作为两种角色（即PII控制者和PII处理者）时，应分别确定其角色，对应其每一种角色分别应用一组控制。组织角色在每一种PII处理场景中可能不同，因其取决于谁决定处理的目的和手段。理解相关方的需求和期望组织应确定：与隐私信息管理体系相关的相关方；这些相关方的相关要求；其中哪些要求将通过隐私信息管理体系来解决。相关方可能有与气候变化相关的要求。组织识别的相关方应包含那些与组织处理PII相关的具有利益或责任的相关方，包括PII主体。其他相关方可包括顾客（见4.2）监管机构、其他PII控制者、PII处理者及其分包方。根据组织的角色，“客户”可以理解为以下任一情况：与PII控制者签署合同的组织（例如，PII控制者的顾客，也适用于组织是一个联合控制者的情况）；与PII处理者有合同关系的PII控制者（例如，PII处理者的客户）；或与处理PII的分包方签署合同的PII处理者（即，PII处理分包方的顾客者）。在本标准中，与组织存在商业对消费者（B2C）关系的个人被称为“PII主体”。与处理PII相关的要求可由法律法规要求、合同义务、自行提出的组织目标确定。IS0/IEC29100中规定的隐私原则为处理PII提供了指南。作为正式组织义务符合性的一个要素，一些相关方可期望组织符合特定标准，例如本标准规定的管理体系和/或任何相关的规范。这些相关方可要求关于这些标准的符合性的独立审核。确定隐私管理体系的范围组织应确定隐私信息管理体系的边界和适用性，以建立其范围。在确定这一范围时，组织应考虑：4.1中提及的外部和内部因素；4.2中提及的要求。组织的隐私信息管理体系范围应可获取，并作为成文信息加以保持。当确定隐私信息管理体系范围时，组织应将PII处理包括在内。隐私管理体系组织应按照本标准的要求，建立、实施、保持并持续改进隐私信息管理体系，包括所需的过程及其相互作用。领导作用领导作用和承诺最高管理者应通过以下活动，证实对隐私信息管理体系的领导作用和承诺：确保建立隐私方针（见5.2）和隐私目标（见6.2），并与组织战略方向相一致；确保将隐私信息管理体系要求融入组织的过程中；确保隐私信息管理体系所需的资源是可获得的；沟通有效的隐私信息管理及符合隐私信息管理体系要求的重要性；确保隐私信息管理体系实现其预期结果；指导和支持相关人员为隐私信息管理体系的有效性做出贡献；促进持续改进；支持其他相关管理者在其职责范围内发挥领导作用。注：本标准中提及的“业务”一词可广义地理解为涉及组织存在的目的核心活动。隐私方针最高管理者应制定隐私方针，隐私方针应：与组织宗旨相适应；为设定隐私目标提供框架；包括满足适用要求的承诺；包括对隐私信息管理体系持续改进的承诺。隐私方针应：作为成文信息可获取；在组织内部进行沟通；适宜时，可为相关方所获取。角色、职责和权限最高管理者应确保相关角色、职责和权限在组织内得到分配和沟通。最高管理者应分配职责和权限，以：确保隐私信息管理体系符合本标准的要求；向最高管理者报告隐私信息管理体系绩效。策划应对风险和机遇的措施总则当策划隐私信息管理体系时，组织应考虑4.1中提及的因素和4.2中提及的要求，并确定需要应对的风险和机遇，以：确保隐私信息管理体系能够实现其预期结果；预防或减少不良影响；实现持续改进。组织应策划：应对这些风险和机遇的措施；如何：将这些措施整合到隐私信息管理体系过程中，并予以实现；评价这些措施的有效性。隐私风险评估组织应规定并应用隐私风险评估过程，以：建立并保持隐私风险准则，包括：风险接受准则；实施隐私风险评估的准则；确保反复的隐私风险评估产生一致的、有效的和可比较的结果；识别隐私风险：与隐私信息管理体系范围内的隐私保护和信息安全风险相关；确定风险责任人；分析隐私风险：评估6.1.2c）1）中所识别的风险发生后，对组织和PII主体可能产生的潜在后果；评估6.1.2c）1）中所识别的风险实际发生的可能性；确定风险等级；评价隐私风险。将风险分析结果与6.1.2a）中建立的风险准则进行比较；为风险应对对已分析风险进行优先排序。组织应保留有关隐私风险评估过程的成文信息。注：有关隐私风险评估过程的更多信息，请参见ISO/IEC27557。隐私风险应对组织应规定并应用隐私风险应对过程，以应对与PII处理相关的风险，包括对PII主体的风险以及对PII安全的威胁，具体通过以下方式：在考虑风险评估结果的基础上，选择适合的隐私风险应对方案；确定实现所选择的隐私风险应对方案所必需的所有控制；当需要时，组织可设计控制，或识别来自任何来源的控制。识别并将组织实施的信息安全方案形成文件，包括适当的安全控制；ISO/IEC27002提供了可能的信息安全控制清单。如果信息安全方案基于ISO/IEC27001，则本标准的用户应参考ISO/IEC27002，以确保没有遗漏必要的信息安全控制。将6.1.3b）确定的控制与附录A中的控制进行比较，并验证没有忽略必要的控制；附录A包含了可能的信息安全控制的清单。本标准使用者可在附录A的指导下，确保没有遗漏必要的控制。附录A所列的信息安全控制并不是完备的，可能需要额外的隐私控制。组织在考虑Pll处理的安全性时，可以采用整合的方式处理安全性和隐私性问题，例如将安全性和隐私性风险评估结合起来，或将其作为有重叠领域的独立实体。制定一个适用性声明，其中包含：必要的控制（见6.1.3b）、c）和d））；选择该控制的合理性说明；必要的控制是否得到实施；对附录A控制删减的合理性说明。并非附录A中列出的所有控制都必须包含。删减任何控制的理由可以包括：风险评估认为这些控制并非必要，或者适用法律法规（包括适用于PII主体的法律法规）未要求实施这些控制（或存在例外情况）。制定隐私风险应对计划；获得隐私风险负责人的批准隐私风险应对计划，并接受剩余隐私风险；获得风险责任人对隐私风险应对计划以及对隐私残余风险的接受的批准；在实施b）和c）中确定的控制时，考虑附录B中的指导。组织应保留有关信息隐私风险应对过程的成文信息。隐私目标及其实现的策划组织应在相关职能和层次上建立隐私目标。隐私目标应：与隐私方针保持一致（见5.2）；可测量（如可行）；考虑适用的隐私要求；予以监视；予以沟通；适时更新；作为成文信息可获取。组织应保留有关隐私目标的成文信息。在策划如何实现隐私目标时，组织应确定：要做什么；需要什么资源；由谁负责；何时完成；如何评价结果。变更的策划当组织确定需要对隐私管理体系进行变更时，变更应按所策划的方式实施。支持资源组织应确定并提供建立、实施、保持和持续改进隐私管理体系所需的资源。能力组织应：确定在组织控制下从事会影响组织隐私信息绩效的工作人员的必要能力；基于适当的教育、培训或经验，确保这些人员是胜任的；适用时，采取措施以获得所需的能力，并评价所采取措施的有效性；保留适当的成文信息，作为人员能力的证据。注：适当措施可包括对在职人员进行培训、辅导或重新分配工作，或者聘用、外包胜任的人员。意识在组织控制下工作的人员应知晓：隐私方针（见5.2）；他们对隐私管理体系有效性的贡献，包括改进隐私信息绩效带来的益处；不符合隐私信息管理体系要求带来的后果。沟通组织应确定与隐私管理体系相关的内部和外部的沟通需求，包括：沟通什么；何时沟通；与谁沟通；如何沟通。成文信息总则组织的隐私管理体系应包括：本标准要求的成文信息；组织所确定的、为确保隐私管理体系有效性所需的成文信息。注：对于不同组织，质量管理体系成文信息的多少与详略程度可以不同，取决于：组织的规模，以及活动、过程、产品和服务的类型；过程及其相互作用的复杂程度；人员的能力。创建和更新在创建和更新成文信息时，组织应确保适当的：标识和说明（如标题、日期、作者或索引编号）；格式（如语言、软件版本、图表）和载体（例如纸质的、电子的）；评审和批准，以保持适宜性和充分性。成文信息的控制应控制隐私管理体系和本标准所要求的成文信息，以确保：在需要的场合和时机，均可获得并适用；予以妥善保护（如防止泄密、不当使用或缺失）。为控制成文信息，适用时，组织应进行以下活动：分发，访问，检索和使用；存储和保护，包括保持可读性；更改控制（例如版本控制）；保留和处理。对于组织确定的策划和运行隐私管理体系所必需的来自外部的成文信息，组织应进行适当识别，并予以控制。注：对成文信息的“访问”可能意味着仅允许查阅，或者意味着允许查阅并授权修改。运行运行的策划和控制组织应策划、实施和控制满足要求所需的过程，并通过以下方式实施第6章中确定的措施：为过程建立准则；根据准则实施过程控制。成文信息应在必要的范围内可用，以确信这些过程已按策划执行。组织应控制策划的变更，评审非预期变更的后果，必要时，采取措施减轻不利影响。组织应确保与隐私管理体系相关的、由外部提供的过程、产品或服务受控。隐私风险评估组织应考虑6.1.2a）所建立的准则，按策划时间间隔，或当重大变更提出或发生时，实施隐私风险评估。组织应保留隐私风险评估结果的成文信息。隐私风险应对组织应实施隐私风险应对计划。组织应保留隐私风险应对结果的成文信息。绩效评价监视、测量、分析和评价组织应确定：需要监视和测量什么；需要用什么方法进行监视、测量、分析和评价，以确保结果有效；何时实施监视和测量；何时对监视和测量的结果进行分析和评价。应保留适当的成文信息，以作为结果的证据。组织应评价隐私绩效和隐私信息管理体系的有效性。内部审核总则组织应按照策划的时间间隔进行内部审核，以提供有关隐私信息管理体系的下列信息：a）是否符合；组织自身的隐私信息管理体系要求；本标准的要求。b）是否得到有效的实施和保持。内部审核方案组织应策划、制定、实施和保持（一个或多个）审核方案，审核方案包括审核频次、方法、职责、策划要求和报告。当制定内部审核方案时，应考虑相关过程的重要性和以往审核的结果。组织应：规定每次审核的审核准则和范围；选择审核员并实施审核，确保审核过程的客观性和公正性；确保将审核结果报告至相关管理者；保留成文信息，作为实施审核方案以及审核结果的证据。管理评审总则最高管理者应按照策划的时间间隔对组织的隐私信息管理体系进行评审，以确保其持续的适宜性、充分性和有效性。管理评审输入管理评审应考虑：以往管理评审所采取措施的状况；与隐私信息管理体系相关的外部和内部因素的变化；与隐私信息管理体系相关的相关方需求和期望的变化；有关信息安全绩效的反馈，包括以下方面的趋势：不符合和纠正措施；监视和测量结果；审核结果。持续改进的机会。管理评审输出管理评审输出应包括与持续改进机会相关的决定以及变更隐私信息管理体系的任何需求。成文信息应保留并可获取，作为管理评审结果的证据。改进持续改进组织应持续改进隐私信息管理体系的适宜性、充分性和有效性。不符合及纠正措施当发生不符合时，组织应：对不符合做出反应，适用时：采取措施以控制和纠正不符合；处置后果；通过下列活动，评价是否需要采取措施，以消除产生不合格的原因，避免其再次发生或者在其他场合发生：评审不符合；确定不符合的原因；确定是否存在或可能发生类似的不符合；实施所需的措施；评审所采取的纠正措施的有效性；需要时变更质量管理体系；纠正措施应与不符合所产生的影响相适应。应保留成文信息，作为下列事项的证据：不符合的性质以及随后所采取的措施；纠正措施的结果。关于附录的进一步信息附录A列出了组织作为PII控制者（无论其是否聘用PII处理者，以及是否与其他PII控制者联合行动），或作为PII处理者（无论其是否将PII的处理分包给独立的PII处理者，包括作为PII处理者的分包商处理PII的情况），或同时作为PII控制者和处理者时，隐私信息管理体系的参考控制目标和控制。附录B列出了实施附录A中列出的控制的隐私信息管理体系实施指南。附录C包含了与ISO/IEC29100的对应关系。附录D包含了本标准中控制与欧盟《通用数据保护条例》的对应关系。附录E包含了与ISO/IEC27018和ISO/IEC29151的对应关系。附录F展示了本版ISO/IEC27701中的控制与2019年版的对应关系。（规范性附录）PII控制者的控制目标和控制措施本附件旨在为担任PII控制者或PII处理者，或同时担任两者的组织提供使用指南。在隐私信息管理体系的实施中，并非本附录中列出的所有控制目标和控制措施都需要包含在内。对于删减的任何控制目标，应在适用性声明中给出合理性说明（见6.1.3f））。删减的合理性说明可以包括：通过风险评估认为这些控制不是必要的，或者根据适用的法律法规（或法律法规下的例外情况）不需要这些控制。表A.1针对PII控制者，表A.2针对PII处理者，表A.3则涉及PII控制者和PII处理者共同的安全控制。注：表A.1、A.2和A.3中“控制参考”下的引用是指附件B中的相应条款编号（例如，关于控制A.1.2.2的指南可在B.1.2.2中找到）。表A.1：PII控制者的控制目标和控制措施控制参考控制标题控制内容A.1.2.2识别目的并形成文件组织应识别拟处理PII的特定目的并形成文件。A.1.2.3识别合法性基础组织应针对已识别的PII处理目的，确定相关合法性依据并形成文件、遵守相关合法基础。A.1.2.4确定何时以及如何获得同意组织应针对是否、何时和如何获得PII主体对处理PII的同意确定过程并形成文件，该过程应能够证实。A.1.2.5获取并记录同意组织应按形成文件的过程获得和记录PII主体的同意。A.1.2.6隐私影响评估当策划新的PII处理或对现有PII处理进行变更时，组织应评估进行隐私影响评估的需求并在适当时实施。A.1.2.7与PII处理者的合同组织应与任何其使用的PII处理者签署书面合同，就确保他们与PII处理者的合同明确附件A（见表A.2）中适当控制的实施。A.1.2.8PII联合控制者组织应与任何联合PII控制者确定处理PII（包括PII保护和安全要求）的各自角色和职责。A.1.2.9与处理PII相关的记录组织应确定并安全地维护必要的记录，以支持其处理PII的义务。。A.1.3.2确定并履行对于PlI主体的义务组织应确定并记录其对PII主体与处理其PII相关的法律法规和业务义务，并提供履行这些义务的方法。A.1.3.3确定PII主体所需的信息组织应确定并记录要提供给PII主体的有关其PII处理的信息和提供此类信息的时机。A.1.3.4向PII主体提供信息关于识别PII控制者和对PII处理的描述，组织应向PII主体提供明确的和易于获取的信息。A.1.3.5提供修改或撤回同意的机制组织应为PII主体提供修改或撤回同意的机制。A.1.3.6提供反对PII处理的机制组织应为PII主体提供反对处理其PII的机制。A.1.3.7访问、纠正和/或擦除组织应实施策略、程序或机制已履行其对于PII主体访问、纠正和/或擦除其PII的义务。A.1.3.8PII控制者告知第三方的义务组织应将与其共享PII相关的任何修改，撤回或反对告知已与之共享PII的第三方，并实施适当的策略、程序或机制进行告知。A.1.3.9提供被处理PII副本组织应能够在PII主体请求时向其提供所处理的PII副本。A.1.3.10处理请求组织应定义处理和响应PII主体的合法请求的策略和程序并形成文件。A.1.3.11自动化决策组织应识别和说明由组织仅基于自动处理PII做出与PII主体相关的决策所产生的对PII主体的义务，包括法律义务。A.1.4.2有限收集组织应将PII的收集限制在与识别的目的相关、适当和必要的最低限度。A.1.4.3有限处理组织应将PII的处理限制在对于已识别的目的充分、相关和必要的程度。A.1.4.4准确性和质量组织应确保在PII的整个生命周期内PII为达到处理目的所必需的准确、完整和最新，并形成文件。A.1.4.5PII最小化目标组织应定义数据最小化目标以及用于满足这些目标的机制（如去标识化），并形成文件。A.1.4.6PII去标识化和处理结束时的删除组织应删除PII或将其呈现为不允许识别或重新识别PII主体的形式，只要原始PII不再需要用于识别的目的。A.1.4.7临时文件组织应确保作为处理PII的结果创建的临时文件在文件规定的时限内按形成文件的程序得到处理（如擦除或销毁）。A.1.4.8保留组织保留PII不应超过PII处理目的所需的时间。A.1.4.9处置组织应有形成文件的策略、程序或机制处置PII。A.1.4.10PII传输控制组织应对通过数据传输网络传输（例如发送到另一个组织）的PII进行适当的控制，以确保数据到达其预期目的地。PII共享、转移和披露目标：确定PII共享、向其他司法辖区或第三方传输和/或披露时是否遵从适用义务，并形成文件。A.1.5.2识别跨司法辖区转移Pll的依据组织应识别在不同司法辖区传输PII的相关依据并形成文件。A.1.5.3可向其转移PII数据的国家和国际组织组织应规定PII可能被传输的国家和国际组织并形成文件。A.1.5.4PII转移记录组织应记录PII转移到第三方或从第三方转移，并确保与这些相关的合作，以支持未来与其对PII主体的义务相关的请求。A.1.5.5向第三方披露PlI的记录组织应记录PII向第三方的披露，包括披露了什么PII，披露给了谁，以及披露的时间。表A.2：PII处理者的控制目标和控制措施控制参考控制标题控制内容A.2.2.2顾客协议相关时，组织应确保处理PII的合同说明组织在协助客户履行义务方面的作用（考虑到处理的性质和组织可获得的信息）A.2.2.3组织的目的组织应确保代表顾客处理的PII仅为顾客书面指令中阐述的目的处理。A.2.2.4营销与广告用途组织不应在获得适当的PII主体同意之前将其按合同处理的PII用于市场营销和广告的目的。组织不应将提供此类同意作为获得服务的条件。A.2.2.5侵权指令如果组织认为一项处理指令违反适用的法律和/法规，组织应告知顾客。A.2.2.6顾客义务组织应向顾客提供适当的信息，使顾客能够证实其履行了义务。A.2.2.7与处理PII相关的记录组织应为代表顾客执行的PII处理确定和保持关于支持证实其义务的符合性的必要的记录（按适用合同中的规定）。A.2.3.2履行对PII主体的义务控制组织应向顾客提供遵从其与PII主体相关的义务的方法。A.2.4.2临时文件控制组织应确保作为PII处理结果创建的临时文件按形成文件的程序在书面规定的时限内预计处置（如擦除或销毁）。A.2.4.3归还、转移或处置PlI组织应提供以安全方式归还、转移和/或处置PII的能力。应使其顾客可获得组织的策略。A.2.4.4II传输控制组织应对在数据传输网络中传输的PII实行适当的控制以确保数据到达预期的目的地。PII共享、转移和披露目标：确定PII共享、向其他司法辖区或第三方转移和/或披露是否符合使用义务，并形成文件。A.2.5.2跨司法辖区转移PII的依据组织应及时告知顾客PII在司法管辖区之间传输的依据以及这方面的任何预期变更，以便顾客有能力反对此类变更或终止合同。A.2.5.3可向其转移PlI的国家和国际组织组织应规定PII可能转移的国家和国际组织并形成文件。A.2.5.4向第三方披露PII的记录组织应记录向第三方进行的PII披露，包括：向谁、何时、披露了什么PII。A.2.5.5lI披露请求的通知组织应将任何具有法律约束力的PII披露请求通知客户。A.2.5.6具有法律约束力的PII披露组织应拒绝任何不具有法律约束力的PII披露请求，在进行任何PII披露之前咨询相应顾客，接受任何合同商定的相应顾客已授权的PII披露。A.2.5.7披露用于处理PII的分包方组织应在任何使用分包方处理PII之前向顾客披露。A.2.5.8使用分包方处理PII组织应仅按顾客合同使用分包方处理PII。A.2.5.9变更处理PII的分包方在具有通用的书面授权时，组织就告知顾客有关添加或更换分包方以处理PII的任何预期更改，从而使客户有机会反对此类更改。表A.3：PII控制者和处理者的控制目标和控制措施控制参考控制标题控制内容A.3.3信息安全策略应规定、与PII处理相关的信息安全策略，由管理层批准、发布并传达给相关人员和相关方并获得其认可，同时应按策划间隔和在发生重大变化时进行评审。A.3.4信息安全角色与职责应根据组织需求规定并分配与PII处理相关的信息安全角色与职责。A.3.5信息分类应根据组织的信息安全需求，考虑PII，基于保密性、完整性、可用性和相关方要求对信息进行分类。A.3.6信息标记应根据组织采用的信息分类方案，制定并实施一套虑PII的适当的信息标记程序。A.3.7信息传递组织内部以及组织与其他方之间所有类型的信息传递设施都应当有与PII处理相关的信息传递的规则、程序或协议。A.3.8身份管理应管理与PII处理相关的身份的整个生命周期。A.3.9访问权限应根据组织关于访问控制的特定主题策略和规则来提供、评审、修改和删除对与PII处理相关的PII和其他相关的访问权限。A.3.10在供方协议中强调信息安全应建立与PII处理相关的信息安全要求，并根据供方关系的类型与每个供方达成一致。A.3.11信息安全事件管理策划和准备组织应通过规定、建立和沟通信息安全事件管理过程、角色和职责，以策划和准备好管理与PII处理相关的信息安全事件。A.3.12信息安全事件响应应根据成文程序对与PII处理相关的信息安全事件进行响应。A.3.13法律法规、监管和合同要求应当识别、记录和更新与PII处理相关的信息安全的法律法规、监管和合同要求以及组织满足这些要求的方法。A.3.14记录保护应防止与PII处理相关的记录丢失、毁坏、伪造、未经授权的访问和未经授权的发布。A.3.15信息安全独立评审组织管理与PII处理相关的信息安全的方法及其实施（包括人员、流程和技术），应在策划的时间间隔或发生重大变化时进行独立评审。A.3.16遵守信息安全策略、规则和标准应定期评审组织的信息安全策略、与PII处理相关的主题策略、规则和标准遵守情况。A.3.17信息安全意识、教育和培训组织的人员和相关方，应按其工作职能并与PII处理相关，接受关于组织的信息安全策略、主题策略和程序的适当的、定期更新的信息安全意识、教育和培训。A.3.18保密或不披露协议反映组织PII保护需求的保密或不披露协议应当由员工和其他相关方识别、形成文件、定期评审和签署。A.3.19桌面清理和屏幕清理应规定并适当强制针对纸张和可移动存储介质的桌面清理规则，以及信息处理设施的屏幕清理规则。A.3.20存储介质应根据组织的分类方案和处理要求，在采购、使用、运输和作废的整个生命周期中对含有PII的存储介质进行管理。A.3.21设备的安全处置或再利用应验证包含PII的存储介质的设备，以确保任何敏感数据和许可软件在处置或再利用之前已被删除或安全覆盖。A.3.22用户终端设备存储在用户终端设备上、由用户终端设备处理或可通过用户终端设备访问的PII应受到保护。A.3.23安全身份认证应基于信息访问限制，实施与PII处理相关的安全身份认证技术和程序。A.3.24信息备份应维护和定期测试与PII处理相关的信息、软件和系统的备份副本。A.3.25日志应生成、存储、保护和分析记录PII处理相关活动、异常、故障和其他相关事态的日志。A.3.26密码技术的使用应规定和实施与PII处理相关的有效使用加密技术的规则，包括加密密钥管理。A.3.27安全开发生命周期应该建立和应用与PII处理相关的软件和系统安全开发的规则。A.3.28应用服务安全要求在开发或采购应用服务时，应识别、详述和审批与PII处理相关的信息安全要求。A.3.29安全系统架构和工程原则应建立、记录、保持与PII处理相关的安全系统工程的原则，并将其应用于任何信息系统开发活动。A.3.30外包开发组织应指导、监视和评审与外包的PII处理系统开发相关的活动。A.3.31测试信息应适当选择、保护和管理与PII处理相关的测试信息。（规范性附录）PII控制者和处理者实施指南PII控制者实施指南总则本条款中的增补内容为PII控制者提供了隐私信息管理体系指南。本条款中记录的实施指南与表A.1中列出的控制措施相关。收集和处理的条件目标按适用司法辖区的合法性依据，以及明确规定的和合法的目的，确定处理合法并形成文件。确定并记录目的控制组织应识别拟处理PII的特定目的并形成文件。实施指南组织应确保PII主体理解其PII拟被处理的目的。将此目的明确形成文件并与PII主体沟通是组织的责任。没有明确陈述的处理目的同意和选择不能适当给予。处理PII的目的（一个或多个）的文件应足够清晰和详细，要求提供给PII主体的信息应能用（见B.1.3.3）。这包括为获得同意所必需的信息（见B.1.2.4），以及策略和程序的记录（见B.1.2.9）.其他信息在部署云计算服务时，IS0/IEC19944中的分类法对于描述PII处理目的提供术语可能有帮助。识别合法性基础控制组织应针对已识别的PII处理目的，确定相关合法性依据并形成文件、遵守相关合法基础。实施指南一些司法辖区要求组织能够证实其在处理PII前其合法性已正确建立。处理PII的合法性依据可包括：PII主体的同意；履行合同；遵守法律义务；保护PII主体的重要利益；为公众利益而执行的任务；PII控制者的合法利益。组织应针对每一PII处理活动将此依据形成文件（见B.1.2.9）组织的合法权益可包括，例如：信息安全目标，应与隐私保护有关的对PII主体的义务取得平衡。每当根据PII的性质（例如健康信息）或相关PII主体（例如与儿童相关的PII）定义了特殊类别的PII时，组织应将这些类别的PII纳入其分类方案中。无论何时规定PII的特殊分类，无论是按PII的性质（如健康信息）或按PII主体的关注度（例如与儿童相关的PII），组织将在其分类方案中包含这些类别。这些类别中的PII分类可因不同司法辖区而不同，可因不同行业采用的监管制度不同而变化，因此组织需要了解适用于PII的分类得到执行。使用特殊分类的PII还可采用更为严格的控制。PII处理目的的变更和延伸可能要求升级和/或修订合法性依据。这还会要求获得PII主体的额外同意。确定何时以及如何获得同意控制组织应针对是否、何时和如何获得PII主体对处理PII的同意确定过程并形成文件，该过程应能够证实。实施指南除非有其他合法理由，否则处理PII可能需要获得同意。组织应明确何时需要获得同意以及获得同意的要求并形成文件。将处理目的与有关是否以及如何获得同意的信息相关联可能很有用。在一些司法辖区对于如何收集和记录同意有具体要求（如不与其他协议捆绑）。除此之外，特定类型的数据收集（例如用于科学研究）和特定类型的PII主体，如儿童，可能需要附加的要求。组织应考虑此类要求并将如何使同意满足这些要求的机制形成文件。获取并记录同意控制组织应按形成文件的过程获得和记录PII主体的同意。实施指南组织应获得和记录PII主体的同意，使用的方式应可按需求提供同意的详细信息（例如，同意的时间，PII主体的身份，以及同意的陈述）。在同意过程之前提供给PII主体的信息应遵循B.1.3.4的指南。同意应：自由给予；与具体处理目的关联；清晰明确无歧义。隐私影响评估 控制当策划新的PII处理或对现有PII处理进行变更时，组织应评估进行隐私影响评估的需求并在适当时实施。实施指南PII处理产生对PII主体的风险。这些风险应通过隐私影响评估予以评估。一些司法辖区规定了强制进行隐私影响评估的情形。评估准则可以包括对PII主体、大规模处理特殊类别的PII（如健康相关信息，种族或民族出身，政治观点，宗教或哲学信仰，工会会员资格，基因数据或生物特征数据）或大规模系统性监测公共区域产生法律影响的自动化决策。组织应确定完成隐私影响评估所必需的要素。这些可包括处理的PII的类型清单，何处存储PII，何处可转移PII。在这种情况下，数据流图和数据图也很有帮助（有关可以为隐私影响或其他风险评估提供信息输入的PII处理记录的详细信息，请参见B.1.2.9）。其他信息与PII处理相关的影响评估指南可见IS0/IEC29134。与PII处理者的合同 控制组织应与任何其使用的PII处理者签署书面合同，就确保他们与PII处理者的合同明确附件A（见表A.2）中适当控制的实施。实施指南组织和任何代表其处理PII的处理者之间的合同应考虑信息安全风险评估过程（见6.1.2）和由PII处理者处理的PII的范围，要求PII处理者实施附录A（见表A.2）规定的适当控制措施。默认情况下，应假定附录A（见表A.2）中规定的所有控制措施都相关。如果组织决定不要求PII处理者实施附件A（见表A.2）中某个控制措施，应说明删减的合理性（见6.1.3）。合同可对每一方的职责给予不同定义，但是，为了与本标准一致，应在形成文件的信息中考虑和包含所有的控制措施。PII联合控制者控制组织应与任何联合PII控制者确定处理PII（包括PII保护和安全要求）的各自角色和职责。实施指南PII处理的角色和职责应以透明的方式确定。这些角色和职责应记录在合同或任何类似的约束性文件中，其中包含联合处理PII的条款和条件。在一些司法辖区，此类协议称为数据共享协议。联合PII控制者协议可包括（该清单并非明确详尽的全部内容清单）：PII共享的目的/联合PII控制者关系；作为联合PII控制者关系一部分的组织（PII控制者）的身份；按照协议拟共享和/或转移和处理的PII类别；处理操作（例如转移、使用）的概述；各自角色和职责的描述；负责实施PII保护的技术和组织安全措施的职责；发生PII违规事件时的职责界定（例如，由谁通知、何时通知、相互通报）；PII的保留或处置条款；未遵守协议的责任；如何履行对PII主体的义务；如何向PII主体提供涵盖联合PII控制者之间协议要点的信息；PII主体如何获取其有权接收的其他信息；为PII主体提供的联络点。与处理PII相关的记录组织应确定并安全地维护必要的记录，以支持其处理PII的义务。实施指南维护PII处理记录信息的一种方法是编制一份组织执行PII处理活动的清单。此类清单可包括：处理类型；处理目的；PII类别和PII主体（如儿童）的描述；已经或将要向其披露PII的接收者的类别，包括第三方国家或国际组织接收者；技术和组织安全措施的一般描述；隐私影响评估报告。该清单应指定一个负责人，以确保其准确性和完整性。对于PII主体的义务目标确保向PII主体提供有关其PII处理的适当信息，并履行对PII主体与处理其PII相关的任何其他适用义务。确定并履行对于PlI主体的义务控制组织应确定并记录其对PII主体与处理其PII相关的法律法规和业务义务，并提供履行这些义务的方法。实施指南对于PII主体的义务和支持性方法因司法辖区而不同。组织应确保提供适当的手段，以可访问和及时的方式履行对PII主体的义务。应向PII主体提供明确的文件，说明履行对他们的义务的程度和方式，以及他们可以解决其请求的最新联络点。应以与用于收集PII和同意的方式类似的方式提供联系点（例如，如果通过电子邮件或网站收集PII，则联系点应通过电子邮件或网站提供，而不是电话或传真等替代方式）。确定PII主体所需的信息控制组织应确定并记录要提供给PII主体的有关其PII处理的信息和提供此类信息的时机。实施指南组织应确定何时将信息提供给PII主体（例如，在处理之前，在被请求后的特定时间等）以及拟提供信息类型的法律法规和/业务要求。根据要求，信息可以采用通知的形式。可提供给PII主体的信息的类型示例包括：关于处理目的的信息（见B.1.2.2）；PII控制者或其代表的联系方式；关于处理的合法性依据的信息（见B.1.2.3）；关于何处获取PII的信息，如果不能直接从PII主体获取；关于提供PII是否是法定或合同要求的信息，以及适当时，未提供PII可能产生的后果；B.1.3.2中确定的对PII主体的义务相关信息，以及PII主体如何从中受益，特别是关于访问、修改、更正、请求删除、接收其PII副本以及反对处理的信息；关于PII主体如何撤回同意的信息（见B.1.3.5）；关于PII转移的信息；关于PII接收者或接收者类别的信息；关于PII保留期限的信息；关于使用基于PII自动处理的自动化决策的信息；关于提出投诉的权利以及如何提出此类投诉的信息；关于提供信息的频率（例如，“即时”通知、组织定义的频率）的信息。关于提供信息的频率的信息（如“及时”通知、组织规定的频率等）。如果处理PII的目的变更或延伸，组织应提供更新后的信息。向PII主体提供信息控制关于识别PII控制者和对PII处理的描述，组织应向PII主体提供明确的和易于获取的信息。实施指南组织应以及时、简洁、完整、透明、易懂且易于获取的形式，使用适合目标受众的清晰明了的语言，向PII主体提供B.1.3.3中详细列出的信息。组织应使用适合目标受众的清晰明了的语言，以及时、简洁、完整、透明、易懂和易于访问的形式向PII主体提供B.1.3.3中详述的信息。适用时，该信息应在收集PII时提供。信息应永久可访问。注：通过提供预期处理的可视化概览，图标和图像可以对PII主体有所帮助。提供修改或撤回同意的机制控制组织应为PII主体提供修改或撤回同意的机制。实施指南组织应告知PII主体有关其可在任意时间撤销同意的权利（这可因司法辖区而不同），并提供操作的机制。用于撤销同意的机制取决于系统；可能时，该机制应与用来获得同意的机制一致。例如，如果同意是通过Email或网站获得的，撤销同意的机制应相同，而不是电话或传真这样的替代方案。修改同意可包括对PII的处理施加限制，包括限制PII控制者在有些情况下删除PII。一些司法辖区对PII主体何时以及如何修改或撤销同意有限制性要求。组织应按记录同意相似的方式记录任何撤销或变更同意的请求。任何同意的变更都应通过适当的系统传达给授权用户和相关第三方。组织应规定响应时间，并按规定的时间处理请求。其他信息当特定PII处理的同意撤销时，所有在撤销同意之前已执行的PII处理通常认为是适当的，但此类处理的结果不应再用于新的处理。例如，如果一个PII主体撤销其对于画像的同意，不应再使用或咨询其画像。提供反对PII处理的机制控制组织应为PII主体提供反对处理其PII的机制。实施指南一些司法管辖区赋予PII主体对其PII处理提出异议的权利。受此类司法管辖区法律或法规约束的组织应确保保留PII主体行使此权利的记录。组织应记录与PII主体对处理提出异议相关的法律和监管要求（例如，对出于直接营销目的处理PII提出的异议）。组织应向主体提供在这些情况下提出异议的能力的相关信息。提出异议的机制可能各不相同，但应与所提供的服务类型相一致（如，在线服务应在线提供此能力）。访问、纠正和/或擦除控制组织应实施策略、程序或机制已履行其对于PII主体访问、纠正和/或擦除其PII的义务。实施指南组织应实施相关策略、程序或机制，以便在PII主体提出请求时，能够使其在不无故拖延的情况下访问、纠正和/或擦除其PII。组织应规定响应时间，并按此时间处理请求。任何纠正或擦除应在系统中传达/或告知授权用户，并传递至已向其转移了PII的第三方（见B.1.3.8）。注：B.1.5.4中规定的控制所生成的成文信息可在此方面提供帮助。组织应实施策略、程序或机制，以便在PII主体对数据的准确性或更正存在争议时使用。这些策略、程序或机制应包括告知PII主体进行了哪些更改，以及无法进行更正的原因（如适用）。一些司辖区对于何时和如何PII主体可请求更正或擦除其PII有限制。组织应确定这些限制是否适用，并及时了解这些限制。PII控制者告知第三方的义务控制组织应将与其共享PII相关的任何修改，撤回或反对告知已与之共享PII的第三方，并实施适当的策略、程序或机制进行告知。实施指南组织应采取适当步骤，考虑到现有技术，将任何对共享的PII的同意修改、撤回或异议通知第三方。组织应采取适当的步骤，考虑可用的技术，将与共享PII相关的任何修改或撤回同意或反对告知已与之共享PII的第三方。法律要求可能适用。组织应确定和保持与第三方的积极沟通渠道。可将相关职责分配给负责其运行和维护的具体人员。在通知第三方时，组织应监视他们对收到信息的确认。由于对PII主体的义务而导致的变更可包括修改或撤销同意，请求更改、擦除或限制处理，或PII主体请求的对PII处理的异议。提供被处理PII副本控制组织应能够在PII主体请求时向其提供所处理的PII副本。实施指南组织应提供一份其所处理的PII副本，该副本应是结构化的、常用形式的、PII主体可访问的格式。一些司法管辖区定义了组织应以允许移植到PII主体或PII控制者接收方（通常是结构化、常用和机器可读）的格式提供所处理的PII副本的情况。组织应确保向一个PII主体提供的任何PII副本仅与该PII主体相关。如果请求的PII已根据保留和处理政策（如B.1.4.8所述）被删除，则PII控制者应告知PII主体其所请求的PII已被删除。当组织不再能够识别PII主体（如由于去标识化过程），组织不应仅为了实施该控制措施寻求（再）识别PII主体。然而，在一些司法辖区，合法请求可能要求向PII主体请求额外信息，以实现重新识别和随后的披露。技术可行时，按PII主体的请求从一个组织向另一个组织转移PII副本也是可能的。处理请求控制组织应定义处理和响应PII主体的合法请求的策略和程序并形成文件。实施指南合法请求可包括请求一份所处理的PII副本，或提出投诉。一些司法辖区允许组织在某些情形下收取一定费用（如过多或重复的请求）。请求应在适当的规定的响应时间内处理。一些司法辖区根据请求的复杂性和数量定义响应时间，以及有延迟时告知PII主体的要求。应在隐私策略中规定适当的响应时间。自动化决策控制组织应识别和说明由组织仅基于自动处理PII做出与PII主体相关的决策所产生的对PII主体的义务，包括法律义务。实施指南一些司法辖区针对仅给予自动化处理PII做出的决策对PII主体有重大影响的情况，规定了对PII主体的特定义务，例如通知存在自动化决策、允许PII主体对此类决策提出异议，或获得人为干预。注：在一些司法辖区，有些PII处理不可完全自动化。在这些司法辖区运营的组织应考虑遵守这些义务。隐私设计和默认隐私目标确保过程和系统的设计使得收集和处理（包括使用、披露、保留、传输和处置）仅限于识别的目的所必需。有限收集控制组织应将PII的收集限制在与识别的目的相关、适当和必要的最低限度。实施指南组织应仅收集与既定目的相称、相关且必要的PII（个人可识别信息）。这包括限制组织间接收集（例如，通过网页日志、系统日志）的PII数量。组织应将PII的收集限制在对于已识别的目的充分、相关和必要的程度。这包括限制组织间接收集（如通过网站日志、系统日志等）的PII数量。默认隐私指当存在任何PII的收集和处理选择时，每一项应默认关闭，且仅在PII主体明确选择时开启。有限处理控制组织应将PII的处理限制在对于已识别的目的充分、相关和必要的程度。实施指南限制PII的处理应通过信息安全和隐私方针（见5.2）以及采用和遵守的形成文件的程序来管理。对PII的处理，包括：披露；PII的存储期限；谁能够访问其PII。应默认限制在对于已识别的最小必要的程度。准确性和质量控制组织应确保在PII的整个生命周期内PII为达到处理目的所必需的准确、完整和最新，并形成文件。实施指南组织应实施策略、程序或机制，使其处理的PII的不准确性最小化。应具备策略、程序或机制响应PII不准确的情况。这些策略、程序或机制应包含在形成文件的信息中（如通过技术系统配置，等）并在PII整个生命周期中应用。其他信息有关PII处理生命周期的更多信息，请参见ISO/IEC29101:2018，6.2。PII最小化目标控制组织应定义数据最小化目标以及用于满足这些目标的机制（如去标识化），并形成文件。实施指南组织应确定特定PII以及收集和处理的PII数量相对于识别的目的如何受到限制。这可包括使用去标识化技术或其他最小化技术。已识别的目的（见B.1.2.2）可能要求处理尚未去标识化的PII，对此组织应能够描述此类处理。在其他情况下，已识别的目的不要求处理原始PII，且对于已去标识化的PII的处理对于已识别的目的可能已经足够。这种情况下，组织应定义PII需要关联到PII主体的程度并形成文件，以及设计的处理PII的机制和技术，使去标识化和/或最小化目标可实现。用于最小化PII的机制取决于处理类型和处理所用系统。组织应将用于实施数据最小化的任何机制（技术系统配置，等）形成文件。当处理去标识化数据对于目的足够时，组织应记录旨在及时实施组织设定的去标识化目标的任何机制（技术系统配置，等）。例如，移除与PII主体关联的属性可足以允许组织实现其识别的目的。在其他情况下，其他去标识化技术，例如泛化（e.g.取整）或随机化技术（例如噪声添加）可用于实现充分水平的去标识化。有关去标识化技术的更多信息，请参见ISO/IEC20889。关于云计算，ISO/IEC19444提供了数据识别限定符的定义，数据识别限定符可用于对数据识别PII主体或将PII主体与PII中的一组特征关联的程度进行分类。PII去标识化和处理结束时的删除控制组织应删除PII或将其呈现为不允许识别或重新识别PII主体的形式，只要原始PII不再需要用于识别的目的。实施指南当预计不会进行进一步处理PII时，组织应具有擦除PII的机制，或者，只要生成的去标识化数据不能合理地允许重新识别PII主体，就可以使用一些去标识化技术。临时文件控制控制组织应确保作为处理PII的结果创建的临时文件在文件规定的时限内按形成文件的程序得到处理（如擦除或销毁）。实施指南组织应进行定期检查，使不用的临时文件在所识别的时限内删除。其他信息信息系统可在其正常运行中创建临时文件。此类文件特定于系统或应用程序，但可以包括与数据库更新和其他应用程序软件的操作相关的文件系统回滚日志和临时文件。临时文件在相关信息处理任务完成后不再需要，但有些情况下不能删除。这些文件继续使用的时长并不总是很确定，不过“垃圾收集”程序应确定相关文件并确定自上次使用它们以来的时间。保留控制组织保留PII不应超过PII处理目的所需的时间。实施指南组织应考虑保留PII不超过必要的时间的要求，为其保留的信息开发和维护保存计划。此类计划应考虑法律法规和业务要求。当这些要求相互冲突时，需在适当的方案中进行业务决策（基于风险评估）。处置控制组织应有形成文件的策略、程序或机制处置PII。实施指南PII处置技术的选择取决于多种因素，处置技术的特性和结果（例如产生的物理介质的颗粒度或恢复电子介质上已经删除信息的能力）各不相同。选择适当处置技术时考虑的因素包括但不限于，拟处置的PII的性质和范围，是否有元数据关联PII，以及存储PII的物理介质的特性。PII传输控制控制组织应对通过数据传输网络传输（例如发送到另一个组织）的PII进行适当的控制，以确保数据到达其预期目的地。实施指南PII传输需要受控，通常是通过确保仅授权人员具有传输系统的访问权限，并遵从适当的过程（包括保留审计日志）以确保被传输的PII无受损并传输到正确的接收者。PII共享、转移和披露目标确定PII共享、向其他司法辖区或第三方传输和/或披露时是否遵从适用义务，并形成文件。识别跨司法辖区转移Pll的依据控制组织应识别在不同司法辖区传输PII的相关依据并形成文件。实施指南PII传输可能受法律和/或法规的约束，具体取决于数据要传输到的司法辖区或国际组织（以及数据的来源地）。组织应将此类要求作为传输依据予以遵守并记录。一些司法辖区可能要求制定监管机构评审信息传输协议。在此类司法辖区运营的组织应了解任何此类要求。注：当传输发生在特定司法辖区，适用法律法规对于发送者和接收者同样适用。可向其转移PII数据的国家和国际组织控制组织应规定PII可能被传输的国家和国际组织并形成文件。实施指南正常运行中可能向其传输PII的国家和国际组织的身份应对顾客可用。因使用分包PII处理产生的国家身份应包含在内。所包含的国家应与B.1.5.2相关联加以考虑。在正常运行之外，可能会出现应执法机构要求而进行的转移案件，其国家身份无法事先指定，或适用司法管辖区禁止以保护执法调查的机密性（见B.1.5.2、B.2.5.5和B.2.5.6）。PII转移记录控制组织应记录PII转移到第三方或从第三方转移，并确保与这些相关的合作，以支持未来与其对PII主体的义务相关的请求。实施指南记录可以包括从第三方转移已因PII控制者管理其义务而被修改的PII或转移给第三方以执行PII主体的合法请求，包括擦除PII的请求（例如在撤销同意后）。组织应定义这些记录保留期的策略。对于这些转移记录，组织应应用数据最小化原则，严格限于仅保存需要的信息。向第三方披露PlI的记录控制组织应记录PII向第三方的披露，包括披露了什么PII，披露给了谁，以及披露的时间。实施指南PII可在正常运行期间披露。这些披露应予以记录。任何增加的向第三方的披露，例如来自合法调查或外部审计的那些披露也应予以记录。记录应包括披露的来源和进行披露的授权的来源。PII处理者的实施指南总则本条款中的增补内容为PII处理者提供了隐私信息管理体系指南。本条款中记录的实施指南与表A.2中列出的控制项相关。收集和处理的条件目标根据适用的司法管辖区的合法性依据，并具有明确定义和合法的目的，确定PII处理的合法性并予以记录。顾客协议控制相关时，组织应确保处理PII的合同说明组织在协助客户履行义务方面的作用（考虑到处理的性质和组织可获得的信息）实施指南组织和顾客之间的合同应包含以下任何相关的内容，并取决于顾客的角色（PII控制者或PII处理者）（该清单并非明确详尽的全部内容清单）：设计隐私和默认隐私（见B.1.4和B.2.4）；实现安全处理；向监管机构报告涉及PII的违规事件；通知顾客和PII主体涉及PII的违规事件；进行隐私影响评估（PIA）；如果需要事先与相关PII保护机构协商，则PII处理者提供协助的保证。一些司法辖区要求合同包含处理的标的物和持续时间、处理的性质和目的、PII的类型和PII主体的类别。组织的目的控制组织应确保代表顾客处理的PII仅为顾客书面指令中阐述的目的处理。实施指南组织与顾客之间的合同应包含，但不限于，服务拟实现的目标和时间框架。为实现顾客的目的，可能存在技术原因，为什么组织适合确定处理PII的方法，与客户的一般说明一致，但没有客户的明确说明。例如，为了高效地利用网络或处理容量，可能根据一定的PII主体的特征分配特定的处理资源是必要的。组织应允许顾客验证其与目的规范和限制原则的符合性。这也确保了组织或任何其分包方没有为顾客书面指令表述的之外的目的处理PII。营销与广告用途控制组织不应在获得适当的PII主体同意之前将其按合同处理的PII用于市场营销和广告的目的。组织不应将提供此类同意作为获得服务的条件。实施指南PII处理者对顾客合同要求的符合性应形成文件，特别是策划市场营销和/或广告时。组织不应坚持在未公平获得PII主体明确同意的情况下包含营销和/或广告。注：该控制措施是8.2.2通用控制措施的附加措施，并不替代或超越B.2.2.3。侵权指令控制如果组织认为一项处理指令违反适用的法律和/法规，组织应告知顾客。实施指南组织验证指令是否违反法律法规的能力取决于技术环境、指令本身，以及组织与顾客之间的合同。顾客义务控制组织应向顾客提供适当的信息，使顾客能够证实其履行了义务。实施指南顾客需要的信息可以包括组织是否允许并有助于客户进行的审核或其他授权或客户同意的审核。与处理PII相关的记录控制组织应为代表顾客执行的PII处理确定和保持关于支持证实其义务的符合性的必要的记录（按适用合同中的规定）。实施指南一些司法辖区可能要求组织记录如下的信息：代表每一顾客所执行的处理的分类；向第三方或国际组织的PII转移；技术的和组织的安全措施的一般描述。对于PII主体的义务目标确保为PII主体提供了关于处理其PII的适当的信息，履行任何与处理其PII相关的对于PII主体的适用义务。履行对PII主体的义务控制控制组织应向顾客提供遵从其与PII主体相关的义务的方法。实施指南PII控制者的义务可由法律法规或合同规定。这些义务可包括客户利用组织的服务来履行这些义务的事项。例如，这可包括及时纠正或擦除PII。当顾客依赖组织的信息或技术方法以利于履行对PII主体的义务，相关信息或技术方法应在合同中予以规定。隐私设计和默认隐私目标确保过程和系统的设计使得PII的收集和处理（包括适用、披露、保留、传输和处置）限制在已识别的目的所必要的程度。临时文件控制控制组织应确保作为PII处理结果创建的临时文件按形成文件的程序在书面规定的时限内预计处置（如擦除或销毁）。实施指南组织应进行定期的验证，不用的临时文件在规定的时限内删除。其他信息信息系统可在其正常运行进程中创建临时文件。此类文件对系统或应用是特定的，但可能包含与数据库升级和其他应用软件运行关联的文档系统回滚日志和临时文件。临时文件在相关信息处理任务完成后不再需要，但有些情况下它们不能被删除。这些文件保持在用的时长不是总能确定的，但是一个“垃圾收集”程序应识别相关文件并确定自上次使用以来已有多长时间。归还、转移或处置PlI 控制组织应提供以安全方式归还、转移和/或处置PII的能力。应使其顾客可获得组织的策略。实施指南在有些时间点，PII可能需要以某种方式进行处置。这可能涉及将PII归还顾客、转移至另一个组织或PII控制者（例如，由于合并）、删除或销毁、去标识化或归档。归还传输和/或处置PII的能力应以安全的方式管理。组织应提供必要的保证，使顾客能够确保根据合同处理的PII（由组织及其任何分包商）在不再为顾客已明确的目的所需时，能够从存储的任何地方（包括用于备份和业务连续性的地方）被擦除。组织应针对PII处置开发和实施策略，并在顾客请求时使顾客可获得该策略。策略应涵盖合同终止后、PII处置前的PII保存期，以保护顾客免于因合同意外失效而丢失PII。注：本控制和指南在保留原则（见B.1.4.8）下也同样适用。II传输控制控制组织应对在数据传输网络中传输的PII实行适当的控制以确保数据到达预期的目的地。实施指南PII的传输需受控，通常通过确保只有经过授权的人员才能访问传输系统，并遵循适当的过程（包括保留审计数据）以确保PII无受损并传输到正确的接收者。传输控制要求可包含在PII处理者与顾客的合同中。若没有与传输相关的合同要求，组织也可在传输前征求客户的意见。PII共享、转移和披露目标确定PII共享、向其他司法辖区或第三方转移和/或披露是否符合使用义务，并形成文件。跨司法辖区转移PII的依据控制组织应及时告知顾客PII在司法管辖区之间传输的依据以及这方面的任何预期变更，以便顾客有能力反对此类变更或终止合同。实施指南PII在司法辖区之间转移可能受法律法规的约束，这取决于拟向其传输PII的司法辖区或组织（以及源自哪里）。作为传输的依据，组织应将此类要求形成文件。组织应告知顾客任何PII的转移，包括向以下相关方的转移：供方；其他相关方；其他国家或国际组织。发生变更时，组织应按商定的时间框架事先告知顾客，告知时顾客能够反对此类变更或终止合同。组织与顾客之间的合同可规定关于组织可不告知顾客自行实施变更的条款。在这些情况下，应设定限制条件（如组织可不告知顾客而变更供方，但不能将PII转移至其他国家）。在PII跨国转移时，如“范式合同条款”“约束性公司规则”或“隐私跨境规则”形式的协议，涉及的国家以及此类协议应用的场景应予以识别。可向其转移PlI的国家和国际组织控制组织应规定PII可能转移的国家和国际组织并形成文件。实施指南在正常运行中可能向哪些国家和国际组织传输个人可识别信息（PII）的情况应向客户公开。使用分包的PII处理服务时所涉及的国家也应包括在内。在考虑所包括的国家时，应参照B.2.5.2的要求。正常运行之外，有些情况下可能按执法机构要求转移数据，此时国家不能事先指定，或由于使用司法辖区为保护执法调查的保密性所禁止（见B.1.5.2、B.2.5.5和B.2.5.6）。向第三方披露PII的记录控制组织应记录向第三方进行的PII披露，包括：向谁、何时、披露了什么PII。实施指南PII可能在正常运行进程期间披露。这些披露应予以记录。任何对第三方的额外的披露，如由于合法调查或外部审计而产生的披露，也应予以记录。记录应包括披露的来源和进行披露的授权的来源。PII披露请求的通知控制组织应将任何具有法律约束力的PII披露请求通知客户。实施指南组织可能会收到具有法律约束力的披露PII的请求（如来自执法机构）。此时，组织应按照商定的程序（可包含在顾客合同中）在商定的时间框架内通知顾客任何此类请求。有些情况下，具有法律约束力的请求包含组织不可将事态通知任何人的要求（可能禁止披露的一个例子是根据刑法禁止，以保护执法调查的保密性）。具有法律约束力的PII披露控制组织应拒绝任何不具有法律约束力的PII披露请求，在进行任何PII披露之前咨询相应顾客，接受任何合同商定的相应顾客已授权的PII披露。实施指南与实施本控制措施相关的细节可包含在顾客合同中。此类请求可能源自多种来源，包括法庭、特别法庭、行政机构。这可能在任何司法辖区发生。披露用于处理PII的分包方控制组织应在任何使用分包方处理PII之前向顾客披露。实施指南关于使用分包方处理PII的条款应包含在顾客合同中。所披露的信息应涵盖使用分包方的事实和相关分包方的名称。披露的信息还应包括分包方可转移数据的国家和国际组织（见B.2.5.3），以及分包方为履行或超越组织义务所必需使用的方法（见B.2.5.8）。当对公众披露的分包方信息被评估以增加超越可接受限度的风险，应按不泄露协议和/或按顾客请求进行披露。顾客应了解到上述信息是可获得的。这并不涉及PII可转移的国家清单。该清单应在所有情况下向顾客披露，采取的方式应允许他们告知适当的PII主体。使用分包方处理PII控制组织应仅按顾客合同使用分包方处理PII。实施指南当组织将PII处理分包部分或全部给另一个组织，在分包方处理PII之前要求获得顾客的书面授权。这可以是以顾客合同中适当条款的形式，或可以是一份特定的“一次性”协议。组织应与任何用来代表其处理PII的分包方签署书面合同，且应确保其与分包方的合同明确附录A（见表A.2）中适用控制措施的实施。考虑信息安全风险评估过程（见6.1.2）和由PII处理者处理的PII的范围，组织与任何代表其处理PII的分包方之间的合同应要求分包方实施附录B中规定的适用控制措施。默认情况下，应假定附录B中规定的所有控制措施都相关。如果组织决定不要求分包方实施某个附录A（见表A.2）中的控制措施，组织应就除外给出合理性说明。合同定义的各方职责可不相同，为与本标准一致，所有的控制措施应考虑包含在形成文件的信息中。变更处理PII的分包方控制在具有通用的书面授权时，组织就告知顾客有关添加或更换分包方以处理PII的任何预期更改，从而使客户有机会反对此类更改。实施指南当组织变更其分包部分或全部PII处理的分包方组织时，在使用新的分包方处理PII之前，要求得到顾客的书面授权。这可以是顾客合同中的适当条款，或可以是特定的“一次性”协议。PII控制者和处理者的实施指南目标确保PII息处理的安全性。总则本条款的增补内容构成了针对PII控制者和处理者的隐私信息管理体系指南。本条款中记录的实施指南与表A.3中列出的控制相关。除非表A.3中的特定条款另有规定，或由组织根据适用的司法管辖区确定，否则对PII控制者和处理者适用相同的指南。信息安全策略控制应规定、与PII处理相关的信息安全策略，由管理层批准、发布并传达给相关人员和相关方并获得其认可，同时应按策划间隔和在发生重大变化时进行评审。实施指南无论是分别制定隐私策略，或通过增强信息安全策略，组织应生成一份关于支持并承诺实现适用PII保护法律法规要求、符合组织与其伙伴、分包方及其适用的第三方（顾客、供方，等）的合同条款的符合性的说明，其中应明确界定各方的责任。任何处理PII的组织，无论其是PII控制者或PII处理者，应在开发和维护信息安全策略时考虑适用的PII保护法律法规。信息安全角色与职责控制应根据组织需求规定并分配与PII处理相关的信息安全角色与职责。实施指南组织应为顾客就处理PII事宜指定一个联络点。如组织是PII控制者，为PII主体就处理其PII事宜指定一个联络点（参见B.1.3.4）。组织应指派一名或多名人员负责开发、实施、维护和监视组织范围的治理和隐私方案，以确保符合所有有关PII处理的适用法律法规要求。适当时，该负责人应：保持独立性立并直接向组织适当层级的管理层报告，以确保有效管理隐私风险；参与管理所有与PII处理相关的事项；是数据保护法律法规和实践方面的专家；担当监管机构的联络点；向组织的最高管理层和员工通报其有关PII处理的义务；就组织进行的隐私影响评估提供建议。注：在有些司法辖区，该人员称之为数据保护官，当要求配备这样的职位时，同时规定其职位角色。该职位可由员工担任，也可外包。信息分类控制应根据组织的信息安全需求，考虑PII，基于保密性、完整性、可用性和相关方要求对信息进行分类。实施指南组织的信息分类方案应明确将PII作为其实施方案的一部分。在整体分类方案中考虑PII是理解组织处理哪些PII（例如类型、特殊类别）、这些PII存储在哪里以及它可以通过哪些系统流动的关键。信息标记控制应根据组织采用的信息分类方案，制定并实施一套虑PII的适