如果說(shuō)遵守法規(guī)、應(yīng)對(duì)監(jiān)管、市場(chǎng)競(jìng)爭(zhēng)促使隱私保護(hù)成為企業(yè)的必修命題，那么，國(guó)內(nèi)和國(guó)際上一系列關(guān)于隱私保護(hù)的標(biāo)準(zhǔn)則，為企業(yè)如何完成這一命題提供了具有普適性、實(shí)用性、可證明性、透明性的解決方案，成為企業(yè)實(shí)施隱私合規(guī)和信息安全管理的切實(shí)有效工具。為行文簡(jiǎn)便，本文對(duì)“隱私”與“個(gè)人信息”不做區(qū)分，均指能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息。

　　一、現(xiàn)有國(guó)內(nèi)和國(guó)際標(biāo)準(zhǔn)映射不同適用法

　　在目前關(guān)于隱私保護(hù)的國(guó)內(nèi)和國(guó)際標(biāo)準(zhǔn)中，最有影響力、最為普遍采用、與隱私保護(hù)強(qiáng)相關(guān)的標(biāo)準(zhǔn)包括下述三者：

　　一是國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)個(gè)人信息安全規(guī)范》 GB/T 35273-2020（以下簡(jiǎn)稱“國(guó)標(biāo)35273”）。國(guó)標(biāo) 35273 針對(duì)個(gè)人信息全生命周期的合規(guī)與保護(hù)，提供了全面的操作指引，也是執(zhí)法機(jī)構(gòu)開(kāi)展合規(guī)檢查時(shí)重要的參照系。

　　二是國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》GB/T 22239-2019 及其相關(guān)系列標(biāo)準(zhǔn)（以下簡(jiǎn)稱“等保 2.0 標(biāo)準(zhǔn)”）。該標(biāo)準(zhǔn)的實(shí)施是落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的支撐，標(biāo)志等級(jí)保護(hù)工作進(jìn)入了 2.0 時(shí)代。相對(duì)于側(cè)重處理個(gè)人信息合規(guī)性的國(guó)標(biāo) 35273，等保 2.0 標(biāo)準(zhǔn)則側(cè)重信息處理的安全性措施和控制。

　　三是《ISO/IEC 27701 安全技術(shù)——對(duì)用于隱私信息管理的 ISO/IEC 27001 和 ISO/IEC 27002的擴(kuò)展——要求和指南》（以下簡(jiǎn)稱“ISO/IEC27701”）。ISO/IEC 27701 作為對(duì) ISO 27001 和 ISO27002 標(biāo)準(zhǔn)在隱私保護(hù)方面的解釋和擴(kuò)展，是目前重要的隱私保護(hù)國(guó)際標(biāo)準(zhǔn)之一。它將信息安全管理體系和措施擴(kuò)展到隱私保護(hù)領(lǐng)域，旨在明確如何建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)隱私信息管理系統(tǒng)。

　　綜合看，上述標(biāo)準(zhǔn)各有優(yōu)勢(shì)和特點(diǎn)。

　　在合規(guī)性價(jià)值方面，國(guó)標(biāo) 35273 與等保 2.0 標(biāo)準(zhǔn)可以映射到國(guó)內(nèi)關(guān)于個(gè)人信息保護(hù)的核心法律要求，且兩者在信息安全與個(gè)人信息合規(guī)方面相互支撐和呼應(yīng)，可滿足企業(yè)在中國(guó)境內(nèi)業(yè)務(wù)運(yùn)營(yíng)中進(jìn)行個(gè)人信息保護(hù)的基本合規(guī)需求；而 ISO/IEC 27701則為企業(yè)提供了國(guó)際普遍接受的隱私信息保護(hù)和管理工具。因其積極響應(yīng)和精準(zhǔn)映射歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）這一目前全球公認(rèn)最為嚴(yán)苛的個(gè)人信息保護(hù)立法，從而能夠切實(shí)幫助企業(yè)跨法域開(kāi)展隱私合規(guī)工作、降低風(fēng)險(xiǎn)。

　　在可證明性和傳遞信任的價(jià)值方面，較高等級(jí)的等保評(píng)級(jí)認(rèn)定在安全性方面具有傳遞信任的實(shí)際效果，而就證明隱私保護(hù)能力而言，國(guó)標(biāo) 35273 尚需專門配套的標(biāo)準(zhǔn)認(rèn)證制度。與國(guó)內(nèi)標(biāo)準(zhǔn)不同的是，ISO/IEC 27701 提供了被廣泛接受的第三方隱私信用保證，以用于出海業(yè)務(wù)拓展或強(qiáng)化品牌的隱私保護(hù)內(nèi)涵。

　　二、國(guó)內(nèi)和國(guó)際標(biāo)準(zhǔn)實(shí)施過(guò)程中的融合路徑

　　上述國(guó)內(nèi)和國(guó)際標(biāo)準(zhǔn)各有優(yōu)勢(shì)，如果企業(yè)需要兼具國(guó)內(nèi)和海外業(yè)務(wù)運(yùn)營(yíng)合規(guī)且旨在通過(guò)隱私標(biāo)準(zhǔn)體系的認(rèn)證傳遞信任，則企業(yè)將需要貫徹實(shí)施多項(xiàng)國(guó)內(nèi)和國(guó)際標(biāo)準(zhǔn)。多重貫標(biāo)帶來(lái)的實(shí)際挑戰(zhàn)，是企業(yè)必須考量如何能以最少的實(shí)施成本融合這些標(biāo)準(zhǔn)，以便在降低合規(guī)風(fēng)險(xiǎn)的同時(shí)減輕合規(guī)負(fù)擔(dān)。否則，如果貫標(biāo)采用的是多套標(biāo)準(zhǔn)獨(dú)立并行，甚至針對(duì)每一法域或每一業(yè)務(wù)線對(duì)應(yīng)一套安全治理標(biāo)準(zhǔn)和隱私合規(guī)解決方案，那么，這樣做雖然會(huì)優(yōu)化標(biāo)準(zhǔn)實(shí)施和風(fēng)險(xiǎn)控制的效果，但也必然導(dǎo)致網(wǎng)絡(luò)安全與隱私合規(guī)治理在人力、物力、財(cái)力的成本激增和組織結(jié)構(gòu)冗雜，也沒(méi)有使既有的標(biāo)準(zhǔn)實(shí)施成果效益最大化。

　　因此，一種較為有效的標(biāo)準(zhǔn)融合路徑是：以既有實(shí)施的一（套）標(biāo)準(zhǔn)（系列）作為落地實(shí)施新增標(biāo)準(zhǔn)的基準(zhǔn)線，再結(jié)合不同標(biāo)準(zhǔn)的差異，兼顧業(yè)務(wù)場(chǎng)景，分別強(qiáng)化或減免控制項(xiàng)或措施，按照“識(shí)別一致性——分析差異化——實(shí)施增減項(xiàng)”的步驟，最終以不同標(biāo)準(zhǔn)體系的“公約數(shù)”構(gòu)建企業(yè)隱私保護(hù)治理的整體架構(gòu)。

　　考慮到境內(nèi)大多數(shù)企業(yè)或多或少在隱私合規(guī)領(lǐng)域?qū)?biāo)國(guó)標(biāo) 35273，甚至在產(chǎn)品設(shè)計(jì)、業(yè)務(wù)流程和應(yīng)對(duì)執(zhí)法要求中，已經(jīng)大量應(yīng)用這一國(guó)標(biāo)，且在網(wǎng)絡(luò)安全領(lǐng)域也實(shí)施了較為成熟的等級(jí)保護(hù)制度，對(duì)這些企業(yè)而言，上述融標(biāo)路徑的具體方式就是將ISO/IEC 27701 的相應(yīng)要求融入現(xiàn)有的隱私保護(hù)標(biāo)準(zhǔn)和等級(jí)保護(hù)標(biāo)準(zhǔn)中。

　　此外，有的企業(yè)雖有多元業(yè)務(wù)場(chǎng)景、涉及不同法域，或存在不同的標(biāo)準(zhǔn)認(rèn)證需求，但同時(shí)還有大量共享的數(shù)據(jù)安全與隱私保護(hù)中后臺(tái)系統(tǒng)和組織架構(gòu)；對(duì)一些孵化創(chuàng)新成長(zhǎng)中的業(yè)務(wù)而言，企業(yè)也需要?jiǎng)討B(tài)設(shè)定隱私合規(guī)水平，有效控制業(yè)務(wù)初創(chuàng)期的合規(guī)成本、逐步推進(jìn)隱私保護(hù)治理水平。因此，也可以考慮借助既有的境內(nèi)隱私保護(hù)貫標(biāo)體系和成果，將 ISO/IEC 27701 的控制項(xiàng)和隱私信息管理系統(tǒng)融入其中。

　　以“設(shè)置數(shù)據(jù)保護(hù)負(fù)責(zé)人”這一組織措施為例，上述三個(gè)標(biāo)準(zhǔn)設(shè)立的隱私保護(hù)和信息安全治理架構(gòu)，無(wú)一例外地將該等負(fù)責(zé)人崗位的設(shè)立及其職責(zé)作為一個(gè)重要的組織機(jī)構(gòu)管理手段。相較于等保標(biāo)準(zhǔn) GB/T 22239-2019 第 7.1.7 條僅寬泛規(guī)定“設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人崗位，并定義各負(fù)責(zé)人的職責(zé)”，國(guó)標(biāo) 35273 對(duì)個(gè)人信息保護(hù)負(fù)責(zé)人的崗位和職責(zé)要求更為具體詳細(xì)。因此，為提高貫標(biāo)的效率、減少隱私安全組織機(jī)構(gòu)的煩冗，實(shí)施 ISO/IEC 27701 的企業(yè)則僅需要在基于等保 2.0和國(guó)標(biāo) 35273 設(shè)立的負(fù)責(zé)人崗位基礎(chǔ)上，根據(jù)國(guó)標(biāo)35273 與 ISO/IEC 27701 的相關(guān)規(guī)定對(duì)比，實(shí)施增強(qiáng)項(xiàng)即可。

　　1.指定總負(fù)責(zé)人

　?。?）國(guó)標(biāo) 35273 第 11.1 條 a：明確法定代表人或主要負(fù)責(zé)人對(duì)個(gè)人信息安全負(fù)全面領(lǐng)導(dǎo)責(zé)任，包括為個(gè)人信息安全工作提供人力、財(cái)力、物力保障等。

　?。?）ISO/IEC 27701 第 6.3.1.1 條：無(wú)此要求?？梢员日諊?guó)標(biāo) 35273，做減免項(xiàng)。

　　2.崗位設(shè)定

　?。?）國(guó)標(biāo) 35273 第 11.1 條 b：任命個(gè)人信息保護(hù)負(fù)責(zé)人和個(gè)人信息保護(hù)工作機(jī)構(gòu)。

　?。?）ISO/IEC 27701 第 6.3.1.1 條：任命一名或多名負(fù)責(zé)制定、實(shí)施、維護(hù)和監(jiān)督組織范圍內(nèi)的治理和隱私計(jì)劃人員，以確保遵守有關(guān) PII 處理的所有適用法律和法規(guī)。這是通用項(xiàng)，可與國(guó)標(biāo) 35273對(duì)應(yīng)，直接沿用即可。

　　3.任職要求和匯報(bào)線設(shè)置

　?。?）國(guó)標(biāo) 35273 第 11.1 條 b：個(gè)人信息保護(hù)負(fù)責(zé)人應(yīng)由具有相關(guān)管理工作經(jīng)歷和個(gè)人信息保護(hù)專業(yè)知識(shí)的人員擔(dān)任，參與有關(guān)個(gè)人信息處理活動(dòng)的重要決策，直接向組織主要負(fù)責(zé)人報(bào)告工作。

　?。?）ISO/IEC 27701 第 6.3.1.1 條：在適當(dāng)?shù)那樾蜗?，?fù)責(zé)人應(yīng)：a. 獨(dú)立并直接向組織的適當(dāng)管理層報(bào)告，以確保有效管理隱私風(fēng)險(xiǎn)。這是通用項(xiàng)，可與國(guó)標(biāo) 35273 對(duì)應(yīng)，直接沿用即可。b. 系數(shù)據(jù)保護(hù)法律、法規(guī)和實(shí)踐方面的專家。這是通用項(xiàng)，可與國(guó)標(biāo) 35273 對(duì)應(yīng)，直接沿用即可。c. 可由工作人員或外包人員擔(dān)任，并履行崗位職責(zé)。這是增強(qiáng)項(xiàng)，可參考適用。在實(shí)踐中，鑒于 GDPR 系域外法，境內(nèi)企業(yè)通常在已任命的個(gè)人信息保護(hù) / 網(wǎng)絡(luò)安全負(fù)責(zé)人之外，還可能委托境外專業(yè)機(jī)構(gòu)擔(dān)任咨詢顧問(wèn)等輔助該負(fù)責(zé)人工作。

　　4.任命“專職”的增強(qiáng)要求

　　（1）國(guó)標(biāo) 35273 第 11.1 條 c：滿足以下條件之一的組織，應(yīng)設(shè)立專職的個(gè)人信息保護(hù)負(fù)責(zé)人和個(gè)人信息保護(hù)工作機(jī)構(gòu)，負(fù)責(zé)個(gè)人信息安全工作：主要業(yè)務(wù)涉及個(gè)人信息處理，且從業(yè)人員規(guī)模大于200 人；處理超過(guò) 100 萬(wàn)人的個(gè)人信息，或預(yù)計(jì)在12 個(gè)月內(nèi)處理超過(guò) 100 萬(wàn)人的個(gè)人信息；處理超過(guò)10 萬(wàn)人的個(gè)人敏感信息。

　?。?）ISO/IEC 27701 第 6.3.1.1 條：這是減免項(xiàng)，但特別提醒“某些司法管轄區(qū)稱這一人員為數(shù)據(jù)保護(hù)官員，并界定了何時(shí)需要這樣的職位以及他們的職位和角色”。因此，建議沿用國(guó)標(biāo) 35273 的專門要求，以提高在高風(fēng)險(xiǎn)處理場(chǎng)景下適用 GDPR 第37.1 條的合規(guī)基準(zhǔn)。

　　5.崗位職責(zé)

　?。?）國(guó)標(biāo) 35273 第 11.1 條 c：個(gè)人信息保護(hù)負(fù)責(zé)人和個(gè)人信息保護(hù)工作機(jī)構(gòu)的職責(zé)應(yīng)包括但不限于：全面統(tǒng)籌實(shí)施組織內(nèi)部的個(gè)人信息安全工作，對(duì)個(gè)人信息安全負(fù)直接責(zé)任；組織制定個(gè)人信息保護(hù)工作計(jì)劃并督促落實(shí)；制定、簽發(fā)、實(shí)施、定期更新個(gè)人信息保護(hù)政策和相關(guān)規(guī)程；建立、維護(hù)和更新組織所持有的個(gè)人信息清單和授權(quán)訪問(wèn)策略；開(kāi)展個(gè)人信息安全影響評(píng)估，提出個(gè)人信息保護(hù)的對(duì)策建議，督促整改安全隱患；組織開(kāi)展個(gè)人信息安全培訓(xùn)；在產(chǎn)品或服務(wù)上線發(fā)布前進(jìn)行檢測(cè)，避免未知的個(gè)人信息收集、使用、共享等處理行為；公布投訴、舉報(bào)方式等信息并及時(shí)受理投訴舉報(bào)；進(jìn)行安全審計(jì)；與監(jiān)督、管理部門保持溝通，通報(bào)或報(bào)告?zhèn)€人信息保護(hù)和事件處置等情況。

　?。?）ISO/IEC 27701 第 6.3.1.1 條：在適當(dāng)?shù)那樾蜗?，?fù)責(zé)人應(yīng)該參與管理與個(gè)人信息處理有關(guān)的所有問(wèn)題；充當(dāng)監(jiān)管組織的聯(lián)絡(luò)點(diǎn)；告知頂級(jí)管理層和組織員工在個(gè)人信息處理方面的義務(wù)（可對(duì)應(yīng)上文國(guó)標(biāo) 35273 第 11.1 條 c 中的“培訓(xùn)”職責(zé)）；就組織實(shí)施的隱私影響評(píng)估提供建議。這是通用項(xiàng)，可與國(guó)標(biāo) 35273 對(duì)應(yīng)，直接沿用即可。

　　6.資源保障要求

　?。?）國(guó)標(biāo) 35273 第 11.1 條 e：應(yīng)為個(gè)人信息保護(hù)負(fù)責(zé)人和個(gè)人信息保護(hù)工作機(jī)構(gòu)提供必要的資源，保障其獨(dú)立履行職責(zé)。

　?。?）ISO/IEC 27701 第 6.3.1.1 條：無(wú)具體要求。建 議 沿 用 國(guó) 標(biāo) 35273 第 11.1 條 e 的 措 施， 以 符 合GDPR 第 38.2 條的合規(guī)基準(zhǔn)。

　　此外，在技術(shù)側(cè)的融標(biāo)整合方面，等保 2.0 標(biāo)準(zhǔn)具備更為全面細(xì)致的、可操作的落地要求，可以給予 ISO/IEC 27701 諸多控制項(xiàng)以更好的技術(shù)支撐。在管理側(cè)的融標(biāo)整合方面，ISO/IEC 27000 標(biāo)準(zhǔn)族在管理體系上的要求更為詳細(xì)，在與等級(jí)保護(hù)的管理要求整合的過(guò)程中，大部分情況可將“信息安全”替換為“信息安全和隱私保護(hù)”，而其中針對(duì)個(gè)人信息保護(hù)的擴(kuò)展控制措施則與國(guó)標(biāo) 35273 有更多映射和呼應(yīng)。

　　三、隱私保護(hù)和信息安全工作落地依賴標(biāo)準(zhǔn)工具

　　在企業(yè)的日常運(yùn)營(yíng)中，隱私保護(hù)和信息安全的落地實(shí)施越來(lái)越依賴標(biāo)準(zhǔn)工具，而這些標(biāo)準(zhǔn)工具指引企業(yè)作為個(gè)人信息控制者和處理者進(jìn)行全面隱私保護(hù)，滿足立法、監(jiān)管、用戶信任、品牌建設(shè)、市場(chǎng)競(jìng)爭(zhēng)的多重要求。不同標(biāo)準(zhǔn)的背后則越來(lái)越體現(xiàn)出趨同的個(gè)人信息保護(hù)理念和原則，例如確保個(gè)人信息的安全、產(chǎn)品或服務(wù)的可信，將組織管理和技術(shù)措施落實(shí)到產(chǎn)品和組織流程中，以及數(shù)據(jù)控制者問(wèn)責(zé)制原則等。

　　綜合貫徹實(shí)施國(guó)標(biāo) 35273、等保 2.0 和 ISO/IEC27701 國(guó)際標(biāo)準(zhǔn)等，一方面，可以幫助企業(yè)同時(shí)滿足信息安全與個(gè)人信息保護(hù)的融合需求、兼容不同法域的合規(guī)要求，另一方面，也需要企業(yè)注意整合不同的標(biāo)準(zhǔn)體系和制度，先求相“同”再找相“異”，從而以更加經(jīng)濟(jì)和高效的路徑構(gòu)建起企業(yè)的信息安全與隱私合規(guī)治理體系。