个人身份信息保护行为准则认证简介

1、背景介绍

近年，随着互联网经济、互联网社交的普及，越来越多的系统和平台收集个人信息并对个人信息进行存储、处理，甚至交换。个人信息的非法收集、泄露、滥用等已经成为社会性关注的焦点问题，个人权益严重受损情况屡见不鲜，甚至出现了很多与个人信息滥用有关的 违法犯罪活动。

因此，如何在个人信息安全保护和大数据利用之间达成平衡，这已成为新经济时代重要的命题。在信息化、互联网、大数据时代背景下的个人信息和隐私权保护面临了诸多困难和挑战。种种合规性的需求，促进了个人隐私标准的发展。

ISO/IEC 29151标准，是国际通行的个人身份信息保护指南，充分控制个人身份信息（PII）相关的风险，适用于任何对隐私保护有需求的组织，对开展个人身份信息保护提供了一个广泛的指南。

2、标准简介

ISO/IEC 29151:2017是通用的个人隐私保护标准，基于ISO/IEC 27002的各个域中加入了PII的事实指南，同时引入了ISO/IEC 29100十一大隐私保护原则。标准涵盖26个控制域，181条控制措施，充分控制个人身份信息(PII)相关的风险和满足影响评估所确定的要求。主体部分在ISO/IEC 27002的24个控制域基础上附加36项保护PII的实施指南；附录部分新增12个控制域，包含30项保护PII的实施指南。

3、实施意义

本标准针对我国IT技术高速发展中个人信息安全面临的安全问题，以保护个人信息为核心，规范个人信息收集、存储、处理、使用和披露等各个环节中数据操作的相关行为，进一步加强对个人可识别身份信息风险，进行准确评估并采取有效的控制措施，提高业务流程的安全性和可靠性，降低IT运营过程中的个人可识别身份信息风险，旨在遏制个人信息滥用乱象，最大程度地保障用户合法权益和社会公共利益。

4、认证依据

ISO/IEC 29151:2017

5、ISO/IEC 27701与 ISO/IEC 29151标准的区别和联系

ISO/IEC 27701基于ISO/IEC 27001和ISO/IEC 27002的各个领域，分别对个人可识别信息控制者和个人可识别信息处理者进行规范和指导，ISO/IEC 29151则是个人身份信息保护的实践指南，它主要是基于ISO/IEC 27002的各个域中加入了PII的事实指南，并引入了ISO/IEC 29100十一大隐私保护原则，可以说ISO/IEC 27701和ISO/IEC 29151都是ISO/IEC 29100的细化体现，ISO/IEC 27701满足了ISO/IEC 29151的要求，并且从体系角度给予了充分的展示与要求。

区别一：结构不同

ISO/IEC 27701是ISO/IEC 27001和ISO/IEC 27002在隐私方面的扩展，并为隐私保护提供了除ISO/IEC 27001和ISO/IEC 27002之外的额外指导。

ISO/IEC 29151描述了可被普遍接受的个人可识别身份信息（PII）安全控制措施和风险处理指南，该标准基于ISO/IEC 27002的基本结构，将ISO/IEC 29100中的隐私原则予以对应，形成使用且针对性强的PII保护措施，供组织使用。

区别二：侧重点不同

ISO/IEC 27701是ISO/IEC 27001和ISO/IEC 27002的延伸，侧重于隐私信息安全管理。

ISO/IEC 29151是个人信息保护的行为准则、是个人身份信息保护的实践指南，侧重于隐私技术。

区别三：组织如何选择

ISO/IEC 27701是基于ISO/IEC 27000信息安全管理体系标准族，适用于所有类型和规模的组织，包括公共和私营公司、政府机构和非盈利组织，他们是在ISMS中处理PII的控制者或处理者。ISO/IEC 29151是基于ISO/IEC 29100信息技术—安全技术—保密框架标准族，适用于所有类型和规模的作为PII控制者的组织，包括处理PII的公共和私营公司、政府机构和非盈利组织。

两者存在的差异使得ISO/IEC 27701认证和ISO/IEC 29151认证不可相互替换，组织可根据实际情况进行选择。

ISO/IEC 27701和ISO/IEC 29151均作为隐私方面的标准相互补充，此外，ISO/IEC 27701附录中与ISO/IEC 29151进行了映射，并且加上如何应用此标准的说明，对于想要整合多项标准的组织而言有着非常好的参考意义。

适用范围

适用于所有类型和规模的作为PII控制者的组织，包括处理PII的公共和私营公司、政府机构和非盈利组织。