7 Additional ISO/IEC 27002 guidance for PII controllers 附加到ISO/IEC 27002的个人身份信息(PII)控制者的指南/7.3 Obligations to PII principals 对个人身份信息(PII)主体的义务/7.3.8 Providing copy of PII processed 提供处理的个人身份信息(PII)的副本

7.3.8 Providing copy of PII processed 提供处理的个人身份信息(PII)的副本

Control 控制

The organization should be able to provide a copy of the PII that is processed when requested by the PII principal.
若个人身份信息(PII)主体请求时,组织应能够提供已被处理的个人身份信息(PII)的副本。

Implementation guidance 实施指南

The organization should provide a copy of the PII that is processed in a structured, commonly used, format accessible by the PII principal.
组织宜使用个人身份信息(PII)主体易访问的结构化的,常用的格式提供已被处理的个人身份信息(PII)的副本。

Some jurisdictions define cases where the organization should provide a copy of the PII processed in a format allowing portability to the PII principals or to recipient PII controllers (typically structured, commonly used and machine readable).
一些司法管辖区定义了这类情形,组织宜使用允许个人身份信息(PII)主体或接收的个人身份信息(PII)控制者移植的格式提供被处理的个人身份信息(PII)的副本(典型结构化的,常使用的和机器可读的)。

The organization should ensure that any copies of PII provided to a PII principal relate specifically to that PII principal.
组织宜确保向个人身份信息(PII)主体所提供的个人身份信息(PII)副本具体地关联到个人身份信息(PII)主体。

Where the requested PII has already been deleted subject to the retention and disposal policy (as described in 7.4.7), the PII controller should inform the PII principal that the requested PII has been deleted.
如果所请求的个人身份信息(PII)已经按照保存和清除策略(如7.4.7所描述)被删除,个人身份信息(PII)控制者宜向个人身份信息(PII)主体告知其所请求的个人身份信息(PII)已经被删除。

In cases where the organization is no longer able to identify the PII principal (e.g. as a result of a deidentification process), the organization should not seek to (re-)identify the PII principals for the sole reason of implementing this control. However, in some jurisdictions, legitimate requests can require that additional information should be requested from the PII principal to enable re-identification and subsequent disclosure.
如果组织不再能够识别个人身份信息(PII)主体(例如,由于去识别过程),那么组织不宜仅出于实施此控制的原因而寻求(重新)识别个人身份信息(PII)主体。然而,在一些司法管辖区,合法请求可能需要从个人身份信息(PII)主体那里请求额外的信息,以便使得能够重新识别和随后的披露。

Where technically feasible, it should be possible to transfer a copy of the PII from one organization directly to another organization, at the request of the PII principal.
如果技术可行的情况下,应个人身份信息(PII)主体的请求,个人身份信息(PII)的副本从一个组织直接传输至另外一个组织宜是可能的。

【标准理解】

(1)ISO/IEC 27701: 2019条款7.3是属于面向个人身份信息主体义务履行管理过程,因此可以将7.3中的所有子条款要求合并在一起进行实施。

欲阅读更多内容,需要付费购买【公众号付费合集文章(200篇文章,超30万字)

ISO/IEC 27701: 2019标准理解与实施最全面,最详尽,最精准的学习资料(20小时视频讲解+30万字解读文章),现在购买微信公众号付费合集文章(3800微信豆,200篇文章,30万字),赠送20小时讲解视频(https://video.27001.cn/course-10.html),文章内容更多,但视频里也有文章没有的内容,视频和文章可以相互补充。

对于一般咨询辅导提供的ISO/IEC 27701标准培训,一般只有1-2小时,哪怕花费数千上万的费用去参加机构的培训,一般也只有1-2天时间,其中还把内审和风险评估等内容参杂在里面,所以我提供的这个资料对于真正想学习ISO/IEC 27701的人绝对是不容错过的机会。所有已经确定收费的资料,后面都不会公开的。

虽然ISO/IEC 27701: 2025已经发布了,但是只是标准的结构变化了,其核心内容和底层逻辑是一样的,购买本次资料,后续可以抵扣ISO/IEC 27701: 2025相关学习资料的部分费用。

【行动要点】

本部分内容需要付费

【输出文档】

本部分内容需要付费

【审核要点】

本部分内容需要付费