一、ISO/IEC 27701:2019 4.4 标准原文
原文摘要:根据组织角色不同,“顾客”可以指与 PII 控制者签订合同的组织、与 PII 处理者签订合同的 PII 控制者,或者与 PII 处理分包商签订合同的 PII 处理者。第6章中的“顾客”可适用于上述多种语境;第7章和附录A中的“顾客”主要适用于控制者语境;第8章和附录B中的“顾客”主要适用于处理者及其分包语境。
二、条款解读说明
4.4是27701:2019里极具“术语治理价值”的一个条款。很多标准在使用“顾客”一词时,默认读者可以自然理解其所指对象,但在 PII 控制者、PII 处理者、分包处理者并存的隐私处理链中,“顾客”并不是一个单一身份。如果这一点不先讲清,后续第6章、第7章、第8章里关于客户要求、客户协议、客户通知、客户审计和客户义务的条款都会被误读。
对 PII 控制者而言,顾客通常是购买其产品或服务的组织,也就是业务合同相对方。对 PII 处理者而言,顾客通常是把 PII 委托给其处理的 PII 控制者。对 PII 分包处理者而言,顾客又变成上一级处理者。也就是说,同一个词在不同角色语境下指向不同对象,而且这些对象承担的权利和义务完全不同。如果组织不先澄清这一点,就容易把控制者面对的客户透明度义务,误套用到处理者对客户的合同履约义务上;也容易把处理者对上级客户的通知义务,误理解成对最终 PII 主体的直接义务。
| 组织角色 | 4.4中“顾客”的典型所指 | 管理重点 | 常见误解 |
|---|---|---|---|
| PII控制者 | 与其签约的组织客户 | 合同承诺、透明告知、服务交付、投诉接口 | 把顾客等同于最终 PII 主体 |
| PII处理者 | 委托其处理 PII 的控制者 | 按指令处理、提供支持、配合审计、事件通知 | 忽略客户其实是控制者而非终端消费者 |
| PII分包处理者 | 委托其处理 PII 的上级处理者 | 分包边界、返还处置、变更通知、保密责任 | 误以为只需面对最终控制者或最终主体 |
4.4之所以安排在第4章,而不是放到后面角色章节里,恰恰说明这不是一个细枝末节的定义问题,而是整个标准阅读的前提条件。第6章中的部分通用控制会多次提到“顾客”,如果组织不知道自己当前是在控制者语境、处理者语境还是分包语境,就很容易对控制对象、通知对象和记录对象产生误判。第7章和附录A主要面向控制者,第8章和附录B主要面向处理者及其分包关系,这一点也正是通过4.4先打底,避免读者后面对“客户”一词各自理解一套。
这个条款还有一个现实意义,就是帮助组织处理 B2B 场景与 B2C 场景的术语区分。条款注释明确指出,在与个人建立企业对消费者(B2C)关系的情况下,该个人在本文档中称为“PII主体”,而不是“顾客”。这意味着 27701 的隐私语境非常强调把合同相对方与个人主体分开看。个人主体可能是受保护对象、权利主体、投诉主体,但不当然等于文中所称的“顾客”。这一点若不区分,组织极易把客户服务和数据主体响应混在一起,导致流程设计失真。
从合同和审计管理角度看,4.4还决定了证据链应该如何保存。例如处理者与客户的协议、处理者向客户的事件通知、分包处理者对上级处理者的变更告知,这些记录都要能对上条款中“顾客”的正确对象。否则即使表面看起来通知和记录都做了,审核时也可能被认定为对象错误、责任链不完整。对大型供应链和多层委外结构尤其如此,术语不清常常会在最关键的责任接口处出问题。
三、实施要点
- 在组织的术语表、合同模板和流程文件中,对“顾客”“PII主体”“控制者”“处理者”“分包处理者”做清晰区分。
- 按处理活动和合同关系识别当前场景中的顾客是谁,不要仅凭业务直觉或销售口径判断。
- 对第6章、第7章、第8章相关条款建立术语提示,防止不同团队对“顾客”对象理解不一致。
- 在培训中反复强调:个人消费者通常是 PII 主体,不一定是本标准术语中的“顾客”。
- 术语澄清不是文字工作,而是责任边界控制。
四、常用工具与实施方法
| 工具/方法 | 适用目的 | 关键输出 |
|---|---|---|
| 术语对照表 | 统一“顾客”“PII主体”“控制者”“处理者”等概念 | 隐私术语手册 |
| 合同关系图 | 确认不同服务链中的签约对象和责任对象 | 顾客识别图 |
| 场景化培训卡片 | 帮助业务、法务、客服快速判断条款语境 | 角色场景速查表 |
| 通知对象核查表 | 校验事件、分包、变更、尽调等流程中的通知对象是否正确 | 通知责任清单 |
在实践中,最有效的方法往往不是写一页术语定义,而是把典型业务场景画出来。例如“作为SaaS厂商时谁是顾客”“作为分包日志服务商时谁是顾客”“面向消费者提供服务时谁是 PII 主体”。场景一旦画清楚,后续条款就不容易再被读偏。
五、典型案例
- B2B SaaS厂商的术语混淆:某平台同时面对签约企业客户和终端用户,内部一直把两者都称作“客户”。结果在处理第8章中与客户相关的通知义务时,团队一度准备直接通知终端用户,而忽略了真正的合同客户其实是委托处理的控制者。重新回到 4.4 梳理后,组织才把客户通知、主体通知和合同义务彻底分开。
- 分包处理链条中的责任错位:某云服务处理者将部分日志分析工作分包给第三方,但在内部流程中把最终控制者当作所有通知义务的唯一对象,忽略了其直接顾客其实是上一级处理者。结果分包变更时通知链不完整。通过 4.4 重建合同关系图后,通知与审计路径被重新理顺。
这些案例说明,4.4看似短小,实际是整套标准里非常关键的“阅读校准器”。如果顾客对象没有先被校准,后续条款中的很多义务看似执行了,实际上都可能执行给了错误对象。
从可发布文章的角度看,4.4最应该写透的不是术语字面意思,而是它如何影响实际合同、流程和证据。只有把这个影响讲出来,读者才会意识到它不是一个可以跳过的小定义。
六、成文信息管理要求
| 建议保留文件 | 关键内容 |
|---|---|
| 隐私术语定义清单 | 顾客、PII主体、控制者、处理者、分包处理者等统一定义 |
| 合同关系与责任图 | 不同场景下顾客对象、责任链和通知链 |
| 流程对象说明 | 各流程中的通知对象、审批对象、审计对象 |
| 培训与宣贯记录 | 证明相关团队已理解术语差异并能正确使用 |
对于多角色、多层供应链、多区域经营的组织而言,这类文件尤其重要。它们不仅帮助内部统一术语,也能在客户尽调、审计访谈和事件处置时快速说明为什么某个条款中的“顾客”在当前语境下指的是谁。
七、常见误区及踩坑提醒
| 误区 | 问题表现 | 正确做法 |
|---|---|---|
| 把顾客等同于PII主体 | B2B与B2C流程混在一起 | 区分合同相对方与个人主体 |
| 不按角色理解顾客对象 | 控制者、处理者、分包处理场景用同一口径 | 结合合同关系与处理角色逐一判断 |
| 术语只写在文件里不进流程 | 通知、审计和事件处置对象经常选错 | 把术语差异落到模板、流程和培训中 |