一、适用于控制者和处理者的要求

 

保密性：经授权访问 PII 的个人必须履行保密协议。

分析风险：必须进行隐私风险评估以识别 PII 处理风险。

监管：组织机构必须指定负责开发、实现、维护和监视其治理及隐私项目的个人。

培训：可以访问 PII 的人员需经过隐私意识培训。

内部过程：组织机构必须为应对 PII 泄露事件而采纳各种策略和规程，比如事件响应计划。

记录保存：ISO 27701 要求组织机构保留所有 PII 处理活动的记录，包括 PII 在司法辖区间转移和向第三方披露等。

 

二、特定于控制者的要求

 

隐私通告：组织机构必须提供包含 PII 收集、使用和处理相关具体信息的隐私政策。

处理者合同要求：组织机构必须与其处理者签订书面合同，约定具体事项，比如保护 PII、限制处理操作仅可在 PII 特定用途范围内，以及提供 PII 泄露通报。

个人权益：ISO 27701 要求组织机构实现各种机制，赋予个人访问、修改和删除其 PII，以及反对或限制 PII 处理等权益。

设计隐私与默认隐私：组织机构必须采取措施实现设计隐私和默认隐私原则。

 

三、特定于处理者的要求

 

处理限制：组织机构必须仅按控制者或处理者（取决于客户的角色）的说明处理 PII。

辅助个人权益：ISO 27701 要求处理者实现帮助客户遵从个人权益的种种措施。

转移与披露：处理者必须于 PII 在司法辖区间转移或任何预期变化发生前通告客户。

分包商：ISO 27701 要求处理者仅可雇佣一家分包商按照客户合同的条款处理 PII。