| 7 Additional ISO/IEC 27002 guidance for PII controllers 附加到ISO/IEC 27002的个人身份信息(PII)控制者的指南/7.2 Conditions for collection and processing 收集和处理条件/7.2.2 Identify lawful basis 识别合法依据 |
7.2.2 Identify lawful basis 识别合法依据 Control 控制 The organization should determine, document and comply with the relevant lawful basis for the processing of PII for the identified purposes. 组织应确定,文件化和遵守因表明的目的而处理个人身份信息(PII)的适用的合法依据。 Implementation guidance 实施指南 Some jurisdictions require the organization to be able to demonstrate that the lawfulness of processing was duly established before the processing. 一些司法管辖区要求组织能够证明在处理之前就已经适当地建立了处理的合法性。 The legal basis for the processing of PII can include: 个人身份信息(PII)处理的法律依据可以包括: — consent from PII principals; — 个人身份信息(PII)主体的许可; — performance of a contract; — 合同的履行; — compliance with a legal obligation; — 法律义务的遵守; — protection of the vital interests of PII principals; — 个人身份信息(PII)主体的切身利益的保护; — performance of a task carried out in the public interest; — 符合公众利益的任务履行的实施。 — legitimate interests of the PII controller. — 个人身份信息(PII)控制者的合法利益。 The organization should document this basis for each PII processing activity (see 7.2.8). 组织宜文件化每个个人身份信息(PII)处理活动的依据(见7.2.8)。 The legitimate interests of the organization can include, for instance, information security objectives, which should be balanced against the obligations to PII principals with regards to privacy protection. 组织的合法利益(可以包括,例如,信息安全目标),宜与个人身份信息(PII)主体相关的隐私保护义务进行平衡。 Whenever special categories of PII are defined, either by the nature of the PII (e.g. health information) or by the PII principals concerned (e.g. PII relating to children) the organization should include those categories of PII in its classification schemes. 不论是根据个人身份信息(PII)性质(例如,健康信息),还是根据关注的个人身份信息(PII)主体(例如,与儿童相关的个人身份信息(PII)),来定义个人身份信息(PII)特殊类别之时,组织宜将这些类别纳入到组织的分类方案之中。 The classification of PII that falls into these categories can vary from one jurisdiction to another and can vary between different regulatory regimes that apply to different kinds of business, so the organization needs to be aware of the classification(s) that apply to the PII processing being performed. 属于这些类别的个人身份信息(PII)的分类,可能因不同的司法管辖区而不同,以及因适用于不同业务类型的不同的监管制度而不同,因此组织需要知道适用于被执行的个人身份信息(PII)处理的分类。 The use of special categories of PII can also be subject to more stringent controls. 个人身份信息(PII)的特殊类型的使用也可以受到更严格的控制。 Changing or extending the purposes for the processing of PII can require updating and/or revision of the legal basis. It can also require additional consent to be obtained from the PII principal. 变更或扩展个人身份信息(PII)处理的目的,可能要求更新和/或修订法律依据,也可能要求需要从个人身份信息(PII)主体获得附加的许可。 |
【标准理解】
(1)ISO/IEC 27701: 2019条款7.2是属于隐私信息收集和处理管理过程,因此可以将7.2中的所有子条款要求合并在一起进行实施。
欲阅读更多内容,需要付费购买【公众号付费合集文章(200篇文章,超30万字)】
ISO/IEC 27701: 2019标准理解与实施最全面,最详尽,最精准的学习资料(20小时视频讲解+30万字解读文章),现在购买微信公众号付费合集文章(3800微信豆,200篇文章,30万字),赠送20小时讲解视频(https://video.27001.cn/course-10.html),文章内容更多,但视频里也有文章没有的内容,视频和文章可以相互补充。
对于一般咨询辅导提供的ISO/IEC 27701标准培训,一般只有1-2小时,哪怕花费数千上万的费用去参加机构的培训,一般也只有1-2天时间,其中还把内审和风险评估等内容参杂在里面,所以我提供的这个资料对于真正想学习ISO/IEC 27701的人绝对是不容错过的机会。所有已经确定收费的资料,后面都不会公开的。
虽然ISO/IEC 27701: 2025已经发布了,但是只是标准的结构变化了,其核心内容和底层逻辑是一样的,购买本次资料,后续可以抵扣ISO/IEC 27701: 2025相关学习资料的部分费用。
【行动要点】
本部分内容需要付费
【输出文档】
本部分内容需要付费
【审核要点】
本部分内容需要付费
