一、ISO/IEC 27701:2019 5.5.2 标准原文

二、条款解读说明

5.5.2是支持章节中最容易被形式化处理的一条。很多组织一提“能力”，首先想到的就是年度培训计划和签到记录，但标准真正关心的不是培训有没有发生，而是影响 PIMS 绩效的人员是否具备完成相关工作的实际能力。在隐私管理里，这个差别尤其大。一个人可以参加过很多隐私课程，却依然不会判断主体请求的边界、不会解释处理者合同中的分包条款、不会核查删除能力是否真的落地、也不会在事件中区分需要通知谁、保留什么证据。这样的状态，显然不能被认定为“能力已具备”。

2019版通过“5.1 的扩展解释适用”把原本的信息安全岗位能力，扩展成了隐私治理语境下的岗位能力。这意味着组织必须先识别：哪些岗位会实际影响 PIMS 的结果。答案绝不只是隐私团队。法务影响合法性和合同判断，客服影响主体请求质量，产品和研发影响处理设计，采购影响分包控制，HR 影响员工数据场景，信息安全团队影响日志、访问控制和事件处置，业务部门则经常决定目的、范围和共享边界。如果这些岗位没有相匹配的能力，即便文件里职责写得很清楚，执行时仍然会频繁失真。

5.5.2与 5.5.3 意识常被混淆，但两者重点不同。意识是让相关人员知道方针、知道自己行为的后果和边界；能力则要求他们能够把正确动作做出来。以主体请求为例，员工知道“不能随便披露PII”是意识，能够按流程核验身份、找到数据、判断例外、完成留证和按时关闭，才是能力。如果组织只做意识宣导，不做岗位能力建设，通常会出现一种现象：大家都知道隐私重要，但一到复杂场景就不会做，最后还得依赖少数专家兜底。

2019版下的能力建设尤其需要强调“基于场景”。因为许多条文并没有单独写成长篇要求，而是通过扩展解释把隐私语义带进原有管理体系。这意味着组织不能只把能力要求写成抽象名词，如“了解隐私法律”“理解PIMS要求”，而应写成和场景绑定的能力，例如“能判断组织在某处理活动中的角色”“能完成删除请求的留证”“能审查分包商变更通知是否充分”“能区分安全事件和需触发隐私通知的事件”。只有这样，能力要求才是真正可验证的。

标准还要求在适用时采取措施获取必要能力，并评价措施有效性。这提醒组织，能力建设不是列清单就结束，而要形成闭环。如果某些岗位明显不具备隐私履责能力，组织就应安排培训、在岗辅导、交叉评审、引入外部支持、调整岗位分工，甚至重新设计流程。更重要的是，要验证这些措施是否真的提升了执行质量，例如请求超时率是否下降、分包审核错误是否减少、事件复盘中信息遗漏是否明显改善。

因此，5.5.2真正想推动的是“岗位胜任力治理”，而不是“课程管理”。这也是为什么它在许多 PIMS 项目中比看上去更难。隐私工作横跨多部门、多系统、多角色，如果不把岗位能力真正做成一个管理议题，组织就会在最需要精确判断的地方反复犯错。

三、实施要点

• 从流程和控制点出发识别关键岗位，再定义这些岗位的隐私能力要求。
• 把能力要求写成可观察、可验证的动作，而不是停留在抽象知识名词。
• 区分意识和能力，避免用全员宣传材料替代岗位胜任力建设。
• 对能力差距设置补足措施，并通过抽样、演练或质量指标验证其有效性。
• 5.5.2的核心是证明相关岗位不仅知道规则，而且能够把规则做对。

四、常用工具与实施方法

在实践中，组织完全可以分层推进。先保证最关键的高风险岗位达标，再逐步扩大到其他岗位。相比“所有人一次学完所有内容”，这种方式更接近真实组织能力建设，也更容易在有限资源下取得效果。

如果组织已有成熟的人力资源或质量体系能力管理机制，最有效的办法通常是把 PIMS 能力要求嵌入已有岗位说明、培训管理和绩效评价体系，而不是另立一套与业务脱节的隐私能力台账。

五、典型案例

1. 权利请求处理总出错：某平台客服参加过统一隐私培训，但删除请求仍然反复被错分到普通咨询队列。问题不在意识不足，而在客服并不具备识别请求类型和升级判断的能力。组织依据5.5.2补做场景化训练和抽样复核后，请求处理质量才提升。
2. 采购看不懂处理者合同：某企业采购团队长期按价格和交付期筛选供应商，对分包披露、返还删除和事件通知条款几乎没有能力判断，导致多家供应商合同存在明显缺口。后续通过能力矩阵识别问题，联合采购、法务和安全团队开展专项培训，风险才逐步收敛。

这些案例说明，许多隐私治理失误看上去像流程问题，实际上是岗位能力问题。只要组织愿意从岗位胜任力角度复盘，很多重复错误都能更快找到根源。

六、成文信息管理要求

这些记录最重要的作用，不是证明“组织安排过培训”，而是证明“组织识别了谁需要什么能力、目前差在哪里、如何补上、补上后是否有效”。只有形成这条证据链，5.5.2 才算真正有了管理意义。

七、常见误区及踩坑提醒