IEC iso 国际标准 IS0/IEC 29100 第二版 2024- 信息技术－安全技术－隐私框架 02 信息技术－安全技术－私人机构 参考编号ISO/IEC @ISO/IEC 2024 29100:2024(en) IS0/IEC 29100:2024(en) 受版权保护的文件 C ISO/IEC 2024 保留所有权利。除非另有说明，或因实施需要，未经事先书面许可，不得以任何形式或通过任何电子或机械手段，包 括影印、在互联网或内部网上发布，复制或利用本出版物的任何部分。可通过以下地址向国际标准化组织或申请者所 在国的国际标准化组织成员机构申请许可。 国际标准化组织版权局 CP 401 - Ch. de Blandonnet 8 CH-1214 Vernier, Geneva Phone: +41 22 749 01 11 电子邮件： ISO/IEC2024-保留所有权利 ii IS0/IEC 29100:2024(en) [email protected]网站： www.iso.org 在瑞士发表 ISO/IEC2024-保留所有权利 ii ISO/IEC 29100:2024(en) 目录 页次 前言.. .iv 简介. 1 范围. 2 规范性参考资料 3 术语和定义 4 简称 5 隐私框架的基本要素 5.1 隐私框架概述， 5.2 演员和角色 5.2.1 5.2.2 PII校长 5.2.3 PII控制器 5.2.4 PII处理器 5.2.5 第三方 5.3 互动. 5.4 识别 PII 5.4.1 总论. 5.4.2 标识符 5.4.3 其他显著特点. 5.4.4 与PII委托人有关联或可关联的信息， 5.4.5 假名数据 5.4.6 元数据 5.4.7 未经请求的PII 5.4.8 敏感PII 5.5 隐私保护要求 10 5.5.1 5.5.2 法律和监管因素 5.5.3 合同因素. 5.5.4 商业因素 12 5.5.5 其他因素 12 5.6 隐私政策 5.7 隐私控制 13 6 本文件的隐私原则 3 6.1 隐私原则概述. 6.2 同意与选择 .14 6.3 目的的合法性和规格 15 6.4 收藏限制 6.5 数据最小化. 6.6 使用、保留和披露限制 16 6.7 精度和质量 6.8 公开、透明和通知. 16 6.9 个人参与和获取. 6.10 问责制.. 6.11 信息安全 6.12 隐私合规. 19 附件A(资料性） ISO/IEC29100概念与ISO/IEC27000概念之间的对应关系 ISO/EC2024-保留所有权利 iv IS0/IEC 29100:2024(en) 参考书目. ...21 ISO/EC2024-保留所有权利 V IS0/IEC 29100:2024(en) 前言 国际标准化组织（ISO）和国际电工委员会（IEC）构成了世界标准化的专门体系。作为国际标准化 组织或国际电工委员会成员的国家机构通过各自组织设立的技术委员会参与国际标准的制定，这些技 术委员会负责特定领域的技术活动。国际标准化组织和国际电工委员会的技术委员会在共同感兴趣的 领域开展合作。与国际标准化组织和国际电工委员会联络的其他国际组织、政府组织和非政府组织也 参与了这项工作。 ISO/IEC指令》第1部分介绍了制定本文件的程序和进一步维护本文件的程序。需要特别注意的是 ，不同类型的文件需要不同的审批标准。本文件根据《ISO/IEC指令》第2部分的编辑规则起草（ 见www.iso.org/directives 或www.iec.ch/members_experts/refdocs)。 国际标准化组织和国际电工委员会提请注意，本文件的实施可能涉及专利的使用。国际标准化组 织和国际电工委员会对与此相关的任何专利权的证据、有效性或适用性不持任何立场。截至本文件 注意，这可能并不代表最新信息，最新信息可从www.iso.org/patents和https://patents.iec.ch的专 利数据库中获取。国际标准化组织和国际电工委员会不负责确定任何或所有此类专利权。 本文件中使用的任何商品名称都是为方便用户而提供的信息，并不构成认可。 织在技术性贸易壁垒（TBT）方面遵守世界贸易组织（WTO）原则的信息，请参见 www.iso.org/iso/foreword.html。在IEC中，请参见www.iec.ch/understanding-standards 本文件由ISO/IECJTC1信息技术联合技术委员会SC27信息安全、网络安全和隐私保护小组委员会 编写。 本第二版取消并取代第一版（ISO/IEC29100:2011），它是对第一版的小幅修订。它还纳入了 ISO/IEC29100:2011/Amd1:2018修正案。 主要变化如下： 一添加了第2条（规范性参考资料）；并更新了整个文件中的交叉参考资料; 一将第3条中的"次要用途“改为"次要目的"； 一 书自已更新。 如对本文件有任何反馈意见或问题，请直接向用户的国家标准机构提出。有关这些机构的完整列 表，请访问www.iso.org/members.html和www.iec.ch/national-committees CISO/IEC2024-保留所有权利 vi ISO/IEC 29100:2024(en) 导言 本文件为在信息和通信技术(ICT）系统中保护个人身份信息(PII)提供了一个高级框架。它具有一般性 ，并将组织、技术和程序方面的内容置于整体隐私框架中。 隐私框架旨在通过以下方式帮助各组织确定其在信息和通信技术环境中与PII相关的隐私保护要 求: 一规定共同的隐私术语； 一 确定处理 PI 的参与者及其作用; 一说明隐私保护要求；以及 一参考已知的隐私原则。 由于处理PII的信息和通信技术越来越多，因此必须制定国际信息安全标准，为保护PII提供共识。 本文件旨在加强现有的安全标准，增加与处理PII相关的重点内容。 PII的商业用途和价值不断增加，PII的跨司法管辖区共享，以及信息和通信技术系统的日益复杂，都 会使组织难以确保隐私和遵守各种适用法律。隐私权利益相关者可以通过妥善处理隐私权事务和避免 PII被滥用来防止不确定性和不信任的产生。 使用本文件将 一协助设计、实施、运行和维护处理和保护PI的信息与传播技术系统； 一鼓励创新解决方案，以便在信息和通信技术系统内保护个人隐私；以及 一通过使用最佳实践来改进组织的隐私计划。 本文件提供的隐私框架可作为其他隐私标准化倡议的基础，如 一 技术参考架构； 一具体隐私技术的实施和使用以及整体隐私管理； 一 对外包数据流程进行隐私控制; 一隐私风险评估；或 一具体的工程规格。 ISO/IEC2024-保留所有权利 vii