ISO发布消费者隐私保护国际标准ISO 31700：以PbD为核心理念-知识库详情

全部课程

法律

合规

医疗

详细内容

2023年1月31日，国际标准组织（the International Standards Organization，以下简称“ISO”）公布了ISO 31700-1：2023《产品和服务设计中的消费者隐私保护第1部分：高阶要求》和ISO/TR 31700-2：2023《产品和服务设计中的消费者隐私保护第2部分：应用案例》，以期指导组织实现产品和服务全生命周期中的消费者隐私保护。

ISO 31700-1对产品及服务的隐私设计（Privacy by Design，以下或称“PbD”）提出了高标准要求，即组织需保障在产品及服务全生命周期中的消费者隐私，提出了在产品及服务设计以及开发过程中充分考虑消费者隐私保护的方法，覆盖产品及服务投放市场前、消费者购买和使用过程中，直至停止使用的全流程。

ISO 31700-2则补充提供了包括在线零售、健身公司和智能锁等领域的说明性示例及相关分析，以助于对ISO 31700-1的理解。ISO 31700-2指出隐私设计应以消费者为中心，即将消费者的隐私权和偏好置于产品开发和运营的核心位置。

据ISO表示，本次标准的目标受众包括参与开发、实施或运营数字化产品及服务的工程师和从业人员。

在授权和透明度(Empowerment and transparency)、制度化和责任(Institutionalization and responsibility)以及生态系统和生命周期(Ecosystem and lifecycle)这三项PbD总体原则的基础上，该标准提出了30项高级隐私设计要求，如：

设计使消费者能够行使其隐私权的能力；
指定相关角色并设置权限；
向消费者提供隐私信息；
开展隐私风险评估；
建立并记录隐私控制的要求；
如何设计隐私控制；
全生命周期数据管理；
准备和管理数据泄露事件等。

与现有的ISO标准相比，ISO 31700在细节上仍需引用其他标准在个人信息识别、访问控制、消费者同意、公司治理和其他主题方面更详细的要求。

如何建立隐私设计能力是当今组织面临的主要挑战之一。ISO 31700包含可应用于任何类型的组织或行业的指南，为管理隐私风险的过程以及组织内有效处理这些问题所需的管理结构提供了建议。不过，ISO 31700系列标准是否能为组织提供实际帮助有待进一步观察。

★

ISO 31700-1：2023

《产品和服务设计中的消费者隐私保护第1部分：高阶要求》

Foreword

Introduction

1 Scope

2 Normative references

3 Terms and definitions

4 General

4.1 Overview

4.2 Designing capabilities to enable consumers to enforce their privacy rights

4.3 Developing capability to determine consumer privacy preferences

4.4 Designing human computer interface (HCI) for privacy

4.5 Assigning relevant roles and authorities

4.6 Establishing multi-functional responsibilities

4.7 Developing privacy knowledge, skill and ability

4.8 Ensuring knowledge of privacy controls

4.9 Documentation and information management

5 Consumer communication requirements

5.1 Overview

5.2 Provision of privacy information

5.3 Accountability for providing privacy information

5.4 Responding to consumer inquiries and complaints

5.5 Communicating to diverse consumer population

5.6 Prepare data breach communications

6 Risk management requirements

6.1 Overview

6.2 Conducting a privacy risk assessment

6.3 Assessing privacy capabilities of third parties

6.4 Establishing and documenting requirements for privacy controls

6.5 Monitoring and updating risk assessment6.6 Including privacy risks in cybersecurity resilience design

7 Developing, deploying and operating designed privacy controls

7.1 Overview

7.2 Integrating the design and operation of privacy controls into the product development and management lifecycles

7.3 Designing privacy controls

7.4 Implementing privacy controls

7.5 Designing privacy control testing

7.6 Managing the transition of privacy controls

7.7 Managing the operation of privacy controls

7.8 Preparing for and managing a privacy breach

7.9 Operating privacy controls for the processes and products upon which the product in scope depends throughout the PII lifecycle

8 End of PII lifecycle requirements

8.1 Overview

8.2 Designing privacy controls for retirement and end of use

Bibliography

ISO/TR 31700-2：2023

《产品和服务设计中的消费者隐私保护第2部分：应用案例》

Foreword

Introduction

1 Scope

2 Normative references

3 Terms and definitions

4 Abbreviated terms

5 Overview of ISO 31700-1 requirements and related concepts

5.1 ISO 31700-1 Requirements

5.2 Related concepts

5.3 Viewpoints in the use cases

6 Use case analysis

6.1 General

6.2 Use case template

7 Use cases

7.1 General

7.2 On-line retailing

7.3 Fitness company

7.4 Smart locks for homes front doors

Bibliography

来源：TMT法律论坛

评论列表(0)

暂无提问

ISO发布消费者隐私保护国际标准ISO 31700：以PbD为核心理念​

详细内容

发表提问 取消回复

ISO发布消费者隐私保护国际标准ISO 31700：以PbD为核心理念

发表提问取消回复