IEC 4 国际的 ISO 标准 ISO/IEC 29100 第二版 信息技术安全技术隐私框架 2024-02 信息技术 安全技术 私有框架 参考编号 ISO/IEC 29100:2024 (en) ISO/IEC2024 IS0/IEC 29100:2024 (en) 受版权保护的文件 ISO/IEC2024保留 所有权利。除非另有规定或实施过程中有要求，未经事先书面许可，不得以任何形式或任何方式（电子或机械方式，包括影印)复制或以其他方式利用本出版物的任何部分,，或在 互联网或内联网上发布。可从以下地址的ISO或请求者所在国家的ISO成员机构申请许可。 ISO版权局CP401·Ch.de Blandonnet 8 CH-1214 Vernier,日内瓦电 话：+41227490111电子邮箱： [email protected]网站： www.iso.org 在瑞士出版 ③ISO/IEC2024-保留所有权利 ISO/IEC 29100:2024 (en) 内容 页 前言. 简介. 1 范围. 2 规范性引用文件 3 术语和定义 4 缩写术语 5 隐私框架的基本要素 5.1隐私框架概述 5.2参与者和角色 5.2.1一般规定， 5.2.2PI住体. 5.2.3PI控制者. 5.2.4PI处理器 5.2.5第三方. 5.3 交互.. 5.4 识别PII. 5.4.1一般规定 5.4.2标识符 5.4.3其他区别特征 5.4.4与PII主体相关的信息或可与PII主体相关的信息 .8 5.4.5假名数据 5.4.6元数据 5.4.7未经请求的PIl 5.4.8敏感PII. 5.5 隐私保护要求 10 5.5.1一般规定 .10 5.5.2法律和监管因素 5.5.3合同因素 5.5.4商业因素 12 5.5.5其他因素 12 5.6 隐私政策 12 5.7 隐私控制. 13 6 本文档的隐私原则 .13 6.1隐私原则概述. 13 6.2同意和选择 14 6.3目的合法性及规范 15 6.4收集限制 .15 6.5数据最小化 15 6.6使用、保留和披露限制 .16 6.7准确性和质量 16 6.8 开放、透明和通告 6.9个人参与和访问。 17 6.10问责制.. 17 6.11信息安全， .18 6.12隐私合规性 .19 附件A（资料性附录）ISO/IEC29100概念与ISO/IEC27000之间的对应关系 概念. 20 参考书目 21 ③ISO/IEC2024-保留所有权利 三 ISO/IEC29100:2024(en) 前言 ISO（国际标准化组织)和IEC（国际电工委员会)构成了全球标准化的专业体系。作为ISO或IEC成员的国家机构通过各自组织设立的技术委员会参与制 定国际标准，以处理特定领域的技术活动。 ISO和IEC技术委员会在共同感兴趣的领域开展合作。其他国际组织（政府和非政府组织)也与ISO和IEC保持联系，参与工作。 ISO/IEC指令第1部分描述了制定本文件所用的程序以及用于进一步维护本文件的程序。特别要注意的是，不同类型的文件所需的不同批准标准。本文件是 根据ISO/IEC的编辑规则起草的。 IEc指令，第2部分（请参阅wwwiso.org/directives或www.iec.ch/members_experts/refdocs) ISO和IEC提请注意，本文件的实施可能涉及使用专利。ISO和IEC对任何声称的专利权的证据、有效性或适用性不持任何立场。截至本文件发布之日，ISO 和IEC尚未收到实施本文件可能需要的专利通知。但是，实施者应注意,这可能不是最新信息，最新信息可从www.iso.org/patents和https:// patents.iec.ch上的专利数据库中获取。lSO和IEc不负责识别任何或所有此类专利权。 本文件中使用的任何商品名称仅为方便用户而提供的信息，并不构成认可。 访问www.iso.org/iso/foreword.html。 在 IEC 中,请参阅www.iec.ch/understanding-standards。 本文件由联合技术委员会ISO/IECJTC1信息技术、小组委员会SC27信息安全、网络安全和隐私保护编写。 主要变化如下： 增加了第2章（规范性引用文件）,并更新了整个版本的交叉引用。 文档; 将第3条款中的“二次使用”一词替换为“二次目的”； 参考书目已更新。 有关本文档的任何反馈或问题都应直接提交给用户的国家标准机构。这些机构的完整列表可在www.iso.org/members.html和www.iec.ch/national- committees上找到。 ③ISO/IEC2024-保留所有权利 四 ISO/IEC29100:2024(en) 介绍 指定通用的隐私术语； 定义处理PII的参与者及其角色； 描述隐私保护要求;以及 引用已知的隐私原则。 重点来增强现有的安全标准。 PII的商业用途和价值不断增加、跨司法管辖区共享PII 以及ICT系统日益复杂,这些因素可能使组织难以确保隐私并遵守各种适用法律。隐私利益相 关者可以通过妥善处理隐私问题并避免PII滥用情况来防止产生不确定性和不信任。 本文件的使用将： 协助设计、实施、运行和维护处理和保护信息和通信技术系统 推动创新解决方案，实现ICT系统内PII的保护； 通过使用最佳实践来改进组织的隐私计划。 本文档中提供的隐私框架可以作为其他隐私标准化举措的基础，例如： 技术参考架构； 特定隐私技术的实施和使用以及整体隐私管理； 外包数据处理的隐私控制； 隐私风险评估;或 具体的工程规范。 ③ISO/IEC2024-保留所有权利 在 国际标准 IS0/IEC 29100:2024 (en) 信息技术安全技术隐私框架 1范围 本文件提供了一个隐私框架,其： 指定通用的隐私术语； 定义处理个人身份信息（PII)的参与者及其角色； 描述隐私保护注意事项； 提供已知的信息技术隐私原则的参考。 本文件适用于参与指定、采购、架构、设计、开发、测试、维护、管理和操作信息和通信技术系统或服务的自然人和组织，这些系统或服务需要对PII的处理进行隐私控 制。 2规范性引用文件 本文件中没有规范性引用 3术语和定义 就本文件的目的而言,适用以下术语和定义。 ISO和IEC在以下地址维护用于标准化的术语数据库： ISo在线浏览平台：https://www.iso.org/obp IEC Electropedia:网址: https://wwW.electropedia.org/ 3.1 匿名 不允许直接或间接识别个人身份信息主体（3.9)的信息特征 3.2 匿名化 个人身份信息(PII)(3.7)被不可逆地改变的过程,使得PII主体(3.9)不再能够被PII控制者单独或与任何其他方合作直接或间接地识别 3.3 匿名数据 3.4 同意 个人身份信息(PII)主体(3.9)自愿、明确且知情地同意处理其PII ③ISO/IEC2024-保留所有权利 1