为更好地理解ISO/IEC27701标准，需要弄清两个关键术语：控制者和处理者。这两个术语在很多隐私法律和规定中都能见到，包括GDPR。通常，“控制者”是指示为什么要收集和处理PII的实体，“处理者”是代表该控制者负责处理此数据的另一个法律实体（非员工）。

    新发布的标准适用于PII控制者（及联合控制者）和处理者（包括下级处理者），无论其运营的行业和司法辖区，也包括到GDPR和SO/IEC29100、ISO/IEC27018及ISO/IEC29151安全框架的映射。预计ISO/IEC27701要求还将映射到其他隐私法律，如《2018加州消费者隐私法案》(CCPA)、《金融服务现代化法案》(GLBA)和《健康保险流通与责任法案》(HIPAA)等，通过提供通用的合规标准帮助组织机构更好地符合这些监管要求。

    ISO/IEC27701特定于控制者的要求隐私通告：

    组织机构必须提供包含PII收集、使用和处理相关具体信息的隐私政策。

    处理者合同要求：组织机构必须与其处理者签订书面合同，约定具体事项，比如保护PII、限制处理操作仅可在PII特定用途范围内，以及提供PII泄露通报。

    个人权益：ISO27701要求组织机构实现各种机制，赋予个人访问、修改和删除其PII，以及反对或限制PII处理等权益。

    设计隐私与默认隐私：组织机构必须采取措施实现设计隐私和默认隐私原则。

    特定于处理者的要求处理限制：组织机构必须仅按控制者或处理者（取决于客户的角色）的说明处理PII。

    辅助个人权益：ISO27701要求处理者实现帮助客户遵从个人权益的种种措施。

    转移与披露：处理者必须于PII在司法辖区间转移或任何预期变化发生前通告客户。

    分包商：ISO27701要求处理者仅可雇佣一家分包商按照客户合同的条款处理PII。

【ISO/IEC27701认证咨询】【ISO/IEC27701认证辅导】