一、ISO29151是什么？

ISO/IEC 29151 是个人身份信息保护管理体系，在信息化、互联网、大数据时代背景下的个人信息和隐私权保护面临了诸多困难和挑战。种种合规性的需求，促进了个人隐私标准的发展，这其中，ISO/IEC 29151:2017 认证，是国际通行的个人身份信息保护指南，涵盖 26 个控制域，181 条控制措施，充分控制个人身份信息(PII)相关的风险，适用于任何对隐私保护有需求的组织，对开展个人身份信息保护提供了一个广泛的指南。

二、ISO29151标准认证的适用范围:

（一）ISO29151在不同处理领域的应用:

a)公共云服务，

b)社交网络应用程序，

c)家用互联网连接设备，

d)搜索，分析，

e)将PII作为广告和类似目的用途的使用，

f)大数据分析，

g)就业处理，

h)销售和服务业务管理(企业资源规划，客户关系管理)。

（二）ISO29151在不同场合的应用:

a)为个人提供的个人处理平台上(如智能卡，智能手机及其应用程序，智能电表，可穿戴设备)，

b)在数据传输和收集网络中(例如，通过网络处理手机上定位数据，在某些国家地区可能被视为PIl )，

c)在一个组织自身的处理基础设施内。

d)在第三方的处理平台上;

（三）ISO29151在不同收集特性的应用∶

a)一次性数据收集(例如，注册服务)，

b)待续进行的数据收集（例如，通过个人身体上或身体内的传感器频繁监测健康参数;使用非接触式支付卡进行多次数据收集;智能电表数据收集系统等)。

三、ISO29151个人隐私保护体系项目实施基于ISO29151标准内容和相关内外部合规要求，建立基于PDCA的持续改进机制。体系建设主要准备以下内容:

(一）个人数据生命周期梳理及PII信息清单编制；

(二）隐私风险影响评估(PIA)；

(三）适用性声明编写；

(四）管理体系文件更新。

四、ISO29151标准中PII的信息安全角色和职责:

ISO29151标准要求需要明确规定保护个人身份信息的角色和责任，并妥善记录并传达以下要求:

a)组织应分配高级管理成员[有时称为首席隐私官(CPO)]对PII承担保护的责任;

b)应明确指明，每个角色担当的PII保护职能，负责与组织内的信息安全职能进行协调;

c)参与PII处理的所有人(包括用户和支待人员)应在其工作指南中包含适当的PII保护要求。

己建立的PI保护功能应与处理PlI的其他功能（信息安全功能)密切协作，ISO29151标准要求包括:

--由PII保护相关法规法引起的安全要求;

--协助解释法律法规和合同条款的功能;

--处理数据泄露。

该组织应审查是否需要并酌情建立跨职能的委员会，或由处理PI职能的高级成员组成的委员会。

PIl的保护是一个多学科的职能，这样的委员会可以帮助主动发现改进机会，识别PIA 的新风险和领域，制定预防措施，检测违规行为并采取纠正措施等。

建议小组应定期开会，并由:a)中确定的负责PI保护的人担任负责人。

PII控制者应要求其PII处理者指定一个联系点，以解决合同下有关PII的处理问题。

负有PI保护职能的人应向CPO报告，以确保他们有足够的权力履行其职责。