ISO29151标准目的合法性

目标： 确保处理PII的目的符合适用法律，并依赖于可允许的法律依据。 控制 组织应采取适当措施确保PII处理符合适用法律并依赖于可允许的法律依据。 保护PII的实施指南 组织应该： a）提出的处理是基于法律基础（例如，执法、公共安全、法律义务或PII主体的合法 利益）的同意进行的; b）确定拟处理过程是否受法律（例如执法，公共安全或法律义务）的约束，该法律禁 止PI

ISO29151标准PII类型处理的选择

目标 ：在适当和可行的情况下，向PII主体提供：不允许控制者处理PII、拒绝、撤回同意、反对特定类型处理的选择；并向PII主体解释，授予或拒绝同意的含义。 控制 组织应向PII主体提供清晰，突出，易于理解，可访问和负担得起的机制，以便主体行选择权，但PII主体不能自由同意，或适用法律明确允许在未经PII委托人同意的情况下处理PII除外。 保护PII的实施指南 a）确保PII主体

ISO29151标准PII的同意权

目标： 通过行使有意义、知情、自由的同意权，使PII主体积极参与有关处理其PII的决策过程，除非法律和法规另有限制。 组织应为PII主体提供必要的手段，以行使有意义的、知情的、明确的和自由的同意权。除非：PII主体不能自由拒绝同意，适用法律允许在没有主体同意的情况下处理PIL保始PII的实施指南组织应该： a）确定获得PII主体同意的流程，并分析所选择的流程不可用的

ISO29151标准PII控制者合同需要提供的内容

ISO29151标准PII控制者合同需要提供以下内容： 1、根据合同进行处理的规模，性质和
目的的适当声明； 
2、贼予PII主体访问和审査其PII,处
理PII主体提岀的任何投诉的能力;
 3、为履行法律或监管要求而采取的其
他组织措施； 4、授权PII控制人员在PII处理者的场
所进行审计； 5、在数据泄露，未经授权的处理，其
他不履行合同条款和条件的情况下，有报
告的义务、包括

ISO29151标准保护PII的实施指南

需要明确规定保护个人身份信息的 角色和责任，并妥善记录并传达。特别： a） 组织应分配髙级管理成员［有时称 为首席隐私官（CPO）］对PII承担保护 的责任； b） 应明确指明，每个角色担当的PII 保护职能，负责与组织内的信息安全职能 进行协调； c） 参与PII处理的所有人（包括用户 和支持人员）应在其工作指南中包含适当 的PII保护要求。 已建立的PII保护功能应与处理PII

ISO/IEC 29151中PII的信息分类有什么？

ISO/IEC 29151 中PII的信息分类： ISO29151 标准要求组织应使用现有的或新创建的分类类别，对包含 PII 的所有信息进行分类。 新的分类类别应包括但不限于常规的分类，如敏感和不敏感的 PII。 分类方案还可以包括更具体的类别，例如：个人健康信息 (PHI) , 个人财务信息 (PFI) 。 如果组织创建新的分类类别，那么应该定义对这些分类的保护级别。实际使用的类别还应取决于相关数据保