ISO/IEC 27701: 2019 标准详解与实施（154）7 附加到ISO/IEC 27002的个人身份信息（PII）控制者的指南/7.2 收集和处理条件/7.2.7 共同个人身份信息（PII）控制者

7 Additional ISO/IEC 27002 guidance for PII controllers 附加到ISO/IEC 27002的个人身份信息（PII）控制者的指南/7.2 Conditions for collection and processing 收集和处理条件/7.2.7 Joint PII controller 共同个人身份信息（PII）控制者

7.2.7 Joint PII controller 共同个人身份信息（PII）控制者

Control 控制

The organization should determine respective roles and responsibilities for the processing of PII (including PII protection and security requirements) with any joint PII controller.
组织应与所有共同个人身份信息（PII）控制者确定各自的个人身份信息（PII）处理的角色和责任（包含个人身份信息（PII）保护和安全要求）。

Implementation guidance 实施指南

Roles and responsibilities for the processing of PII should be determined in a transparent manner.
个人身份信息（PII）处理的角色和责任宜是以透明的方式进行被确定的。

These roles and responsibilities should be documented in a contract or any similar binding document that contains the terms and conditions for the joint processing of PII. In some jurisdictions, such an agreement is called a data sharing agreement.
这些角色和责任宜以书面的形式被书写在合同或任何类似协议文件中，其包含个人身份信息（PII）共同处理的条款和条件。在一些司法管辖区，这类协议被称作数据共享协议。

A joint PII controller agreement can include (this list is neither definitive nor exhaustive):
共同个人身份信息（PII）控制者协议可以包括（这个列表既非是最终确定的，也非是详尽的）：

— purpose of PII sharing / joint PII controller relationship;
— 个人身份信息（PII）共享的目的/共同个人身份信息（PII）控制者的关系；

— identity of the organizations (PII controllers) that are part of the joint PII controller relationship;
— 组织的身份（个人身份信息（PII）控制者），其作为共同个人身份信息（PII）控制者关系的一部分；

— categories of PII to be shared and/or transferred and processed under the agreement;
— 在协议中，被共享的，和/或被传输的，和被处理的个人身份信息（PII）的类别；

— overview of the processing operations (e.g. transfer, use);
— 处理操作的概述（例如，传输，使用）；

— description of the respective roles and responsibilities;
— 各自的角色和责任的描述；

— responsibility for implementing technical and organizational security measures for PII protection;
— 为个人身份信息（PII）保护所实施的技术和组织安全措施的责任；

— definition of responsibility in case of a PII breach (e.g. who will notify, when, mutual information);
— 发生个人身份信息（PII）破坏事件时的责任的定义（例如，谁来通知，何时，交互信息）；

— terms of retention and/or disposal of PII;
— 个人身份信息（PII）的清除和/或保存的条款；

— liabilities for failure to comply with the agreement;
— 因未遵守协议而承担的责任；

— how obligations to PII principals are met;
— 如何履行对个人身份信息（PII）主体的义务；

— how to provide PII principals with information covering the essence of the arrangement between the joint PII controllers;
— 如何向个人身份信息（PII）主体提供信息，其涵盖共同个人身份信息（PII）控制者之间的约定的本质。

— how PII principals can obtain other information they are entitled to receive; and
— 个人身份信息（PII）主体如何能够获得其有权利接收的其他信息；

— a contact point for PII principals.
— 个人身份信息（PII）的联络点。

【标准理解】

（1）ISO/IEC 27701: 2019条款7.2是属于隐私信息收集和处理管理过程，因此可以将7.2中的所有子条款要求合并在一起进行实施。

欲阅读更多内容，需要付费购买【公众号付费合集文章（200篇文章，超30万字）】

ISO/IEC 27701: 2019标准理解与实施最全面，最详尽，最精准的学习资料（20小时视频讲解+30万字解读文章），现在购买微信公众号付费合集文章（3800微信豆，200篇文章，30万字），赠送20小时讲解视频（https://video.27001.cn/course-10.html），文章内容更多，但视频里也有文章没有的内容，视频和文章可以相互补充。

对于一般咨询辅导提供的ISO/IEC 27701标准培训，一般只有1-2小时，哪怕花费数千上万的费用去参加机构的培训，一般也只有1-2天时间，其中还把内审和风险评估等内容参杂在里面，所以我提供的这个资料对于真正想学习ISO/IEC 27701的人绝对是不容错过的机会。所有已经确定收费的资料，后面都不会公开的。

虽然ISO/IEC 27701: 2025已经发布了，但是只是标准的结构变化了，其核心内容和底层逻辑是一样的，购买本次资料，后续可以抵扣ISO/IEC 27701: 2025相关学习资料的部分费用。

【行动要点】

本部分内容需要付费

【输出文档】

本部分内容需要付费

【审核要点】

本部分内容需要付费

《从食品安全到信息安全：十五年的ISO管理体系职场经历和感悟》

ISO/IEC 27701: 2019 标准详解与实施（154）7 附加到ISO/IEC 27002的个人身份信息（PII）控制者的指南/7.2 收集和处理条件/7.2.7 共同个人身份信息（PII）控制者

ISO/IEC 27701: 2019 标准详解与实施（155）7 附加到ISO/IEC 27002的个人身份信息（PII）控制者的指南/7.2 收集和处理条件/7.2.8 处理个人身份信息（PII）有关的记录

ISO/IEC 27701: 2019 标准详解与实施（153）7 附加到ISO/IEC 27002的个人身份信息（PII）控制者的指南/7.2 收集和处理条件/7.2.6 与个人身份信息（PII）处理者的合同

发表回复取消回复

ISO/IEC 27701: 2019 标准详解与实施（154）7 附加到ISO/IEC 27002的个人身份信息（PII）控制者的指南/7.2 收集和处理条件/7.2.7 共同个人身份信息（PII）控制者

ISO/IEC 27701: 2019 标准详解与实施（155）7 附加到ISO/IEC 27002的个人身份信息（PII）控制者的指南/7.2 收集和处理条件/7.2.8 处理个人身份信息（PII）有关的记录

ISO/IEC 27701: 2019 标准详解与实施（153）7 附加到ISO/IEC 27002的个人身份信息（PII）控制者的指南/7.2 收集和处理条件/7.2.6 与个人身份信息（PII）处理者的合同

发表回复 取消回复

发表回复取消回复