《ISO IEC 29100-2024信息技术-安全技术-隐私框架》专业解读与应用实践指导材料（雷泽佳编制-2024）.pdfVIP

《ISO/IEC29100-2024信息技术-安全技术-隐私框架》专业解读与应用指导材料

《ISO/IEC29100-2024信息技术-安全技术-隐私框架》

Q/ZS20111-2003—Q/ZS20120-2003（1.0）

专业解读与应用指导材料

（雷泽佳编制，2024年12月）

雷泽佳编制-2024A0

1

《ISO/IEC29100-2024信息技术-安全技术-隐私框架》专业解读与应用指导材料

目次

引言3

1范围10

2规范性引用文件11

3术语和定义12

4缩略语74

5隐私框架基本要素74

5.1隐私框架概述74

5.2参与者与角色77

5.2.1总则77

5.2.2PII主体79

5.2.3PII控制者83

5.2.4PII处理者88

5.2.5第三方89

5.3相互作用92

5.4识别PII104

5.4.1总则104

5.4.2标识符106

5.4.3其他区别性特征111

5.4.4与PII主体相关联的信息113

5.4.5假名数据115

5.4.6元数据120

5.4.7非主动提供的个人信息122

5.4.8个人敏感信息124

5.5隐私保护要求130

5.5.1总则130

5.5.2法律和监管因素140

5.5.3合同因素144

5.5.4业务因素147

5.5.5其他因素150

5.6隐私方针155

5.7隐私控制159

6本标准的隐私原则166

6.1隐私原则概述166

6.2同意和选择170

6.3目的合法性与规范性178

6.4收集限制180

6.5数据最小化184

6.6使用、保留和披露限制189

6.7准确性和质量193

6.8公开性、透明度和通知199

6.9个人参与和访问206

6.10问责制210

6.11信息安全220

6.12隐私合规228

附录A（资料性）ISO/IEC29100概念与ISO/IEC27000概念的对应关系232

参考文献233

2雷泽佳译-2024年12月

《ISOIEC29100-2024信息技术-安全技术-隐私框架》专业解读与应用指导材料

引言

ISO/IEC29100-2024《信息技术—安全技术—隐私框架》

本标准为信息和通信技术（ICT）系统中个人可识别信息（PII）的保护提供了一个高级框架。它具有

通用性，将组织、技术和程序方面纳入一个整体的隐私框架中。

本隐私框架旨在通过以下方式帮助组织规定其在ICT环境中与PII相关的隐私保护要求：

——规定通用的隐私术语；

——定义处理PII的参与者及其角色；

——描述隐私保护要求；

——引用已知的隐私原则。

由于处理PII的信息和通信技术数量不断增加，拥有为PII保护提供共同理解的国际信息安全标准至关

重要。本标准旨在通过增加与PII处理相关的重点来完善现有的安全标准。

PII的商业使用和价值不断增加，跨司法管辖区共享PII，以及ICT系统的日益复杂性，都可能使组织难

以确保隐私并遵守各种适用的法律。隐私相关方可以通过妥善处理隐私事务和避免PII滥用的情况来防止不

确定