一、ISO/IEC 27701:2019 4.3 标准原文
原文摘要:表2给出了本标准中与 ISO/IEC 27002:2013 相关的 PIMS 特定指南位置。第6章对应通用补充指南,第7章对应针对 PII 控制者的补充指南,第8章对应针对 PII 处理者的补充指南。即使某些控制没有特定于 PIMS 的补充内容,6.1 中对“信息安全”的扩展解释仍始终适用。
二、条款解读说明
如果说 4.2 主要解决管理体系框架如何承接隐私,那么 4.3 主要解决控制措施如何承接隐私。ISO/IEC 27002:2013 原本是一套信息安全控制指南,重点在于如何理解和落地信息安全控制。而 27701:2019 的 4.3 则进一步说明,当这些控制用在 PII 处理活动中时,组织不能停留在原有安全视角,而要补上隐私语境下的责任边界、处理目的、合法性、数据主体影响、共享披露链条和处理角色差异。
表2的设计非常有层次。第6章提供适用于无论作为 PII 控制者还是 PII 处理者的通用补充指南,解决的是“任何处理 PII 的组织都应补充考虑什么”。第7章提供针对 PII 控制者的补充指南,解决的是“当组织决定处理目的和方式时,还要承担哪些额外责任”。第8章提供针对 PII 处理者的补充指南,解决的是“当组织按客户或上级处理者指令处理 PII 时,应如何控制合同、分包、返还、披露和通知边界”。这种三层结构非常关键,因为它说明控制并不是越多越好,而是必须与角色对应。
| 控制层次 | 对应章节 | 核心作用 | 典型问题 |
|---|---|---|---|
| 通用PIMS补充指南 | 第6章 | 把27002控制扩展到所有 PII 处理场景 | 资产、访问、日志、事件、供应商等控制如何体现隐私要求 |
| 控制者补充指南 | 第7章 | 体现决定处理目的和方式的一方应承担的责任 | 合法基础、告知、同意、权利请求、共享和传输记录 |
| 处理者补充指南 | 第8章 | 体现受托处理场景下的履约和边界责任 | 客户协议、违法指令、分包通知、返还或处置PII |
| 参考控制目录 | 附录A、附录B | 将第7章和第8章要求整理为可引用控制项 | 用于制度映射、审计检查、招标与尽调 |
4.3同时也告诉读者,不应把“没有特定于 PIMS 的指南”理解为“该控制无需考虑隐私”。例如某些 27002 安全控制在 27701 中没有新增大段文字,但只要它们作用于处理 PII 的系统、流程或供应链,就必须在适用性、证据和责任界面上体现隐私要求。6.1 的扩展解释始终适用,就是为了防止组织只盯着新增文本,而忽视大量本来就应该按照隐私语境执行的安全控制。
在实践中,这条款最常见的误区有两个。第一,只看第7章、第8章,把它们当成隐私控制的全部,却忽略了第6章中的通用控制补充。结果是组织能写出不少关于告知、同意、分包和披露的制度,却在访问控制、日志、测试数据、供应商安全、事件证据和记录保护等通用控制上留下明显缺口。第二,只看第6章的通用安全控制补充,却不区分控制者与处理者角色,导致客户义务、合法基础和主体请求等问题被写成一套模糊的“通用流程”。4.3存在的意义,恰恰是把这两个极端都纠正过来。
从审核角度看,4.3还承担着“控制映射入口”的功能。很多组织在做 27701 审核准备时,最难回答的问题是:“这个安全控制为什么与隐私有关?”“为什么这个条款只适用于控制者?”“为什么某些控制者条款不适用于处理者?”“为什么分包方控制不仅是采购问题,还是隐私问题?”如果前面没有通过 4.3 建立对第6章、第7章、第8章和附录A/B的结构理解,这些问题在审核、客户尽调和内部培训中都会变得很难讲清楚。
三、实施要点
- 先按“通用控制”“控制者控制”“处理者控制”三层建立控制目录,不要把所有隐私要求堆成一张单表。
- 以处理活动和角色为单位判断条款适用性,避免同一组织所有业务统一套用控制者或处理者条款。
- 对每项 27002 控制检查其是否涉及 PII 的收集、使用、共享、保留、删除或披露,一旦涉及,就要按隐私语境补充实施说明。
- 把附录A和附录B作为制度、审计和尽调的直接映射工具,而不是仅当作附录阅读材料。
- 4.3的重点不是复述表2,而是建立控制适用逻辑。
四、常用工具与实施方法
| 工具/方法 | 适用目的 | 关键输出 |
|---|---|---|
| 控制分层矩阵 | 区分第6章、第7章、第8章控制适用层次 | 控制适用性目录 |
| 角色化控制清单 | 把控制者和处理者要求拆开落地 | 按角色编制的制度与流程清单 |
| 附录A/B映射表 | 将参考控制与现有制度、系统、合同对照 | 审计与差距分析底稿 |
| 场景化控制评审 | 检查控制是否在真实PII处理场景中有效 | 场景化整改清单 |
成熟做法通常不是把 27002 控制逐条改写一遍,而是先识别与 PII 相关的业务场景,再反向看这些场景分别需要哪些通用控制、哪些控制者控制、哪些处理者控制。这样产出的控制设计更贴近业务,也更容易保留可审计证据。
五、典型案例
- 控制者视角过强的互联网企业:组织在做27701时主要参考了第7章,花很大精力设计告知、同意和删除流程,却忽略了日志保护、测试数据、供应商协议和记录保护等第6章通用控制。结果在监管检查中发现隐私制度很完整,但运行控制证据很薄弱。重新回到 4.3 后,企业按控制分层补齐了通用控制。
- 处理者责任模糊的外包服务商:该组织把所有隐私控制都按“数据主体权利”来写,结果与客户合同、分包方管理和返还处置场景脱节。通过 4.3 梳理发现,其重点应放在第8章和附录B中的处理者条款,并与第6章通用控制一起实施,治理路径因此被理顺。
这类案例说明,4.3不是“章节导览”,而是控制设计的结构坐标。没有这个坐标,组织不是过度重视某一类控制,就是在角色差异上持续混乱。
从发布标准看,4.3文章应帮助读者建立一种非常具体的认识:同样是“信息安全控制”,一旦进入 PII 处理,就必须回答“是否影响个人”“由谁决定处理”“由谁承担外部义务”“通过什么控制和证据来证明”。这才是该条款真正的价值。
六、成文信息管理要求
| 建议保留文件 | 关键内容 |
|---|---|
| PIMS控制分层清单 | 第6章通用控制、第7章控制者控制、第8章处理者控制的适用范围 |
| 附录A/B映射记录 | 控制目标、控制条款与组织流程、制度、合同、系统配置的对应关系 |
| 角色化适用性说明 | 说明哪些业务场景采用控制者或处理者控制 |
| 控制实施证据目录 | 用于审核、客户尽调和内部复盘的证据索引 |
这些成文信息的意义在于把 4.3 变成可执行的实施框架。只要组织能拿出清楚的控制分层与适用说明,后续的制度设计、合同条款、系统控制和审核问答都会更顺畅。
七、常见误区及踩坑提醒
| 误区 | 问题表现 | 正确做法 |
|---|---|---|
| 只看控制者或处理者章节 | 忽略通用控制补充,体系失衡 | 先看第6章,再按角色进入第7章或第8章 |
| 不区分角色适用性 | 所有场景用同一套隐私控制 | 按处理活动与角色拆分控制适用逻辑 |
| 把附录A/B当成可有可无 | 控制映射、审计和尽调都缺少抓手 | 把附录A/B纳入制度设计和审计准备核心材料 |