國際隱私保護標準之趨勢

在全球個資隱私保護趨勢浪潮下，個資隱私保護法規在各國陸續推出，例如美國的 CCPA、中國的網安法、數據管理辦法以及歐盟 GDPR。當中以對於全球隱私保護不遺餘力的歐盟在 2018 年所施行的一般資料保護規範（GDPR）最受矚目，是各國在制定隱私規範的主要參考之一。

ISO/IEC 27701 隱私保護標準

GDPR 將「個人資料」範圍擴大解釋，只要能直接或間接篩選、識別出特定對象資訊之資料類型，例如網路識別碼(網路瀏覽器 Cookies、網路 IP 位址)或足以辨識特定個人身分或性別之基因、生物特徵或醫療資料等，都歸屬個人資料。

於 2019 年發佈的 ISO/IEC 27701 隱私資訊管理系統，具體考量了 GDPR 之相關要求及 ISO 29100 等國際標準所制定的隱私保護規範，可更完整的涵蓋 GDPR 要求。由於該標準延伸自 ISO/IEC 27001 及 ISO/IEC 27002，是能同時兼顧國際標準架構的要求（requirements）與實作指引（guideline），在 ISO/IEC 27001 之驗證範圍中完整納入對於隱私保護的相關管控措施。

因此，通過 ISO/IEC 27701 認證，企業在整合資安及隱私管控措施上將更加完整，有助於客戶對於我方在資安及隱私方面更加信任的好處。

ISO/IEC 27701（草擬時期稱為 ISO/IEC 27552）在 ISO/IEC 27001 的架構下進行隱私保護管控，可以視為在 ISO 27001 的要求下進行擴展，不論組織型態、規模都可以適用此隱私資訊管理系統（PIMS）。

ISO/IEC 27701 以 ISO/IEC 27001 的要求出發，在原有的 PDCA 架構上納入組織對於所取得的 PII（個人可識別資訊）之隱私保護，並且在 ISO/IEC 27002（資訊科技-安全技術-資訊安全管理作業法規) 之實施指引中增加對於 PII 隱私保護的規範（營運持續管理除外）。

資料控制者/資料處理者之義務

考量科技發展水平、執行成本、個資處理之性質、範圍、目的、以及潛在風險，及對於當事人權利之影響，條款 7 及條款 8 分別針對資料控制者以及資料處理者所應執行適當之技術性以及管理性之安全措施提供指引，是基於條款 6 在 ISO/IEC 27002 標準的額外控制，主要規範包含如下：

• 維護資訊安全義務
• 隱私設計及隱私預設 (例如:最小化蒐集、去識別化)
• 處理 PII 之相關紀錄
• 隱私衝擊評估 (PIA)

各國個資保護法令趨嚴：「保護個資」是最基本

ISO/IEC 27701 參酌 ISO/IEC 29011、GDPR、ISO/IEC 27018、ISO/IEC 29151，通過 ISO/IEC 27701 可幫助組織在不同法令規範下達成合法處理個人資料之國際規範，取得個資主體之同意及遵循法律義務要求外，也能幫助組織取得客戶、政府機關之信任。