ISO/IEC 27701: 2019 标准详解与实施（180）8 附加到ISO/IEC 27002的个人身份信息（PII）处理者的指南/8.2 收集和处理条件/8.2.1 顾客协议

8 Additional ISO/IEC 27002 guidance for PII processors 附加到ISO/IEC 27002的个人身份信息（PII）处理者的指南/8.2 Conditions for collection and processing 收集和处理条件/8.2.1 Customer agreement 顾客协议

8.2.1 Customer agreement 顾客协议

Control 控制

The organization should ensure, where relevant, that the contract to process PII addresses the organization’s role in providing assistance with the customer’s obligations (taking into account the nature of processing and the information available to the organization).
若适宜，组织应确保处理个人身份信息（PII）的合同明确组织对顾客的义务提供帮助所承担的角色（考虑处理的性质和组织可获得的信息）。

Implementation guidance 实施指南

The contract between the organization and the customer should include the following wherever relevant, and depending on the customer’s role (PII controller or PII processor) (this list is neither definitive nor exhaustive):
组织和顾客之间的合同宜包含以下内容（若适宜），以及由顾客角色（个人身份信息（PII）控制者或个人身份信息（PII）处理者）决定的内容（该列表既非最终也非详尽的）：

— privacy by design and privacy by default (see 7.4, 8.4);
— 隐私设计和隐私默认保护（见7.4, 8.4）；

— achieving security of processing;
— 实现安全的处理；

— notification of breaches involving PII to a supervisory authority;
— 对监管机构的涉及个人身份信息（PII）破坏行为的通知；

— notification of breaches involving PII to customers and PII principals;
— 对顾客和个人身份信息（PII）主体的涉及个人身份信息（PII）破坏行为的通知；

— conducting Privacy Impact Assessments (PIA); and
— 实施隐私影响评价（PIA）；

— the assurance of assistance by the PII processor if prior consultations with relevant PII protection authorities are needed.
— 个人身份信息（PII）处理者提供帮助的保证，如果需要事先咨询相关的个人身份信息（PII）保护机构。

Some jurisdictions require that the contract include the subject matter and duration of the processing, the nature and purpose of the processing, the type of PII and categories of PII principals.
一些司法管辖区要求该合同包含处理的主题和持续时间，处理的性质和目的，个人身份信息（PII）的类型，以及个人身份信息（PII）主体的类别。

【标准理解】

（1）ISO/IEC 27701: 2019条款8.2是属于隐私信息收集和处理管理过程，因此可以将8.2中的所有子条款要求合并在一起进行实施。

欲阅读更多内容，需要付费购买【公众号付费合集文章（200篇文章，超30万字）】

ISO/IEC 27701: 2019标准理解与实施最全面，最详尽，最精准的学习资料（20小时视频讲解+30万字解读文章），现在购买微信公众号付费合集文章（3800微信豆，200篇文章，30万字），赠送20小时讲解视频（https://video.27001.cn/course-10.html），文章内容更多，但视频里也有文章没有的内容，视频和文章可以相互补充。

对于一般咨询辅导提供的ISO/IEC 27701标准培训，一般只有1-2小时，哪怕花费数千上万的费用去参加机构的培训，一般也只有1-2天时间，其中还把内审和风险评估等内容参杂在里面，所以我提供的这个资料对于真正想学习ISO/IEC 27701的人绝对是不容错过的机会。所有已经确定收费的资料，后面都不会公开的。

虽然ISO/IEC 27701: 2025已经发布了，但是只是标准的结构变化了，其核心内容和底层逻辑是一样的，购买本次资料，后续可以抵扣ISO/IEC 27701: 2025相关学习资料的部分费用。

【行动要点】

本部分内容需要付费

【输出文档】

本部分内容需要付费

【审核要点】

本部分内容需要付费

《从食品安全到信息安全：十五年的ISO管理体系职场经历和感悟》

ISO/IEC 27701: 2019 标准详解与实施（180）8 附加到ISO/IEC 27002的个人身份信息（PII）处理者的指南/8.2 收集和处理条件/8.2.1 顾客协议

ISO/IEC 27701: 2019 标准详解与实施（181）8 附加到ISO/IEC 27002的个人身份信息（PII）处理者的指南/8.2 收集和处理条件/8.2.2 组织的目的

ISO/IEC 27701: 2019 标准详解与实施（179）8 附加到ISO/IEC 27002的个人身份信息（PII）处理者的指南/8.1 总则

发表回复取消回复

ISO/IEC 27701: 2019 标准详解与实施（180）8 附加到ISO/IEC 27002的个人身份信息（PII）处理者的指南/8.2 收集和处理条件/8.2.1 顾客协议

ISO/IEC 27701: 2019 标准详解与实施（181）8 附加到ISO/IEC 27002的个人身份信息（PII）处理者的指南/8.2 收集和处理条件/8.2.2 组织的目的

ISO/IEC 27701: 2019 标准详解与实施（179）8 附加到ISO/IEC 27002的个人身份信息（PII）处理者的指南/8.1 总则

发表回复 取消回复

发表回复取消回复