《ISO IEC 29100-2024信息技术-安全技术-隐私框架》专业解读与应用实践指导材料（雷泽佳编制-2024）-1-114

《ISO/IEC29100-2024信息技术-安全技术-隐私框架1《ISO/IEC29100-2024信息技术-安全技术-隐私框架》专业解读与应用指导材料雷泽佳编制-2024A0《ISO/IEC29100-2024信息技术-安全技术-隐私框架 3 102规范性引用文件 113术语和定义 124缩略语 745隐私框架基本要素 745.1隐私框架概述 745.2参与者与角色 775.2.1总则 775.2.2PII主体 5.2.3PII控制者 835.2.4PII处理者 885.2.5第三方 895.3相互作用 925.4识别PII 5.4.1总则 1045.4.2标识符 1065.4.3其他区别性特征 1115.4.4与PII主体相关联的信息 1135.4.5假名数据 1155.4.6元数据 1205.4.7非主动提供的个人信息 1225.4.8个人敏感信息 1245.5隐私保护要求 1305.5.1总则 1305.5.2法律和监管因素 1405.5.3合同因素 1445.5.4业务因素 1475.5.5其他因素 1505.6隐私方针 1555.7隐私控制 1596本标准的隐私原则 1666.1隐私原则概述 1666.2同意和选择 1706.3目的合法性与规范性 1786.4收集限制 1806.5数据最小化 1846.6使用、保留和披露限制 1896.7准确性和质量 1936.8公开性、透明度和通知 1996.9个人参与和访问 2066.10问责制 2106.11信息安全 2206.12隐私合规 228附录A（资料性）ISO/IEC29100概念与ISO/IEC27000概念的对应关系 232参考文献 233本标准为信息和通信技术（ICT）系统中个人可识别信息（PII）的保护提供了一个高级框架。它具有通用性，将组织、技术和程序方面纳入一个整体的隐私框架中。本隐私框架旨在通过以下方式帮助组织规定其在ICT环境中与PII相关的隐私保护要求：——规定通用的隐私术语；——定义处理PII的参与者及其角色；——描述隐私保护要求；——引用已知的隐私原则。由于处理PII的信息和通信技术数量不断增加，拥有为PII保护提供共同理解的国际信息安全标准至关重要。本标准旨在通过增加与PII处理相关的重点来完善现有的安全标准。PII的商业使用和价值不断增加，跨司法管辖区共享PII，以及ICT系统的日益复杂性，都可能使组织难以确保隐私并遵守各种适用的法律。隐私相关方可以通过妥善处理隐私事务和避免PII滥用的情况来防止不确定性和不信任的产生。使用本标准将：——有助于设计、实施、运营和维护处理并保护PII的ICT系统；——激发创新解决方案，以在ICT系统内实现PII的保护；——通过采用最佳实践来改进组织的隐私计划。本标准中提供的隐私框架可以作为其他隐私标准化倡议的基础，例如用于：——技术参考架构；——特定隐私技术的实施和使用以及整体隐私管理；——外包数据处理的隐私控制；——隐私风险评估；——特定的工程规范。(1)个人可识别信息（PII）保护的高级框架；(a)ISO/IEC29100的概述与定位；——ISO/IEC29100作为信息和通信技术（ICT）系统中PII保护的高级框架，为组织在隐私保护领域提供了全面而系统的指导。该框架不仅关注技术层面的保护措施，还将组织管理和程序执行等方面纳入其中，形成了一个综合性的隐私保护体系。(b)框架的通用性与整合性；——通用性：ISO/IEC29100框架具有广泛的适用性，不局限于特定的行业、领域或技术环境。它提供了一套通用的隐私保护原则和方法，适用于各种类型和规模的组织，帮助它们在处理PII时确保隐私的安全和合规性；——整合性：该框架将组织、技术和程序三个方面紧密地结合在一起，形成了一个不可分割的整体。在组织层面，它强调了隐私保护政策、责任分配和内部控制的重要性；在技术层面，它提供了数据加密、访问控制和安全审核等具体的技术措施；在程序层面，它则关注隐私风险评估、合规审核和应急响应等流程的制定和执行。(c)框架的核心价值与意义——提升隐私保护水平：通过实施ISO/IEC29100框架，组织能够系统地识别和评估隐私风险，采取有效的保护措施，从而显著提升PII的保护水平，减少隐私泄露和滥用的风险；——增强合规性：框架与全球多个国家和地区的隐私保护法律法规相契合，为组织提供了明确的合规指导。遵循该框架，有助于组织满足法律法规要求，避免合规风险；——促进业务发展与信任建立：强大的隐私保护能力不仅是对用户权益的尊重，也是组织赢得用户信任和忠诚的关键因素。通过实施ISO/IEC29100框架，组织能够展示其在隐私保护方面的承诺和努力，从而增强用户信心，促进业务的持续发展。(2)ISO/IEC29100隐私框架的功能与目标：ISO/IEC29100隐私框架旨在通过以下方式帮助组织规定其在ICT环境中与PII相关的隐私保护要求：(a)规定通用的隐私术语；——术语标准化：框架首先明确了隐私保护领域中的一系列通用术语，如PII、隐私风险、隐私控制措施等。这些术语的标准化有助于组织内部及与外部相关方在隐私保护方面的沟通与理解，确保各方对隐私保护的要求和措施有共同的认识；——术语解释与应用：对每个术语都给出了详细的解释和应用场景，帮助组织在实际操作中准确理解和运用这些术语，从而更有效地实施隐私保护措施。(b)定义处理PII的参与者及其角色；——参与者识别：框架明确指出了在处理PII过程中涉及的所有参与者，包括数据主体、数据控制者、数据处理者等。这种明确的参与者识别有助于组织清晰地界定各方的责任和义务；——角色与职责：对每个参与者都详细定义了其角色和职责，确保每个参与者都明确自己在隐私保护中的定位和任务，从而形成一个协同工作的隐私保护体系。(c)描述隐私保护要求；——全面覆盖：框架详细描述了隐私保护的具体要求，涵盖了PII的收集、存储、处理、传输、披露和销毁等全生命周期。这些要求确保了PII在处理过程中的每个环节都得到充分的保护；——操作指导：提供了具体的操作指导和方法，帮助组织将隐私保护要求转化为实际的操作流程和控制措施，从而确保隐私保护的有效实施。(d)引用已知的隐私原则。——原则整合：框架集成了国际上广泛认可的隐私原则，如最小化原则、透明性原则、合法性原则等。这些原则为组织的隐私保护工作提供了基本的遵循和指导；——原则应用：通过引用和解释这些原则，框架帮助组织理解如何将它们应用于实际的PII处理活动中，从而确保隐私保护工作的合规性和有效性。(3)完善国际信息安全标准，强化PII保护；(a)PII处理数量激增的背景；——随着信息技术的飞速发展和广泛应用，处理和存储个人可识别信息（PII）的信息和通信技术（ICT）数量正以前所未有的速度增加。这一趋势不仅带来了前所未有的便利，也引发了人们对隐私保护的深切关注。PII的泄露、滥用或不当处理可能对个人权益造成严重侵害，因此，确保PII的安全和合规处理成为一个亟待解决的问题。(b)国际信息安全标准的重要性；——在全球化背景下，拥有一个为PII保护提供共同理解的国际信息安全标准显得尤为重要。这样的标准不仅能够为各国组织提供统一的隐私保护指导，还能促进国际间的合作与交流，共同应对隐私保护挑战。ISO/IEC29100正是在这一背景下应运而生，它旨在通过增加与PII处理相关的重点，来完善现有的国际信息安全标准体系。(c)ISO/IEC29100的目标与定位；——强化PII保护：ISO/IEC29100的核心目标是强化PII的保护，确保在处理PII的过程中，个人隐私得到充分的尊重和保障。它提供了一套全面的隐私保护框架，涵盖了PII的收集、存储、处理、传输和销毁等全生命周期；——完善安全标准：该框架旨在通过增加与PII处理相关的重点，来补充和完善现有的国际信息安全标准。它不仅关注技术层面的安全措施，还涉及组织管理、程序执行等多个方面，形成了一个综合性的隐私保护体系；——提供共同理解：ISO/IEC29100致力于为全球范围内的组织提供一个共同的隐私保护理解框架。通过这一框架，不同国家和地区的组织能够更容易地理解和实施隐私保护措施，促进国际间的合作与互信。(d)ISO/IEC29100的意义与价值——提升隐私保护水平：实施ISO/IEC29100框架有助于组织系统地识别和评估隐私风险，采取有效的保护措施，从而显著提升PII的保护水平；——增强合规性：框架与全球多个国家和地区的隐私保护法律法规相契合，为组织提供了明确的合规指导，有助于组织满足法律法规要求，避免合规风险；——促进国际合作与交流：作为一个国际性的隐私保护标准，ISO/IEC29100促进了各国组织在隐私保护方面的合作与交流，共同应对全球化的隐私挑战。(4)应对PII挑战，确保隐私与合规；(a)PII商业使用与价值增加带来的挑战；——随着信息技术的飞速发展，PII的商业使用和价值正在不断增加。企业为了提供更个性化的服务、优化营销策略、提升用户体验，往往需要收集、处理和分析大量的PII。然而，这种商业使用也带来了前所未有的隐私挑战。PII的泄露、滥用或不当处理不仅可能损害个人权益，还可能引发严重的法律后果。(b)跨司法管辖区共享PII的复杂性；——在全球化背景下，跨司法管辖区共享PII已成为常态。然而，不同国家和地区对于隐私保护的法律要求和标准存在差异，这使得组织在共享PII时面临复杂的合规挑战。如何确保在不同法律体系下都能有效保护PII，成为组织必须面对的问题。(c)ICT系统日益复杂性的隐私风险；——随着信息和通信技术（ICT）的不断进步，ICT系统日益复杂。这种复杂性不仅增加了系统被攻击的风险，也使得隐私保护措施的实施和监控变得更加困难。组织需要投入更多的资源和精力来确保ICT系统的安全性，防止PII的泄露和滥用。(d)隐私相关方的责任与使命；——面对上述挑战，隐私相关方（包括数据控制者、数据处理者、数据主体等）承担着重要的责任与使命。他们需要通过妥善处理隐私事务，确保PII的合法、合规使用，避免PII的滥用和泄露。这不仅有助于维护个人的隐私权益，还能增强公众对组织的信任，促进业务的可持续发展。(e)ISO/IEC29100-2024隐私框架的应对之策；为了应对上述挑战，ISO/IEC29100-2024隐私框架提供了全面的指导。该框架旨在帮助组织：——建立隐私保护体系：通过明确隐私保护的目标、原则和要求，为组织提供一套系统的隐私保护体——识别与评估隐私风险：提供方法和工具，帮助组织识别ICT系统中的隐私风险，并进行有效的评估和管理；——实施隐私控制措施：根据风险评估结果，制定并实施相应的隐私控制措施，确保PII的安全和合规处理；——监控与改进：建立监控机制，定期对隐私保护工作的成效进行评估，并根据评估结果进行改进和优化。(f)防止不确定性和不信任的产生。——通过妥善处理隐私事务和避免PII滥用的情况，隐私相关方可以有效防止不确定性和不信任的产生。这不仅有助于维护组织的声誉和信誉，还能增强公众对组织的信任度，为组织的长期发展奠定坚实的基础。(5)ISO/IEC29100-2024隐私框架的全方位价值。使用ISO/IEC29100将：(a)助力ICT系统的全生命周期管理：有助于设计、实施、运营和维护处理并保护PII的ICT系统；——设计阶段：通过隐私影响评估（PIA）和风险分析，确保系统在设计之初就融入隐私保护原则，避免后续因设计缺陷导致的隐私泄露风险；——实施阶段：提供具体的实施指南和最佳实践，帮助组织在部署ICT系统时，确保隐私控制措施得到有效执行；——运营阶段：强调持续的监控和审核，确保系统运营过程中隐私保护的持续有效性，及时发现并纠正潜在问题；——维护阶段：指导组织如何进行系统升级、补丁管理、数据迁移等维护活动，确保隐私保护措施的持续更新和优化。(b)激发创新解决方案，以在ICT系统内实现PII的保护；ISO/IEC29100鼓励组织在保护PII的同时，积极探索和创新技术解决方案。通过框架的引导，组织可以更加明确隐私保护的目标和要求，从而在设计和开发新技术时，将隐私保护作为核心考量因素，实现技术创新与隐私保护的完美融合。——隐私增强技术：如差分隐私、联邦学习等，这些技术能够在不暴露个人隐私的前提下，实现数据的共享和分析；——匿名化和伪名化技术：通过去除或替换数据中的个人标识信息，降低数据泄露的风险，同时保留数据的分析和挖掘价值；——自动化隐私管理工具：利用人工智能和机器学习技术，自动化识别和处理隐私风险，提高隐私保护的效率和准确性。(c)通过采用最佳实践来改进组织的隐私计划。ISO/IEC29100框架汇聚了全球范围内的隐私保护最佳实践，为组织提供了宝贵的参考和借鉴。通过采纳这些最佳实践，组织可以更加系统地规划和实施隐私保护计划，提升整体的隐私保护水平。——隐私政策与声明的制定：明确组织的隐私保护原则、措施和责任，增强数据主体的信任。——隐私培训与教育：提高员工对隐私保护的认识和重视程度，确保他们在日常工作中能够自觉遵守隐私规定。——隐私审核与合规性检查：定期对组织的隐私保护工作进行审核和检查，确保各项措施得到有效执行，并及时发现和纠正问题。——与相关方的沟通与合作：与数据主体、监管机构、合作伙伴等保持密切沟通，共同推动隐私保护工作的持续改进和优化。(6)ISO/IEC29100-2024隐私框架的广泛适用性与基础作用：ISO/IEC29100中提供的隐私框架可以作为其他隐私标准化倡议的基础，例如用于：(a)技术参考架构的基础——建立隐私保护的技术蓝图；——ISO/IEC29100框架为技术参考架构的构建提供了关键的隐私保护要素和原则。在设计和实施技术参考架构时，组织可以依据该框架，明确隐私保护的目标、要求和控制措施，确保技术架构在满足业务需求的同时，也符合隐私保护的标准和最佳实践。这有助于构建既高效又安全的ICT系统，为组织的隐私保护工作奠定坚实的技术基础。(b)隐私技术实施与管理的指导——确保隐私技术的有效应用；——框架中详细阐述了特定隐私技术的实施和使用原则，以及整体隐私管理的策略和方法。这包括加密技术、匿名化技术、数据脱敏技术、访问控制技术等隐私保护技术的选择、配置和管理。组织可以依据这些指导，确保隐私技术在ICT系统中的有效应用，提升系统的隐私保护能力。(c)外包数据处理的隐私控制——保障外包过程中的隐私安全；——随着业务的发展，组织越来越倾向于将数据处理工作外包给专业的第三方服务商。然而，外包过程中如何确保隐私数据的安全成为一个亟待解决的问题。ISO/IEC29100框架为外包数据处理的隐私控制提供了明确的指导和要求，包括合同签订、数据交接、处理过程监控、数据返回和销毁等各个环节的隐私保护措施。这有助于组织在选择和管理外包服务商时，确保隐私数据的安全和合规性。(d)隐私风险评估的标准化工具——科学评估隐私风险，制定应对措施；——隐私风险评估是组织识别、分析和应对隐私风险的重要步骤。ISO/IEC29100框架提供了隐私风险评估的标准化方法和工具，帮助组织系统地识别ICT系统中的隐私风险点，评估风险的可能性和影响程度，并据此制定相应的风险应对措施。这有助于组织提高隐私风险管理的科学性和有效性，降低隐私泄露的风险。(e)特定工程规范的制定依据——确保工程规范符合隐私保护要求。——在特定的工程项目中，如软件开发、系统集成、数据迁移等，制定符合隐私保护要求的工程规范是至关重要的。ISO/IEC29100框架为这些工程规范的制定提供了明确的依据和指导，确保工程项目在实施过程中能够充分考虑隐私保护的需求，遵循隐私保护的原则和标准。这有助于提升工程项目的隐私保护水平，降低因隐私泄露而引发的风险和损失。本标准提供了一个隐私框架，该框架：——规定了通用的隐私术语；——定义了处理PII的参考者及其角色；——描述了隐私保护方面的考虑因素；——提供了信息技术领域已知隐私原则的参考。本标准适用于在需要隐私控制以处理PII的情况下，参与规定、采购、建立、设计、开发、测试、维护、管理和运营信息和通信技术系统或服务的自然人及组织。(1)ISO/IEC29100标准提供了一个隐私框架，该框架：——规定了通用的隐私术语：ISO/IEC29100标准首先确立了一套通用的隐私术语，如“个人可识别信息（PII）”“匿名化”“隐私影响评估”等，以确保在隐私保护领域的沟通和理解的一致性；——定义了处理PII的参考者及其角色；标准明确了处理PII的参考者，包括PII控制者、PII处理者等，并详细描述了这些角色的责任和义务。例如，PII控制者负责决定PII的处理目的和方式，而PII处理者则代表控制者处理PII；——描述了隐私保护方面的考虑因素；标准详细阐述了隐私保护方面的多个考虑因素，包括PII的收集、处理、使用、保留、披露和传输等各个环节的安全性和合规性要求。同时，还强调了跨司法管辖区共享PII时的法律合规性和风险管理；——提供了信息技术领域已知隐私原则的参考：ISO/IEC29100标准提供了信息技术领域已知隐私原则的参考，这些原则包括同意和选择、目的合法性和规范性、收集限制、数据最小化、使用限制、准确性和质量、公开性、透明度和通知、个人参与和访问、问责制（担责）、信息安全和隐私合规性等。这些原则为组织制定隐私政策和实践提供了指导。(2)ISO/IEC29100标准的适用范围与适用对象。(a)自然人及组织：标准适用于所有参与ICT系统或服务相关活动的自然人及组织。这包括但不限于企业、政府机构、非营利组织、个人开发者、服务提供商等。(b)可以应用于信息和通信技术系统或服务的全生命周期，包括规定、采购、建立、设计、开发、测试、维护、管理和运营等各个阶段。具体应用方式如下：——规定阶段：在制定系统或服务的规范和要求时，应明确隐私保护的需求和原则，确保后续阶段能够遵循；——采购阶段：在选择供方和服务提供商时，应评估其隐私保护能力和合规性，确保所采购的产品或服务符合隐私保护要求；——建立阶段：在系统或服务的建立过程中，应建立相应的隐私政策和程序，明确隐私保护的责任和措施；——设计阶段：在设计系统或服务的架构和功能时，应考虑隐私保护的需求，采用适当的技术和设计模式来保护PII；——开发阶段：在开发过程中，应实施隐私保护的技术措施，如加密、匿名化等，并确保代码和数据的隐私保护；——测试阶段：在测试阶段，应对系统或服务的隐私保护功能进行测试和验证，确保其符合隐私保护要求；——维护阶段：在系统或服务的运营和维护过程中，应定期审查和更新隐私政策和程序，确保其有效性和合规性；——管理和运营阶段：2规范性引用文件无规范性引用文件。2规范性引用文件3术语和定义本标准采用以下术语和定义。ISO和IEC设有用于标准化的术语数据库，地址如下：——ISO在线浏览平台：/obp——IEC电力维基百科：/3.1匿名anonymity不允许直接或间接识别PII主体（3.9）的信息特性。3术语和定义3.1匿名不允许直接或间接识别PII主体的信息特性。(1)定义与核心要求；——匿名指一种信息状态，即信息中的PII已被处理，使得无法再通过该信息直接或间接地识别出具体的个人；——匿名处理的核心要求是消除或改变信息中的识别元素，使得即使信息被泄露或不当使用，也无法将信息与具体的个人联系起来。(2)直接识别特性的匿名处理；(e)直接识别特性：指通过信息中的某些特征能够直接确定信息主体的身份，通常具有高度的唯一性和指向性，能够直接关联到特定的个人。这些特性包括但不限于：l姓名：包括全名、部分姓名（如姓氏、名字）、昵称、别名等，这些都能直接指向具体的个人；l唯一标识符：如身份证号、护照号、驾驶证号、社会保障号、税号、银行账户号、信用卡号等，这些号码是独一无二的，能够直接识别个人；l联系方式：包括电话号码（固定电话、移动电话）、电子邮件地址、即时通讯账号（如微信、QQ）、传真号码、邮政地址、家庭住址等，这些信息可以直接用于联系到个人；l生物识别信息：如指纹、面部识别特征、虹膜扫描、声纹、DNA信息等，这些信息具有高度的唯一性和不可复制性，能够直接识别个人。(f)匿名处理要求：对于直接识别特性，匿名处理必须确保这些信息被完全移除、替换或加密，以使得它们无法再被用于识别个人身份。(3)间接识别特性的匿名处理；(a)间接识别特性：那些单独使用时无法直接识别个人身份，但与其他信息结合后可能推断出个人身份的信息。这些特性可能包括：l地理位置数据：如IP地址、GPS坐标或Wi-Fi接入点信息，这些数据虽然不直接包含个人姓名或身份证号，但结合时间戳、活动模式等信息可能推断出个人身份；l设备标识符：如MAC地址、手机IMEI号或浏览器Cookie，这些标识符在单独使用时可能无法识别个人，但与其他数据（如浏览历史、购买记录）关联后可能揭示个人身份；l网络行为数据：包括浏览历史、搜索记录、点击流数据等，这些数据记录了个人在网络上的活动轨迹，结合其他信息可能推断出个人兴趣、习惯甚至身份；l交易记录：如购买历史、支付信息、信用卡交易记录等，这些数据虽然不包含直接的个人身份信息，但通过分析购买模式、交易时间地点等可能识别出个人身份；l社交媒体活动：如点赞、评论、分享等互动行为，以及社交媒体上的个人资料（如头像、昵称、关注列表等），这些信息在单独使用时可能无法直接识别个人，但与其他数据结合后可能构成对个人身份的推断；l元数据：如文件创建时间、修改时间、文件大小等，这些元数据在单独使用时可能无法识别个人身份，但与其他数据（如文件内容、文件路径）结合后可能提供关于个人活动的线索。(b)匿名处理要求：对于间接识别特性，匿名处理需要更加细致和谨慎。可能需要采取数据聚合、数据脱敏、数据泛化等技术手段，以降低或消除通过这些信息推断出个人身份的可能性。——数据脱敏：对PII进行脱敏处理，如替换、加密、模糊化等，以消除信息的识别性；——数据聚合：将多个个体的数据聚合在一起，形成统计或汇总数据，从而降低单个个体被识别的风——数据匿名化技术：采用专门的匿名化技术，如k－匿名、l－多样性等，确保数据在保留一定有用性的同时，无法被还原到具体个人。——匿名处理并不总是完全可行的，特别是在需要保留数据一定识别性的情况下（如医疗研究、市场分析等）。在这种情况下，应寻求其他隐私保护措施（如加密、访问控制等）的补充；——匿名处理后的数据仍可能受到重新识别技术的挑战，因此应持续关注相关技术的发展动态，并及时调整匿名处理策略。 3.2匿名化anonymization对PII(3.7)进行不可逆转的更改，使PII控制者（3.9）无法再直接或间接地识别PII的过程。3.2匿名化对PII进行不可逆转的更改，使PII控制者无法再直接或间接地识别PII的过程。(a)匿名化定义和重要性；——匿名化是对PII进行不可逆转的更改，使PII控制者无法再直接或间接地识别PII主体的过程。这种更改是永久性的，意味着一旦PII被匿名化，就无法再恢复其原始的可识别状态；——匿名化过程是隐私信息管理中至关重要的一环，因为它能够显著降低PII泄露的风险，保护个人隐私权益。通过匿名化，即使数据被非法获取，也无法直接关联到具体的个人，从而有效遵守隐私法规，维护用户信任，并保护组织的声誉。(b)匿名化过程详解；——识别PII：明确哪些信息是PII，即那些能够直接或间接识别个人身份的信息；——数据清洗：在匿名化之前，通常需要对数据进行清洗，以去除任何可能直接识别个人的敏感信息；——不可逆转的更改：这是匿名化的核心步骤，涉及对PII进行一系列处理，使其无法再被识别。这些处理可能包括：l加密：虽然加密可以保护数据的机密性，但在某些情况下，加密后的数据仍可能通过解密或其他手段被识别。因此，对于匿名化而言，加密通常不是首选方法；l假名化：通过生成新的字符或标识符来替代原PII，但这些新的标识符通常与原始数据保持某种可追踪的关联，因此可能不完全符合匿名化的要求；l置换：用随机生成的标识符或伪名替换原始的PII，如使用随机字符串替换用户的真实姓名。这种方法适用于需要完全隐藏原始PII但仍需进行数据关联或分析的场景；l泛化：将数据替换为更广泛的类别或范围，以减少数据的识别度。例如，将具体的出生日期替换为年龄段；l扰动：在数据中引入随机噪声或误差，以降低数据的准确性，同时保持数据的统计特性；l删除：直接删除PII中的敏感字段，使数据无法再被识别。这种方法适用于那些不需要保留任何原始PII特征的场景。——验证匿名化效果：完成匿名化操作后，需要对处理后的数据进行验证，确保其无法再被直接或间接地识别出具体的PII主体。这通常涉及使用统计方法和机器学习技术来评估数据的匿名化程度。(c)匿名化在隐私保护中的作用；——匿名化在隐私保护中发挥着关键作用，它能够帮助组织在收集、存储、使用和共享PII时遵守相关的隐私法规和标准。通过匿名化，组织可以在保护个人隐私的同时，充分利用数据进行分析和决策支持。(d)实施匿名化的挑战与注意事项；——技术挑战：匿名化过程需要采用先进的技术手段来确保数据的不可识别性，同时保持数据的统计特性和可用性；——数据可用性：匿名化可能会降低数据的可用性，因为某些信息被删除或替换后，可能无法再用于原始目的。因此，需要在隐私保护和数据可用性之间找到平衡点；——重新识别风险：尽管进行了匿名化处理，但在某些情况下，仍有可能通过其他信息或技术手段重新识别出PII主体。因此，需要定期评估并更新匿名化策略，以应对新的识别风险。——合规性：在实施匿名化时，需要确保符合相关的隐私法规和标准要求。这包括了解并遵守特定行业或地区的隐私保护规定，以及确保匿名化过程符合法律要求。(e)匿名化后数据的使用和共享需要注意以下几点：——限制使用目的：匿名化后的数据应仅用于事先明确的目的，并避免将其用于其他未经授权的目的；——确保数据安全：在存储、传输和处理匿名化数据时，需要采取适当的安全措施，以防止数据被非法访问或泄露；——避免重新识别：需要定期评估匿名化数据的安全性，确保没有新的技术手段或信息能够重新识别出具体的PII主体；——合规性审查：在共享匿名化数据时，需要确保符合相关的隐私法规和标准要求，并与其他方签订适当的隐私保护协议；——用户告知与同意：在收集和共享匿名化数据时，应告知用户相关数3.3匿名化数据anonymizeddata经PII（3.7）匿名化（3.2）过程的输出而产生的数据。3.3匿名化数据经PII匿名化过程的输出而产生的数据。(a)匿名化数据的定义；——匿名化数据：指经过PII匿名化过程处理后的数据，这些数据无法识别特定自然人且不能复原。这一过程旨在移除或替换数据中的个人识别特征，使得数据无法再直接或间接地关联到具体的个人，从而保护个人隐私；——不可逆性：匿名化过程应是不可逆的，即处理后的数据无法再被还原到原始状态，从而确保个人隐私的持久保护；——匿名化数据重要性：匿名化数据具有至关重要的地位，因为它能够在保护个人隐私的同时，允许组织对大量数据进行分析、共享和存储，而不会违反隐私法规或侵犯个人权益。通过匿名化处理，组织可以确保数据在不被滥用或泄露的情况下，发挥其最大的价值。(b)匿名化数据的原则；——不可逆性：匿名化过程应确保数据无法复原到其原始状态，即无法重新识别出特定个人；——无法识别性：匿名化后的数据应无法直接或间接地链接到任何特定个人，即使在结合其他信息的情况下也无法识别；——合法合规性：匿名化过程应符合相关法律法规和标准的要求，确保处理的合法性和合规性。(c)匿名化数据的生成过程；——识别PII：识别出需要进行匿名化处理的PII，包括标识符、区分特征、相关信息及元数据等。——选择匿名化技术：根据数据的特点和匿名化需求，选择合适的匿名化技术，如加密、混淆、假名化等。需要注意的是，假名化并不等同于匿名化，因为假名化保留了数据的可链接性。——实施匿名化处理：应用所选的匿名化技术对PII进行处理，确保处理后的数据无法再识别出特定个人；——验证与评估：对处理后的数据进行严格的验证和评估，确保匿名化效果符合预期的隐私保护标准，并符合相关的法律法规要求；——持续监控与更新：匿名化并不是一次性的任务，而是需要持续监控和更新的过程。组织应定期评估匿名化策略的有效性，并根据技术的发展和隐私法规的变化进行必要的调整。(d)匿名化数据的应用；——数据分析与研究：匿名化数据可广泛用于市场分析、消费者行为研究等领域，为组织提供有价值的洞察，同时保护个人隐私；——数据共享与交换：在遵守隐私保护规定的前提下，匿名化数据可在不同组织间进行共享和交换，促进数据的高效利用；——合规性证明：对于需要证明其数据处理活动符合隐私保护法规的组织来说，匿名化数据是一个有力的证据。(e)注意事项与挑战。——重新识别风险：尽管数据已经过匿名化处理，但在某些情况下，通过与其他数据源的关联分析，仍有可能间接识别出个人。因此，需要持续关注并评估这种风险；——数据质量与准确性保障：匿名化处理可能会对数据的完整性和准确性产生一定影响。为了确保数据的实用性和准确性，组织需要在处理过程中采取适当的技术手段来保持数据的质量；——合规性遵守：组织需要确保匿名化数据的处理、存储和传输符合相关的隐私保护法规和行业标准，以避免任何法律纠纷或合规风险；——访问控制与权限管理：对匿名化数据的访问应进行严格的控制和管理，确保只有经过授权的人员才能访问和使用这些数据；——安全存储与传输：组织应采取适当的安全措施来保护匿名化数据在3.4同意consentPII主体（3.9）在自由、明确和知情的情况下，对其PII被处理所给予的同意。3.4同意PII主体在自由、明确和知情的情况下，对其PII被处理所给予的同意。(1)同意的定义与重要性——PII主体（即个人身份信息的所有者，通常指自然人）在完全自由、明确且知情的前提下，对其PII被收集、使用、存储、传输等处理活动所给予的正式许可或授权；——同意是隐私保护的核心原则之一，也是处理个人数据的法律基础之一，它确保了个人对其个人信息的控制权，并体现了对个人隐私权的尊重和保护。没有PII主体的同意，任何组织或个人都不得擅自处理其个人信息，否则将可能构成侵犯个人隐私权的违法行为。(2)同意的关键要素；——自由：PII主体必须是在没有任何外部压力或强制的情况下自愿给出同意。任何形式的胁迫、误导或欺骗都是不可接受的，否则同意将被视为无效；——明确：同意必须是清晰、具体的，不能含糊其辞或模棱两可。PII主体应明确知道其个人信息将被如何处理、用于何种目的，以及可能的风险和后果。这要求组织在获取同意时，必须使用易于理解的语言，详细阐述个人信息处理的目的、方式、范围等关键信息。——知情：PII主体在给出同意之前，必须充分了解其个人信息将被如何处理。这包括处理的目的、方式、范围、持续时间以及可能涉及的第三方等。组织应提供足够的信息，以便PII主体能够做出明智的同意决定。——应采用易于理解的语言，向PII主体清晰阐述其PII将被如何处理，包括处理的目的、方式、范围、持续时间等关键信息；——获取同意的方式应多样化，既可以是书面的（如签署同意书），也可以是电子的（如在线勾选同意框），以确保PII主体能够便捷地表达其意愿；——对于涉及敏感信息或特殊类别的PII处理，可能需要更高级别的同意，如明确的书面同意，并可能需要额外的验证步骤。(b)同意的记录与保存；——应详细记录PII主体的同意情况，包括同意的日期、时间、方式、具体内容等，并妥善保存这些记录，作为合法处理PII的证据；——同意记录应受到严格的安全保护，防止被未经授权的人员访问或泄露。）。(c)同意的撤销与更新。——PII主体有权随时撤销其同意，且撤销过程应简单、便捷，无需承担不合理的成本或负担；——当PII处理的目的、方式、范围等发生变更时，应重新获取PII主体的同意，并确保新同意的获取符合所有适用的法律和隐私标准；——应定期审查和更新同意记录，以确保其与当前的PII处理活动保持一致。(d)特殊情况的考虑；——对于儿童、老年人或认知能力受限的PII主体，应特别关注其同意的有效性和合法性，可能需要采取额外的措施来确保其理解并同意PII的处理；——在某些国家或地区，可能存在特定的法律或监管要求，如关于儿童个人信息处理的特殊规定，应严格遵守这些规定。(4)同意与隐私政策的关系。——“同意”通常是隐私政策的一部分，隐私政策是组织向PII主体展示其如何处理PII、保护个人隐私的承诺和声明。通过同意，PII主体实际上是在接受并遵守组织的隐私政策。因此，组织应确保其隐私政策的透明性、完整性和合规性，以便PII主体能够充分了解其PII将被如何处理，并做出明智的同意决定。同时，组织在更新隐私政策时，也应考虑是否需要重新获取PII3.5可识别性identifiability根据一组给定的PII，能够直接或间接识别出PII主体（3.9）的状态。3.5可识别性根据一组给定的PII，能够直接或间接识别出PII主体的状态。(a)“可识别性”：根据一组给定的PII，能够直接或间接识别出PII主体的状态。这一概念是隐私信息管理的核心要素之一，它直接关系到个人隐私的保护程度和PII处理的合法性；(b)“一组给定的PII”：指在特定情境或数据处理活动中，被收集、存储、处理或传输的一组PII。PII指能够单独或与其他信息结合后识别出特定自然人的任何信息。“一组给定的PII”是评估可识别性、制定隐私保护措施和遵守相关法律法规的基础；(c)“能够直接或间接识别出PII主体的状态”包括多个方面，这些状态通常与PII主体的身份、行为、位置、偏好、财务状况、健康状况等个人信息相关。具体来说，这些状态可能包括：——身份状态：如姓名、性别、出生日期、国籍等基本信息，这些信息能够直接或结合其他信息识别出特定个人。——联系状态：如电话号码、电子邮件地址、家庭住址等，这些信息用于与他人建立联系，也可能间接揭示个人身份。——财务状态：如银行账户信息、信用卡号码、交易记录等，这些信息能够反映个人的财务状况和交易行为。——健康状态：如医疗记录、健康数据（如体重、血压）、疾病诊断等，这些信息涉及个人的健康状况和医疗历史。——位置状态：如IP地址、地理位置数据（如GPS坐标）、行踪轨迹等，这些信息能够揭示个人的地理位置和移动模式。——在线行为状态：如浏览历史、搜索记录、社交媒体活动、在线购买记录等，这些信息反映了个人在网络上的行为和偏好。——法律状态：如犯罪记录、司法判决、法律诉讼等，这些信息涉及个人的法律身份和过往行为。——职业状态：如工作单位、职位、职业资格等，这些信息反映了个人的职业背景和职业发展。(2)可识别性的意义；——隐私保护的基础：可识别性是判断PII是否受到保护的关键指标。当PII能够直接或间接识别出个人时，这些信息可能泄露个人隐私，因此需要采取严格的保护措施；——合规性的前提：许多国家和地区的隐私法律都规定，处理可识别的PII必须获得个人的同意或符合其他合法基础。因此，明确PII的可识别性对于确保合规性至关重要；——风险评估的依据：在隐私信息管理中，风险评估是不可或缺的一环。可识别性评估是风险评估的重要组成部分，它有助于确定PII处理活动的风险等级，并据此制定相应的控制措施。(3)直接识别与间接识别；——直接识别：指通过PII本身，如姓名、身份证号码、护照号码等，即可直接锁定个人信息所属的主体；——间接识别：涉及更为复杂的识别过程，可能需要结合多个信息点或通过特定算法、数据分析等手段，才能间接地识别出PII主体。例如，通过性别、出生日期、居住城市等信息的组合，虽不能直接指出具体个人，但在特定情境下可能足以识别出特定个体。——识别PII的可识别性：组织应定期对其处理的PII进行审查，以确定哪些信息具有直接或间接的可识别性，并据此分类管理；——制定保护措施：对于具有可识别性的PII，组织应制定并实施严格的保护措施，包括加密、匿名化、去标识化等，以降低隐私泄露的风险；——合规性审查：在处理具有可识别性的PII时，组织应确保其行为符合相关法律法规和隐私标准的要求，如获得个人的同意、遵循数据最小化原则等；——持续监控与更新：随着技术的发展和隐私保护需求的变化，组织应持续监控PII的可识别性状态，并及时更新保护措施和控制策略。——注意事项。l在评估PII的可识别性时，应考虑所有可能的信息组合和分析方法，以确保评估的全面性和准确性；l对于间接识别的PII，组织应特别关注其与其他信息结合后可能产生的隐私风险，并采取相应的预防措施；l组织应定期对员工进行隐私保护培训，提高其对PII可识别性的认识和保护意识。(5)降低PII的可识别性以保护隐私。降低PII的可识别性是保护个人隐私的有效手段。具体方法包括：——匿名化处理：通过替换、删除或加密等方式，去除或改变PII中的直接识别信息，使信息无法直接关联到具体个人；——去标识化处理：对PII进行技术处理，使其在不改变原始数据含义的前提下，无法直接或间接识别出个人信息所属的主体；——数据加密：对存储和传输的PII进行加密处理，确保只有授权人员才能访问和使用这些信息；——访问控制：实施严格的访问控制机制，限制对敏感PII的访问权限，确保只有经过授权的人员才能接触和处理这些信息；——隐私政策与透明度：在隐私政策中明确说明组织如何处理PII，包括可识别性信息的收集、3.6选择加入opt-in要求PII主体（3.9）采取行动，明确表示事先同意（3.4）为特定目的处理其PII的程序或策略类型。主体的某种不同于同意的行为（如在网上商店下订单）3.6选择加入要求PII主体采取行动，明确表示事先同意为特定目的处理其PII的程序或策略类型。(1)定义：选择加入是一种隐私保护机制，它要求PII主体必须主动采取行动，明确表示其事先同意为特定目的处理其PII；——明确同意：PII主体需要通过明确的行为（如勾选同意框、点击确认按钮等）来表达其同意。这种同意是事先的，即发生在PII处理活动之前；——特定目的：同意是针对特定的PII处理目的而言的。PII的处理必须严格限制在这些明确同意的目的范围内，不得随意扩大；——程序或策略：选择加入是一种程序性的要求，它要求组织或数据控制者制定并实施相应的策略来确保PII主体的同意权得到尊重。(2)选择加入机制的作用主要体现在以下几个方面：——确保合法性：通过获得PII主体的明确同意，组织可以确保其对PII的处理活动符合相关法律法规的要求，避免未经授权的处理行为；——增强透明度：选择加入机制要求组织向PII主体清晰、准确地传达处理其信息的目的、方式和范围，从而增强信息处理的透明度；——提升信任度：当PII主体了解到他们的信息将被如何使用时，并且他们有权控制这些信息的使用，他们对组织的信任度会相应提升；——促进合规性：选择加入机制是隐私保护框架中的重要组成部分，遵循这一机制有助于组织实现全面的隐私合规。(3)这两种机制各自适用于不同的场景：——选择加入机制：更适用于涉及敏感信息或高风险处理活动的场景，如金融数据、健康信息等。在这些情况下，确保PII主体的明确同意是至关重要的，以充分保护他们的隐私权；——选择退出机制：可能更适用于一些较为常规或低风险的信息处理活动，如市场营销邮件的发送、网站使用数据的收集等。在这些情况下，PII主体可能更愿意接受默认的处理设置，同时保留随时退出的权利。(4)选择退出机制对比与解释；与选择加入机制相对的是选择退出机制。在选择退出机制下，PII主体默认被视为同意处理其信息，除非他们主动采取行动来拒绝或撤回同意，或反对特定类型的处理。选择退出机制的特点包括：——默认同意：与选择加入不同，选择退出机制下PII主体无需明确表达同意，而是默认接受处理；——单独行动：若PII主体不同意特定处理活动，他们需要采取单独行动（如取消订阅、联系客服等）来表明其立场；——暗示同意：在某些情况下，PII主体的某种行为（如在网上商店下订单）可能被视为对特定处理活动的暗示同意，尽管这种同意可能不如选择加入机制中的明确同意那样直接和明确。(5)在实施选择加入机制时，组织应采取以下措施来确保PII主体的同意是真实、有效和可追溯的：——明确告知：组织应向PII主体清晰、准确地传达处理其信息的目的、方式和范围，以及他们同意或拒绝的权利和后果；——易于理解：同意的表述应简洁明了，避免使用复杂或模糊的语言，以确保PII主体能够充分理解并作出明智的选择；——记录保存：组织应保存PII主体同意的记录，包括同意的时间、方式、具体内容等，以便在需要时进行查证和追溯；——定期审查：组织应定期审查选择加入机制的实施情况，包括同意的获取、记录保存和处理的合规性，以确保机制的持续有效性和合规性；——提供撤回同意的途径：组织应为PII3.7个人可识别信息（PII）指（a）可用于在信息和与信息有关的自然人之间建立联系的信息，或（b）与自然人有或可能有直接或间接联系的信息。3.7个人可识别信息（PII）指（a）可用于在信息和与信息有关的自然人之间建立联系的信息，或（b）与自然人有或可能有直接或间接联系的信息。(1)个人可识别信息（PII）的定义；指以下两类信息：(g)可直接关联的信息：这类信息能够用于在信息和与信息有关的自然人之间建立直接的联系。简而言之，就是通过这些信息，可以明确地识别出特定的个人；——全名或姓名：包括个人的全名、姓或名，这些是最直接的个人识别信息。——身份证号码：如居民身份证号码、护照号码、驾驶证号码等，这些号码是唯一的，且通常与个人的身份信息紧密相连。——联系方式：l电话号码：包括固定电话和移动电话号码，这些号码通常与个人直接相关；l电子邮件地址：个人的电子邮箱地址，通过它可以发送和接收邮件，具有明确的个人标识性；l邮寄地址：个人的居住地址或邮寄地址，虽然可能不如电子方式直接，但同样能够定位到特定个l社交媒体账号：如微信、微博、抖音等社交媒体平台的账号，这些账号通常与个人身份绑定，且在一定范围内公开；l银行账户信息：包括账号、开户行等，这些信息在金融交易中用于识别个人身份；l生物识别信息：如指纹、面部识别数据、虹膜扫描等，这些信息具有极高的唯一性和识别性；lIP地址：在特定情境下，如结合网络日志、注册信息等，IP地址也可以用于识别特定个人；l设备标识符：如手机IMEI号、电脑MAC地址等，这些标识符与特定设备绑定，可能间接识别到设备使用者；l驾驶证信息：包括驾驶证号码、姓名、照片等，这些信息在交通管理和执法中用于识别驾驶员身份；l社保账号：社会保险账号，用于识别个人的社保缴纳和享受情况。(h)可能间接关联的信息：除了直接可识别的信息外，PII还包括那些虽然不直接包含个人身份标识，但通过与其他信息结合或经过一定分析后，仍然有可能识别出特定个人的信息。——出生日期：虽然出生日期本身并不直接包含个人身份标识，但结合姓名、性别等其他信息，可以缩小识别范围，甚至在某些情况下确定特定个人；——性别：性别信息单独看时并不足以识别个人，但与其他信息（如姓名、出生日期）结合时，可能增加识别出特定个人的可能性；——职业：职业信息通常不直接包含个人身份标识，但在特定行业或地区内，结合其他信息（如公司名称、职位）可能识别出特定个人；——教育背景：包括毕业学校、学历、专业等信息，这些信息单独看时可能无法识别个人，但与其他信息（如姓名、工作经历）结合时，可能增加识别度；——居住区域：虽然居住区域（如城市、区县）通常不直接包含个人身份标识，但结合其他信息（如姓名、邮寄地址）可能缩小识别范围；——网络行为数据：包括浏览记录、搜索历史、在线购物记录等，这些数据单独看时可能无法直接识别个人，但通过分析或与其他信息（如IP地址、账号信息）结合，可能揭示个人身份或偏好；——位置数据：如GPS定位数据、移动基站定位数据等，这些数据在特定时间、地点结合其他信息（如活动习惯、社交关系）可能识别出特定个人。——设备使用数据：包括设备类型、操作系统、应用程序使用记录等，这些数据单独看时可能无法识别个人，但与其他信息（如设备标识符、网络行为数据）结合时，可能增加识别风险；——健康数据：如体检结果、医疗记录等，这些数据通常受到严格保护，但在特定情境下（如结合姓名、就诊医院）可能识别出特定个人；——财务交易数据：包括交易金额、交易时间、交易对象等，这些数据单独看时可能无法识别个人，但与其他信息（如银行账户信息、交易习惯）结合时，可能揭示个人财务状况或身份。(i)“自然人”的界定：在此框架中，“自然人”特指PII主体，即那些其信息被收集、处理、存储或传输的个人。这一界定明确了PII保护的对象，强调了隐私保护应聚焦于个体的权益；(j)识别手段的考虑：在确定PII主体是否可被识别时，必须考虑所有可能用于建立联系的合理手段。这包括但不限于数据匹配、逻辑推理、数据分析等。隐私相关方或其他方在评估信息是否构成PII时，应全面考虑这些手段的应用及其可能带来的识别风险。(2)PII在隐私保护中的重要性。——PII是隐私保护的核心对象。由于PII能够直接或间接地识别出个人身份，因此其处理、存储和传输都必须严格遵守隐私保护的原则和规定。任何不当的PII处理都可能导致个人隐私的泄露，进而对个人造成不良影响，如身份盗用、诈骗、骚扰等。————三、PII的处理原则——在处理PII时，应遵循以下原则：————最小化原则：只收集和处理实现特定目的所必需的PII，避免过度收集。——透明性原则：向个人清晰、准确地告知PII的处理目的、方式和范围。——安全性原则：采取适当的技术和管理措施，确保PII的安全，防止未经授权的访问、使用、披露、修改或删除。——合规性原则：遵守相关法律法规和隐私政策的要求，确保PII处理的合法性和合规性。2.8PII控制者PIIcontroller确定处理PII（3.7）的目的和方式的一个或多个隐私相关方，但不包括为个人目的而使用数据的自然人。确定处理PII的目的和方式的一个或多个隐私相关方，但不包括为个人目的而使用数据的自然人。(a)PII控制者：指确定处理个人可识别信息（PII）的目的和方式的一个或多个隐私相关方。任何确定处理PII的目的和方式的隐私相关方，都可以被视为PII控制者，只要它们不是为个人目的而使用数据的自然人。——处理PII的目的通常涵盖以下几个方面，但不限于此：l业务运营：为了支持组织的日常业务运营，如客户服务、订单处理、产品交付等，可能需要处理PII以识别客户身份、联系客户或提供个性化服务；l市场营销：组织可能利用PII进行市场分析、制定营销策略、推送定制化的广告或促销信息，以提升市场占有率和客户满意度；l风险管理：处理PII有助于组织识别、评估和应对潜在的风险，如欺诈检测、信用评估等，以保护组织和客户的利益；l法律合规：为了满足法律法规的要求，如反洗钱、税务申报、数据保护等，组织需要处理PII以确保合规性；l内部管理与审核：组织可能需要对PII进行处理以进行内部管理、审核和记录保持，确保业务流程的规范性和数据的准确性；l研究与开发：在产品研发、改进或创新过程中，组织可能需要处理PII以进行用户行为分析、产品测试或优化用户体验；l公共安全与应急响应：在某些情况下，处理PII可能涉及公共安全或应急响应的需求，如疫情防控、灾害救援等。——处理PII的方式多种多样，具体取决于处理目的和技术的选择。以下是一些常见的处理PII的方l收集：通过各种渠道（如在线表单、应用程序、传感器等）收集PII，可能包括姓名、地址、电话号码、电子邮件地址等；l存储：将PII存储在物理或数字介质中，如数据库、文件服务器、云存储等，同时确保数据的安全性和可访问性；l传输：通过网络或其他通信手段将PII从一个位置传输到另一个位置，如企业内部网络、互联网等，需要采取加密和身份验证等措施保护数据安全；l处理：对PII进行各种操作，如数据清洗、格式化、转换、聚合等，以满足特定的处理需求；l访问：授权特定人员或系统访问PII，以执行特定的任务或操作，如查询、更新、删除等；l披露：在符合法律法规和隐私政策的前提下，将PII披露给第三方，如合作伙伴、政府机构、研究机构等；l销毁：当PII不再需要时，采取适当的方式销毁数据，如删除、覆盖、物理销毁等，以确保数据不再被恢复或访问；l自动化处理：利用算法、机器学习等技术对PII进行自动化处理，如数据分析、预测、决策支持(b)“隐私相关方”：涉及PII处理活动的任何组织或个人，但不包括那些仅为个人目的而使用数据的自然人。PII控制者是那些在组织层面上决定如何收集、使用、存储、传输和披露PII的实体；(c)PII控制者通常包括以下具有典型代表性的实体：——企业或组织：这是最常见的PII控制者类型。企业或组织在运营过程中，可能会收集、处理和使用大量个人可识别信息（PII），如客户信息、员工信息等。它们确定处理PII的目的和方式，以支持其业务运营和决策；——政府机构：政府机构在履行职责时，也会成为PII控制者。例如，税务部门可能需要收集和处理纳税人的个人信息，以进行税务管理和征收；社会保障部门可能需要处理公民的社会保障信息，以提供社会保障服务等。——非营利组织：非营利组织，如慈善机构、公益组织等，在运营过程中也可能需要收集和处理PII。例如，它们可能需要收集捐赠者的个人信息，以进行捐款管理和感谢；或者需要收集受益人的个人信息，以提供援助和服务；——服务提供商：在某些情况下，服务提供商可能成为PII控制者。例如，云服务提供商、数据分析服务提供商等，在为客户提供服务时，可能会收集、处理和使用客户的PII。然而，需要注意的是，当服务提供商仅按照客户的指示处理PII时，它们可能被视为PII处理者而非PII控制者；——联合控制者：在某些情况下，两个或多个实体可能共同决定处理PII的目的和方式，这时它们被称为联合控制者。例如，两个或多个企业可能共同开发一个应用程序，并共同决定如何收集、处理和使用用户的PII。(2)PII控制者的角色和责任；(a)PII控制者有时可能会指示其他方（如PII处理者）来代表其处理PII。这种指示或委托并不改变PII控制者的责任。无论PII处理是由PII控制者直接进行还是通过第三方进行，处理责任始终由PII控制者承担。PII控制者需要确保整个PII处理过程符合隐私保护的原则和法规要求，包括但不限于数据的安全性、合法性和透明度。(b)角色与责任：——确定处理目的和方式：PII控制者负责明确PII处理的目的，并确定实现这些目的的具体方式。这包括决定收集哪些PII、如何使用这些信息、存储期限以及何时和如何披露或删除这些信息。PII控制者必须确保整个PII处理过程符合隐私保护的原则和法规要求，包括但不限于数据的安全性、合法性和透明度。此外，即使PII处理活动由第三方（如PII处理者）执行，PII控制者仍然对处理活动承担最终责任；——承担处理责任：即使PII处理活动由第三方（如PII处理者）执行，PII控制者仍然对处理活动承担最终责任。这要求PII控制者建立有效的监督和管理机制，确保第三方遵守隐私保护的规定；——遵守隐私法规：PII控制者需要遵守适用的隐私保护法规，包括但不限于数据保护法律、行业标准和最佳实践。这包括确保PII的收集、使用、存储和传输都符合法规要求，以及及时响应数据主体的权利请求；——保护数据安全：PII控制者负责采取适当的技术和组织措施来保护PII的安全性和机密性，防止数据泄露、篡改或未经授权的访问；——透明度与告知：PII控制者需要向数据主体提供关于其PII处理活动的透明信息，包括处理目的、方式、存储期限等。此外，还需要告知数据主体其享有的权利，如访问权、更正权、删除权等。(3)PII控制者可以通过以下措施确保PII处理活动的合规性：——建立隐私保护政策：明确PII处理的目的、方式、存储期限等，并确保这些政策符合适用的隐私保护法规和标准。——实施访问控制：限制对PII的访问权限，确保只有经过授权的人员才能访问和处理PII；——加强数据加密：对PII进行加密处理，确保在传输和存储过程中的安全性；——定期审核和监控：定期对PII处理活动进行审核和监控，及时发现和纠正可能存在的合规问题；——培训员工：对员工进行隐私保护培训，增强他们的隐私保护意识和能力；——与第三方合作时签订协议：当与第三方（如PII处理者）合作时，应签订明确的协议，明确双方的责任和义务，确保PII处理活动的合规性。(4)PII控制者在指示PII处理者处理PII时，应注意以下事项：——明确指示：确保给PII处理者的指示清晰、明确，无歧义；——合规性要求：要求PII处理者遵守适用的隐私保护法规和标准，确保PII处理活动的合规性；——安全措施：要求PII处理者采取适当的技术和组织措施来保护PII的安全性和机密性；——监督和管理：建立有效的监督和管理机制，确保PII处理者按照指示进行PII处理活动；——责任承担：明确PII处理者因违反指示或法规要求而产生的责任将由PII控制者承担，但PII控制者可以通过合同条款等方式追究PII处理者的违约责任。(5)PII控制者应对数据主体的权利请求时，应遵循以下原则：——及时响应：在收到数据主体的权利请求后，应及时进行响应和处理；——验证身份：在处理权利请求之前，应验证数据主体的身份，确保请求的真实性；——准确处理：根据数据主体的请求内容，准确地进行处理，如提供信息、更正错误、删除数据等；——记录处理过程：对权利请求的处理过程进行记录，以备后续查询和审核；——保护隐私：在处理权利请求的过程中，应保护数据主体的隐私权，避免泄露其个人信息。(6)PII控制者与PII处理者的主要区别。PII控制者与PII处理者的主要区别在于它们在PII处理过程中的角色和责任。PII控制者是确定处理PII的目的和方式的隐私相关方，对PII处理活动承担最终责任。而PII处理者则是按照PII控制者的指示处理PII的实体，它们直接执行PII的收集、存储、传输等处理活动，但处理责任仍由PII控制者承担。简单来说，PII控制者是“决策者”，而PII处理者是“执行者”。PII控制者与PII处理者的主要区别说明表维度定义确定处理PII的目的和方式的一个或多个隐私相关方，不包括为个人目的而使用数据的自然人代表PII控制者并按照其指示处理PII的隐私相关方角色决策者，决定PII的处理目的、方式等执行者，按照PII控制者的指示进行PII处理维度责任对PII处理活动承担最终责任，即使处理活动由第三方执行按照PII控制者的指示处理PII，不直接承担处理责任指示与执指示PII处理者如何处理PII执行PII控制者的指示，进行PII处理具有较高的自主性，决定PII处理的整体策略自主性较低，主要依据PII控制者的指示进行操作监督与管监督和管理PII处理者的活动，确保其符合指示和法规要求接受PII控制者的监督和管理，确保处理活动的合规性合规性要必须确保PII处理活动符合隐私保护法规和标准也需遵守隐私保护法规和标准，但主要在PII控制者的指导下进行联系（关PII控制者指示PII处理者进行处理活动，处理责任由PII控制者承担PII处理者按照PII控制者的指示进行处理活动，双方存在明确的指示与执行关系2.9PII主体PIIprincipal数据主体datasubject与PII（3.7）有关的自然人。3.9PII主体/数据主体与PII有关的自然人。(a)定义：PII主体指与PII有关的自然人。这些自然人可能是个人信息的所有者、使用者或提供者，他们的个人信息在各类信息处理活动中被收集、存储、使用、传输或披露。PII主体/数据主体的概念强调了个人隐私信息的归属性和保护需求，是隐私保护法规和政策制定的重要依据；(b)重要性：PII主体是隐私保护的核心对象。所有关于个人隐私信息的处理活动，都应围绕保护PII主体的权益和隐私展开。确保PII主体的信息不被滥用、泄露或非法访问，是隐私保护工作的首要任务。——权益保护：PII主体/数据主体享有对其个人信息的控制权，包括知情权、访问权、更正权、删除权（被遗忘权）等。保护PII主体/数据主体的权益，就是保护他们的个人隐私和信息安全，这是隐私保护工作的核心目标；——合规性基础：隐私保护法规和政策通常围绕PII主体/数据主体的权益展开，明确了组织或机构在处理PII时应遵循的原则和规则。遵守这些法规和政策，是确保PII主体/数据主体权益得到保护的基础；——风险防控：PII主体/数据主体是个人信息泄露、滥用等风险的主要承受者。通过加强PII主体/数据主体的保护，可以有效降低个人信息处理活动中的风险，维护个人隐私和信息安全；——信任建立：保护PII主体/数据主体的权益，有助于建立公众对组织或机构的信任。当个人确信其个人信息得到妥善处理时，他们更愿意与组织进行交互和分享信息，从而促进业务的健康发展。——定义：数据主体在隐私保护的语境中，通常与PII主体同义，即指那些其个人信息被处理的自然人。这一术语在欧盟的《通用数据保护条例》（GDPR）等法规中广泛使用。——权利：数据主体享有一系列与个人信息处理相关的权利，如知情权、访问权、更正权、删除权（被遗忘权）、限制处理权、数据可携带权以及反对权等。这些权利旨在保障数据主体对其个人信息的控制权和隐私权。——保护：数据主体的保护是隐私保护法规的核心内容。组织或机构在处理PII时，必须遵守相关法律法规，采取适当的技术和组织措施，确保数据主体的权益得到充分保护。(3)组织或机构在保护PII主体/数据主体的权益时，应采取以下措施：——明确责任：组织或机构应明确其在个人信息处理活动中的责任和义务，确保PII主体/数据主体的权益得到充分保护；——制定隐私政策：制定清晰、透明的隐私政策，明确说明个人信息处理的目的、方式、范围以及PII主体/数据主体的权益。隐私政策应易于理解，并以易于访问的方式提供给PII主体/数据主体；——遵循最小必要原则：只收集、存储和处理实现特定目的所必需的个人信息。避免过度收集或存储个人信息，以减少潜在的风险；——加强安全措施：采取适当的技术和组织措施，如加密、访问控制、审核等，确保个人信息的机密性、完整性和可用性。定期进行安全评估和漏洞扫描，及时发现并修复安全漏洞；——尊重权益请求：建立有效的机制，响应PII主体/数据主体的权益请求，如访问、更正、删除个人信息等。确保请求得到及时处理，并尊重PII主体/数据主体的选择；——培训员工：定期对员工进行隐私保护培训，增强他们的隐私保护意识和技能。确保员工了解隐私政策、处理流程和安全措施，并能够在日常工作中遵循这些要求；——与第三方合作时的保护：当与第三方合作处理PII时，应签订保密协议或数据处理协议，明确双方的责任和义务，确保PII主体/数据主体的权益得到持续保护。——定期审核和评估：2.10PII处理者PIIprocessor代表PII控制者（3.8）并按照其指示处理PII（3.7）的隐私相关方。代表PII控制者并按照其指示处理PII的隐私相关方。(1)PII处理者的定义；(a)PII处理者：指那些代表PII控制者，并根据其明确指示进行PII处理活动的隐私相关方。他们可能是组织内部的部门或团队，也可能是外部的服务提供商，如数据处理公司、云服务提供商等。PII处理者的主要职责是确保在处理PII时遵守相关法律法规、隐私政策和PII控制者的具体要求。(b)PII控制者给出的指示内容；在“代表PII控制者并按照其指示处理PII”的过程中，PII控制者通常会给出以下具有典型代表性的指示：——处理目的和范围：l处理目的：PII控制者需要向PII处理者明确说明处理PII的具体目的，例如用于客户服务、市场营销、数据分析等。目的应具体、明确，避免模糊或过于宽泛的描述；l界定处理范围：PII控制者应明确哪些类型的PII需要被处理，以及处理的时间跨度、地域范围等。这有助于PII处理者了解处理的边界，避免超范围处理。——规定处理方式和要求l详细说明处理方式：PII控制者需要向PII处理者说明如何处理PII，包括收集、存储、使用、传输和销毁等各个环节的具体要求。例如，对于存储环节，应规定存储的加密方式、访问权限等。l提出具体处理要求：PII控制者可以提出一些具体的处理要求，如数据脱敏、匿名化处理等，以保护PII的隐私和安全。同时，还应明确处理过程中应遵循的隐私保护原则和标准。——明确处理期限：设定PII处理期限；——安全要求：提出PII处理过程中的安全要求，包括数据加密、访问控制、审核跟踪等措施；——设定合规性指标l遵守法律法规：PII控制者应确保PII处理者了解并遵守相关的隐私保护法律法规，如GDPR、CCPA等。可以设定一些合规性指标，如数据泄露次数、违规处理行为等，以衡量PII处理者的合规性。l遵循隐私政策：PII控制者应将其隐私政策传达给PII处理者，并要求其遵循政策中的相关规定。隐私政策中应包含PII处理的目的、方式、范围以及数据主体的权利等信息。——数据主体权益保护：强调对PII主体权益的保护，如知情权、访问权、更正权、删除权等；——第三方管理：如果涉及第三方处理者，需明确其对第三方的管理要求，包括选择标准、合同条款、监督评估等；——应急响应计划：要求PII处理者制定应急响应计划，以应对PII泄露、滥用等安全风险事件；——建立沟通和监督机制。l建立沟通渠道：PII控制者应建立与PII处理者的沟通渠道，确保双方能够及时交流和处理PII过程l设立监督机制：PII控制者可以设立监督机制，对PII处理者的处理行为进行监督和管理。例如，定期进行数据保护审核、风险评估等，以确保PII处理的合规性和安全性。(c)PII处理者通常包括以下具有典型代表性的实体：——数据处理服务提供商：专门提供数据处理服务的公司或机构，如数据清洗、数据分析、数据存储等。——云服务提供商：提供云计算服务的公司，负责存储、处理和管理客户的PII。——市场营销机构：负责执行营销活动的公司或机构，可能需要处理客户的PII以进行目标营销。——IT外包服务商：提供IT外包服务的公司，可能涉及PII的处理和维护。——金融机构：如银行、保险公司等，在处理客户金融业务时可能涉及PII的处理。——医疗服务提供商：如医院、诊所等，在处理患者医疗信息时可能涉及PII的处理。——政府部门和公共机构：在处理公民个人信息时可能扮演PII处理者的角色，如税务部门、社会保障部门等。PII控制者与PII处理者关系及典型示例表PII控制者处理PII的指示内容金融机构收集、存储、处理客户PII以进行风险评估和信贷审批信贷评估部门根据金融机构的指示，对客户PII进行收集、验证和风险评估，为信贷审批提供决策支持在线零售商收集、使用消费者PII以提供个性化购物体验和营销数据分析团队分析消费者购物行为，根据PII制定个性化营销策略，提升用户体验和销售业绩社交媒体平台收集、存储、共享用户PII以支持社交功能和广告投放广告部门利用用户PII进行广告投放优化，提高广告效果和用户满意度医疗健康机构处理患者PII以进行医疗记录管理、疾病研究和患者关怀医疗信息管理部门管理患者医疗记录，确保PII的安全性和隐私性，支持医疗研究和患者治疗政府机构收集、处理公民PII以提供公共服务、进行社会管理和监管数据管理部门负责公民PII的收集、存储和处理，确保数据的准确性和安全性，支持政府决策和公共服务教育机构处理学生PII以进行学籍管理、教学评估和奖学