ISO/IEC 29151标准中要求的PII使用、保留和披露限制：

一、保护 PII 的实施指南

 

a) 将 PII 的使用，保留和披露 （包括转让）限制在为实现特定，明确和合法目的必要的范围内；

 

b) 配置其信息系统，以记录：收集 ，创建、更新 PII 的日期、何时将 PII 删除、归档的时间。

 

二、使用 PII 的实施指南

 

a) 当所述目的已经过期时，锁定（即归档，保护和免除进一步处理）任何 PII , 并满足适用法律的保留要求；

 

b) 使用适当的技术或方法确保安全删除或销毁 PII (包括原件，副本和存档记录）；

 

c) 仅将 PII 用于在收集之前或收集时向 PII 主体商定披露的目的，并且在为任何新用途进行之前获得必要的同意；

 

d) 将外部组织对 PII 的访问权，限制在必要且已获得正式授权的范围内：如果业务确实需要访问，则应遵循适当的审批程序；

 

e) 确认被允许连接到本组织系统的外部系统在被允许连接之前已经实施了适当的保护措施；

 

f) 定期审查第三方实施的保障措施，以确保它们继续满足本组织的安全要求：如果由于此类审查而发现保障措施不足 ，应立即断开第三方的连接，直到已经恢复了适当的保障措施；

 

g) 当通过远程接口访问 PII 时，实施适当的访问认证机制： 记录 PII 访问的日志；

 

h) 利用安全监控待续收集 PII 的变更，应向公众提供警示。

 

三、保留 PII 的实施指南

 

a) 仅保留授权时间段的 PII , 以履行通知中确定的目的或法律和组织的要求，并在保留期届满时立即删除 PII ;

 

b) 如果需要保留 PII 的时间超过特定商业目的所需时间，则应实施诸如去识别化等措施以保护 PII ;

 

c) 定义有时间限制的、适合于处理目的的 PII 保留期；

 

d) 确认信息系统可以检测到保留期限到期；

 

e) 确保实施商定的保留期限并根据保留期限处置 PII ;

 

f) 开发一种自动化功能，在其保留期限到期时删除 PII , 这种删除应立即发生或尽快实施；

 

g) PII 的存储形式（包括数据库字段或文本摘录）以及确定的风险，应该是“去标识”的内容；

 

h) 根据待识别数据的形式（包括数据库和文本记录）和已确定的风险， 去识别化数据；

 

i) 如果数据不能被“去识别”，则选择用千保护 PII 的工具（包括部分删除，哈希 ，密钥散列和索引）。

 

四、披露 PII 的实施指南

 

a) 未经 PII 主体事先知情同意，不得将PII 披露给外部各方 ，除非相关法律允许此类披露：如果向需要了解的内部各方（例如员工）披露，则可能不需要 PII 主体的知情和同意；；

 

b) 在转让个人身份信息时提供强有力的保护机制，包括数据加密和完整性保护。

 

员工个人身份信息应按照适用的法律和法规、组织处置策略，适当 情况下需征得员工同意才能进行处置（即安全删除或存档） 。