发布时间：2020-08-20 作者：广汇联合来源：广汇联合

一、适用于控制者和处理者的要求

1.保密性：经授权访问PII的个人必须履行保密协议。

2.分析风险：必须进行隐私风险评估以识别PII处理风险。

3.监管：组织机构必须指定负责开发、实现、维护和监视其治理及隐私项目的个人。

4.培训：可以访问PII的人员需经过隐私意识培训。

5.内部过程：组织机构必须为应对PII泄露事件而采纳各种策略和规程，比如事件响应计划。

6.记录保存：ISO27701要求组织机构保留所有PII处理活动的记录，包括PII在司法辖区间转移和向第三方披露等。

二、特定于控制者的要求

1.隐私通告：组织机构必须提供包含PII收集、使用和处理相关具体信息的隐私政策。

2.处理者合同要求：组织机构必须与其处理者签订书面合同，约定具体事项，比如保护PII、限制处理操作仅可在PII特定用途范围内，以及提供PII泄露通报。

3.个人权益：ISO27701要求组织机构实现各种机制，赋予个人访问、修改和删除其PII，以及反对或限制PII处理等权益。

4.设计隐私与默认隐私：组织机构必须采取措施实现设计隐私和默认隐私原则。

三、特定于处理者的要求

1.处理限制：组织机构必须仅按控制者或处理者（取决于客户的角色）的说明处理PII。

2.辅助个人权益：ISO27701要求处理者实现帮助客户遵从个人权益的种种措施。

3.转移与披露：处理者必须于PII在司法辖区间转移或任何预期变化发生前通告客户。

4.分包商：ISO27701要求处理者仅可雇佣一家分包商按照客户合同的条款处理PII。

如您想更详细的了解ISO27701标准，需要ISO27701标准，请您网络搜索广汇联合，快人一步，成就管理者风范。