如果說遵守法規(guī)、應(yīng)對監(jiān)管、市場競爭促使隱私保護成為企業(yè)的必修命題，那么，國內(nèi)和國際上一系列關(guān)于隱私保護的標(biāo)準(zhǔn)則，為企業(yè)如何完成這一命題提供了具有普適性、實用性、可證明性、透明性的解決方案，成為企業(yè)實施隱私合規(guī)和信息安全管理的切實有效工具。為行文簡便，本文對“隱私”與“個人信息”不做區(qū)分，均指能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息。

　　一、現(xiàn)有國內(nèi)和國際標(biāo)準(zhǔn)映射不同適用法

　　在目前關(guān)于隱私保護的國內(nèi)和國際標(biāo)準(zhǔn)中，最有影響力、最為普遍采用、與隱私保護強相關(guān)的標(biāo)準(zhǔn)包括下述三者：

　　一是國家標(biāo)準(zhǔn)《信息安全技術(shù)個人信息安全規(guī)范》 GB/T 35273-2020（以下簡稱“國標(biāo)35273”）。國標(biāo) 35273 針對個人信息全生命周期的合規(guī)與保護，提供了全面的操作指引，也是執(zhí)法機構(gòu)開展合規(guī)檢查時重要的參照系。

　　二是國家標(biāo)準(zhǔn)《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》GB/T 22239-2019 及其相關(guān)系列標(biāo)準(zhǔn)（以下簡稱“等保 2.0 標(biāo)準(zhǔn)”）。該標(biāo)準(zhǔn)的實施是落實網(wǎng)絡(luò)安全等級保護制度的支撐，標(biāo)志等級保護工作進(jìn)入了 2.0 時代。相對于側(cè)重處理個人信息合規(guī)性的國標(biāo) 35273，等保 2.0 標(biāo)準(zhǔn)則側(cè)重信息處理的安全性措施和控制。

　　三是《ISO/IEC 27701 安全技術(shù)——對用于隱私信息管理的 ISO/IEC 27001 和 ISO/IEC 27002的擴展——要求和指南》（以下簡稱“ISO/IEC27701”）。ISO/IEC 27701 作為對 ISO 27001 和 ISO27002 標(biāo)準(zhǔn)在隱私保護方面的解釋和擴展，是目前重要的隱私保護國際標(biāo)準(zhǔn)之一。它將信息安全管理體系和措施擴展到隱私保護領(lǐng)域，旨在明確如何建立、實施、維護和持續(xù)改進(jìn)隱私信息管理系統(tǒng)。

　　綜合看，上述標(biāo)準(zhǔn)各有優(yōu)勢和特點。

　　在合規(guī)性價值方面，國標(biāo) 35273 與等保 2.0 標(biāo)準(zhǔn)可以映射到國內(nèi)關(guān)于個人信息保護的核心法律要求，且兩者在信息安全與個人信息合規(guī)方面相互支撐和呼應(yīng)，可滿足企業(yè)在中國境內(nèi)業(yè)務(wù)運營中進(jìn)行個人信息保護的基本合規(guī)需求；而 ISO/IEC 27701則為企業(yè)提供了國際普遍接受的隱私信息保護和管理工具。因其積極響應(yīng)和精準(zhǔn)映射歐盟《通用數(shù)據(jù)保護條例》（GDPR）這一目前全球公認(rèn)最為嚴(yán)苛的個人信息保護立法，從而能夠切實幫助企業(yè)跨法域開展隱私合規(guī)工作、降低風(fēng)險。

　　在可證明性和傳遞信任的價值方面，較高等級的等保評級認(rèn)定在安全性方面具有傳遞信任的實際效果，而就證明隱私保護能力而言，國標(biāo) 35273 尚需專門配套的標(biāo)準(zhǔn)認(rèn)證制度。與國內(nèi)標(biāo)準(zhǔn)不同的是，ISO/IEC 27701 提供了被廣泛接受的第三方隱私信用保證，以用于出海業(yè)務(wù)拓展或強化品牌的隱私保護內(nèi)涵。

　　二、國內(nèi)和國際標(biāo)準(zhǔn)實施過程中的融合路徑

　　上述國內(nèi)和國際標(biāo)準(zhǔn)各有優(yōu)勢，如果企業(yè)需要兼具國內(nèi)和海外業(yè)務(wù)運營合規(guī)且旨在通過隱私標(biāo)準(zhǔn)體系的認(rèn)證傳遞信任，則企業(yè)將需要貫徹實施多項國內(nèi)和國際標(biāo)準(zhǔn)。多重貫標(biāo)帶來的實際挑戰(zhàn)，是企業(yè)必須考量如何能以最少的實施成本融合這些標(biāo)準(zhǔn)，以便在降低合規(guī)風(fēng)險的同時減輕合規(guī)負(fù)擔(dān)。否則，如果貫標(biāo)采用的是多套標(biāo)準(zhǔn)獨立并行，甚至針對每一法域或每一業(yè)務(wù)線對應(yīng)一套安全治理標(biāo)準(zhǔn)和隱私合規(guī)解決方案，那么，這樣做雖然會優(yōu)化標(biāo)準(zhǔn)實施和風(fēng)險控制的效果，但也必然導(dǎo)致網(wǎng)絡(luò)安全與隱私合規(guī)治理在人力、物力、財力的成本激增和組織結(jié)構(gòu)冗雜，也沒有使既有的標(biāo)準(zhǔn)實施成果效益最大化。

　　因此，一種較為有效的標(biāo)準(zhǔn)融合路徑是：以既有實施的一（套）標(biāo)準(zhǔn)（系列）作為落地實施新增標(biāo)準(zhǔn)的基準(zhǔn)線，再結(jié)合不同標(biāo)準(zhǔn)的差異，兼顧業(yè)務(wù)場景，分別強化或減免控制項或措施，按照“識別一致性——分析差異化——實施增減項”的步驟，最終以不同標(biāo)準(zhǔn)體系的“公約數(shù)”構(gòu)建企業(yè)隱私保護治理的整體架構(gòu)。

　　考慮到境內(nèi)大多數(shù)企業(yè)或多或少在隱私合規(guī)領(lǐng)域?qū)?biāo)國標(biāo) 35273，甚至在產(chǎn)品設(shè)計、業(yè)務(wù)流程和應(yīng)對執(zhí)法要求中，已經(jīng)大量應(yīng)用這一國標(biāo)，且在網(wǎng)絡(luò)安全領(lǐng)域也實施了較為成熟的等級保護制度，對這些企業(yè)而言，上述融標(biāo)路徑的具體方式就是將ISO/IEC 27701 的相應(yīng)要求融入現(xiàn)有的隱私保護標(biāo)準(zhǔn)和等級保護標(biāo)準(zhǔn)中。

　　此外，有的企業(yè)雖有多元業(yè)務(wù)場景、涉及不同法域，或存在不同的標(biāo)準(zhǔn)認(rèn)證需求，但同時還有大量共享的數(shù)據(jù)安全與隱私保護中后臺系統(tǒng)和組織架構(gòu)；對一些孵化創(chuàng)新成長中的業(yè)務(wù)而言，企業(yè)也需要動態(tài)設(shè)定隱私合規(guī)水平，有效控制業(yè)務(wù)初創(chuàng)期的合規(guī)成本、逐步推進(jìn)隱私保護治理水平。因此，也可以考慮借助既有的境內(nèi)隱私保護貫標(biāo)體系和成果，將 ISO/IEC 27701 的控制項和隱私信息管理系統(tǒng)融入其中。

　　以“設(shè)置數(shù)據(jù)保護負(fù)責(zé)人”這一組織措施為例，上述三個標(biāo)準(zhǔn)設(shè)立的隱私保護和信息安全治理架構(gòu)，無一例外地將該等負(fù)責(zé)人崗位的設(shè)立及其職責(zé)作為一個重要的組織機構(gòu)管理手段。相較于等保標(biāo)準(zhǔn) GB/T 22239-2019 第 7.1.7 條僅寬泛規(guī)定“設(shè)立安全主管、安全管理各個方面的負(fù)責(zé)人崗位，并定義各負(fù)責(zé)人的職責(zé)”，國標(biāo) 35273 對個人信息保護負(fù)責(zé)人的崗位和職責(zé)要求更為具體詳細(xì)。因此，為提高貫標(biāo)的效率、減少隱私安全組織機構(gòu)的煩冗，實施 ISO/IEC 27701 的企業(yè)則僅需要在基于等保 2.0和國標(biāo) 35273 設(shè)立的負(fù)責(zé)人崗位基礎(chǔ)上，根據(jù)國標(biāo)35273 與 ISO/IEC 27701 的相關(guān)規(guī)定對比，實施增強項即可。

　　1.指定總負(fù)責(zé)人

　?。?）國標(biāo) 35273 第 11.1 條 a：明確法定代表人或主要負(fù)責(zé)人對個人信息安全負(fù)全面領(lǐng)導(dǎo)責(zé)任，包括為個人信息安全工作提供人力、財力、物力保障等。

　　（2）ISO/IEC 27701 第 6.3.1.1 條：無此要求。可以比照國標(biāo) 35273，做減免項。

　　2.崗位設(shè)定

　?。?）國標(biāo) 35273 第 11.1 條 b：任命個人信息保護負(fù)責(zé)人和個人信息保護工作機構(gòu)。

　?。?）ISO/IEC 27701 第 6.3.1.1 條：任命一名或多名負(fù)責(zé)制定、實施、維護和監(jiān)督組織范圍內(nèi)的治理和隱私計劃人員，以確保遵守有關(guān) PII 處理的所有適用法律和法規(guī)。這是通用項，可與國標(biāo) 35273對應(yīng)，直接沿用即可。

　　3.任職要求和匯報線設(shè)置

　?。?）國標(biāo) 35273 第 11.1 條 b：個人信息保護負(fù)責(zé)人應(yīng)由具有相關(guān)管理工作經(jīng)歷和個人信息保護專業(yè)知識的人員擔(dān)任，參與有關(guān)個人信息處理活動的重要決策，直接向組織主要負(fù)責(zé)人報告工作。

　?。?）ISO/IEC 27701 第 6.3.1.1 條：在適當(dāng)?shù)那樾蜗?，?fù)責(zé)人應(yīng)：a. 獨立并直接向組織的適當(dāng)管理層報告，以確保有效管理隱私風(fēng)險。這是通用項，可與國標(biāo) 35273 對應(yīng)，直接沿用即可。b. 系數(shù)據(jù)保護法律、法規(guī)和實踐方面的專家。這是通用項，可與國標(biāo) 35273 對應(yīng)，直接沿用即可。c. 可由工作人員或外包人員擔(dān)任，并履行崗位職責(zé)。這是增強項，可參考適用。在實踐中，鑒于 GDPR 系域外法，境內(nèi)企業(yè)通常在已任命的個人信息保護 / 網(wǎng)絡(luò)安全負(fù)責(zé)人之外，還可能委托境外專業(yè)機構(gòu)擔(dān)任咨詢顧問等輔助該負(fù)責(zé)人工作。

　　4.任命“專職”的增強要求

　?。?）國標(biāo) 35273 第 11.1 條 c：滿足以下條件之一的組織，應(yīng)設(shè)立專職的個人信息保護負(fù)責(zé)人和個人信息保護工作機構(gòu)，負(fù)責(zé)個人信息安全工作：主要業(yè)務(wù)涉及個人信息處理，且從業(yè)人員規(guī)模大于200 人；處理超過 100 萬人的個人信息，或預(yù)計在12 個月內(nèi)處理超過 100 萬人的個人信息；處理超過10 萬人的個人敏感信息。

　?。?）ISO/IEC 27701 第 6.3.1.1 條：這是減免項，但特別提醒“某些司法管轄區(qū)稱這一人員為數(shù)據(jù)保護官員，并界定了何時需要這樣的職位以及他們的職位和角色”。因此，建議沿用國標(biāo) 35273 的專門要求，以提高在高風(fēng)險處理場景下適用 GDPR 第37.1 條的合規(guī)基準(zhǔn)。

　　5.崗位職責(zé)

　?。?）國標(biāo) 35273 第 11.1 條 c：個人信息保護負(fù)責(zé)人和個人信息保護工作機構(gòu)的職責(zé)應(yīng)包括但不限于：全面統(tǒng)籌實施組織內(nèi)部的個人信息安全工作，對個人信息安全負(fù)直接責(zé)任；組織制定個人信息保護工作計劃并督促落實；制定、簽發(fā)、實施、定期更新個人信息保護政策和相關(guān)規(guī)程；建立、維護和更新組織所持有的個人信息清單和授權(quán)訪問策略；開展個人信息安全影響評估，提出個人信息保護的對策建議，督促整改安全隱患；組織開展個人信息安全培訓(xùn)；在產(chǎn)品或服務(wù)上線發(fā)布前進(jìn)行檢測，避免未知的個人信息收集、使用、共享等處理行為；公布投訴、舉報方式等信息并及時受理投訴舉報；進(jìn)行安全審計；與監(jiān)督、管理部門保持溝通，通報或報告?zhèn)€人信息保護和事件處置等情況。

　?。?）ISO/IEC 27701 第 6.3.1.1 條：在適當(dāng)?shù)那樾蜗?，?fù)責(zé)人應(yīng)該參與管理與個人信息處理有關(guān)的所有問題；充當(dāng)監(jiān)管組織的聯(lián)絡(luò)點；告知頂級管理層和組織員工在個人信息處理方面的義務(wù)（可對應(yīng)上文國標(biāo) 35273 第 11.1 條 c 中的“培訓(xùn)”職責(zé)）；就組織實施的隱私影響評估提供建議。這是通用項，可與國標(biāo) 35273 對應(yīng)，直接沿用即可。

　　6.資源保障要求

　?。?）國標(biāo) 35273 第 11.1 條 e：應(yīng)為個人信息保護負(fù)責(zé)人和個人信息保護工作機構(gòu)提供必要的資源，保障其獨立履行職責(zé)。

　?。?）ISO/IEC 27701 第 6.3.1.1 條：無具體要求。建 議 沿 用 國 標(biāo) 35273 第 11.1 條 e 的 措 施， 以 符 合GDPR 第 38.2 條的合規(guī)基準(zhǔn)。

　　此外，在技術(shù)側(cè)的融標(biāo)整合方面，等保 2.0 標(biāo)準(zhǔn)具備更為全面細(xì)致的、可操作的落地要求，可以給予 ISO/IEC 27701 諸多控制項以更好的技術(shù)支撐。在管理側(cè)的融標(biāo)整合方面，ISO/IEC 27000 標(biāo)準(zhǔn)族在管理體系上的要求更為詳細(xì)，在與等級保護的管理要求整合的過程中，大部分情況可將“信息安全”替換為“信息安全和隱私保護”，而其中針對個人信息保護的擴展控制措施則與國標(biāo) 35273 有更多映射和呼應(yīng)。

　　三、隱私保護和信息安全工作落地依賴標(biāo)準(zhǔn)工具

　　在企業(yè)的日常運營中，隱私保護和信息安全的落地實施越來越依賴標(biāo)準(zhǔn)工具，而這些標(biāo)準(zhǔn)工具指引企業(yè)作為個人信息控制者和處理者進(jìn)行全面隱私保護，滿足立法、監(jiān)管、用戶信任、品牌建設(shè)、市場競爭的多重要求。不同標(biāo)準(zhǔn)的背后則越來越體現(xiàn)出趨同的個人信息保護理念和原則，例如確保個人信息的安全、產(chǎn)品或服務(wù)的可信，將組織管理和技術(shù)措施落實到產(chǎn)品和組織流程中，以及數(shù)據(jù)控制者問責(zé)制原則等。

　　綜合貫徹實施國標(biāo) 35273、等保 2.0 和 ISO/IEC27701 國際標(biāo)準(zhǔn)等，一方面，可以幫助企業(yè)同時滿足信息安全與個人信息保護的融合需求、兼容不同法域的合規(guī)要求，另一方面，也需要企業(yè)注意整合不同的標(biāo)準(zhǔn)體系和制度，先求相“同”再找相“異”，從而以更加經(jīng)濟和高效的路徑構(gòu)建起企業(yè)的信息安全與隱私合規(guī)治理體系。