ISO/IEC 27701: 2019 标准详解与实施（190）8 附加到ISO/IEC 27002的个人身份信息（PII）处理者的指南/8.5 个人身份信息的共享，转移和披露/8.5.1 个人身份信息（PII）在司法管辖区之间转移的依据

8 Additional ISO/IEC 27002 guidance for PII processors 附加到ISO/IEC 27002的个人身份信息（PII）处理者的指南/8.5 PII sharing, transfer, and disclosure 个人身份信息的共享，转移和披露/8.5.1 Basis for PII transfer between jurisdictions 个人身份信息（PII）在司法管辖区之间转移的依据

8.5.1 Basis for PII transfer between jurisdictions 个人身份信息（PII）在司法管辖区之间转移的依据

Control 控制

The organization should inform the customer in a timely manner of the basis for PII transfers between jurisdictions and of any intended changes in this regard, so that the customer has the ability to object to such changes or to terminate the contract.
组织应采取及时的方式将个人身份信息（PII）在司法管辖区之间转移的依据和在这方面的所有预期的变更通知到顾客，以便顾客有能力反对此类变更或终止合同。

Implementation guidance 实施指南

PII transfer between jurisdictions can be subject to legislation and/or regulation depending on the jurisdiction or organization to which PII is to be transferred (and from where it originates). The organization should document compliance with such requirements as the basis for transfer.
在司法管辖区之间的个人身份信息（PII）转移可能受法律和/法规约束，这取决于个人身份信息（PII）被转移到的司法管辖区或组织（以及其来源地）。组织宜按照转移依据文件化此类要求的符合性。

The organization should inform the customer of any transfer of PII, including transfers to:
组织宜将所有个人身份信息（PII）的转移通知到顾客，包括转移到：

— suppliers;
— 供应商；

— other parties;
— 其他相关方；

— other countries or international organizations.
— 其他国家或国际组织。

In case of changes, the organization should inform the customer in advance, according to an agreed timeframe, so that the customer has the ability to object to such changes or to terminate the contract.
如果发生变更，组织宜按照约定的时间框架提前通知顾客，以便顾客有能力反对此类变更或终止合同。

The agreement between the organization and the customer can have clauses where the organization can implement changes without informing the customer. In these cases, the limits of this allowance should be set (e.g. the organization can change suppliers without informing the customer, but cannot transfer PII to other countries).
组织和顾客之间的协议可能有无需通知顾客组织便可实施变更的条款。对于这些情况，此认可的限度宜被设定（例如，组织可以变更供应商而无需通知顾客，但是不能将个人身份信息（PII）转移至其他国家）。

In case of international transfer of PII, agreements such as Model Contract Clauses, Binding Corporate Rules or Cross Border Privacy Rules, the countries involved and the circumstances in which such agreements apply, should be identified.
如果是个人身份信息（PII）国际转移的情形，诸如样本合同条款，约束性企业规则或跨境隐私规则这些协议，涉及的国家和此类协议适用的环境宜被识别。

【标准理解】

（1）ISO/IEC 27701: 2019条款8.5是属于隐私信息的共享、转移和披露管理过程，因此可以将8.5中的所有子条款要求合并在一起进行实施。

欲阅读更多内容，需要付费购买【公众号付费合集文章（200篇文章，超30万字）】

ISO/IEC 27701: 2019标准理解与实施最全面，最详尽，最精准的学习资料（20小时视频讲解+30万字解读文章），现在购买微信公众号付费合集文章（3800微信豆，200篇文章，30万字），赠送20小时讲解视频（https://video.27001.cn/course-10.html），文章内容更多，但视频里也有文章没有的内容，视频和文章可以相互补充。

对于一般咨询辅导提供的ISO/IEC 27701标准培训，一般只有1-2小时，哪怕花费数千上万的费用去参加机构的培训，一般也只有1-2天时间，其中还把内审和风险评估等内容参杂在里面，所以我提供的这个资料对于真正想学习ISO/IEC 27701的人绝对是不容错过的机会。所有已经确定收费的资料，后面都不会公开的。

虽然ISO/IEC 27701: 2025已经发布了，但是只是标准的结构变化了，其核心内容和底层逻辑是一样的，购买本次资料，后续可以抵扣ISO/IEC 27701: 2025相关学习资料的部分费用。

【行动要点】

本部分内容需要付费

【输出文档】

本部分内容需要付费

【审核要点】

本部分内容需要付费

《从食品安全到信息安全：十五年的ISO管理体系职场经历和感悟》

ISO/IEC 27701: 2019 标准详解与实施（190）8 附加到ISO/IEC 27002的个人身份信息（PII）处理者的指南/8.5 个人身份信息的共享，转移和披露/8.5.1 个人身份信息（PII）在司法管辖区之间转移的依据

ISO/IEC 27701: 2019 标准详解与实施（191）8 附加到ISO/IEC 27002的个人身份信息（PII）处理者的指南/8.5 个人身份信息的共享，转移和披露/8.5.2 个人身份信息（PII）可能转移到的国家和国际组织

ISO/IEC 27701: 2019 标准详解与实施（189）8 附加到ISO/IEC 27002的个人身份信息（PII）处理者的指南/8.4 隐私设计和隐私默认保护/8.4.3 个人身份信息（PII）传输的控制

发表回复取消回复

ISO/IEC 27701: 2019 标准详解与实施（190）8 附加到ISO/IEC 27002的个人身份信息（PII）处理者的指南/8.5 个人身份信息的共享，转移和披露/8.5.1 个人身份信息（PII）在司法管辖区之间转移的依据

ISO/IEC 27701: 2019 标准详解与实施（191）8 附加到ISO/IEC 27002的个人身份信息（PII）处理者的指南/8.5 个人身份信息的共享，转移和披露/8.5.2 个人身份信息（PII）可能转移到的国家和国际组织

ISO/IEC 27701: 2019 标准详解与实施（189）8 附加到ISO/IEC 27002的个人身份信息（PII）处理者的指南/8.4 隐私设计和隐私默认保护/8.4.3 个人身份信息（PII）传输的控制

发表回复 取消回复

发表回复取消回复