ISO/IEC 27701: 2019 标准详解与实施（159）7 附加到ISO/IEC 27002的个人身份信息（PII）控制者的指南/7.3 对个人身份信息（PII）主体的义务/7.3.4 提供修改或撤回许可的机制

7 Additional ISO/IEC 27002 guidance for PII controllers 附加到ISO/IEC 27002的个人身份信息（PII）控制者的指南/7.3 Obligations to PII principals 对个人身份信息（PII）主体的义务/7.3.4 Providing mechanism to modify or withdraw consent 提供修改或撤回许可的机制

7.3.4 Providing mechanism to modify or withdraw consent 提供修改或撤回许可的机制

Control 控制

The organization should provide a mechanism for PII principals to modify or withdraw their consent.
组织应向个人身份信息（PII）主体提供修改或撤回其许可的机制。

Implementation guidance 实施指南

The organization should inform PII principals of their rights related to withdrawing consent (which may vary by jurisdiction) at any time, and provide the mechanism to do so. The mechanism used for withdrawal depends on the system; it should be consistent with the mechanisms used for obtaining consent when possible. For example, if the consent is collected by email or a website, the mechanism for withdrawing it should be the same, not an alternative solution such as phone or fax.
组织宜向个人身份信息（PII）主体提供其在任何时候撤回许可的相关权利（不同司法管辖区也许有所不同），以及提供如何撤回许可的机制。所使用的撤回机制是由系统来决定的；若可行，许可撤回机制宜与许可获得的机制保持一致。例如，如果许可是通过电子邮件或网站收集的，那么撤回许可的机制宜是一样的，不能通过代替的方式，诸如电话或传真。

Modifying consent can include placing restrictions on the processing of PII, which can include restricting the PII controller from deleting the PII in some cases.
修改许可可以包括对个人身份信息（PII）的处理设置限制条件，这可以包括在某些情况下限制个人身份信息（PII）控制者删除个人身份信息（PII）。

Some jurisdictions impose restrictions on when and how a PII principal can modify or withdraw their consent.
一些司法管辖区强制推行了个人身份信息（PII）主体何时以及如何可以修改或撤回其许可的限制条件。

The organization should record any request to withdraw or change consent in a similar way to the recording of the consent itself.
组织宜使用记录许可本身的类似方式记录所有对许可撤回或变更的请求。

Any change of consent should be disseminated, through appropriate systems, to authorized users and to relevant third parties.
宜通过适宜的系统，将许可的任何变更传播给授权用户和相关的第三方。

The organization should define a response time and requests should be handled according to it.
组织宜定义响应时间，并据此来处理相关的请求。

Additional information 附加信息

When consent for particular processing of PII is withdrawn, all the processing of PII performed before withdrawal should normally be considered as appropriate, but the results of such processing should not be used for new processing. For example, if a PII principal withdraws their consent for profiling, their profile should not be further used or consulted.
当个人身份信息（PII）的特定处理的许可被撤回，在许可撤回之前执行的个人身份信息（PII）的所有处理通常被认为是适当的，但是这类处理结果，不宜被用来做新的处理。例如，如果身份信息（PII）主体撤回了其资料收集的许可，那么其资料不可以进一步被使用或被查阅。

【标准理解】

（1）ISO/IEC 27701: 2019条款7.3是属于面向个人身份信息主体义务履行管理过程，因此可以将7.3中的所有子条款要求合并在一起进行实施。

欲阅读更多内容，需要付费购买【公众号付费合集文章（200篇文章，超30万字）】

ISO/IEC 27701: 2019标准理解与实施最全面，最详尽，最精准的学习资料（20小时视频讲解+30万字解读文章），现在购买微信公众号付费合集文章（3800微信豆，200篇文章，30万字），赠送20小时讲解视频（https://video.27001.cn/course-10.html），文章内容更多，但视频里也有文章没有的内容，视频和文章可以相互补充。

对于一般咨询辅导提供的ISO/IEC 27701标准培训，一般只有1-2小时，哪怕花费数千上万的费用去参加机构的培训，一般也只有1-2天时间，其中还把内审和风险评估等内容参杂在里面，所以我提供的这个资料对于真正想学习ISO/IEC 27701的人绝对是不容错过的机会。所有已经确定收费的资料，后面都不会公开的。

虽然ISO/IEC 27701: 2025已经发布了，但是只是标准的结构变化了，其核心内容和底层逻辑是一样的，购买本次资料，后续可以抵扣ISO/IEC 27701: 2025相关学习资料的部分费用。

【行动要点】

本部分内容需要付费

【输出文档】

本部分内容需要付费

【审核要点】

本部分内容需要付费

《从食品安全到信息安全：十五年的ISO管理体系职场经历和感悟》

ISO/IEC 27701: 2019 标准详解与实施（159）7 附加到ISO/IEC 27002的个人身份信息（PII）控制者的指南/7.3 对个人身份信息（PII）主体的义务/7.3.4 提供修改或撤回许可的机制

ISO/IEC 27701: 2019 标准详解与实施（160）7 附加到ISO/IEC 27002的个人身份信息（PII）控制者的指南/7.3 对个人身份信息（PII）主体的义务/7.3.5 提供反对个人身份信息（PII）处理的机制

ISO/IEC 27701: 2019 标准详解与实施（158）7 附加到ISO/IEC 27002的个人身份信息（PII）控制者的指南/7.3 对个人身份信息（PII）主体的义务/7.3.3 向个人身份信息（PII）主体提供信息

发表回复取消回复

ISO/IEC 27701: 2019 标准详解与实施（159）7 附加到ISO/IEC 27002的个人身份信息（PII）控制者的指南/7.3 对个人身份信息（PII）主体的义务/7.3.4 提供修改或撤回许可的机制

ISO/IEC 27701: 2019 标准详解与实施（160）7 附加到ISO/IEC 27002的个人身份信息（PII）控制者的指南/7.3 对个人身份信息（PII）主体的义务/7.3.5 提供反对个人身份信息（PII）处理的机制

ISO/IEC 27701: 2019 标准详解与实施（158）7 附加到ISO/IEC 27002的个人身份信息（PII）控制者的指南/7.3 对个人身份信息（PII）主体的义务/7.3.3 向个人身份信息（PII）主体提供信息

发表回复 取消回复

发表回复取消回复