ISO/IEC 27701: 2019 标准详解与实施（152）7 附加到ISO/IEC 27002的个人身份信息（PII）控制者的指南/7.2 收集和处理条件/7.2.5 隐私影响评价

7 Additional ISO/IEC 27002 guidance for PII controllers 附加到ISO/IEC 27002的个人身份信息（PII）控制者的指南/7.2 Conditions for collection and processing 收集和处理条件/7.2.5 Privacy impact assessment 隐私影响评价

7.2.5 Privacy impact assessment 隐私影响评价

Control 控制

The organization should assess the need for, and implement where appropriate, a privacy impact assessment whenever new processing of PII or changes to existing processing of PII is planned.
每当计划对个人身份信息（PII）进行新的处理或对现有个人身份信息（PII）处理进行更改时，组织应评估隐私影响评价的需求，并在适当的情况下实施隐私影响评价。

Implementation guidance 实施指南

PII processing generates risks for PII principals. These risks should be assessed through a privacy impact assessment. Some jurisdictions define cases for which a privacy impact assessment is mandated. Criteria can include automated decision making which produces legal effects on PII principals, large scale processing of special categories of PII (e.g. health-related information, racial or ethnic origin, political opinions, religious or philosophical beliefs, trade-union membership, genetic data or biometric data), or systematic monitoring of a publicly accessible area on a large scale.
个人身份信息（PII）处理会给个人身份信息（PII）主体带来风险。宜通过隐私影响评价对这些风险进行评估。一些司法管辖区定义了强制进行隐私影响评价的情况。标准可以包括对个人身份信息（PII）主体产生法律影响的自动决策，个人身份信息（PII）特殊类别（例如，健康相关的信息，种族或民族出身，政治观点，宗教或哲学信仰，工会会籍，基因数据或生物辨识数据）的大规模处理，或公众可进入的区域的大规模的系统监控。

The organization should determine the elements that are necessary for the completion of a privacy impact assessment. These can include a list of the types of PII processed, where the PII is stored and where it can be transferred. Data flow diagrams and data maps can also be helpful in this context (see 7.2.8 for details of records of the processing of PII that can inform a privacy impact or other risk assessment).
组织宜确定完成隐私影响评价所需的要素。这些要素可以包括处理的个人身份信息（PII）类型清单，个人身份信息（PII）存储位置，以及其被传输到的位置。在此环境下，数据流图和数据地图也是很有帮助的（可以对隐私影响或其他风险评价有影响的个人身份信息（PII）处理记录的详情见7.2.8）。

Other information 其他信息

Guidance on privacy impact assessments related to the processing of PII can be found in ISO/IEC 29134.
与个人身份信息（PII）处理有关的隐私影响评价指南可以参考ISO/IEC 29134。

【标准理解】

（1）ISO/IEC 27701: 2019条款7.2是属于隐私信息收集和处理管理过程，因此可以将7.2中的所有子条款要求合并在一起进行实施。

欲阅读更多内容，需要付费购买【公众号付费合集文章（200篇文章，超30万字）】

ISO/IEC 27701: 2019标准理解与实施最全面，最详尽，最精准的学习资料（20小时视频讲解+30万字解读文章），现在购买微信公众号付费合集文章（3800微信豆，200篇文章，30万字），赠送20小时讲解视频（https://video.27001.cn/course-10.html），文章内容更多，但视频里也有文章没有的内容，视频和文章可以相互补充。

对于一般咨询辅导提供的ISO/IEC 27701标准培训，一般只有1-2小时，哪怕花费数千上万的费用去参加机构的培训，一般也只有1-2天时间，其中还把内审和风险评估等内容参杂在里面，所以我提供的这个资料对于真正想学习ISO/IEC 27701的人绝对是不容错过的机会。所有已经确定收费的资料，后面都不会公开的。

虽然ISO/IEC 27701: 2025已经发布了，但是只是标准的结构变化了，其核心内容和底层逻辑是一样的，购买本次资料，后续可以抵扣ISO/IEC 27701: 2025相关学习资料的部分费用。

【行动要点】

本部分内容需要付费

【输出文档】

本部分内容需要付费

【审核要点】

本部分内容需要付费

《从食品安全到信息安全：十五年的ISO管理体系职场经历和感悟》

ISO/IEC 27701: 2019 标准详解与实施（152）7 附加到ISO/IEC 27002的个人身份信息（PII）控制者的指南/7.2 收集和处理条件/7.2.5 隐私影响评价

ISO/IEC 27701: 2019 标准详解与实施（153）7 附加到ISO/IEC 27002的个人身份信息（PII）控制者的指南/7.2 收集和处理条件/7.2.6 与个人身份信息（PII）处理者的合同

ISO/IEC 27701: 2019 标准详解与实施（151）7 附加到ISO/IEC 27002的个人身份信息（PII）控制者的指南/7.2 收集和处理条件/7.2.4 获取和记录许可

发表回复取消回复

ISO/IEC 27701: 2019 标准详解与实施（152）7 附加到ISO/IEC 27002的个人身份信息（PII）控制者的指南/7.2 收集和处理条件/7.2.5 隐私影响评价

ISO/IEC 27701: 2019 标准详解与实施（153）7 附加到ISO/IEC 27002的个人身份信息（PII）控制者的指南/7.2 收集和处理条件/7.2.6 与个人身份信息（PII）处理者的合同

ISO/IEC 27701: 2019 标准详解与实施（151）7 附加到ISO/IEC 27002的个人身份信息（PII）控制者的指南/7.2 收集和处理条件/7.2.4 获取和记录许可

发表回复 取消回复

发表回复取消回复