1���、在隐私合规治理和体系架构层面
ISO/IEC27701:2019国际标准的优势在于:在利益相关方之间提供隐私保护与合规的透明度;展现企业的数据隐私道德;
有助于增强组织与组织之间���、组织与个人之间的信任;提供更具协作性的方法���,帮助组织贯彻隐私保护的责任;
通过更有效的业务协议���,明确组织与组织之间���、组织与个人之间的责任模型;通过更清晰的角色和职责���,落实组织内部的隐私信息管理工作;
通过与ISO/IEC27001相结合���,减少管理体系实施的复杂性。
2���、在体系实施的实战层面
ISO/IEC 27701:2019标准的价值在于“集大成”���,该标准直接沿用或优化了大量ISO/IEC 27018���、ISO/IEC29151条款���,又加入了来自GDPR的元素���,在ISO/IEC 27701:2019附录中还将本标准与GDPR���、ISO/IEC29100���、ISO/IEC 27018及ISO/IEC 29151进行了映射。
然而lISO/IEC 27701:2019并没有尝试去完全覆盖任何一部已有的标准���,ISO/IEC 27018���、ISO/IEC 29151作为隐私管理方面指南性标准���,各有侧重���,在某些条款上���,与ISO/IEC 27701标准的指南部分形成了互补。针对提供公有云业务的互联网企业仍可以继续参照ISO/IEC 27018进行体系实施���,而另一些期望获得更多实施指南的企业则可以继续参照lSO/IEC 29151进行体系实施。
3���、在法律符合性层面
ISO/IEC 27701:2019是一部兼顾不同国家地区法规要求的标准���,ISO/IEC 27701:2019无法完全符合GDPR作为欧盟法规的细节性要求(例如:发现Data Breach之后72小时上报监管机构���、DPIA评估之后无法有效降低高风险时应在处理前向监管机构咨询等)���,但在隐私原则���、数据主体权利方面���,与GDPR几乎是吻合的。
对于面向欧盟客户(不论是To B还是ToC)开展个人数据处理业务的组织���,如果希望更好的证明自身对标GDPR的符合程度���,ISO/IEC 27701和BS10012“双证模式”是个不错的选择;对于其他面向非欧盟客户开展个人数据处理业务的组织���,认证ISO/IEC 27701是很好的选择。
